Drei Kopien. Zwei Medien. Eine ausser Haus. So lautet die 3-2-1-Regel für Backups, und sie ist seit 25 Jahren im Wesentlichen unverändert. Was sich geändert hat: die Bedrohung. Vor 25 Jahren war ein zerstörter Server der Worst Case. Heute ist Ransomware der Worst Case – und die ist gezielt darauf ausgelegt, klassische Backups gleich mit zu verschlüsseln.
Die 3-2-1-Regel funktioniert immer noch, aber sie braucht eine Erweiterung. Hier ist, was 2026 tatsächlich Schutz gibt.
Die Regel kurz erklärt
Drei Kopien Deiner Daten: das Original plus zwei Backups. Das Original alleine ist keine Strategie, ein Backup alleine auch nicht. Drei Kopien bedeuten: zwei können gleichzeitig kaputt gehen, und Du bist immer noch ok.
Zwei verschiedene Medien: nicht beide Backups auf demselben Storage-Array. Wenn das Storage ausfällt, sind beide weg. Festplatte plus Tape, oder Festplatte plus Cloud, oder Festplatte plus zweiter Storage-Cluster in einem anderen Brandabschnitt. Hauptsache: nicht das gleiche Risiko.
Eine Kopie ausser Haus: weil ein Brand, ein Wassereinbruch, ein Diebstahl oder ein Strom-Vorfall alles am gleichen Standort gleichzeitig nehmen kann. Diese externe Kopie kann ein Cloud-Backup sein, ein Tape im Bankschliessfach, oder ein Storage in einem anderen Rechenzentrum.
Warum die Regel reicht – und warum sie nicht reicht
Bei klassischen Risiken (Hardware-Defekt, Bedienfehler, lokale Katastrophe) deckt 3-2-1 die meisten Szenarien ab. Bei Ransomware nicht.
Moderne Ransomware-Gruppen sind seit Jahren professionalisiert. Sie kommen rein, bewegen sich wochenlang seitlich durchs Netz, suchen aktiv nach Backup-Systemen, kompromittieren die Backup-Software-Konsolen, löschen oder verschlüsseln Backup-Repositories – und dann erst rollen sie die Verschlüsselung über die produktiven Systeme aus. Wenn Du dann auf Dein Backup zurückgreifen willst, ist das auch verschlüsselt. Das ist nicht hypothetisch, das passiert wöchentlich.
Deshalb braucht 3-2-1 heute eine zusätzliche Eigenschaft: mindestens eine Kopie muss offline sein. Nicht «in der Cloud, mit anderen Credentials». Sondern offline. Air-Gapped. Aus Sicht eines Angreifers im produktiven Netz nicht erreichbar.
3-2-1-1: die zeitgemässe Variante
Branchenintern wird oft von 3-2-1-1-0 gesprochen:
- 3 Kopien
- 2 Medientypen
- 1 ausser Haus
- 1 offline / unveränderlich
- 0 Fehler beim Restore-Test
Die zusätzliche 1 ist die zentrale Verteidigungslinie gegen Ransomware. Optionen für «offline» reichen von echten Tape-Wechseln (LTO-Bänder, manuell ausgelagert) über Cloud-Backups mit Object-Lock und WORM-Mode (Write-Once-Read-Many) bis zu spezialisierten On-Prem-Lösungen mit Air-Gap-Architektur.
Die Null am Ende ist mindestens so wichtig: Backups, die nie getestet wurden, sind keine Backups. Sie sind die optimistische Annahme, dass im Notfall alles klappt. Plant Restore-Tests vierteljährlich. Ein vollständiger Restore eines kritischen Servers, durchgeführt von Mitarbeitenden, die nicht der Backup-Admin sind. Wenn das beim ersten Mal scheitert: Glück gehabt, dass es ein Test war.
Häufige Fehler in der Praxis
«Cloud-Backup zählt als ausser Haus». Stimmt formal. Aber wenn das Cloud-Backup mit den gleichen Active-Directory-Credentials erreichbar ist wie das produktive AD, ist es nicht air-gapped. Ein kompromittierter Domain-Admin kann beides löschen. Cloud-Backups gehören in einen separaten Tenant mit eigenen Credentials, MFA, und im Idealfall Object-Lock.
«Snapshots sind Backups». Snapshots auf demselben Storage-System sind keine Backups. Sie sind nützlich für Bedienfehler-Rollbacks, aber wenn das Storage stirbt oder verschlüsselt wird, ist auch der Snapshot weg. Snapshot-Replikation auf ein zweites System ist schon eher ein Backup.
«VEEAM/Commvault/Nakivo läuft, also haben wir Backup». Die Software läuft. Die Frage ist: läuft sie korrekt, vollständig, und sind die Backup-Repositories vor Ransomware geschützt? Standard-Konfiguration einer Backup-Software hat das nicht eingebaut. Immutable Repositories, Hardened Linux-Repositories oder Object-Lock auf S3-Storage muss aktiv konfiguriert werden.
«Wir testen einmal im Jahr». Für eine produktive Umgebung mit kritischen Workloads ist das fahrlässig. Quartalsweise minimum. Bei kritischen Systemen monatlich.
Was Stefan und das Team in der Praxis sehen
In den letzten Jahren häufen sich Anfragen nach Beratungsgesprächen zu Backup-Strategie – immer dann, wenn ein KMU einen Vorfall in der Branche mitbekommen hat oder einen Cyber-Versicherungs-Audit vorbereitet. Das Muster ist fast immer dasselbe: Backup-Software ist installiert, Backups laufen täglich, aber niemand hat in den letzten 18 Monaten ernsthaft restored.
Was sich bewährt: zentrales Backup-System auf einem hardened Linux-Repository, plus eine wöchentliche Auslagerung auf eine räumlich getrennte, air-gapped Speicherebene. Genau dafür haben wir den UCC Secure Vault gebaut – ein umgebauter Banktresor mit AirGap-Architektur, in dem Backup-Kopien physisch isoliert vom produktiven Netz liegen. Aber egal, ob das nun bei uns oder anderswo passiert: die Regel ist immer gleich. Eine Kopie muss offline sein.
Kurzcheck für Dein Unternehmen
Drei Fragen, die Du heute beantworten können solltest:
- Wo liegen die Backups physisch? Nenn drei Orte.
- Welche Credentials braucht ein Angreifer, um alle drei zu löschen?
- Wann hat zuletzt jemand einen vollständigen Restore eines kritischen Systems durchgespielt – nicht der Backup-Admin?
Wenn die Antwort auf eine der Fragen unklar ist, hast Du den Hebelpunkt für die nächsten Wochen. Backup-Strategie ist nicht sexy, aber wenn sie funktioniert, ist Ransomware ein lästiger Zwischenfall – und kein existenzielles Risiko.
UCC Pro berät zu Backup-Architektur und betreibt mit dem UCC Secure Vault eine air-gapped Speicherebene für die «1» der 3-2-1-1-Regel. Mehr dazu unter UCC Secure Vault oder direkt im Gespräch.
Quellen: BSI – IT-Grundschutz CON.3 Datensicherungskonzept; NCSC – «Sicherung kritischer Daten»; NIST SP 800-209 (Storage Security).