Die 3-2-1-Regel für Backups: wie du das als KMU praktisch umsetzt

Alle reden über Backups, kaum jemand testet sie. So richtest du die 3-2-1-Regel ein, ohne dass daraus ein IT-Projekt wird – inklusive einem Check, den du noch heute durchführen kannst.

Wenn wir zu einem neuen Kunden kommen und fragen „wie sieht es mit euren Backups aus?", bekommen wir meistens eine dieser drei Antworten: „das macht unser Dienstleister", „das liegt in der Cloud, also ist das geregelt" oder ein unangenehmes Schweigen. Keine davon ist eine Backup-Strategie.

Die 3-2-1-Regel gibt es seit Jahrzehnten – und sie funktioniert noch immer hervorragend. Sie ist simpel genug, um sie beim Mittagessen zu erklären, und konkret genug, um morgen damit anzufangen. In diesem Beitrag erklären wir, was sie bedeutet, wie du sie ohne eigene IT-Abteilung umsetzt und welchen Schritt fast jeder überspringt.

Was besagt die 3-2-1-Regel?

Drei Zahlen, drei Grundsätze:

• 3 Kopien deiner wichtigen Daten. Das Original zählt mit – also das Original plus zwei Backups.
• 2 verschiedene Medien oder Speichertypen. Nicht alles auf derselben Festplatte oder beim selben Anbieter.
• 1 Kopie off-site. Physisch oder logisch an einem anderen Ort als das Original.

Der Gedanke dahinter: Ein einziger Defekt, ein einziger Fehler oder ein gezielter Angriff darf nie alle Kopien gleichzeitig treffen. Brand im Büro? Die off-site-Kopie rettet dich. Ransomware auf dem Dateiserver? Das andere Medium rettet dich. Anbieter geht insolvent? Deine zweite Kopie woanders rettet dich.

Was ist mit „das liegt doch in der Cloud"?

Microsoft 365, Google Workspace und die meisten Buchhaltungspakete haben eine ausgezeichnete Verfügbarkeit. Aber Verfügbarkeit ist kein Backup. Wenn ein Mitarbeiter versehentlich eine SharePoint-Bibliothek leert, Ransomware über einen freigegebenen Ordner verschlüsselt oder ein Konto gehackt und Mailordner gelöscht werden – dann synchronisiert sich dieser Schaden fröhlich in „die Cloud".

Microsoft erklärt in seinen Nutzungsbedingungen ausdrücklich, dass Kunden selbst für ihre Daten verantwortlich sind. Papierkorb und Versionsverlauf sind praktisch, ersetzen aber kein echtes Backup mit einer Aufbewahrungsdauer von Wochen oder Monaten.

Die 3-2-1-Regel in der Praxis: vier Szenarien

1. Microsoft 365 oder Google Workspace

Das Original liegt in der Cloud. Für deine zweite und dritte Kopie wählst du einen spezialisierten Backup-Dienst (z. B. Afi, Synology Active Backup, Veeam oder Keepit). Dieser ruft täglich deine E-Mails, OneDrive, SharePoint und Teams ab und speichert sie auf eigener Infrastruktur – das ist gleichzeitig dein anderes Medium und deine off-site-Kopie.

2. Buchhaltung

Viele Buchhaltungspakete bieten eine Exportfunktion. Plane monatlich einen Export deiner Verwaltung (XML- oder Auditfile) an einen separaten Speicherort. Im Zweifelsfall: Frag deinen Steuerberater, ob er eine Kopie in seinem eigenen Archiv aufbewahrt. Zwei Fliegen mit einer Klappe.

3. Deine Website

Hier sehen wir am häufigsten, dass etwas schiefläuft. Das Hosting hat „Backups", aber diese liegen auf demselben Server, werden nur 14 Tage aufbewahrt oder können nur vom Hoster selbst gegen einen Stundensatz wiederhergestellt werden. Stelle sicher, dass du neben dem Hoster-Backup eine eigene Kopie hast – zum Beispiel über ein Plugin, das wöchentlich in externen Speicher schreibt (S3, Backblaze, ein eigenes NAS).

4. Lokale Dateien und NAS

Wenn du noch Dateien lokal oder auf einem NAS hast: Kopie in die Cloud (off-site) plus gegebenenfalls eine zweite externe Festplatte, die du abends trennst. Eine Festplatte, die dauerhaft angeschlossen bleibt, ist kein Backup – sie wird bei Ransomware mit verschlüsselt.

Der Schritt, den jeder überspringt: ein Wiederherstellungstest

Ein Backup, das noch nie zurückgespielt wurde, ist eine Annahme. Wir haben erlebt, dass ein Kunde drei Jahre lang brav Backups einer Datenbank erstellt hat – aber das Exportskript die Tabelle mit den Kundendaten übersprungen hat. Drei Jahre lang. Erst als sie wirklich wiederherstellen mussten, merkten sie es.

Plane mindestens einmal pro Quartal einen Mini-Wiederherstellungstest:

• Stelle eine einzelne Datei aus deinem M365-Backup wieder her. Funktioniert es? Stimmt der Inhalt?
• Spiele dein Website-Backup auf einer Staging-Umgebung ein. Startet sie?
• Öffne deinen letzten Buchhaltungsexport. Ist alles enthalten?

Halte das Ergebnis fest. Datum, wer es gemacht hat, ob es geklappt hat. Zwei A4-Seiten pro Jahr reichen aus, um bei einem Audit oder Vorfall nachweisen zu können, dass du es wirklich überprüfst.

Was dokumentierst du?

Für jedes System in deinem KMU möchtest du wissen:

1. Was wird gesichert (welche Ordner, welche Postfächer, welche Datenbanken)?
2. Wie oft (täglich, wöchentlich)?
3. Wie lange wird es aufbewahrt (Aufbewahrungsfrist)?
4. Wo liegt das Backup (Anbieter, Standort)?
5. Wer kann wiederherstellen und wie?
6. Wann wurde es zuletzt getestet?

Eine einfache Tabelle in einem gemeinsam genutzten Dokument genügt. Wichtiger als die Form ist, dass sie existiert und dass jemand dafür verantwortlich ist.

Klein anfangen, heute anfangen

Du musst nicht alles auf einmal regeln. Fang mit den zwei Systemen an, von denen dein Unternehmen am stärksten abhängig ist – meistens sind das deine E-Mail-Umgebung und deine Website. Baue danach schrittweise aus. Ein halbes 3-2-1 auf deinen wichtigsten Systemen ist unendlich viel besser als ein perfekter Plan, der in der Schublade bleibt.

Möchtest du Hilfe beim Einrichten oder Testen deiner Website-Backups? Schau dir unseren Dienst Website-Backup und -Wiederherstellung an, oder lass uns einen allgemeinen Website-Sicherheitscheck durchführen. Lieber erst selbst testen, ob deine Website überhaupt noch schnell reagiert? Dann mach zuerst unseren Speedtest – eine langsame Website, die du nicht wiederherstellen kannst, ist doppelt ärgerlich.