Zum Shop
Download
NovaBACKUP Blog

Die 3-2-1-Backup-Regel: Ein praktischer Leitfaden für kleine Unternehmen

von Josefine.Fouarge am 09.04.2026 08:00:00

Die-3-2-1-Backup-Regel-Ein-praktischer-Leitfaden-für-kleine-Unternehmen-Novabackup

 

Die 3-2-1-Backup-Regel ist einfach. Drei Kopien Ihrer Daten, auf zwei verschiedenen Speichermedien, davon eine Kopie außerhalb Ihres Büros. Diese Regel gilt als branchenweiter Basisstandard für die Datensicherung kleiner Unternehmen und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als wirksame Schutzmaßnahme gegen Ransomware und Hardwareausfall empfohlen.

Mittwochnachmittag. Ihr Unternehmen wurde gerade von Ransomware befallen. Dateien sind verschlüsselt, Systeme gesperrt, das Team steht still. Sie rufen Ihren IT-Kontakt an und stellen die eine Frage, von der alles abhängt: Haben wir ein sauberes Backup, von dem wir wiederherstellen können?

Viele Unternehmen haben darauf wahrscheinlich keine einfache Antwort.

Regelmäßige Backups allein reichen nicht aus, wenn die zugrunde liegende Strategie Lücken aufweist. Ransomware, menschliche Fehler oder Hardwareausfälle können genau dort zuschlagen. Die 3-2-1-Backup-Regel schließt diese Lücken, bevor sie zum Problem werden.

Dieser Leitfaden erläutert, welche konkreten Anforderungen die Regel stellt, wie Sie sie in einer realen Unternehmensumgebung umsetzen und wie Sie sicherstellen, dass Ihre Backups im Ernstfall zuverlässig funktionieren.

Inhaltsverzeichnis

Warum die 3-2-1-Backup-Regel nach wie vor der Standard ist

Die 3-2-1-Regel ist der am weitesten verbreitete Backup-Standard, da sie einzelne Fehlerquellen systematisch ausschließt. Die Formel ist denkbar einfach:

  • 3 Kopien Ihrer Daten
  • auf 2 verschiedenen Speichermedien
  • davon 1 Kopie außerhalb Ihres Standorts

So funktioniert es

NovaBACKUP
3
Kopien
 

Drei Kopien stellen sicher, dass bei Verlust einer Kopie durch Hardwareausfall, Diebstahl oder Ransomware noch zwei weitere vorhanden sind.

2
Medientypen
 

Durch zwei verschiedene Medientypen wird verhindert, dass ein einziger technischer Defekt alle Kopien auf einmal vernichtet.

1
Extern
 

Durch die externe Kopie wird sichergestellt, dass Feuer, Überschwemmungen oder Einbrüche nicht alle Backup-Kopien auf einmal zerstören können.

Gerade dieser letzte Punkt ist in den vergangenen Jahren deutlich wichtiger geworden. Bei Ransomware-Angriffen werden heute routinemäßig zunächst die Backup-Dateien angegriffen, bevor das übrige Netzwerk verschlüsselt wird. Sophos hat festgestellt, dass bei 94% der Ransomware-Opfer die Angreifer versucht haben, die Backups zu kompromittieren (Sophos, 2024). In 57% dieser Fälle waren sie erfolgreich (Sophos, 2025).

Ein Backup, das sich im selben Netzwerk wie Ihre Produktivdaten befindet, ist für Angreifer genauso zugänglich wie alles andere. Genau hier setzt die 3-2-1-Regel an. Wer seine Kopien auf verschiedene Standorte und Medientypen verteilt, sorgt dafür, dass ein einzelner Angriff nie alles auf einmal treffen kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt diese Regel außerdem ausdrücklich als Basismaßnahme zum Schutz vor Ransomware für alle Organisationen.   Unabhängig vom Auslöser eines Datenverlusts liegen die durchschnittlichen Downtime-Kosten für KMU mit weniger als 200 Mitarbeitenden laut ITIC (2024) bei 100.000 US-Dollar pro Stunde. Die Kosten für die Umsetzung der 3-2-1-Regel sind im Vergleich dazu minimal.

Was-eigentlich-ist-ein-externer-Backup-Speicher-Novabackup

Was eigentlich ist ein externer Backup-Speicher?

Damit eine externe Backup-Kopie die 3-2-1-Regel erfüllt, müssen drei Bedingungen erfüllt sein: Erstens muss sie sich an einem physisch getrennten Standort befinden, zweitens muss sie vom Netzwerk Ihrer Primärdaten isoliert sein und drittens muss sie sich eigenständig wiederherstellen lassen, selbst wenn Ihr Büro nicht mehr zugänglich ist und Ihre Systeme vollständig ausgefallen sind.

Eine zweite Festplatte, die am selben Computer angeschlossen ist, erfüllt diese Anforderung nicht. Das Gleiche gilt für ein NAS im selben Büro. Auch ein Cloud-Ordner, der Ihre Produktivdateien in Echtzeit synchronisiert, zählt nicht.

Eine gültige externe Kopie zeichnet sich durch drei Merkmale aus:

  • Physisch getrennt: Ein anderes Gebäude, Rechenzentrum oder eine vollständig separate Cloud-Speicherumgebung.
  • Vom Netzwerk getrennt: Nicht direkt über dasselbe Netzwerk erreichbar, auf das ein Angreifer möglicherweise bereits Zugriff hat.
  • Eigenständig wiederherstellbar: Sie können daraus wiederherstellen, selbst wenn Ihr Büro nicht mehr zugänglich und alle lokalen Systeme ausgefallen sind.

Für die meisten Unternehmen ist Cloud-Backup der praktischste Weg, diese Anforderung zu erfüllen. Entscheidend dabei ist der Unterschied zwischen Backup und Sync. Ein Sync-Tool spiegelt Ihren aktuellen Dateistand. Das heißt, wenn eine Datei verschlüsselt oder beschädigt wird, überträgt es diese Änderung sofort. Ein Cloud-Backup speichert hingegen versionierte Snapshots, sodass Sie Ihre Daten in den Zustand vor dem Datenverlust zurückversetzen können. 

Hinweis zur 3-2-1-1-0-Regel

Einige Anbieter bewerben die 3-2-1-1-0-Regel als innovative Weiterentwicklung. Die zusätzlichen Ziffern stehen für eine unveränderliche oder Air-gapped Kopie sowie null Fehler bei verifizierten Wiederherstellungen. Beides ist sinnvoll, das war es aber eigentlich schon immer.

Eine ordnungsgemäß eingerichtete externe Kopie darf niemals ein Ordner sein, auf den ein Angreifer Zugriff hat. Von Anfang an stand die Isolation einer Kopie Ihrer Daten im Zentrum. Was sich verändert hat, ist die Fähigkeit von Ransomware, Backup-Dateien aufzuspüren und zu vernichten, bevor die Verschlüsselung des restlichen Netzwerks ausgelöst wird. Das ist eine ernsthafte Bedrohung, weshalb Unveränderlichkeit die richtige Antwort darauf ist. Eine unveränderliche Backup-Kopie kann während ihres Aufbewahrungszeitraums nicht verändert oder gelöscht werden.

Die 3-2-1-Regel ist damit nicht überholt. Wichtig ist nur, dass man nicht bei der Isolation der externen Kopie spart oder Wiederherstellungstests auslässt.

In unserem Leitfaden erfahren Sie, wie unveränderliche Backups genau funktionieren und ob Ihr Setup sie benötigt.

3-2-1-Backup-Strategy-DE-Novabackup

Die 3-2-1-Backup-Regel in der Praxis: 5 Beispiele

Welche Einrichtung die richtige ist, hängt von der Größe Ihres Unternehmens, Ihrer Infrastruktur und Ihren Compliance-Anforderungen ab. Verwenden Sie folgenden fünf Beispiele als Ausgangspunkt für Ihre Backup-Strategie.

Beispiel 1: Server-Backup für kleine Unternehmen (5–20 Mitarbeiter)

Lokales Backup auf eine interne Festplatte oder ein NAS-Gerät, eine zweite Kopie auf einer externen Festplatte, die wöchentlich außerhalb des Standorts rotiert wird, und ein nächtlicher Cloud-Backup-Job. Die Cloud-Kopie erfüllt die Anforderungen eines externen Backups, ohne dass ein Mitarbeiter das Backup-Medium aktiv austauschen muss. Andernfalls, notieren Sie, wer die externe Festplatte wann wechselt und wohin sie gebracht werden muss.

Mit NovaBACKUP können Sie lokale und Cloud-Backups in einem einzigen Job kombinieren und so die laufende Verwaltung vereinfachen. Bei Job-Fehlern oder Abweichungen vom Sicherungszeitfenster erhalten Sie sofort eine Benachrichtigung. Mehr zur Server-Backup-Software für kleine Unternehmen erfahren Sie hier.

Beispiel 2: Managed Backup für KMU mit Compliance-Anforderungen

Branchen wie Gesundheitswesen, Rechts- und Finanzdienstleistungen unterliegen spezifischen Anforderungen an die Datensicherung und die Datenaufbewahrung. So schreibt § 75b SGB V beispielsweise vor, wie Aufbewahrungsfristen dokumentiert werden müssen, welche Verschlüsselung bei der Übertragung und im Ruhezustand erforderlich ist und in manchen Fällen auch, wo die Daten gespeichert werden dürfen.

Die 3-2-1-Struktur bleibt bestehen. Etwaige Compliance-Regelungen legen lediglich die konkreten Anforderungen an jede Kopie fest. In regulierten Branchen ist die Bereitstellung verifizierbarer und wiederherstellbarer Backups gesetzlich vorgeschrieben. Fehlen die entsprechenden Nachweise bei einem Audit, hat das echte Konsequenzen.

NovaBACKUP erstellt verschlüsselte Backups und arbeitet mit lokalen Cloud-Anbietern zusammen. Mehr zu Backup-Lösungen für regulierte Branchen erfahren Sie hier.

Beispiel 3: Backup-Strategie für Remote- und Hybrid-Teams

Wenn Mitarbeitende von mehreren Standorten aus arbeiten, kann die Backup-Abdeckung schnell Lücken aufweisen. Geräte außerhalb des Büronetzwerks werden unter Umständen nicht erfasst. Die zuverlässigste Lösung ist die Installation von Endpoint-Backup-Software auf jedem Gerät, unabhängig vom Standort, und die Übertragung aller Daten in ein zentrales Cloud-Backup-Konto. Lokale Backups können weiterhin für die Server-Infrastruktur ausgeführt werden. Remote-Geräte dürfen nur nicht außen vor bleiben.

Mit NovaBACKUP sichern Sie alle Ihre Remote- und Vor-Ort-Geräte mit einer einzigen Lösung. Alle PCs und Server werden über ein zentrales Dashboard verwaltet, sodass Laptops und Heimarbeitsplätze derselben Backup-Richtlinie unterliegen wie der Büroserver. Mehr zum Thema Backup für Endgeräte erfahren Sie hier.

Beispiel 4: VM-Backup für virtualisierte Umgebungen

Wer virtuelle Maschinen betreibt, braucht eine Backup-Lösung, die zeitpunktgenaue Snapshots erstellt und jede VM bei Bedarf sofort auf demselben Host oder an einem anderen Standort wiederherstellen kann.

NovaBACKUP bietet eine agentenlose Backup-Option für Hyper-V-Hosts, unabhängig von der Anzahl der darauf laufenden VMs. Zentralisierte Benachrichtigungen informieren Sie über fehlgeschlagene Jobs, bevor daraus unbemerkte Lücken entstehen. Mehr zum VM-Backup für kleine Unternehmen erfahren Sie hier.

Beispiel 5: Volle 3-2-1-Abdeckung für Kleinstunternehmen zu überschaubaren Kosten

Klein bedeutet nicht risikoarm. Ein einzelner Arbeitsplatz mit Kundendaten, Finanzdaten oder Projektdateien benötigt dieselbe 3-2-1-Abdeckung wie eine größere Umgebung. Ein lokales Backup auf einer externen Festplatte plus ein Cloud-Backup-Dienst erfüllt diese Regel und ist dabei kostengünstig. Der schwierigere Teil ist nicht die Technik, sondern die regelmäßige Umsetzung. Automatisieren Sie alles, was sich automatisieren lässt, und dokumentieren Sie den Rest.

Der lokale und Cloud-Backup-Ansatz von NovaBACKUP deckt die vollständige 3-2-1-Struktur für ein kleines Workstation-Setup ab, ganz ohne dedizierten Server oder aufwendige Einrichtung. Wie Sie Ihren PC zuverlässig sichern, erfahren Sie hier.

Sind-Ihre-Backups-wirklich-wiederherstellbar-Novabackup

Sind Ihre Backups wirklich wiederherstellbar?

Ein Backup, das noch nie getestet wurde, ist kein Backup. Viele Unternehmen stellen erst im Ernstfall fest, dass ihr Backup defekt oder unvollständig ist. Aber dann ist es oft zu spät.

Um das zu verhindern, müssen die laufenden Backups überwacht und regelmäßige Wiederherstellungstests durchgeführt werden.

Die Überwachung sorgt dafür, dass Sie sofort benachrichtigt werden, wenn ein Backup-Job fehlschlägt oder zu spät ausgeführt wird. Sie müssen nicht selbst nachschauen. Ihre Backup-Lösung sollte Sie automatisch benachrichtigen, sobald etwas schiefläuft. Wenn ein Job zwei Wochen lang unbemerkt fehlschlägt, entsteht genau die Lücke, die ein Ransomware-Angriff dann ausnutzen kann.

Für Ihre kritischsten Daten sollten Wiederherstellungstests mindestens vierteljährlich durchgeführt werden. Die Bestätigung, dass ein Backup-Job abgeschlossen wurde, ist nur der erste Schritt. Sie müssen auch sicherstellen, dass die Daten wiederherstellbar sind. Bei einem Wiederherstellungstest werden Daten in eine Testumgebung zurückgespielt und es wird bestätigt, dass sie vollständig und nutzbar sind.   Prüfen Sie bei jedem Wiederherstellungstest drei Dinge:

  • Können Sie auch einzelne Dateien wiederherstellen und nicht nur vollständige System-Images?
  • Wie lange dauert die Wiederherstellung? Liegt sie innerhalb Ihres Recovery Time Objective (RTO)? Das ist die maximale Ausfallzeit, die Ihr Unternehmen verkraften kann.
  • Sind die wiederhergestellten Daten ausreichend? Liegen sie innerhalb Ihres Recovery Point Objectives (RPO)? Das ist der maximale Datenverlust, gemessen in Zeit, den Ihr Unternehmen tolerieren kann.

Dokumentieren Sie jeden Test, auch die Fehlschläge. Ein fehlgeschlagener Wiederherstellungstest, der im Rahmen einer planmäßigen Prüfung festgestellt wird, ist ein lösbares Problem.

Eine vollständige Anleitung, wie Sie eine Ransomware-resiliente Backup-Strategie aufbauen, finden Sie in unserem Blogbeitrag zum Schutz Ihrer Backups vor Ransomware.

Checkliste: So prüfen Sie Ihre 3-2-1-Strategie

Prüfen Sie Ihre aktuelle Backup-Strategie anhand dieser Checkliste. Jedes "Nein" zeigt Ihnen, wo Sie als Nächstes ansetzen sollten.

3-2-1 Backup-Regel Audit
Ist Ihr Unternehmen gut aufgestellt? Beantworten Sie jeden Punkt unten.
NovaBACKUP
# Prüfpunkt Status
Ergebnis
0 Ja / 0 beantwortet
 
 
Ja Nein Ausstehend
Bitte beantworten Sie die Fragen oben.

Möchten Sie eine dieser Lücken schließen? NovaBACKUP bietet zentralisiertes Backup-Monitoring, automatisierte Benachrichtigungen und Unterstützung für die vollständige 3-2-1-Struktur für Server, Workstations und VMs. Finden Sie die passende Lösung für Ihr Unternehmen.

Häufige Fragen zur 3-2-1-Backup-Regel

FAQ

Gilt Cloud-Speicher als externer Backup-Speicher?

Ja, sofern es sich um einen dedizierten Cloud-Backup-Speicher handelt, der zeitpunktbezogene Sicherungskopien ermöglicht. Ein allgemeiner Cloud-Speicherordner, der Ihre Dateien in Echtzeit synchronisiert, erfüllt diese Anforderung nicht. Wenn Ransomware Ihre Dateien verschlüsselt und Sync aktiv ist, überschreibt die verschlüsselte Version sofort die saubere Kopie. Cloud-Backup hingegen hält mehrere Wiederherstellungspunkte bereit, sodass Sie in einen Zustand vor dem Vorfall zurückkehren können.


FAQ

Erfüllt ein NAS-Gerät in meinem Büro die 3-2-1-Regel?

Ein NAS kann die Anforderung "zwei verschiedene Medientypen" erfüllen, nicht jedoch "eine Kopie außerhalb des Standorts", jedenfalls nicht, wenn es sich im selben Gebäude wie Ihre Primärdaten befindet. Ein NAS im Büro ist eine lokale Kopie, kein externer Speicher. Für die externe Kopie brauchen Sie etwas an einem physisch getrennten Ort. Für die meisten kleinen Unternehmen bedeutet das Cloud-Backup.


FAQ

Was ist der Unterschied zwischen Cloud-Backup und Cloud-Sync?

Sync-Tools wie Dropbox oder OneDrive spiegeln Ihren aktuellen Dateistand. Wird eine Datei verschlüsselt oder gelöscht, überträgt sich diese Änderung sofort und überschreibt den vorherigen Stand. Cloud-Backup hingegen speichert versionierte Snapshots zu einem bestimmten Zeitpunkt, sodass Sie in einen Zustand vor einem Problem zurückkehren können. Für die 3-2-1-Regel kommt nur Cloud-Backup infrage. Sync erfüllt die Anforderung nicht.


FAQ

Wie oft sollte ein kleines Unternehmen einen Wiederherstellungstest durchführen?

Mindestens vierteljährlich für Ihre kritischsten Daten. Ein Wiederherstellungstest bedeutet, Daten tatsächlich an einen Teststandort zurückzuspielen und zu bestätigen, dass sie vollständig und nutzbar sind. Es reicht also nicht aus, nur zu prüfen, ob ein Backup-Job fehlerfrei abgeschlossen wurde. Wenn Ihr letzter Test mehr als sechs Monate zurückliegt, planen Sie ihn jetzt.


FAQ

Schützt die 3-2-1-Regel vor Ransomware?

Das kann sie, vorausgesetzt, die externe Kopie ist ordnungsgemäß separiert. Ransomware zielt heute routinemäßig auf Backup-Dateien ab, bevor die Verschlüsselung des Netzwerks ausgelöst wird. Ein Backup im selben Netzwerk wie Ihre Produktivdaten ist für den Angreifer genauso erreichbar wie alles andere. Eine externe Kopie, die vom Netzwerk getrennt und als versioniertes Backup gepflegt wird, gibt Ihnen einen sauberen Wiederherstellungspunkt, selbst wenn Ransomware das gesamte Netzwerk verschlüsselt hat.


FAQ

Was ist eine unveränderliche Backup-Kopie?

Eine unveränderliche Backup-Kopie kann innerhalb eines festgelegten Aufbewahrungszeitraums weder verändert noch gelöscht werden, selbst nicht von jemandem mit Administratorzugang. Das schützt vor Ransomware, die zunächst Backup-Kopien vernichtet und anschließend Produktivdaten verschlüsselt, sowie vor versehentlichem oder vorsätzlichem Löschen. Technisch wird Unveränderlichkeit typischerweise über Object Lock auf S3-kompatiblem Cloud-Speicher umgesetzt.

Fazit

Drei Kopien. Zwei Medientypen. Eine externe Kopie. Die Regel ist bewusst einfach gehalten, da sie dabei helfen kann, die Lücke zwischen der bloßen Nutzung eines Backup-Tools und einer Backup-Strategie, die im Ernstfall standhält, zu schließen. Am besten beginnen Sie mit einer Analyse Ihres aktuellen Setups. Die meisten Schwachstellen lassen sich ohne nennenswerten Aufwand oder hohe Kosten beheben.

Möchten Sie sehen, wie NovaBACKUP die 3-2-1-Regel in Ihrem Unternehmen umsetzt? Starten Sie mit einer kostenlosen Testversion und probieren Sie unsere Software selbst aus.

Quellen

Lesenswert

Die 3-2-1-Backup-Regel: Ein praktischer Leitfaden für kleine Unternehmen
3-2-1-Backup-Regel
Best Practices

Die 3-2-1-Backup-Regel: Ein praktischer Leitfaden für kleine Unternehmen

09.04.2026 08:00:00 9 min read
So sieht Managed Backup in der Praxis aus
So sieht Managed Backup in der Praxis aus
Reseller / MSP

So sieht Managed Backup in der Praxis aus

07.04.2026 05:30:00 8 min read
Themen: Best Practices Pre-Sales Questions Tips and Tricks

Alles ansehen

Alles ansehen