Alle Beiträge Netzwerk & Infrastruktur

Backup-Strategie nach dem 3-2-1-Prinzip: So wird Wiederherstellung realistisch

Ein Backup, das im Ernstfall nicht zurückgespielt werden kann, ist kein Backup. Wie das 3-2-1-Prinzip für KMU sauber umgesetzt wird.

Veröffentlicht
22. Januar 2026
Autor
Jakub Kaczor
Lesezeit
9 Min.
Aktualisiert
19. Mai 2026
Symbolbild Backup-Strategie nach dem 3-2-1-Prinzip

Die häufigste Reaktion, die wir bei Backup-Audits sehen: ein Geschäftsführer sagt selbstbewusst „klar haben wir Backup”, öffnet das System, und niemand hat in den letzten 18 Monaten eine Wiederherstellung getestet. Im Ernstfall — Ransomware, Hardware-Ausfall, gelöschte Datei — funktioniert das Backup dann in 30–40 % der Fälle nicht so, wie alle dachten. Das ist die wichtigste Erkenntnis: Backup ist nicht das Erstellen, sondern das Zurückspielen.

Das 3-2-1-Prinzip in einem Satz

Drei Kopien Ihrer Daten, auf zwei unterschiedlichen Speichermedien, davon eine außerhalb des Standorts. Klingt einfach, ist es im Prinzip auch — und wird trotzdem in mehr als der Hälfte der KMU nicht richtig umgesetzt.

KomponenteBedeutung
3 KopienOriginaldaten plus zwei Sicherungen. Eine alleine ist keine Sicherung.
2 MedientypenFestplatte und Cloud, oder Festplatte und Band, oder NAS und Cloud. Damit ein Defekt eines Mediums nicht beide Sicherungen mitnimmt.
1 Kopie offsiteEine Sicherung räumlich getrennt — Cloud, andere Niederlassung, Bankschließfach. Schutz gegen Brand, Diebstahl, lokale Katastrophen.

Manche moderne Varianten erweitern das auf 3-2-1-1-0: zusätzlich eine immutable (unveränderbare) Kopie und null Fehler bei der Wiederherstellung.

Was im KMU oft falsch ist

  • Nur eine externe Festplatte als Backup. Eine. Wenn die kaputtgeht, sind die Daten weg.
  • Backup auf demselben Server, nur in einem anderen Ordner. Erweiterte Datei-Kopie, kein Backup.
  • „Wir haben OneDrive.” Ist Sync, kein Backup — eine gelöschte Datei wird synchronisiert gelöscht.
  • Backup, das mit demselben Konto wie das Original verbunden ist. Wenn das Konto kompromittiert wird, sind beide weg.
  • Niemand hat je eine Wiederherstellung getestet. Backup, das nicht getestet ist, ist Hoffnung.
  • Kein Plan, wer was wiederherstellt. Im Krisenfall fehlt die Übersicht — wer ruft an, wer startet was?

Eine realistische 3-2-1-Umsetzung für KMU

Variante A — Cloud + lokal

  • Hauptdaten: auf dem Server / NAS / in Microsoft 365.
  • Sicherung 1: lokal auf NAS oder externer Storage, einmal pro Nacht.
  • Sicherung 2: Cloud-Backup-Service (Veeam Backup for Microsoft 365, Acronis, Backblaze, AWS S3, Azure Backup) — täglich, mit Aufbewahrung 30–90 Tage.
  • Aufbewahrung lokal: 14 Tage.
  • Aufbewahrung Cloud: 90 Tage rollend, monatlich für 12 Monate, jährlich für 5 Jahre.

Variante B — Lokal + Bandsicherung

  • Hauptdaten + Sicherung 1 wie oben.
  • Sicherung 2: Bandlaufwerk, monatlich ausgeführt und im Tresor / extern aufbewahrt.

Variante A ist im KMU heute Standard, Variante B sehen wir noch in Branchen mit besonderen Compliance-Anforderungen.

Was zur Strategie gehört, nicht nur zur Software

BestandteilFrage, die geklärt sein muss
Restore Time Objective (RTO)Wie schnell müssen die Daten wieder verfügbar sein? Stunden? Tage?
Restore Point Objective (RPO)Wie viel Datenverlust ist verkraftbar? Eine Stunde? Ein Tag?
InhaltsumfangWelche Daten gehören ins Backup? Server-Daten, Mail, M365-Konten, ERP-Datenbank, lokale Endgeräte?
Wer macht was im ErnstfallKonkrete Person, Telefonnummer, schriftlicher Plan.
Wann wird getestetMindestens einmal pro Quartal Wiederherstellung einer Testdatei, mindestens einmal pro Jahr vollständige Wiederherstellung eines Systems.

Ohne RTO/RPO weiß niemand, ob das Backup-Niveau zur Geschäftsanforderung passt. Wir sehen oft Unternehmen, die 24 Stunden Datenverlust für unbedenklich halten — bis ein Ausfall passiert und sie erkennen, dass auch eine Stunde schon teuer ist.

Microsoft 365 — der häufigste blinde Fleck

Microsoft sichert die eigene Infrastruktur, aber nicht den Inhalt Ihres Mandanten. Wenn jemand eine Datei löscht und der Papierkorb läuft ab, oder ein Konto kompromittiert wird und Inhalte überschrieben werden — Microsoft hilft Ihnen nur in engen Grenzen. Eine separate Microsoft-365-Sicherung ist heute Pflicht, nicht optional. Anbieter wie Veeam, Acronis, Datto, Synology Active Backup, AvePoint bieten dafür sichere und überschaubare Lösungen.

Was Backup realistisch kostet

Beispiel: 25 Endgeräte, ein Server, Microsoft 365 für alle, 2 TB aktive Daten.

  • NAS für lokales Backup (Hardware): 800 – 2.500 € einmalig.
  • Cloud-Backup-Service: 3 – 6 € pro Microsoft-365-Konto und Monat; 10 – 20 € pro 100 GB Server-Daten pro Monat.
  • Backup-Software (falls separat): 200 – 800 € pro Jahr.
  • Initiale Einrichtung: 1.500 – 4.000 €.
  • Laufende Begleitung (Monitoring, Quartalstest): 600 – 2.500 € pro Jahr.

Gesamt typischerweise: 2.500 – 7.000 € im ersten Jahr, 1.800 – 5.000 € pro Jahr danach. Wenn Sie unter 1.000 € pro Jahr für die gesamte Backup-Strategie ausgeben, fehlt fast immer ein Baustein.

Ein praktischer Wiederherstellungs-Test

Einmal pro Quartal:

  1. Eine Test-Datei in einem produktiven Ordner anlegen.
  2. Im nächsten Backup-Lauf: prüfen, ob sie gesichert wurde.
  3. Datei lokal löschen.
  4. Wiederherstellung versuchen — durch die Person, die im Ernstfall verantwortlich wäre.
  5. Zeit messen.

Einmal pro Jahr: einen ganzen Server oder Mailbox in einer Testumgebung wiederherstellen. Das ist die einzige Methode, mit der Sie wirklich wissen, dass das System funktioniert.

FAQ

Reicht ein NAS mit RAID? Nein. RAID schützt gegen Festplattenausfall, nicht gegen Ransomware, gelöschte Dateien oder Brand. Es ist ein Baustein, kein Backup.

Was, wenn ein Mitarbeiter aus Versehen wichtige Daten löscht? Mit einer ordentlichen Strategie und Aufbewahrung von mindestens 30 Tagen ist das in 95 % der Fälle wiederherstellbar.

Wie verhindern wir, dass Ransomware das Backup mitverschlüsselt? Immutable Backups (unveränderbar für eine bestimmte Zeit), getrennte Zugangsdaten zum Backup-System, idealerweise „air-gapped” Komponenten. Mehr im Artikel Ransomware-Schutz für kleine und mittlere Unternehmen.

Wie oft sollte Backup ausgeführt werden? Mindestens einmal täglich für Produktivdaten. Bei häufigen Änderungen (Buchhaltung, Auftragssysteme) auch stündlich oder kontinuierlich.

Wie wir das angehen

Wir entwerfen Backup-Strategien, die nicht nur auf dem Papier funktionieren, sondern im Ernstfall — inklusive Quartalstest und schriftlichem Wiederherstellungsplan. Mehr dazu auf Netzwerk & IT-Infrastruktur. Backup gehört für uns mit Ransomware-Schutz und Patch-Management zusammen — wenn Sie das zusammen denken wollen, ist Ransomware-Schutz für kleine und mittlere Unternehmen ein guter nächster Artikel.

Anrufen
E-Mail
WhatsApp