Die 3-2-1-Regel für Datensicherung bedeutet: drei Datenkopien auf zwei verschiedenen Medientypen, davon eine außerhalb des Standorts. Sie ist der Mindeststandard für jede KMU-Backup-Strategie. Die erweiterte 3-2-1-1-0-Regel ergänzt ein unveränderliches Backup und den Nachweis fehlerfreier Wiederherstellungstests.

Warum Datenverlust immer noch passiert

In der ersten Hälfte des Jahres 2018 gingen nach Branchenschätzungen rund vier Milliarden Datensätze verloren. Seitdem hat sich die Bedrohungslage durch Ransomware, Lieferketten-Angriffe und menschliche Fehler verstärkt, nicht entspannt.

Ursachen sind dieselben wie vor zehn Jahren: Hardwareausfall, Softwarefehler, menschliche Fehler und gezielte Angriffe. Was sich geändert hat: Angreifer greifen heute gezielt Backup-Systeme an, bevor sie Produktivsysteme verschlüsseln.

Die 3-2-1-Regel: der Ausgangspunkt

Drei Datenkopien auf zwei verschiedenen Medientypen, davon eine außerhalb des Standorts. Diese Regel, ursprünglich von Fotograf Peter Krogh geprägt, ist der Ausgangspunkt für jede seriöse Datensicherung.

In der Praxis:

Kopie 1: Produktivdaten auf dem Server
Kopie 2: lokales Backup auf NAS oder Backup-Server
Kopie 3: Cloud-Backup oder Tape außerhalb des Standorts

3-2-1-1-0: der aktuelle Standard 2025

Die erweiterte Regel ergänzt zwei Punkte:

Plus 1 unveränderliches (immutable) Backup: Eine Backup-Kopie kann während der Aufbewahrungsfrist nicht verändert oder gelöscht werden, auch nicht durch einen Angreifer mit Administratorrechten.
Plus 0 Fehler bei Wiederherstellungstests: Jedes Backup wird regelmäßig auf Wiederherstellbarkeit geprüft. Kein Backup ohne Testprotokoll.

Veeam Backup and Replication (aktuell v12.3) unterstützt Immutable Backups nativ auf Azure Blob Storage, AWS S3 und lokalen Object-Storage-Systemen.

Backup-Typen und ihre Verwendung

Typ	Was es sichert	Empfehlung
Veeam Backup and Replication	VMs, physische Server, Cloud-Workloads	Primärebene, vollständig
Cloud-Backup auf Azure Deutschland	beliebige Workloads in deutschen Rechenzentren	Off-Site, immutable Tier
Backup auf lokalem NAS	lokale Datensicherung	zweite lokale Kopie
Tape-Backup	Langzeitarchivierung	regulierte Branchen, Archivpflicht

Was ein Backup-Plan enthalten muss

Ein dokumentierter Backup-Plan benennt:

Welche Systeme und Daten gesichert werden
Backup-Intervalle (vollständig, differenziell, inkrementell)
Aufbewahrungsdauer pro Backup-Generation
Verschlüsselung der Backup-Daten im Transport und im Ruhezustand
Wiederherstellungstest-Zyklus mit Protokollpflicht
Verantwortliche Person und Eskalationspfad bei Fehler

Ohne diesen Plan ist das Backup eine technische Übung ohne betriebliche Wirkung.

Immutable Backup: warum der Unterschied entscheidend ist

Ransomware-Gruppen verschlüsseln seit 2020 systematisch zuerst Backup-Repositories, bevor sie Produktivsysteme angreifen. Wer nur klassische Backups hat, verliert auch seine Wiederherstellungsbasis.

Immutable Backups auf Object Storage (Azure Blob, AWS S3) setzen eine Aufbewahrungsrichtlinie, die selbst mit Administratorrechten nicht vor Ablauf entfernt werden kann. Das ist der technische Schutz, den moderne Backup-Strategien brauchen.

Techiota berät zur Backup-Architektur nach 3-2-1-1-0 für KMU in Hamburg. Sprechen Sie uns an unter techiota.de.

Was ist der Unterschied zwischen 3-2-1 und 3-2-1-1-0? Die 3-2-1-Regel definiert Anzahl und Verteilung der Kopien. Die 3-2-1-1-0-Regel ergänzt ein unveränderliches Backup (Schutz vor Ransomware) und die Pflicht zu dokumentierten Wiederherstellungstests mit null Fehlern.

Was kostet ein Immutable Backup auf Azure? Azure Blob Storage mit Unveränderlichkeitsrichtlinie kostet ab ca. 0,02 EUR pro GB pro Monat (LRS, Deutschland). Für 1 TB sind das ca. 20 EUR monatlich für den Speicher, ohne Veeam-Lizenz und Betreuung.

Wie oft muss ein Wiederherstellungstest durchgeführt werden? Mindestens quartalsweise für kritische Systeme, jährlich für alle anderen. Für regulierte Branchen (Gesundheit, Finanz) gelten strengere Vorgaben. Entscheidend ist die Protokollpflicht: ohne Protokoll kein nachweisbarer Test.