· Ratgeber · 4 Min. Lesezeit
Backup-Strategie für KMU und Praxen: Warum 3-2-1 der Anfang ist, nicht das Ziel
Drei Kopien, zwei Medien, eine außer Haus: Was die 3-2-1-Regel heute noch taugt, was 3-2-1-1-0 ergänzt und welche Backup-Fehler am teuersten sind.

Wenn ich in einem Betrieb oder einer Praxis nach der Datensicherung frage, höre ich fast immer: „Haben wir, läuft automatisch.” Auf die Nachfrage, wohin gesichert wird und was passiert, wenn der Standort ausfällt, wird es dann meist still. Genau darum geht es in diesem Beitrag: nicht um die Technik im Detail, sondern um die Strategie dahinter. Denn ein Backup ist nur so gut wie das Konzept, auf dem es steht.
Die 3-2-1-Regel, verständlich erklärt
Die bewährte Grundregel jeder Datensicherung lautet 3-2-1:
- Drei Kopien Ihrer Daten: das Original plus zwei Sicherungen. Eine einzige Sicherung ist ein einziger Fehler von der Katastrophe entfernt.
- Zwei verschiedene Medien beziehungsweise Systeme: Wenn Original und Sicherung auf derselben Technik liegen, reißt ein Defekt beide gleichzeitig mit.
- Eine Kopie außer Haus: Brand, Wasserschaden, Einbruch oder Überspannung treffen den ganzen Standort. Eine Kopie, die woanders liegt, überlebt das.
Das ist kein Hexenwerk und für jede Betriebsgröße umsetzbar. Aber es ist der Anfang, nicht das Ziel.
Warum 3-2-1 heute nicht mehr reicht: 3-2-1-1-0
Moderne Ransomware sucht gezielt nach erreichbaren Sicherungen und verschlüsselt sie mit. Drei Kopien nützen wenig, wenn ein Angreifer alle drei erreichen kann. Deshalb hat sich die Regel weiterentwickelt zu 3-2-1-1-0:
- 1 Kopie offline oder unveränderlich (immutable): eine Sicherung, die vom laufenden Netz aus nicht überschrieben, gelöscht oder mitverschlüsselt werden kann.
- 0 Fehler beim Wiederherstellungstest: Eine Sicherung zählt erst, wenn belegt ist, dass sie sich fehlerfrei zurückspielen lässt.
Diese beiden Ergänzungen machen aus einer ordentlichen Datensicherung eine, die auch einen gezielten Angriff übersteht. Wie so eine Sicherung technisch aussieht, beschreibe ich auf der Seite Backup & Datensicherung.
RPO und RTO: die zwei Fragen hinter jeder Strategie
Hinter den Fachbegriffen RPO und RTO stecken zwei Fragen, die Sie auch ohne IT-Wissen beantworten können, und beantworten sollten:
- Wie viel Arbeit dürfen Sie verlieren? (RPO) Wenn nachts gesichert wird und mittags der Server ausfällt, ist ein halber Arbeitstag weg: alle Dokumentationen, Rechnungen, Einträge seit der letzten Sicherung. Ist das für Sie verkraftbar? Oder muss es stündlich sein?
- Wie lange dürfen Sie stillstehen? (RTO) Zwischen „das Backup existiert” und „wir arbeiten wieder” liegen Stunden bis Tage. Eine Praxis mit vollem Wartezimmer hat da andere Anforderungen als ein Büro, das notfalls zwei Tage mit Papier überbrückt.
Aus diesen beiden Antworten ergibt sich Ihre Strategie: Sicherungsintervalle, Aufbewahrung, Technik. Nicht umgekehrt. Deshalb beginne ich jede Backup-Einrichtung mit genau diesen Fragen, nicht mit einem Produktkatalog.
Die typischen Fehler, die ich draußen sehe
Vier Muster begegnen mir immer wieder, quer durch alle Branchen:
- Backup auf demselben NAS wie die Daten. Fällt das Gerät aus oder wird es verschlüsselt, sind Original und Sicherung gemeinsam verloren. Das verletzt schon die „2” in 3-2-1.
- Die USB-Platte, die dauerhaft angesteckt ist. Eine ständig verbundene Platte ist für Ransomware nur ein weiteres Laufwerk und wird mitverschlüsselt. Offline heißt: physisch getrennt oder technisch unveränderlich.
- „Wir haben doch die Cloud.” Cloud-Sync-Dienste spiegeln Änderungen, auch die schlechten: Verschlüsselte oder gelöschte Dateien werden brav synchronisiert. Sync ist Komfort, kein Backup mit Historie und Aufbewahrung.
- Nie getestet. Der häufigste und teuerste Fehler. Warum ein ungetestetes Backup nur eine Hoffnung ist, habe ich in einem eigenen Beitrag beschrieben (dazu gleich mehr).
Wenn Sie sich in einem dieser Punkte wiedererkennen: Das ist kein Grund zur Scham, aber ein Grund zu handeln.
Offsite ja, aber in die EU und verschlüsselt
Die Kopie außer Haus ist Pflicht, die Frage ist nur: wohin? Ich empfehle bewusst EU-Standorte statt US-Cloud. Bei Gesundheits- und Kundendaten geht es um Datenhoheit und DSGVO, und die lässt sich mit einem europäischen Speicherziel deutlich sauberer abbilden. Genauso wichtig: Verschlüsselung, bevor die Daten das Haus verlassen. Der Schlüssel bleibt bei Ihnen, der Anbieter des Speicherziels sieht nur unlesbare Blöcke. So ist die Offsite-Kopie ein Sicherheitsgewinn und kein neues Datenschutzrisiko.
Für Arzt- und Zahnarztpraxen kommt hinzu: Die IT-Sicherheitsrichtlinie nach §390 SGB V verlangt eine regelmäßig geprüfte Datensicherung, gestaffelt nach Praxisgröße. Was dort im Einzelnen gefordert ist, habe ich im Beitrag §390 SGB V verständlich erklärt zusammengefasst. Ich gebe die Anforderungen verständlich wieder, das ersetzt keine Rechtsberatung.
Und dann: testen, testen, testen
Die beste Strategie steht am Ende vor einer einzigen Frage: Kommen die Daten wirklich zurück? Die „0” in 3-2-1-1-0, also null Fehler bei der Wiederherstellung, ist kein Zustand, sondern ein wiederkehrender Test. Warum genau daran die meisten Datensicherungen scheitern und wie regelmäßige, automatisch geprüfte Restores das lösen, lesen Sie im Folgebeitrag Backup, das wirklich funktioniert: Warum Restore-Tests entscheiden.
Mein Rat zum Schluss: Nehmen Sie sich zehn Minuten und prüfen Sie Ihre eigene Sicherung gegen 3-2-1-1-0. Jede Lücke, die Sie heute finden, ist eine, die im Ernstfall nicht mehr überrascht.
Lassen Sie Ihre Backup-Strategie prüfen. Ich schaue mir Ihre aktuelle Sicherung an, gleiche sie mit 3-2-1-1-0 ab und sage Ihnen ehrlich, wo Lücken sind, verschlüsselt, ransomware-resistent, mit getestetem Restore. Alle Details auf der Seite Backup & Datensicherung.

Alex Jabi
Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.
Mehr über mich