Die 3-2-1 Backup-Strategie für KMU: Schutz vor Ransomware

Ransomware ist keine abstrakte Bedrohung aus der Fachliteratur. In den letzten Monaten wurden erneut Dutzende Unternehmen – darunter zahlreiche KMU – Opfer von Verschlüsselungsangriffen. Das BSI meldet in seinem Lagebericht, dass Ransomware weiterhin die größte Cyberbedrohung für deutsche Unternehmen ist. Der wirksamste Schutz ist kein Antivirenprogramm und keine Firewall allein – sondern ein funktionierendes Backup, das nach dem 3-2-1-Prinzip aufgebaut ist.

Was bedeutet die 3-2-1 Backup-Strategie?

Die Regel ist einfach und hat sich seit Jahrzehnten als Industriestandard bewährt:

• 3 Kopien Ihrer Daten (1 Original + 2 Backups)
• 2 unterschiedliche Speichermedien (z. B. NAS + externe Festplatte)
• 1 Kopie off-site – also außerhalb Ihres Büros oder Serverraums

Das klingt nach gesundem Menschenverstand. Und dennoch fehlt diese Grundstruktur bei einem Großteil der KMU in Sachsen und Ostdeutschland. Der häufigste Irrtum: ein einzelnes NAS im Serverraum, das automatisch synchronisiert, gilt als „Backup”. Das ist es nicht.

Warum ein einzelnes NAS nicht reicht

Ein NAS mit RAID-Verbund schützt vor dem Ausfall einer einzelnen Festplatte – mehr nicht. Ransomware verschlüsselt alle erreichbaren Netzlaufwerke, RAID inklusive. Ein Feuer, ein Wasserschaden oder ein Einbruch vernichtet das NAS zusammen mit dem Produktionssystem. Und ein Benutzerfehler – eine versehentlich gelöschte Ordnerstruktur – wird sofort auf das NAS repliziert.

Die 3-2-1 Backup-Strategie schließt alle diese Szenarien aus, weil immer mindestens eine Kopie räumlich und physisch getrennt aufbewahrt wird.

Die drei Schichten konkret aufbauen

Schicht 1: Lokales Backup auf dediziertem NAS

Das erste Backup läuft auf ein NAS-System – Synology und QNAP sind für KMU bewährte Optionen. Entscheidend: Das NAS sollte nicht dauerhaft als Netzlaufwerk eingebunden sein. Ransomware greift nur an, was sie sehen kann. Stattdessen läuft der Backup-Job gezielt zur Backupzeit und trennt danach die Verbindung.

Empfohlene Backup-Software:

• Veeam Backup & Replication Community Edition – kostenlos für kleine Umgebungen, unterstützt VMs und physische Server
• BorgBackup – Open Source, hervorragende Deduplizierung, ideal auf Linux-Servern
• Synology Active Backup – integriert ins NAS-Betriebssystem, einfach zu bedienen

Schicht 2: Zweites Medium – extern und offline

Mindestens ein zweites Medium bringt die nötige Redundanz. In der Praxis ostdeutscher KMU hat sich das rotierende Festplattenmodell bewährt: Zwei oder drei externe USB-Festplatten wechseln sich ab. Eine steckt gerade am Server, eine liegt im Bürotresor, eine zuhause beim Geschäftsführer.

Für größere Datenmengen ab 2–3 TB sind LTO-Bandlaufwerke eine langfristig günstige Alternative: Die Bänder haben eine Lebensdauer von über 30 Jahren, sind ransomware-resistent solange sie physisch getrennt sind, und die laufenden Kosten pro GB sind deutlich geringer als bei Festplatten.

Schicht 3: Off-site Backup – die unverzichtbare Versicherung

Das Off-site-Backup ist die letzte Verteidigungslinie – und die, die bei Brand oder Wasserschaden den Unterschied macht. Optionen für KMU:

Cloud-Backup (DSGVO-konform):

• Hetzner Storage Box (Deutschland) – günstig, DSGVO-konform, ab ca. 3 €/Monat für 100 GB
• Backblaze B2 – günstig, aber US-amerikanisch → nur für unkritische Daten geeignet
• Storj oder Scaleway Glacier (EU) – dezentrale bzw. europäische Alternativen

Kombination mit Restic oder Rclone ermöglicht verschlüsselte, deduplizierte Cloud-Backups. Die Daten verlassen Ihren Server nur verschlüsselt – der Cloud-Anbieter sieht nie den Klartext.

Zweiter Standort: Haben Sie mehrere Büros in Sachsen oder Dresden, eignet sich ein verschlüsseltes Backup über ein WireGuard VPN an den zweiten Standort. Das ist technisch eleganter als Cloud und vermeidet externe Abhängigkeiten.

DSGVO-Hinweis: Backups mit personenbezogenen Daten müssen dieselben Anforderungen erfüllen wie Produktionsdaten – EU-Speicherort, Verschlüsselung und Zugriffsprotokoll. US-Dienste ohne nachgewiesenen EU-Datenpfad sind rechtlich riskant.

Backup-Zeitplan und Aufbewahrungsfristen

Ein sinnvoller Retention-Plan für KMU ab 10 Mitarbeitern:

Ohne einen solchen Plan riskieren KMU in Dresden, Leipzig, Chemnitz und ganz Sachsen, dass ein seit Wochen unentdeckter Ransomware-Befall bereits alle kurzfristigen Backups korrumpiert hat.

Immutable Backups: der nächste Schutzstufe

Moderne Backup-Lösungen bieten sogenannte unveränderliche Backups (Immutable Backups). Dabei werden Backup-Daten mit einem Zeitstempel gesperrt und können weder überschrieben noch gelöscht werden – selbst wenn ein Angreifer Admin-Zugriff auf den Backup-Server erlangt.

• Veeam unterstützt Immutable Backups über S3 Object Lock (z. B. mit Hetzner Object Storage)
• Wasabi bietet Object Lock als günstiger US-Dienst (beachten: kein EU-Standort)
• Lokale Immutability ist mit ZFS-Snapshots auf Linux möglich

Für Unternehmen, die unter NIS2 fallen oder mit sensiblen Kundendaten arbeiten, ist Immutable Backup keine Kür, sondern Pflicht.

Backups regelmäßig testen

Ein Backup, das nie wiederhergestellt wurde, ist wertlos. Das ist keine Übertreibung: Viele KMU stellen erst im Ernstfall fest, dass Backups seit Wochen fehlschlagen, korrupt sind oder die Wiederherstellung deutlich länger dauert als angenommen.

Praxistauglicher Testplan:

1. Monatlich: Einzelne Dateien aus dem Backup wiederherstellen und inhaltlich prüfen
2. Vierteljährlich: Vollständige VM oder Server in einer Testumgebung wiederherstellen
3. Jährlich: Vollständigen Notfallplan durchspielen – Stoppuhr mitlaufen lassen

Dokumentieren Sie jeden Test mit Datum, Ergebnis und Wiederherstellungszeit. Diese Dokumentation ist bei NIS2-Audits relevant und hilft bei der kontinuierlichen Verbesserung.

Ergänzende Maßnahmen gegen Ransomware

Die 3-2-1 Backup-Strategie sichert Ihre Daten – sie verhindert aber nicht den Angriff selbst. Ergänzend empfehlen sich:

• Netzwerksegmentierung: Backup-Server im eigenen VLAN, kein direkter Zugriff aus dem Büronetz
• MFA für alle Admin-Zugänge: Veeam-Konsole, Synology DSM, Backup-Cloud-Accounts
• Offline-Kopie: Mindestens eine Backup-Kopie, die nie am Netz hängt (Tape oder externe Festplatte im Tresor)
• Monitoring: Automatische Benachrichtigung wenn ein Backup-Job fehlschlägt

Sie suchen Unterstützung in Dresden?

Rexoma IT hilft KMU in Dresden, Leipzig, Chemnitz und ganz Sachsen beim Aufbau einer zuverlässigen Backup-Infrastruktur. Wir analysieren Ihre aktuelle Datensicherung, schließen Lücken und setzen eine praxistaugliche 3-2-1 Backup-Strategie um – inklusive Monitoring, regelmäßiger Wiederherstellungstests und Dokumentation. Kein Bauchladen, keine unnötige Komplexität.

Kontakt aufnehmen →

FAQ

Was kostet eine 3-2-1 Backup-Lösung für ein kleines Unternehmen?

Die Hardware für ein einfaches Setup (NAS + externe Festplatte) liegt bei etwa 400–700 € einmalig. Cloud-Speicher kostet je nach Datenmenge 3–15 €/Monat. Zum Vergleich: Laut Hiscox Cyber Readiness Report 2023 kostet ein Ransomware-Angriff KMU im Schnitt mehrere zehntausend Euro – Lösegeldzahlungen nicht eingerechnet.

Ist RAID ein Ersatz für Backup?

Nein. RAID schützt vor dem Ausfall einer einzelnen Festplatte, nicht vor Ransomware, versehentlichem Löschen, Bränden oder Diebstahl. RAID und Backup sind komplementäre Maßnahmen, kein Entweder-oder.

Wie oft sollten Backups laufen?

Für kritische Daten – Kundendaten, Buchhaltung, ERP – mindestens täglich. Die Backup-Häufigkeit bestimmt den maximalen Datenverlust im Ernstfall (sogenannter Recovery Point Objective, RPO). Für unkritische Daten reicht wöchentlich.

Wie lange dauert die Wiederherstellung nach einem Ransomware-Angriff?

Mit einem funktionierenden Backup und einem dokumentierten Notfallplan sind kleine Server in 2–4 Stunden wieder betriebsbereit. Größere Umgebungen benötigen 1–2 Tage. Ohne Backup kann die Wiederherstellung Wochen dauern – oder ist schlicht unmöglich.

Müssen Backups nach DSGVO besonders gesichert werden?

Ja. Backups mit personenbezogenen Daten unterliegen denselben DSGVO-Pflichten wie Produktionssysteme: EU-Speicherort, Verschlüsselung, Zugriffsprotokoll und Löschkonzept. US-Cloud-Dienste ohne nachgewiesene EU-Datenhaltung sind problematisch und sollten für personenbezogene Daten vermieden werden.