Verfügbar · Neue Projekte Q3 / 26 Support 24/7 · +49 15566 270003
Startseite/ Journal/ IT-Security
IT-Security

Backups, die keine sind: warum 3-2-1 ein Anfang ist, kein Ziel

YH
Youssef Hammoud
Founder · Webicom
15. Mai 2026 6 Min. Lesezeit
Cover-Bild: Backups, die keine sind: warum 3-2-1 ein Anfang ist, kein Ziel

Die meisten Mittelständler glauben, ihre Daten seien gesichert. Im Ernstfall stellen viele fest: das Backup existiert, lässt sich aber nicht wiederherstellen. Was ein belastbares Backup-Konzept 2026 wirklich braucht.

“Wir machen jede Nacht ein Backup.” Diesen Satz hören wir in fast jedem Erstgespräch — und in fast jedem zweiten Restore-Versuch stellt sich heraus, dass das Backup zwar läuft, aber im Ernstfall nicht weiterhilft. Daten sind nur dann gesichert, wenn der Restore funktioniert. Alles andere ist Selbstbetrug.

Die 3-2-1-Regel ist kein Endzustand

Drei Kopien, zwei verschiedene Medien, eine externe Lagerung — das ist die klassische Backup-Faustregel. Sie ist richtig, aber unvollständig. Sie beantwortet nicht:

  • Wie alt darf die jüngste wiederherstellbare Kopie sein? (RPO — Recovery Point Objective)
  • Wie lange darf der Restore dauern, bevor der Betrieb steht? (RTO — Recovery Time Objective)
  • Ist mindestens eine Kopie unveränderbar — gegen Ransomware abgesichert?
  • Wer testet das Restore? Wie oft?

Wer diese Fragen nicht beantworten kann, hat keine Backup-Strategie, sondern eine Hoffnung.

Die häufigsten stillen Fehler

In Audits sehen wir immer wieder die gleichen Muster:

  • Das Backup-Laufwerk hängt am selben Server. Bei Ransomware ist es mitverschlüsselt. Externe Lagerung heißt physisch oder zumindest logisch getrennt — eigenes Konto, eigene Credentials, idealerweise offline.
  • Es gibt nur tägliche Snapshots. Wer ein Ticket-System mit hundert Vorgängen pro Tag betreibt, verliert bei einem Crash um 17 Uhr neun Stunden Arbeit. RPO und Geschäftsrealität müssen zusammenpassen.
  • Niemand testet den Restore. Ein Backup, das nie zurückgespielt wurde, ist eine ungetestete Annahme. Erst der dokumentierte Probe-Restore beweist, dass es funktioniert.
  • Verschlüsselte Backups, deren Schlüssel im verschlüsselten System liegt. Klingt absurd — passiert ständig. Schlüssel und Wiederherstellungs-Anleitung gehören in einen physischen Tresor und in ein zweites Secret-Vault.

Was ein belastbares Konzept enthält

Ein Backup-Konzept, das Audit, Cyberversicherung und Ernstfall überlebt, hat fünf Bausteine:

  1. Klassifizierung der Daten — was muss in 15 Minuten zurück sein, was darf einen Tag dauern, was zwei Wochen?
  2. Mindestens eine Immutable-Kopie — Object-Lock auf S3-kompatiblem Speicher, WORM-Tape oder eine zweite Site mit eigenen Credentials.
  3. Dokumentierter Restore-Plan — wer macht was, in welcher Reihenfolge, mit welchen Zugangsdaten.
  4. Quartalsweise Restore-Tests — und zwar nicht nur “wir haben einen File geöffnet”, sondern ein vollständiger Service-Restore in eine isolierte Umgebung.
  5. Monitoring — wenn ein Job drei Nächte hintereinander still fehlschlägt, muss jemand davon erfahren.

Unser Fazit

Backups sind kein Thema, das man einmal einrichtet und dann vergisst. Sie sind ein laufender Prozess, der nur dann seinen Zweck erfüllt, wenn er geprobt wird. Wer im Ernstfall vor einem leeren System steht und merkt, dass das Backup zwar existiert, aber nicht lauffähig ist, hat den teuersten Lehrgeld-Posten der IT bezahlt.

YH
Youssef Hammoud
Founder & Lead Engineer bei Webicom. Seit 2017 verantwortlich für Security-Audits und Software-Architektur in mittelständischen Unternehmen im DACH-Raum.
Termin vereinbaren →

Lassen Sie uns über Ihr Projekt sprechen.

Antwort innerhalb von 24h · DSGVO-konform · Hosting in DE