Backup-Strategie für KMU: Mit 3‑2‑1 (und mehr) zur sicheren Datenbasis

Montagmorgen, 8:15 Uhr: Niemand kommt ins ERP, Aufträge lassen sich nicht mehr abrufen, der Fileserver ist verschlüsselt. Die IT meldet einen mutmasslichen Ransomware-Angriff – und jede Stunde Stillstand kostet bares Geld. Laut Studien liegt der durchschnittliche Schaden pro Datenpanne in Deutschland bei rund 3,7 Millionen US-Dollar. Gleichzeitig erwarten 71 Prozent der Schweizer KMU bei gravierenden IT-Problemen massive Beeinträchtigungen ihrer Arbeitsprozesse, 43 Prozent rechnen direkt mit Umsatzausfällen.

Die gute Nachricht: Die meisten Unternehmen haben das Thema Backup zumindest auf dem Radar. 91 Prozent der Unternehmen weltweit sichern ihre Geschäftsdatenbanken. Die weniger gute: Nur 16 Prozent sichern explizit ihre SaaS-Daten – also Daten aus Cloud-Anwendungen wie Microsoft 365, CRM- oder Collaboration-Tools. Genau dort liegen aber in vielen KMU inzwischen die geschäftskritischsten Informationen.

Die Frage ist also nicht, ob Sie Backups machen – sondern wie konsequent Ihre Backup-Strategie wirklich ist.

Gefühlte Sicherheit vs. reale Risiken im Mittelstand

70 Prozent der mittelständischen Unternehmen in Deutschland schätzen ihre Abwehr gegen IT-Gefahren wie Phishing oder Hacker-Angriffe als gut ein. Nur 6 Prozent sind offen skeptisch, ob ihre Cybersicherheit ausreicht. Dieses Sicherheitsgefühl steht im Kontrast zu den realen Schadenssummen und der Angriffsrealität:

• Ransomware-Angriffe gehören laut BSI mittlerweile zu den grössten Cyberbedrohungen überhaupt. [Quelle: BSI]
• Angreifer nehmen längst nicht mehr nur Produktivsysteme ins Visier, sondern gezielt auch Backups, um Wiederherstellung zu verhindern und Lösegeldforderungen durchzusetzen. [Quelle : Zmanda]

Hinzu kommt: In rund einem Viertel der Fälle ist menschliches Versagen der Auslöser eines Datenverlustes – etwa durch versehentliches Löschen, Fehlkonfigurationen oder unsaubere Prozesse. Gleichzeitig setzen 53 Prozent der Unternehmen auf Mitarbeiterschulungen als wichtigste Massnahme gegen Datenverlust. Schulungen sind wichtig – ersetzen aber keine belastbare Backup-Architektur.

Kurz gesagt: „Wir haben doch ein Backup“ ist kein valider Sicherheitsnachweis. Es braucht eine strukturierte Backup-Strategie, die technischen Schutz, Prozesse und Menschen zusammenbringt.

Was eine moderne Backup-Strategie für KMU leisten muss

Bevor wir in die 3‑2‑1-Regel einsteigen, lohnt ein Blick auf die Anforderungen aus Sicht eines typischen KMU:

• Abdeckung aller relevanten Systeme:
  Physische und virtuelle Server, Fileshares, Datenbanken, Cloud-Workloads und SaaS-Dienste wie Microsoft 365, CRM oder Collaboration-Plattformen.
• Schnelle Wiederherstellung statt nur „Backup vorhanden“:
  RPO (wie viel Datenverlust ist akzeptabel?) und RTO (wie lange darf ein System ausfallen?) müssen zur Geschäftsrealität passen – und technisch erreichbar sein.
• Robustheit gegen Ransomware:
  Backups dürfen sich nicht einfach mitverschlüsseln oder löschen lassen. Offsite- und idealerweise unveränderliche Kopien sind Pflicht.
• Stabilität und verlässlicher Support:
  Laut Umfragen ist Produktstabilität mit 4,59 von 5 Punkten das wichtigste Auswahlkriterium für Backup-Lösungen – noch vor dateibasierter Wiederherstellung, technischem Support und dem Schutz aller Systemtypen. Das spiegelt den Praxisblick vieler IT-Leitungen: Im Ernstfall zählt, dass das System läuft – nicht die Feature-Liste.

Diese Anforderungen lassen sich nicht mit „ein paar Jobs auf einem alten NAS“ erfüllen. Hier kommt die 3‑2‑1-Regel ins Spiel.

Die 3‑2‑1-Regel – das Fundament jeder Backup-Strategie

Die 3‑2‑1-Regel hat sich in der Praxis als einfaches, aber sehr robustes Prinzip etabliert – sowohl in Fachpublikationen als auch in Empfehlungen für Unternehmens-IT. [Quelle: Security Insider]

Sie lautet:

1. 3 Kopien Ihrer Daten
   – eine Produktivkopie plus mindestens zwei Backups.
2. 2 verschiedene Medientypen
   – zum Beispiel Disk + Tape oder Disk + Cloud/Object Storage.
3. 1 Kopie an einem externen Standort
   – physisch getrennt vom Primärstandort.

Warum ist dieses Prinzip so stark? Weil es mehrere Ausfallszenarien gleichzeitig adressiert:

• Defekte einzelner Medien oder Systeme
• Standortbezogene Risiken (Brand, Wasserschaden, Diebstahl)
• Logische Fehler (z. B. korrupte Dateisysteme, versehentliches Löschen)

Für KMU lässt sich das konkret so abbilden:

• Produktivdaten auf Servern/VMs im Unternehmen
• Lokales Backup auf einem Backup-Server oder NAS
• Zweites Medium (z. B. LTO-Band oder zweites Storage-System)
• Offsite-Kopie in ein deutsches/europäisches Rechenzentrum oder eine zertifizierte Cloud – etwa über einen spezialisierten Backup-Dienstleister wie Backup ONE

Wichtig: Auch SaaS-Daten – etwa aus Microsoft 365 – sollten dieses Prinzip durchlaufen. Der Dienstanbieter übernimmt die Verfügbarkeit der Plattform, aber nicht automatisch Ihre individuelle Backup-Strategie.

3‑2‑1‑1 und 3‑2‑1‑1‑0 – die Antwort auf moderne Angriffe

In vielen Umgebungen reicht die klassische 3‑2‑1-Aufstellung heute nicht mehr aus. Grund: Angreifer zielen gezielt auf Backup-Infrastrukturen und administrative Zugänge. Die logische Weiterentwicklung ist die 3‑2‑1‑1‑0-Regel.

Sie ergänzt das klassische Modell um zwei Punkte:

• +1: Eine zusätzliche unveränderliche oder offline Kopie
  Eine Backup-Kopie wird so abgelegt, dass sie sich für einen definierten Zeitraum nicht verändern oder löschen lässt (immutable Storage, WORM, offline gelagerte Bänder). Selbst wenn ein Angreifer Admin-Rechte erlangt, bleibt diese Kopie unangetastet.
• 0: Zero Errors – regelmässig geprüfte Backups
  Backups werden automatisiert und manuell geprüft, regelmässig testweise zurückgespielt und auf Integrität geprüft. Ziel: Im Ernstfall keine bösen Überraschungen („Backup vorhanden, aber unbrauchbar“).

Für KMU bedeutet das:

• 3‑2‑1 ist der Mindeststandard.
• 3‑2‑1‑1‑0 ist das Zielbild, wenn Ransomware, regulatorische Anforderungen oder hohe Verfügbarkeitsansprüche eine Rolle spielen.

Praxisbeispiel: 3‑2‑1‑1‑0 in einem typischen KMU

Nehmen wir ein Unternehmen mit 80 Mitarbeitenden:

• Fileserver und ERP on-premises
• Mehrere virtuelle Maschinen (z. B. für Applikationen)
• Microsoft 365 für Mail, Teams, SharePoint

Eine pragmatische 3‑2‑1‑1‑0-Umsetzung könnte so aussehen:

• Produktivsysteme: Server/VMs im Hauptstandort
• Backup 1 (lokal): Tägliche Sicherungen auf einen zentralen Backup-Server im Unternehmen
• Backup 2 (zweites Medium): Wöchentliche Vollbackups auf Band oder ein zweites Storage-System
• Offsite-Kopie: Replizierung der Backups in ein deutsches Rechenzentrum (z. B. via Backup ONE Cloud-Backup)
• Unveränderliche Kopie: Teil der Offsite-Backups wird auf immutable Storage abgelegt bzw. Bänder werden offline gelagert
• Zero Errors: Monatliche Restore-Tests (z. B. einzelne VM, SharePoint-Site, Postfach) nach definiertem Plan

Ein externer Backup-Partner übernimmt hierbei typischerweise Monitoring, Fehlerbehebung, Software-Updates und Reporting – und entlastet so interne IT-Teams, die ohnehin im Tagesgeschäft stark eingebunden sind.

Menschen, Prozesse, Schulungen – die zweite Hälfte der Strategie

Technik ist nur die halbe Miete. Wenn 25 Prozent der Datenverluste auf menschliche Fehler zurückgehen und 53 Prozent der Unternehmen auf Schulungen setzen, zeigt das: Ohne klare Abläufe ist jede Backup-Lösung nur eine teure Versicherung ohne Schadensregulierung.

Wichtige Bausteine:

• Verantwortlichkeiten definieren:
  Wer kontrolliert die Backup-Jobs? Wer wird bei Fehlern informiert? Wer darf Restores anstoßen?
• Runbooks dokumentieren:
  Schritt-für-Schritt-Anleitungen für typische Restore-Szenarien (Einzeldatei, komplette VM, kompletter Standort).
• Regelmässige Schulungen:
  Nicht nur zu Phishing und Passwörtern, sondern auch zu Meldewegen („Was tun, wenn ich etwas Wichtiges gelöscht habe?“).
• Notfallplan (DR-Plan):
  Konkrete Abläufe, wen Sie im Fall eines grösseren Ausfalls wann informieren und wie Sie priorisieren (welche Systeme zuerst wieder online sein müssen).

Fazit: 3‑2‑1 als Mindeststandard

Viele KMU wiegen sich in Sicherheit, weil „irgendwo ein Backup läuft“. Gleichzeitig zeigen Statistiken hohe Schäden, Skepsis bei einem Teil der Unternehmen und wachsende Angriffsszenarien rund um Ransomware und Cloud-Workloads.

Die gute Nachricht: Mit klaren Prinzipien wie der 3‑2‑1-Regel und ihrer Erweiterung 3‑2‑1‑1‑0 lassen sich robuste, wirtschaftlich sinnvolle Backup-Strategien umsetzen – auch ohne eigenes Grossrechenzentrum.

Ihr nächster Schritt kann sehr konkret sein:

1. Vergleichen Sie Ihre aktuelle Datensicherung mit der 3‑2‑1-Checkliste.
2. Identifizieren Sie Lücken – insbesondere bei SaaS-Daten und Offsite-/immutable-Kopien.
3. Entscheiden Sie, ob Sie Betrieb und Monitoring selbst stemmen möchten oder einen spezialisierten Partner wie Backup ONE einbinden.

Je früher Sie diese Hausaufgaben erledigen, desto grösser ist die Chance, dass ein IT-Zwischenfall „nur“ ein unangenehmes Ereignis bleibt – und nicht zur existenziellen Krise wird.