"Wir haben ein Backup." Dieser Satz klingt beruhigend — bis der Ernstfall eintritt und sich herausstellt, dass das Backup seit drei Monaten nicht mehr gelaufen ist, oder dass die Wiederherstellung fehlschlägt, oder dass das Backup auf demselben System liegt, das gerade verschlüsselt wurde. Backup ist keine einmalige Einrichtungsaufgabe, sondern ein Prozess, der Planung, Überwachung und regelmäßige Tests erfordert.
Die 3-2-1-Regel — das Fundament jeder Backup-Strategie
Die 3-2-1-Regel ist einfach und bewährt: 3 Kopien der Daten (Original plus zwei Sicherungen), auf 2 verschiedenen Medientypen (zum Beispiel NAS und Cloud), davon 1 Kopie außerhalb des Standorts (offsite oder offline). Warum offsite? Weil ein Feuer, ein Wasserschaden oder ein Ransomware-Angriff alle Systeme im Büro gleichzeitig treffen kann. Eine externe Kopie überlebt das unbeschadet.
Für Kleinbetriebe empfiehlt sich die Kombination aus einem lokalen NAS (für schnelle Wiederherstellung) und einer Cloud-Sicherung (für Offsite-Schutz). Viele Backup-Lösungen — etwa Veeam, Acronis oder Synology Hyper Backup — unterstützen genau dieses Modell und lassen sich so konfigurieren, dass sie vollautomatisch laufen, ohne dass täglich jemand daran denken muss.
Immutable Backups: der Schutz vor Ransomware
Klassische Backups haben eine Schwachstelle: Wenn ein Angreifer Admin-Zugriff auf das Netzwerk erlangt, kann er auch die Backups löschen oder verschlüsseln. Deshalb gehört zu einer modernen Backup-Strategie der Einsatz von immutable Backups — unveränderlichen Sicherungen, die für einen definierten Zeitraum weder geändert noch gelöscht werden können, selbst von privilegierten Konten nicht. Viele Cloud-Anbieter und NAS-Systeme unterstützen dies über sogenannte Object Lock-Mechanismen.
Ein zweites wichtiges Konzept ist das Air-Gap-Backup: eine Sicherung, die physisch vom Netzwerk getrennt ist. Das kann eine externe Festplatte sein, die täglich angeschlossen, beschrieben und wieder getrennt wird. Unbequemer als eine vollautomatische Lösung — aber im Ransomware-Fall die letzte Rettung.
Testen, testen, testen
Das Wichtigste, das die meisten vergessen: Das Backup regelmäßig auf Wiederherstellbarkeit testen. Ein Backup, das existiert, aber nicht funktioniert, hat im Ernstfall keinen Wert. Planen Sie mindestens einmal pro Quartal eine vollständige Test-Wiederherstellung auf einem Testgerät ein — und dokumentieren Sie das Ergebnis. So wissen Sie, dass Ihre Daten im Notfall tatsächlich wiederhergestellt werden können. Und Sie wissen auch, wie lange die Wiederherstellung dauert, was für die Planung des Notfallbetriebs wichtig ist.
Für Betriebe ohne eigene IT-Ressourcen bieten Managed-Service-Anbieter Backup-as-a-Service an: Sie richten das Backup-System ein, überwachen es täglich, prüfen die Sicherungsjobs auf Fehler und führen regelmäßige Test-Restores durch — mit Bericht. Das kostet monatlich einen überschaubaren Betrag, gibt aber die Sicherheit, dass das Backup im Ernstfall funktioniert.