Zum Hauptinhalt springen
KMU-Beratung14 min Lesezeit

Die 3-2-1-Regel reicht nicht mehr: So machen Sie Ihre Sicherung mit 3-2-1-1-0 ransomware-fest

Die klassische 3-2-1-Regel hat 2026 eine Lücke: Jede netzwerkerreichbare Kopie ist angreifbar. So setzen Sie als KMU den Standard 3-2-1-1-0 um.

B
Berkan Demir
|

Die 3-2-1-Regel ist fast zwanzig Jahre alt. Sie wurde nicht von einem Normungsgremium beschlossen, sondern von einem Fotografen. Laut Computer Weekly prägte der US-Fotograf Peter Krogh den Begriff Anfang der 2000er Jahre in einem Buch über digitale Bildverwaltung. Für ihre Zeit war die Regel hervorragend. Gegen heutige Ransomware hat sie eine Lücke, und die ist groß.

In meiner Praxis sehe ich diese Lücke immer wieder. Ein Betrieb hat drei Datenkopien. Produktivsystem, ein Backup auf dem NAS, eine Kopie auf einer zweiten Platte oder in der Cloud. Auf dem Papier ist alles richtig. Nur sind alle drei Kopien über das Netz erreichbar. Und genau das macht moderne Verschlüsselungsangriffe so gefährlich.

  • Das Backup liegt auf einer NAS-Freigabe, die jeder Server im Netz sieht.
  • Der Backup-Server hängt in derselben Windows-Domäne wie alles andere.
  • Die Cloud-Kopie wird mit demselben Konto verwaltet, das auch produktiv im Einsatz ist.
  • Wiederhergestellt wurde noch nie etwas, weil es ja nie nötig war.

Wenn ein Angreifer Domain-Admin-Rechte erlangt, erreicht er all das. Die Backups werden mitverschlüsselt oder gelöscht. Dann steht ein KMU ohne Sicherung da, obwohl es nach Lehrbuch gesichert hat.

Die kurze Antwort zuerst

Die 3-2-1-Regel verlangt drei Datenkopien auf zwei verschiedenen Medientypen, davon eine außer Haus. Das ist weiterhin richtig, aber nicht mehr ausreichend. Die heutige Erweiterung heißt 3-2-1-1-0: eine zusätzliche Kopie, die unveränderlich, air-gapped oder offline gehalten wird, plus 0 Fehler bei der automatischen Prüfung der Wiederherstellbarkeit. Die unveränderliche Kopie ist der eigentliche Schutz gegen Ransomware. Die geprüfte 0 ist der Nachweis, dass die Sicherung im Ernstfall wirklich funktioniert.

Hinweis

Laut Veeam Security Best Practices erweitert 3-2-1-1-0 die alte Regel um mindestens eine unveränderliche, air-gapped oder offline gehaltene Kopie sowie um null Fehler bei der automatischen Wiederherstellbarkeitsprüfung. Die zusätzliche 1 ist also kein Detail. Sie ist der Kern.

Warum 2026 jede netzwerkerreichbare Kopie ein Risiko ist

Ransomware sucht heute gezielt nach Backups, bevor sie verschlüsselt. Angreifer wissen, dass ein Betrieb mit funktionierender Sicherung nicht zahlt. Also nehmen sie die Sicherung zuerst. Alles, was über das Netz erreichbar und löschbar ist, ist dabei ein Ziel.

Die Zahlen sind unangenehm deutlich. Laut BSI-Lagebericht 2025 gab es im Berichtszeitraum vom 1. Juli 2024 bis 30. Juni 2025 in Deutschland 950 Anzeigen wegen Ransomware-Angriffen, davon 72 Prozent mit Datenleaks. Und es trifft nicht nur Konzerne.

Achtung

Laut BSI-Lagebericht 2025 richteten sich rund 80 Prozent der angezeigten Ransomware-Angriffe gegen kleine und mittlere Unternehmen, denen häufig die Mittel und das Wissen zum Selbstschutz fehlen. Wer denkt, er sei zu klein, um interessant zu sein, hat die Logik der Angreifer falsch verstanden. KMU sind interessant, weil sie schlechter geschützt sind.

Dazu kommt der zweite Schmerz: das Zurückholen. Laut dem Veeam 2025 Ransomware Trends Report waren im aktuellen Zeitraum rund 69 Prozent der Organisationen von Ransomware betroffen. Von den Angegriffenen stellten nur 10 Prozent mehr als 90 Prozent ihrer Daten wieder her. 57 Prozent holten weniger als die Hälfte zurück. Das ist die eigentliche Botschaft. Ein Backup zu haben und ein Backup wiederherstellen zu können sind zwei verschiedene Dinge.

Für einen Geschäftsführer übersetzt sich das in eine simple Frage. Wenn morgen früh alle Bildschirme rot sind und eine Lösegeldforderung zeigen: Wie viele Ihrer Daten bekommen Sie zurück, ohne zu zahlen, und wie lange dauert das? Wenn Sie die Antwort nicht kennen, kennen Sie Ihr Risiko nicht.

3-2-1-1-0 Schritt für Schritt umsetzen

Die Regel klingt technisch. Die Umsetzung ist es nur in Teilen. Der größere Teil ist Organisation und Disziplin. Hier ist der Weg, den ich für Betriebe ohne eigene IT-Abteilung gangbar finde.

  1. Ist-Aufnahme machen: Listen Sie auf, welche Systeme und Daten geschäftskritisch sind, etwa ERP, Fileserver, Microsoft-365-Postfächer und Buchhaltung. Legen Sie pro System fest, wie viel Datenverlust Sie maximal tolerieren (RPO) und wie lange ein Ausfall höchstens dauern darf (RTO). Dieser Schritt steuert alles Weitere, denn er bestimmt Backup-Frequenz und Aufbewahrung.
  2. Die 3 sicherstellen: Halten Sie die Produktivdaten plus mindestens zwei Backups vor. In der Praxis heißt das oft Live-System, ein tägliches Backup auf einem lokalen Backup-Server oder NAS und eine weitere Kopie außer Haus. Drei Kopien deshalb, weil zwei im Ernstfall schnell zu eins werden.
  3. Die 2 herstellen: Verteilen Sie die Backups auf zwei unterschiedliche Medientypen, etwa lokalen Disk- oder NAS-Speicher plus Cloud-Objektspeicher oder ein Bandlaufwerk. Der Grund ist Trennung von Schwachstellen, damit nicht ein einziger Fehler alle Kopien zugleich unbrauchbar macht.
  4. Die erste 1 lagern: Halten Sie mindestens eine Kopie geografisch getrennt vor, in einem anderen Gebäude, Rechenzentrum oder in der Cloud. Das schützt gegen Brand, Diebstahl und lokalen Stromschaden, denn ein physisches Ereignis darf nicht alle Kopien zugleich vernichten.
  5. Die zweite 1 unangreifbar machen: Sorgen Sie für eine Kopie, die für Angreifer unerreichbar oder unveränderbar ist. Das ist der Kern gegen Ransomware, weil nur eine unveränderliche Kopie auch dann sauber bleibt, wenn ein Konto übernommen wurde.
  6. Die 0 erzwingen: Testen Sie Ihre Backups regelmäßig automatisch auf Wiederherstellbarkeit mit dem Ziel null Fehler. Ergänzen Sie das durch echte Probe-Restores einzelner Dateien und Systeme, weil ein automatischer Test die Realität nur annähert, aber nicht ersetzt.
  7. Zugänge trennen: Entkoppeln Sie die Backup-Zugänge von den Produktiv-Identitäten wie dem Domain-Admin und nutzen Sie separate Konten mit Mehr-Faktor-Authentifizierung. So kann ein übernommener Produktiv-Account die Sicherungen nicht einfach mitlöschen.
  8. Restore-Tests dokumentieren: Halten Sie Ergebnis, Dauer, Abweichungen und Maßnahmen jedes Wiederherstellungstests schriftlich fest. Diese Dokumentation ist Ihr Nachweis, denn ein Test, den niemand belegen kann, zählt im Zweifel nicht.

Die zweite 1: drei realistische Wege für ein KMU

Bei der unveränderlichen Kopie höre ich oft die Sorge, das sei etwas für Konzerne. Ist es nicht. Es gibt drei Wege, und mindestens einer passt fast immer.

  • Gehärtetes lokales Repository: Ein Veeam Hardened Repository auf Linux mit dem Dateisystem XFS nutzt das immutable-Flag des Dateisystems. Die Veeam-Komponenten greifen nur mit Nicht-root-Konten zu, und es ist nur ein einziger Netzwerkport offen (TCP 6162). Eine einmal geschriebene Sicherung lässt sich während der Aufbewahrungsfrist nicht mehr verändern, auch nicht über das Netz.
  • Unveränderlicher Cloud-Speicher: Cloud-Objektspeicher mit Amazon S3 Object Lock im Compliance Mode. Keine eigene Hardware, kein eigener Serverraum. Backup-Werkzeuge wie Veeam nutzen das als unveränderliches Cloud-Repository.
  • Echtes Offline-Backup: Ein Air-Gap im Wortsinn, etwa Band oder rotierende Platten, die nach dem Schreiben physisch abgesteckt werden. Was nicht am Strom und nicht am Netz hängt, kann auch nicht ferngelöscht werden.

Tipp

Setzen Sie die Aufbewahrung der unveränderlichen Kopie auf mindestens 14 bis 30 Tage. Angreifer sind oft Wochen im Netz, bevor sie zuschlagen. Ist Ihre Immutability-Frist zu kurz, sind die sauberen Kopien beim Auffliegen des Angriffs vielleicht schon abgelaufen. Dann nützt der schönste Schutzmechanismus nichts.

Was Immutability technisch wirklich bedeutet

Unveränderlich heißt: einmal geschrieben, für eine festgelegte Frist nicht mehr löschbar und nicht überschreibbar. Auch nicht durch denjenigen, der sonst alles darf. Genau das ist der Punkt, an dem viele Konzepte scheitern, weil sie auf die Disziplin eines Administrators vertrauen statt auf eine technische Sperre.

Hinweis

Laut Amazon Web Services kann im Compliance Mode von S3 Object Lock eine geschützte Objekt-Version von keinem Nutzer überschrieben oder gelöscht werden, auch nicht vom Root-Konto des AWS-Kontos. Das ist der Unterschied zwischen einer Regel, an die sich alle halten sollen, und einer Sperre, die niemand umgehen kann.

Hier liegt auch eine typische Falle. S3 Object Lock kennt zwei Modi. Der Governance Mode erlaubt das Löschen mit Sonderrechten. Der Compliance Mode nicht. Wer den Governance Mode wählt, hat zwar das Häkchen gesetzt, aber ein kompromittierter Admin mit Sonderrechten kann den Schutz aushebeln. Für echten Ransomware-Schutz führt am Compliance Mode mit fester Aufbewahrung kein Weg vorbei.

Warum Backup-Werkzeuge hier den Unterschied machen

Sie müssen all das nicht von Hand bauen. Veeam Backup and Replication, Teil der Veeam Data Platform, ist hier ein verbreiteter Baustein. Wenn Sie Versionsstände vergleichen, achten Sie auf den wirklich aktuellen Stand und nicht auf das, was vor zwei Jahren neu war.

Hinweis

Laut Veeam (KB4738) ist Version 13 seit dem 19. November 2025 allgemein verfügbar, der aktuell jüngste Build ist 13.0.2.29 vom 27. Mai 2026. Neu ist unter anderem die Veeam Software Appliance, eine gehärtete, schlüsselfertige Linux-Appliance, die sich selbst aktualisiert und nun Hochverfügbarkeit unterstützt. Für ein KMU ohne eigene IT bedeutet das weniger Betriebssystempflege.

Das Veeam Hardened Repository auf Linux mit XFS bleibt in dieser Version der native Baustein für die zusätzliche 1, also die unveränderliche Kopie. Die 0 wiederum lässt sich mit SureBackup erzeugen. Dabei werden Sicherungen in einer isolierten Umgebung gestartet und über Heartbeat-, Ping- und Anwendungstests geprüft. Ziel ist null Fehler.

Manche Anbieter verkaufen das als Komplettlösung, mit der angeblich alles sicher ist. Das ist zu viel versprochen. Ein gehärtetes Repository schließt die wichtigste Lücke, nämlich die löschbare Backup-Kopie. Es schließt nicht jede andere Lücke. Es ersetzt weder die Zugangstrennung noch die getesteten Restores noch ein vernünftiges Patch-Management. Werkzeug, nicht Wundermittel.

Achtung

Ein häufiger und teurer Fehler: Der Backup-Server steht in derselben Windows-Domäne und läuft mit Domain-Admin-Rechten. Wird die Domäne übernommen, fällt das Backup im selben Atemzug. Trennen Sie die Identitäten, nutzen Sie ein separates, gehärtetes Repository und Mehr-Faktor-Authentifizierung. Im Idealfall arbeiten Sie für das Hardened Repository mit Konten, die nur einmal verwendbar sind.

Was die 0 mit Recht und Haftung zu tun hat

Die 0 ist nicht nur Technik. Sie ist zunehmend auch eine Frage des Nachweises. Mit der NIS2-Richtlinie und ihrer deutschen Umsetzung rückt dokumentiertes Backup-Management in den Pflichtbereich, jedenfalls für betroffene Unternehmen.

Hinweis

Laut einer Rechtsanalyse von secjur verpflichtet das deutsche NIS-2-Umsetzungsgesetz betroffene Unternehmen über Paragraf 30 Abs. 2 Nr. 3 BSIG zu dokumentiertem Backup-Management und zur Wiederherstellung nach einem Notfall. Ob Ihr Betrieb unter NIS2 fällt, müssen Sie individuell klären. Ich mache keine Rechtsberatung. Diese Frage gehört zu Ihrem Datenschutzbeauftragten oder Anwalt.

Der entscheidende Satz aus der Analyse von secjur lautet sinngemäß: Ohne regelmäßige, dokumentierte Wiederherstellungstests fehlt der Nachweis, dass das Backup-Konzept im Ernstfall funktioniert. Reines Sichern genügt nicht. Das ist juristisch formuliert, beschreibt aber ein technisches Naturgesetz. Ein ungetestetes Backup ist eine Hoffnung, kein Schutz.

Und genau hier passt ein Satz, den ich mir zur Richtschnur gemacht habe: Glück ist keine dokumentierte Risikomanagementmaßnahme. Wenn der Prüfer, der Versicherer oder im schlimmsten Fall das Gericht nach dem Backup-Protokoll fragt, zählt nicht, was Sie eingerichtet haben, sondern was Sie belegen können. Restore-Tests durchzuführen und sie nicht zu dokumentieren ist deshalb ein leiser, aber gefährlicher Fehler.

Microsoft 365 ist kein Backup, auch wenn es so wirkt

Eine Annahme begegnet mir besonders oft, und sie ist gefährlich. Viele Geschäftsführer glauben, ihre Daten in Microsoft 365 seien automatisch gesichert. Schließlich liegt alles in der Cloud, und Microsoft kümmert sich. Das stimmt für die Verfügbarkeit der Plattform. Es stimmt nicht für Ihre Daten.

Microsoft betreibt die Infrastruktur hochverfügbar und repliziert sie über Rechenzentren. Das schützt gegen Hardware-Ausfälle bei Microsoft. Es schützt nicht gegen das, was bei Ihnen passiert. Ein Mitarbeiter löscht versehentlich ein Postfach, und der Papierkorb läuft nach der Aufbewahrungsfrist ab. Ein übernommenes Konto löscht gezielt Daten. Ein Angreifer mit Administratorrechten räumt SharePoint leer. In all diesen Fällen folgt Microsoft Ihren Befehlen, denn aus Sicht der Plattform sind es legitime Aktionen Ihres Tenants.

Das ist das geteilte Verantwortungsmodell, und es wird selten gelesen. Microsoft sorgt für die Plattform. Für den Schutz Ihrer Inhalte vor Löschung, Fehlbedienung und Verschlüsselung sind Sie verantwortlich. Für die 3-2-1-1-0-Logik heißt das: Auch Ihre Microsoft-365-Postfächer, Teams-Inhalte und SharePoint-Bibliotheken gehören in ein eigenes, unabhängiges Backup, idealerweise mit einer unveränderlichen Kopie. Genau diesen Fall behandelt das Backup-Werkzeug nicht anders als einen Fileserver.

Tipp

Prüfen Sie als Erstes, wie lange gelöschte Elemente in Ihrem Microsoft-365-Tenant tatsächlich wiederherstellbar sind, und nehmen Sie diese Frist nicht als Backup. Eine 30-Tage-Aufbewahrung ist kein Schutz gegen einen Angriff, der erst nach Wochen auffällt. Behandeln Sie Cloud-Daten in Ihrem Backup-Konzept wie jede andere kritische Datenquelle.

Was kostet das, und was kostet es nicht zu handeln

Beim Geld werde ich oft konkret gefragt, und ich gebe ungern eine erfundene Zahl. Beim Veeam-Lizenzpreis bin ich deshalb ehrlich zurückhaltend: Einen offiziellen Euro-Listenpreis für die Veeam-Lizenzen veröffentlicht der Hersteller nicht frei, die Preise laufen über Partner und Angebot. Wer Ihnen am Telefon eine exakte Jahreszahl nennt, ohne Ihre Workloads zu kennen, schätzt. Seriös ist eine Größenordnung erst, wenn man weiß, wie viele Systeme Sie schützen wollen.

Wichtiger als der Lizenzpreis ist ohnehin die andere Seite der Rechnung. Was kostet ein Stillstand? Für die meisten KMU ist das nicht der Lizenzbetrag, sondern der Umsatzausfall pro Tag, die Überstunden zum Wiederaufbau, der Vertrauensverlust bei Kunden und im Ernstfall die Frage der Versicherung. Halten Sie die unveränderliche Kopie und den getesteten Restore gegen genau diese Posten. Dann wird aus einer IT-Ausgabe eine Risikoabwägung, und die sieht meist eindeutig aus.

Hinweis

Rechnen Sie nicht den günstigsten Schutz aus, sondern den teuersten Tag ohne Schutz. Ein einziger Tag, an dem Auftragsannahme, Buchhaltung und Versand stillstehen, übersteigt bei den meisten Betrieben die jährlichen Kosten einer sauberen Sicherung deutlich. Das ist die Zahl, die für die Entscheidung zählt.

Die häufigsten Fehler, die ich in Bestandsaufnahmen finde

Damit Sie die typischen Stolperstellen kennen, bevor sie teuer werden, hier die Muster, die ich in den meisten meiner Bestandsaufnahmen bei Betrieben dieser Größe sehe. Keines davon ist exotisch. Genau das ist das Problem.

  • Alle Kopien hängen am Netz. Drei Backups, alle über eine NAS-Freigabe erreichbar. Ransomware verschlüsselt sie mit. Abhilfe ist mindestens eine wirklich unveränderliche oder offline gehaltene Kopie.
  • Die Immutability-Frist ist zu kurz. Wird ein Angriff erst nach Tagen oder Wochen bemerkt, sind die unveränderlichen Kopien womöglich schon abgelaufen. Passen Sie die Aufbewahrung an die typische Verweildauer der Angreifer an, also mindestens 14 bis 30 Tage.
  • Das Backup wurde nie wiederhergestellt. Ohne getesteten Restore weiß niemand, ob die Sicherung brauchbar ist. Die Veeam-Zahl, wonach 57 Prozent der Betroffenen weniger als die Hälfte zurückholen, hat oft genau hier ihre Ursache.
  • Der Backup-Server lebt in der Produktiv-Domäne. Mit Domain-Admin-Rechten und ohne Trennung fällt das Backup, sobald die Domäne fällt. Getrennte Identitäten, ein separates gehärtetes Repository und MFA lösen das.
  • Object Lock im Governance Mode statt Compliance Mode. Governance erlaubt das Löschen mit Sonderrechten, was ein kompromittierter Admin ausnutzt. Für echten Schutz braucht es den Compliance Mode mit fester Aufbewahrung.
  • Tests laufen, aber niemand protokolliert sie. Unter NIS2 fehlt dann der Nachweis. Halten Sie Ergebnis, Dauer und Abweichungen schriftlich fest, sonst zählt der beste Test im Zweifel nicht.

Sie fragen sich an dieser Stelle vielleicht, ob das für einen kleinen Betrieb nicht überzogen ist. Eine berechtigte Frage. Die ehrliche Antwort: Nicht jeder Punkt ist für jeden gleich dringend. Aber die zwei neuen Stellen, also die unveränderliche Kopie und der dokumentierte Test, sind es fast immer. Der Rest ist Sorgfalt, die mit der Größe skaliert.

Erfahrung und Reflexion

In meinen Bestandsaufnahmen bei Betrieben dieser Größe sehe ich ein wiederkehrendes Muster. Die 3-2-1-Regel ist bekannt, oft sogar umgesetzt. Die zwei zusätzlichen Stellen fehlen fast immer. Es gibt drei Kopien, aber alle sind im Ernstfall erreichbar und damit angreifbar. Und Restore-Tests passieren, wenn überhaupt, einmal nach der Einrichtung und dann nie wieder.

Das ist kein Vorwurf an die Verantwortlichen. Ohne eigene IT-Abteilung ist ein Backup, das einmal lief, schnell aus dem Blick. Es läuft ja. Bis es darauf ankommt. Der Unterschied zwischen einem Betrieb, der einen Angriff in Tagen übersteht, und einem, der Wochen verliert oder gar nicht mehr hochkommt, liegt selten am Budget. Er liegt an diesen beiden Stellen: eine wirklich unangreifbare Kopie und ein belegter Test.

Mein Fazit

Die 3-2-1-Regel war nie falsch. Sie ist nur nicht mehr genug, weil Angreifer heute gezielt die Backups zuerst nehmen. Die Erweiterung auf 3-2-1-1-0 schließt die zwei entscheidenden Lücken mit überschaubarem Aufwand: eine unveränderliche oder offline gehaltene Kopie und ein automatisch geprüfter, dokumentierter Restore.

Sie brauchen dafür kein Großprojekt. Sie brauchen eine ehrliche Ist-Aufnahme, eine technische Sperre statt einer Hoffnung und die Disziplin, Tests zu protokollieren. Das ist machbar, auch ohne eigene IT-Abteilung. Und es ist ungleich billiger als ein Stillstand von Wochen oder ein Lösegeld, das am Ende trotzdem nur die Hälfte der Daten zurückbringt.

Fangen Sie bei der Frage an, die zählt: Welche zwei Systeme dürfen auf keinen Fall verloren gehen, und können Sie deren Wiederherstellung heute belegen? Wenn die Antwort unsicher ausfällt, wissen Sie, wo Sie anfangen.

Liste der geschäftskritischen Systeme und Daten liegt schriftlich vor.
Pro kritischem System ist RPO und RTO festgelegt und dokumentiert.
Es existieren mindestens drei Datenkopien (Produktiv plus zwei Backups).
Die Backups liegen auf mindestens zwei unterschiedlichen Medientypen.
Mindestens eine Kopie liegt geografisch getrennt außer Haus.
Mindestens eine Kopie ist unveränderlich, air-gapped oder offline gehalten.
Die unveränderliche Kopie hat eine Aufbewahrung von mindestens 14 bis 30 Tagen.
Backup-Zugänge sind von Produktiv-Identitäten getrennt und durch MFA geschützt.
Eine automatische Wiederherstellbarkeitsprüfung läuft mit dem Ziel null Fehler.
Restore-Tests werden mit Ergebnis, Dauer und Abweichungen schriftlich protokolliert.