5. Juni 2026 | Artikel drucken | |

Backup gegen Ransomware: 3-2-1-1-0 statt 3-2-1

8 Min. Lesezeit

Die meisten Backup-Konzepte sind für den Festplattenausfall gebaut, nicht für den Angreifer. Genau das ist das Problem. Moderne Ransomware sucht zuerst die Sicherung, löscht oder verschlüsselt sie und nimmt dem Opfer damit den einzigen Hebel, der das Lösegeld überflüssig macht. Ein Backup, das im Ernstfall trägt, folgt deshalb nicht der alten Drei-Kopien-Regel, sondern einer härteren Variante, und es beweist seine Funktion im Test, nicht auf dem Papier.

Das Wichtigste in Kürze

  • Ransomware zielt auf die Sicherung. In der großen Mehrheit der Angriffe versuchen die Täter, die Backups mitzuverschlüsseln. Wer das Backup nur gegen Hardwaredefekt absichert, hat den falschen Gegner geplant.
  • 3-2-1-1-0 schließt die offene Flanke. Eine unveränderbare und eine offline gehaltene Kopie machen das Backup für den Angreifer unerreichbar. Die Null steht für null Fehler im Wiederherstellungstest.
  • Ungetestet ist ungesichert. Ein Backup, das nie zurückgespielt wurde, ist eine Vermutung. Erst der regelmäßige Restore-Test verwandelt die Vermutung in eine belastbare Wiederherstellung.

Verwandt:Das Edge-Gerät als Ransomware-Eingangstor  /  NIS2 ist in der Vollstreckung

Was ist die 3-2-1-1-0-Regel? Diese erweiterte Backup-Strategie folgt einem festen Muster. Drei Kopien der Daten liegen auf zwei verschiedenen Medien, eine davon an einem anderen Ort. Dazu kommt eine unveränderbare oder offline gehaltene Kopie und die Vorgabe, dass die Wiederherstellung mit null Fehlern getestet sein muss. Sie härtet die klassische 3-2-1-Regel gegen Ransomware.

Warum Ransomware zuerst die Backups sucht

Ein durchdachter Ransomware-Angriff verschlüsselt nicht sofort. Er bewegt sich erst durch das Netz, sucht die Sicherungssysteme und schaltet sie aus, bevor er die Produktivdaten anfasst. Der Grund ist betriebswirtschaftlich. Ein Opfer mit intaktem Backup verhandelt nicht über Lösegeld, es spielt zurück. Ein Opfer ohne Backup hat nur noch die Wahl zwischen Zahlen und Datenverlust. Die Sicherung ist damit nicht der Plan B, sie ist das eigentliche Ziel.

Die Zahlen aus der Praxis sind eindeutig. In der überwiegenden Mehrheit der Vorfälle versuchen die Angreifer aktiv, die Backups zu kompromittieren, und in mehr als der Hälfte dieser Fälle gelingt es ihnen. Wo die Sicherung fällt, steigen die Wiederherstellungskosten um ein Vielfaches, weil dem Opfer der schnelle Weg zurück fehlt.

94 Prozent
der von Ransomware betroffenen Organisationen berichten, dass die Angreifer gezielt versucht haben, die Backups zu kompromittieren.
Quelle: Sophos, State of Ransomware

Diese Zahl verschiebt die Aufgabe. Es geht nicht mehr darum, ob ein Backup existiert, sondern ob es einen Angreifer übersteht, der genau danach sucht. Ein Sicherungssystem, das mit denselben Zugangsdaten erreichbar ist wie der Rest des Netzes, ist kein Schutz, sondern ein weiteres Ziel mit Etikett.

Was 3-2-1-1-0 über die alte Regel hinaus verlangt

Die klassische 3-2-1-Regel stammt aus einer Zeit, in der Datenverlust vor allem technisch passierte: ein defekter Datenträger, ein Brand, ein versehentliches Löschen. Gegen diese Fälle wirkt sie bis heute. Gegen einen Angreifer, der die Infrastruktur aktiv durchsucht, hat sie eine Lücke. Die beiden zusätzlichen Stellen schließen genau diese.

Stelle Bedeutung Schützt gegen
3 Kopien Original plus zwei Sicherungen einzelnen Datenverlust
2 Medien zwei unterschiedliche Speicherarten Medienfehler
1 extern eine Kopie an anderem Ort Standortschaden
1 unveränderbar oder offline nicht löschbare oder getrennte Kopie Ransomware-Zugriff
0 Fehler geprüfte Wiederherstellung das stille Versagen im Ernstfall

Die ersten drei Stellen sind die vertraute Regel. Die vierte und die Null sind der eigentliche Fortschritt. Sie verlangen, dass mindestens eine Sicherung außerhalb der Reichweite des Angreifers liegt und dass die Wiederherstellung kein Versprechen, sondern ein bestandener Test ist.

Infografik vergleicht die klassische 3-2-1-Backup-Regel mit der erweiterten 3-2-1-1-0-Regel gegen Ransomware.
Erweiterte 3-2-1-1-0-Regel sichert Daten noch zuverlässiger ab.

Immutability und Air-Gap: die zwei, die wirklich zählen

Hinter der vierten Stelle stecken zwei Begriffe, die oft synonym verwendet werden, aber nicht dasselbe meinen. Unveränderbarkeit bedeutet, dass die Sicherung für einen festgelegten Zeitraum nicht verändert oder gelöscht werden kann, auch nicht von einem Administrator mit gestohlenen Rechten. Technisch setzt das auf Verfahren wie Object Lock oder schreibgeschützten Speicher, der nur einmal beschrieben werden darf.

Air-Gap bedeutet Trennung. Die Kopie liegt logisch oder physisch außerhalb jedes Netzes, das ein Angreifer erreichen kann. Erst beide Eigenschaften zusammen ergeben eine Sicherung, die einen ernsthaften Angriff zuverlässig übersteht. Eine unveränderbare Kopie auf einem erreichbaren System lässt sich umgehen, wenn der Angreifer die Aufbewahrungsregeln manipulieren kann. Eine getrennte Kopie ohne Schreibschutz kann beim nächsten Anschluss überschrieben werden. Die Kombination ist der Punkt, an dem die Sicherung wirklich sicher wird.

Der Test, den niemand macht

Die Null in der Regel ist die unbequemste Stelle, weil sie Arbeit verlangt. Ein Backup zu schreiben ist Routine, ein Backup zurückzuspielen nicht. Genau deshalb bleibt der Restore-Test in vielen Häusern theoretisch, bis der Ernstfall ihn erzwingt. Dann zeigt sich, dass die Sicherung unvollständig war, dass ein Schlüssel fehlt, dass die Wiederherstellung Tage statt Stunden dauert. Diese Überraschungen gehören in den Test, nicht in den Vorfall.

Was kippt

  • Backups mit denselben Admin-Rechten erreichbar wie das Produktivnetz
  • Unveränderbarkeit angenommen, aber nie gegen Manipulation geprüft
  • Restore nur auf dem Papier, nie unter realen Bedingungen geübt
  • Wiederherstellungszeit unbekannt, bis der Ernstfall sie misst

Was trägt

  • Eine unveränderbare und eine getrennte Kopie außerhalb der Domäne
  • Eigene Zugangsdaten für das Backup-System, getrennt vom Tagesbetrieb
  • Regelmäßige Restore-Tests mit gemessener Wiederherstellungszeit
  • Eine isolierte Wiederherstellungsumgebung für den Ernstfall

Der Unterschied zwischen den Spalten kostet keine größere Lizenz. Er kostet Disziplin. Ein Backup ist keine Anschaffung, die man abhakt, sondern ein Prozess, der bewiesen werden muss. Wer die vierte Stelle ernst nimmt und die Null regelmäßig testet, hält im Ernstfall den einen Hebel in der Hand, der einen Angriff ins Leere laufen lässt.

Häufige Fragen

Was bedeutet die erweiterte Backup-Regel genau?

Drei Kopien der Daten auf zwei verschiedenen Medien, eine davon an einem anderen Ort. Dazu eine unveränderbare oder offline gehaltene Kopie und die Vorgabe, dass die Wiederherstellung mit null Fehlern getestet ist. Die letzten beiden Stellen härten die klassische 3-2-1-Regel gezielt gegen Ransomware, die Sicherungen angreift.

Warum reicht die alte 3-2-1-Regel nicht mehr?

Sie schützt gegen technischen Datenverlust wie Defekte, Brände oder versehentliches Löschen, aber nicht gegen einen Angreifer, der die Infrastruktur aktiv durchsucht. Sind alle Kopien online und mit denselben Rechten erreichbar, kann Ransomware sie mitverschlüsseln. Erst eine unveränderbare oder getrennte Kopie schließt diese Lücke.

Was unterscheidet Unveränderbarkeit von einem Air-Gap?

Unveränderbarkeit heißt, dass eine Sicherung für einen festgelegten Zeitraum nicht verändert oder gelöscht werden kann, auch nicht mit Admin-Rechten. Air-Gap heißt Trennung von jedem erreichbaren Netz. Erst beide Eigenschaften zusammen ergeben eine Kopie, die einen ernsthaften Angriff zuverlässig übersteht. Einzeln lässt sich jede umgehen.

Wie oft sollte man einen Restore-Test machen?

Regelmäßig und für die wirklich kritischen Systeme mindestens vierteljährlich. Wichtig ist, nicht nur das Zurücklesen einzelner Dateien zu prüfen, sondern die vollständige Wiederherstellung eines Systems inklusive der gemessenen Dauer. Nur so wird aus der Annahme, das Backup funktioniere, eine belastbare Zahl.

Was ist eine isolierte Wiederherstellungsumgebung?

Ein abgetrennter Bereich, in dem sich Systeme aus dem Backup wiederherstellen und prüfen lassen, ohne ein möglicherweise noch kompromittiertes Produktivnetz zu berühren. So lässt sich sicherstellen, dass die Wiederherstellung sauber ist und nicht denselben Schadcode zurückbringt, der den Vorfall ausgelöst hat.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Platform Engineering ist kein DevEx-Projekt mehr

digital-chiefs

Warum der CISO die Compliance-Last nicht allein trägt

mybusinessfuture

Was der Stanford AI Index für den Mittelstand bedeutet

Bildquelle: Titelbild und Beitragsbilder KI-generiert (Juni 2026), C2PA-Zertifikat im Bild hinterlegt

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH