Kurzzusammenfassung
Die Backup-Strategie 3-2-1-1 schützt Unternehmensdaten durch drei Kopien auf zwei unterschiedlichen Medien, davon eine offsite und eine offline oder unveränderlich (immutable). Für österreichische KMU ist diese Methode der aktuelle Goldstandard gegen Ransomware, Hardware-Ausfälle und menschliche Fehler. Wer diese Regel konsequent umsetzt, kann Datenverlust in nahezu allen realistischen Szenarien verhindern.
Einleitung
Die Backup-Strategie 3-2-1-1 ist heute der wichtigste Schutzschild für Unternehmensdaten – und dennoch setzen sie erschreckend wenige österreichische KMU konsequent um. Laut einer Studie von Veeam aus dem Jahr 2024 verloren 75 % der befragten Unternehmen im vergangenen Jahr mindestens einmal Daten durch einen Cyberangriff oder einen Systemausfall. Die Wiederherstellungskosten übersteigen dabei regelmäßig die Kosten einer soliden Backup-Lösung um ein Vielfaches.
Für Geschäftsführer und IT-Verantwortliche in kleinen und mittleren Unternehmen stellt sich die Frage nicht ob, sondern wann ein Datenverlust eintritt. Ransomware-Angriffe haben sich in Österreich in den letzten zwei Jahren verdoppelt, und Angreifer zielen zunehmend gezielt auf Backup-Systeme, um eine Wiederherstellung zu erschweren. Die klassische 3-2-1-Regel reicht daher nicht mehr aus. Die Erweiterung um ein viertes Element – die sogenannte 1-1-Erweiterung – schließt genau diese Lücke. Dieser Beitrag erklärt, wie die Regel funktioniert, warum sie für KMU relevant ist und wie Sie sie praktisch umsetzen.
[toc]
Was die Backup-Strategie 3-2-1-1 bedeutet – und warum die alte 3-2-1-Regel nicht mehr reicht
Die ursprüngliche 3-2-1-Backup-Regel wurde vom Fotografen und Autor Peter Krogh geprägt und lautet:
- 3 Kopien der Daten
- 2 unterschiedliche Speichermedien
- 1 Kopie an einem externen Standort (Offsite)
Diese Regel war jahrelang der Standard und schützt gut gegen Hardware-Ausfälle, Diebstahl und lokale Katastrophen wie Feuer oder Hochwasser. Das Problem: Moderne Ransomware erkennt und verschlüsselt angebundene Backup-Laufwerke oft innerhalb von Minuten nach dem Erstzugriff. Eine Offsite-Kopie, die dauerhaft per VPN verbunden ist, bietet keinen ausreichenden Schutz mehr.
Das vierte Element: Immutable Backup oder Air-Gap
Genau hier greift die Backup-Strategie 3-2-1-1: Das zusätzliche „1″ steht für eine Kopie, die entweder air-gapped (physisch vom Netzwerk getrennt) oder immutable (unveränderlich) ist. Ein Immutable Backup kann innerhalb eines definierten Aufbewahrungszeitraums nicht verändert, überschrieben oder gelöscht werden – weder durch Benutzer noch durch Schadsoftware. Moderne Cloud-Anbieter wie AWS, Azure oder spezialisierte Backup-Lösungen wie Veeam, Acronis oder Zerto bieten solche WORM-Speicher (Write Once, Read Many) an.
Was „air-gapped“ in der Praxis bedeutet
Ein Air-Gap-Backup ist physisch vom Netzwerk getrennt – beispielsweise Bandlaufwerke (LTO), die nach dem Backup-Vorgang aus dem System entfernt werden, oder ein Offline-Speicher ohne dauerhafte Netzwerkverbindung. Für viele KMU in Österreich ist die Kombination aus Cloud-Immutable-Backup und lokaler Bandlösung eine pragmatische und kosteneffiziente Variante.
Konkrete Szenarien: Wann rettet welche Backup-Ebene Ihre Daten?
Die vier Ebenen der 3-2-1-1-Strategie greifen bei unterschiedlichen Schadensereignissen:
| Szenario | Schützende Ebene |
|---|---|
| Festplattenausfall | Lokale Kopie auf zweitem Medium |
| Benutzer löscht versehentlich Daten | Lokale oder Offsite-Kopie |
| Serverraum brennt / Hochwasser | Offsite-Kopie |
| Ransomware verschlüsselt alle angebundenen Systeme | Immutable / Air-Gap-Kopie |
| Insider-Angriff mit Admin-Rechten | Immutable-Kopie (nicht löschbar) |
Besonders der letzte Punkt ist in der Praxis unterschätzt: Auch ein kompromittiertes Administrator-Konto kann ein Immutable Backup nicht rückwirkend löschen oder überschreiben, wenn die Aufbewahrungsfristen korrekt konfiguriert sind.
Für österreichische KMU bedeutet das: Ein reines NAS-Backup, das im selben Netzwerk hängt wie die Produktionssysteme, ist keine vollständige Backup-Strategie. Es ist allenfalls eine erste Sicherheitsstufe.
Technische Umsetzung: Werkzeuge und Architekturen für KMU
Die gute Nachricht: Die Backup-Strategie 3-2-1-1 lässt sich auch mit begrenztem IT-Budget realistisch umsetzen. Entscheidend ist die richtige Kombination aus lokalen und cloudbasierten Komponenten.
Empfohlene Architektur für KMU (Beispiel)
- Primäre Kopie: Produktionsdaten auf dem Unternehmensserver oder NAS
- Zweite Kopie auf anderem Medium: Lokales Backup auf dedizierter Backup-Appliance (z. B. Veeam + dediziertes NAS mit anderem Dateisystem)
- Offsite-Kopie: Automatischer Replikationsjob in eine europäische Cloud (Azure Blob Storage, AWS S3 oder einen österreichischen Cloud-Anbieter)
- Immutable-Kopie: S3 Object Lock (WORM) in der Cloud oder LTO-Bandlaufwerk mit Air-Gap
Backup-Software, die Immutability unterstützt
- Veeam Backup & Replication: Unterstützt Immutable Backups in lokalen Linux-Repositories und S3-kompatibler Cloud
- Acronis Cyber Protect: Integriertes Immutable Storage, geeignet für kleinere Teams
- Zerto: Eher für kontinuierliche Replikation und DR, sinnvoll ab mittlerer KMU-Größe
Wichtig: Die Backup-Lösung sollte auch regelmäßige Restore-Tests dokumentieren. Ein Backup, das nicht erfolgreich wiederhergestellt werden kann, ist wertlos.
Erfahren Sie mehr über unsere Managed IT-Services und Backup-Lösungen für österreichische KMU bei Solutionbox.
Best Practices: So setzen KMU die 3-2-1-1-Regel korrekt um
Konkrete Empfehlungen für Unternehmen, die jetzt handeln möchten:
1. Bestehende Backup-Architektur dokumentieren und Lücken identifizieren
Prüfen Sie, ob Sie aktuell alle vier Ebenen abdecken. Viele KMU haben Ebene 1 und 2, aber keine echte Offsite- oder Immutable-Kopie.
2. Recovery Time Objective (RTO) und Recovery Point Objective (RPO) definieren
Wie lange darf das Unternehmen im Ernstfall ausfallen? Wie alt dürfen die wiederhergestellten Daten maximal sein? Diese Kennzahlen bestimmen die Backup-Frequenz und die Architektur.
3. Restore-Tests mindestens quartalsweise durchführen
Testen Sie die vollständige Wiederherstellung eines Systems – nicht nur einzelner Dateien. Dokumentieren Sie Wiederherstellungszeiten und identifizieren Sie Schwachstellen.
4. Backup-Zugriff auf das Minimum beschränken
Nur dedizierte Backup-Accounts sollten Schreibzugriff auf Backup-Repositories haben. Admin-Konten für den täglichen Betrieb sollten keinen direkten Zugriff auf Backup-Systeme erhalten.
5. Aufbewahrungsfristen an rechtliche Anforderungen anpassen
In Österreich gelten je nach Branche unterschiedliche gesetzliche Aufbewahrungspflichten (z. B. 7 Jahre für Buchhaltungsunterlagen nach BAO). Stimmen Sie Ihre Backup-Retention Policy darauf ab.
Weitere Informationen zu IT-Sicherheit und Datenschutz finden Sie in unserem Leistungsbereich IT-Sicherheit auf solutionbox.net.
Häufig gestellte Fragen
Was bedeutet die Backup-Strategie 3-2-1-1 konkret?
Die Backup-Strategie 3-2-1-1 bedeutet: 3 Kopien der Daten, auf 2 unterschiedlichen Medientypen, davon 1 Kopie an einem externen Standort (Offsite) und 1 Kopie unveränderlich (Immutable) oder physisch vom Netzwerk getrennt (Air-Gap). Das vierte Element schützt speziell vor Ransomware und Insider-Angriffen, gegen die die klassische 3-2-1-Regel keine ausreichende Antwort bietet.
Ist die 3-2-1-1-Backup-Strategie auch für kleine Unternehmen umsetzbar?
Ja. Selbst kleinere KMU können mit Lösungen wie Veeam Community Edition, Acronis Cyber Protect oder einfachen Cloud-Diensten mit S3 Object Lock eine 3-2-1-1-konforme Architektur aufbauen. Die Kosten für einen soliden Immutable-Cloud-Speicher liegen oft im niedrigen zweistelligen Euro-Bereich pro Monat – ein Bruchteil der durchschnittlichen Wiederherstellungskosten nach einem Ransomware-Angriff.
Wie oft sollten Backups im Rahmen der 3-2-1-1-Strategie durchgeführt werden?
Die Backup-Frequenz hängt vom RPO (Recovery Point Objective) des Unternehmens ab. Für die meisten KMU sind tägliche Vollbackups mit stündlichen inkrementellen Backups ein sinnvoller Standard. Kritische Systeme wie ERP oder Datenbanken sollten häufiger gesichert werden – teils im 15-Minuten-Takt durch kontinuierliche Replikation.
Was ist der Unterschied zwischen einem Immutable Backup und einem Air-Gap-Backup?
Ein Immutable Backup ist technisch unveränderlich gespeichert – es kann für einen definierten Zeitraum nicht gelöscht oder überschrieben werden, bleibt aber netzwerkseitig erreichbar. Ein Air-Gap-Backup ist physisch vom Netzwerk getrennt und damit für Angreifer überhaupt nicht erreichbar. Beide Konzepte erfüllen das vierte „1″ der 3-2-1-1-Strategie, ein Air-Gap bietet dabei den maximalen Schutz.
Fazit und nächste Schritte
Die Backup-Strategie 3-2-1-1 ist kein IT-Luxus, sondern eine betriebliche Notwendigkeit – insbesondere in einer Zeit, in der Ransomware-Angriffe auf österreichische Unternehmen täglich zunehmen. Die gute Nachricht: Wer die vier Ebenen konsequent umsetzt und regelmäßig testet, ist gegen nahezu alle realistischen Datenverlustszenarien gewappnet. Entscheidend ist der Start: Dokumentieren Sie Ihre aktuelle Backup-Architektur, identifizieren Sie Lücken und schließen Sie diese Schritt für Schritt.
Solutionbox unterstützt KMU in Österreich bei der Planung, Implementierung und laufenden Überwachung von Backup- und Recovery-Lösungen. Kontaktieren Sie uns jetzt für eine unverbindliche Analyse Ihrer aktuellen Backup-Strategie.
Autor: Martin Höck, IT-Consultant und allgemein beeideter Sachverständiger für Informationstechnologie,
Solutionbox Informationstechnologie GmbH, Salzburg
Fragen? salesteam@solutionbox.net | +43 662 243316