Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Backup-Strategie: Die 3-2-1-Regel und Ransomware-sichere Backups - Ransomware-Bedrohung mit gesperrtem Bildschirm
Incident Response

Backup-Strategie: Die 3-2-1-Regel und Ransomware-sichere Backups

Praxisguide zur Backup-Strategie für Unternehmen: 3-2-1-Regel erklärt, Ransomware-resistente Backup-Konzepte (Air Gap, Immutable Storage), RTO/RPO definieren, Backup-Tests durchführen und DSGVO-Anforderungen an Datensicherung. Mit konkreten Empfehlungen für KMU.

Oskar Braun Oskar Braun Abteilungsleiter Information Security Consulting
10 Min. Lesezeit
ISO 27001 Lead Auditor (IRCA) ISB (TÜV)

TL;DR

Unternehmen müssen ihre Backup

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (7 Abschnitte)

Ransomware kostet Unternehmen durchschnittlich 3-4 Wochen Ausfallzeit - wenn sie überhaupt in der Lage sind, aus Backups wiederherzustellen. Die erschreckende Realität: Viele Backups werden erst dann auf Vollständigkeit geprüft, wenn man sie wirklich braucht. Dieser Guide zeigt, wie ein Backup-Konzept aufgebaut wird, das auch bei einem erfolgreichen Ransomware-Angriff schützt.

Warum Backups heute so kritisch sind

Die Zahlen sind eindeutig: 66 % aller KMU wurden 2024 von Ransomware getroffen (Sophos). Die durchschnittliche Wiederherstellungszeit beträgt 3,4 Wochen. Besonders alarmierend: 40 % der Backup-Systeme werden bei Ransomware-Angriffen mitbefallen, da Angreifer gezielt nach Backup-Systemen suchen und diese verschlüsseln. Ohne Lösegeldzahlung können im Schnitt nur 57 % der Daten wiederhergestellt werden.

Warum Backups trotz ihres Vorhandenseins scheitern, hat mehrere Ursachen:

  1. Backups wurden nicht getestet und versagen genau dann, wenn sie gebraucht werden
  2. Der Backup-Server steht im selben Netz wie die Produktion und wird ebenfalls verschlüsselt
  3. Kein Offline/Air-Gap-Backup vorhanden - Ransomware löscht alle erreichbaren Backups
  4. RTO/RPO sind nicht definiert - niemand weiß, wie lange eine Wiederherstellung dauert
  5. Backup-Software-Credentials sind nicht gesichert - Angreifer löscht Backups per API

Hinzu kommt die DSGVO-Dimension: Art. 32 DSGVO schreibt die “Möglichkeit der raschen Wiederherstellung der Verfügbarkeit und des Zugangs zu den Daten” vor. Backup ist damit nicht nur technische Notwendigkeit, sondern Rechtspflicht - und Backup-Tests müssen für Datenschutz-Aufsichtsbehörden dokumentiert werden.

Die 3-2-1-Regel - Das Fundament

Die klassische 3-2-1-Regel besagt:

  • 3 Kopien der Daten: Produktionsdaten, lokale Backup-Kopie, Remote/Cloud-Backup
  • 2 verschiedene Speichermedien: z. B. NAS/Server (intern) und externes Laufwerk oder Cloud oder Tape
  • 1 Kopie Off-Site: räumlich getrennt vom Hauptstandort, als Schutz vor Brand, Wasserschaden und physischem Diebstahl

Für die Ransomware-Bedrohung von heute reicht die klassische 3-2-1-Regel nicht mehr aus. Die erweiterte 3-2-1-1-0-Regel lautet:

  • 3 Kopien
  • 2 Medien
  • 1 Off-Site
  • 1 Offline/Immutable (Air-Gapped oder Write-Once)
  • 0 Fehler beim Backup-Test (nachgewiesen durch regelmäßige Tests)

Die vierte Kopie ist der entscheidende Unterschied: Offline bedeutet kein Netzwerk, kein API-Zugriff und keine Möglichkeit zur Löschung. Immutable bedeutet Write-Once-Storage, der nicht überschrieben werden kann.

Ein konkretes Beispiel für ein KMU mit 50 Mitarbeitern und 10 TB Daten:

  • Kopie 1: Produktions-NAS (immer aktuell)
  • Kopie 2: Backup-NAS im selben Rechenzentrum (täglich, lokales Netz)
  • Kopie 3: Cloud-Backup (täglich, z. B. Microsoft Azure Backup)
  • Kopie 4 (Offline): Wöchentliches Tape oder verschlüsselte externe HDD, die physisch getrennt gelagert wird (kein Netzwerk)

RTO und RPO - Die richtigen Fragen stellen

Recovery Time Objective (RTO) beantwortet die Frage: Wie lange darf das System maximal ausfallen? Beispiel: “Wir tolerieren maximal 4 Stunden Ausfall für unser ERP-System” - RTO = 4 Stunden.

Recovery Point Objective (RPO) beantwortet die Frage: Wie viel Datenverlust ist tolerierbar? Beispiel: “Wir können maximal 1 Stunde Transaktionen verlieren” - RPO = 1 Stunde, was ein Backup-Intervall von mindestens stündlich erfordert.

Die RTO/RPO-Matrix sollte für verschiedene Systemklassen definiert werden:

SystemRTORPOBackup-Typ
Produktions-ERP1-4h15-60 MinSnapshot/Replikation
E-Mail-Server4-8h1-2hTäglich mit Point-in-Time
Fileserver8-24h4-8hTäglich
Entwicklungs-Server24-72h24hTäglich
Test-Systeme72h+1 WocheWöchentlich
Archive/ComplianceWoche+TagWöchentlich, 7+ Jahre

Die Kosten-Nutzen-Abwägung ist dabei entscheidend: RPO von 1 Minute erfordert kontinuierliche Replikation und ist teuer; RPO von 24 Stunden erfordert nur tägliche Backups, bedeutet aber bis zu 24 Stunden Datenverlust.

Goldene Regel: RTO und RPO gemeinsam mit Geschäftsführung und Fachabteilungen definieren - nicht einfach technisch festlegen.

Die definierten Wiederherstellungszeiten müssen auch gemessen werden. “Die Wiederherstellung dauert 4 Stunden” ist wertlos, wenn das nie in der Praxis überprüft wurde. Backup-Restore-Tests mit dokumentierten Wiederherstellungszeiten pro System sind Pflicht.

Ransomware-resistente Backup-Konzepte

Angreifer kennen drei typische Angriffspfade auf Backup-Systeme:

Angriffsweg 1: Backup-Software-Credentials kompromittiert Der Angreifer findet Veeam- oder Backup-Exec-Credentials und löscht alle Backup-Jobs und Restore-Punkte per API. Schutz: MFA für die Backup-Konsole, separate Admin-Accounts und eine Offline-Kopie.

Angriffsweg 2: Backup-Server im selben AD-Segment Ransomware breitet sich über das Netzwerk aus und verschlüsselt den Backup-Server zusammen mit der Produktion. Schutz: Backup-Server in separatem VLAN, eigenes AD oder Workgroup.

Angriffsweg 3: Cloud-Backup mit kompromittierten Credentials Der Angreifer findet Cloud-Storage-Credentials und löscht alle S3-Buckets oder Azure Blob Storage. Schutz: Immutable Storage aktivieren.

Immutable Storage (Write-Once)

AWS S3 Object Lock verhindert auch das Löschen durch AWS selbst im Compliance-Modus:

aws s3api put-object-lock-configuration \
  --bucket my-backup-bucket \
  --object-lock-configuration '{
    "ObjectLockEnabled": "Enabled",
    "Rule": {
      "DefaultRetention": {
        "Mode": "COMPLIANCE",
        "Days": 30
      }
    }
  }'

Azure Blob Immutable Storage:

az storage container immutability-policy create \
  --account-name mystorageaccount \
  --container-name backups \
  --period 30

Backblaze B2 bietet Object Lock im Compliance Mode als günstigere Alternative für ca. 0,006 USD/GB/Monat (10 TB = 60 USD/Monat).

Air-Gap-Backup (physisch getrennt)

Option A - Tape-Backup (klassisch): LTO-8/9-Tapes speichern 12-18 TB unkomprimiert. Das Tape wird nach dem Backup physisch entnommen und im Tresor gelagert - kein Netzwerkzugriff möglich, 100 % Ransomware-resistent. Nachteil: langsame Wiederherstellung und manuelle Arbeit.

Option B - Wechselfestplatten-Rotation: Vier externe 8-TB-USB-HDDs werden wöchentlich rotiert. Laufwerk A läuft diese Woche, Laufwerk B liegt aus der letzten Woche im Tresor, Laufwerk C war vor 2 Wochen außer Haus gelagert, Laufwerk D ist die Reserve. Kostengünstig, einfach und effektiv.

Option C - WORM-Storage-Appliance: Dell EMC DataDomain oder NetApp StorageGRID bieten Write-Once-Read-Many - einmal geschrieben, nicht änderbar. Diese Systeme können im Netz verbleiben, der Inhalt ist jedoch geschützt.

Backup-Tests - Das Wichtigste!

“Ein Backup ohne Test ist kein Backup.”

Drei Testtypen decken unterschiedliche Szenarien ab:

Restore-Test (der wichtigste Test): Vollständige Wiederherstellung eines Systems in einer isolierten Test-Umgebung, niemals im Produktionssystem. Die Wiederherstellungszeit wird gemessen und mit dem definierten RTO verglichen. Daten werden auf Vollständigkeit geprüft.

File-Level-Recovery-Test: Einzelne Dateien wiederherstellen - monatlich, da einfach und schnell. Testet die Backup-Integrität und die Funktion der Backup-Software.

DR-Test (Disaster Recovery): Vollständiger Failover auf Notfall-Systeme, jährlich und aufwändig. Simuliert “Unser Rechenzentrum brennt ab” und involviert IT, Geschäftsführung und alle Fachabteilungen.

Jeder Test wird dokumentiert:

  • Datum des Tests
  • Welches System wurde wiederhergestellt?
  • Backup-Version (von wann?)
  • Gemessene Wiederherstellungszeit
  • Ergebnis: Daten vollständig? Anwendung lauffähig?
  • Verantwortliche Person
  • Nächstes Test-Datum

Testfrequenz-Empfehlungen:

  • File-Level-Test: monatlich
  • Vollständiger System-Restore: quartalsweise
  • DR-Test: jährlich

Art. 32 DSGVO fordert “regelmäßige Überprüfung” - mindestens jährlich. Der BSI IT-Grundschutz OPS.1.2.2 fordert Backup-Tests explizit.

Backup-Software und Tools

Veeam Backup & Replication ist Marktführer für Windows-, VMware- und Hyper-V-Backups. Die Community Edition ist kostenlos bis 10 VMs. Veeam bietet mit dem Linux Hardened Repository ein Immutable Repository, bei dem Single-Use-Credentials nach dem Backup wertlos werden - selbst wenn der Angreifer Veeam-Credentials besitzt, kann er keine Backups löschen. Preis: ca. €200-400 EUR/Jahr pro Socket (Enterprise).

Acronis Cyber Backup bietet integrierten Ransomware-Schutz (Active Protection) sowie Cloud-Backup inklusive. Gut geeignet für KMU ohne dediziertes IT-Team.

Nakivo Backup & Replication ist eine günstigere Veeam-Alternative mit Unterstützung für Immutable Backups auf S3.

AWS Backup ist der managed Backup-Dienst für AWS-Workloads. Backup Vault Lock im Compliance Mode bietet unveränderliche Backups, automatische Backup-Pläne runden das Angebot ab.

Azure Backup ist nativ für Azure VMs, SQL und Files. Das Soft-Delete-Feature stellt gelöschte Backups für 14 Tage wieder bereit; Multi-User Authorization (MUA) erfordert für das Löschen die Bestätigung eines zweiten Administrators.

Zur Backup-Verschlüsselung: Backup-Daten müssen AES-256-verschlüsselt sein (at rest) und per TLS transportiert werden. Das Schlüssel-Management muss getrennt von den Backup-Daten erfolgen - Schlüssel im Vault oder HSM, niemals auf dem Backup-Server selbst.

Backup-Checkliste für KMU

Sofort umsetzen

  • Bestehende Backups prüfen: Wann war der letzte erfolgreiche Backup?
  • Restore-Test: Eine Datei oder VM heute wirklich wiederherstellen
  • Backup-Server: Steht er im selben Netz wie die Produktion? Trennen!
  • Cloud-Backup: Ist Object Lock / Immutable Storage aktiviert?

Kurzfristig (weniger als 4 Wochen)

  • 3-2-1-1-0-Regel: Sind alle 4 Kopien vorhanden?
  • RTO/RPO definieren: Mit der Geschäftsführung besprechen
  • Air-Gap/Offline-Backup einführen (Tape oder Wechsel-HDD)
  • Backup-Monitoring einrichten: Alarm bei fehlgeschlagenem Backup

Mittelfristig (weniger als 3 Monate)

  • DR-Plan dokumentieren: Schritt-für-Schritt-Anleitung für die Wiederherstellung
  • Backup-Test-Kalender anlegen: monatliche File-Tests und quartalsweise VM-Restores
  • DSGVO-Dokumentation: Backup als TOM im Verarbeitungsverzeichnis aufnehmen
  • Backup-Credentials in den Passwort-Manager (niemals in Skripten)
  • MFA für Veeam/Backup-Software aktivieren

Langfristig

  • Business Continuity Plan: Was tun, wenn 1 Woche kein Zugriff möglich ist?
  • Managed Backup Service evaluieren (Outsourcing an MSSP)
  • Jährlicher DR-Test durchführen und dokumentieren
  • Backup-Kapazitätsplanung: Datenwachstum kalkulieren

Gute Backups sind die effektivste Ransomware-Versicherung. AWARE7 unterstützt bei der Entwicklung und Überprüfung von Backup-Konzepten sowie Disaster-Recovery-Plänen - auch im Rahmen von ISO 27001-Implementierungsprojekten.

Sicherheitsberatung anfragen | ISO 27001 Beratung

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung