Backup-Strategien für Unternehmen: 3-2-1 und ransomware-sicher

Ransomware-Angriffe haben das Thema Backup in den letzten Jahren von einem lästigen IT-Pflichtpunkt zu einer echten Geschäftsrisikofrage gemacht. Wer nach einem Angriff auf seine Daten angewiesen ist, hat im Wesentlichen zwei Optionen: Lösegeld zahlen oder aus einem sauberen Backup wiederherstellen. Wer kein sauberes Backup hat oder nie getestet hat, ob es funktioniert, zahlt. Dieser Artikel erklärt, was ein modernes Backup-Konzept ausmacht, wo die häufigsten Fehler liegen und warum M365-Daten eigene Sicherung brauchen.

Die 3-2-1-Regel: Mindeststandard, kein Optimum

Die 3-2-1-Regel stammt ursprünglich aus der Fotografie und hat sich als Grundprinzip für Datensicherung durchgesetzt. Die Logik ist einfach: Drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie außerhalb des Gebäudes.

Drei Kopien: Die Originaldaten plus zwei Sicherungskopien. Das schützt vor einem einzelnen Medienausfall.

Zwei Medientypen: Zum Beispiel eine lokale NAS oder ein Backup-Server plus eine Cloud-Sicherung. Nicht zwei externe Festplatten desselben Typs.

Eine Kopie offsite: Außerhalb des Bürogebäudes. Für ein Feuer, eine Überschwemmung oder einen physischen Einbruch muss mindestens eine Kopie an einem anderen Ort liegen.

Die Regel ist gut, aber sie reicht für Ransomware alleine nicht aus. Wenn ein Angriff das gesamte lokale Netzwerk verschlüsselt, sind auch die lokale NAS und angebundene Backup-Server betroffen, wenn sie nicht isoliert sind. Die Cloud-Kopie ist dann der letzte Rettungsanker.

Aus der 3-2-1-Regel ist deshalb inzwischen oft eine 3-2-1-1-Regel geworden: drei Kopien, zwei Medien, eine offsite, eine offline oder immutable.

Immutable Backups: warum Unveränderlichkeit zählt

Ein immutable Backup ist eine Sicherungskopie, die nach dem Schreiben nicht mehr verändert oder gelöscht werden kann. Nicht durch Mitarbeitende, nicht durch Administratoren, nicht durch Ransomware-Prozesse, die sich mit gestohlenen Admin-Credentials durch das Netzwerk bewegen.

Technisch wird das durch zwei Ansätze erreicht:

WORM-Speicher (Write Once, Read Many): Physische Medien oder Storage-Systeme, die nach dem Beschreiben nur noch gelesen werden können. Bewährt in regulierten Umgebungen, aufwändiger in der Verwaltung.

Object Lock in Cloud-Storage: Die meisten großen Cloud-Backup-Anbieter bieten Object-Lock-Funktionen, die einen Backup-Datensatz für einen definierten Zeitraum gegen Löschung und Überschreibung sperren. Auch ein kompromittierter Admin-Account kann diese Daten in der Sperrfrist nicht entfernen.

Backup ist nicht Sync

OneDrive, Dropbox, SharePoint und ähnliche Dienste sind keine Backup-Lösungen. Der Unterschied ist fundamental.

Sync-Dienste spiegeln den aktuellen Zustand. Wenn eine Datei gelöscht wird, wird die Löschung synchronisiert. Wenn Ransomware Dateien verschlüsselt, werden die verschlüsselten Versionen synchronisiert. Wenn ein Mitarbeiter versehentlich einen ganzen Ordner überschreibt, ist der Originalzustand weg.

Viele Sync-Dienste bieten Versionierung und Papierkörbe mit begrenzten Aufbewahrungszeiten. Das hilft bei versehentlichem Löschen einer einzelnen Datei. Es hilft nicht bei einem Ransomware-Angriff, der hunderte oder tausende Dateien gleichzeitig verschlüsselt und die Versionshistorie überschreibt.

Ein Backup hingegen ist eine zeitpunktbezogene Sicherung, die unabhängig vom aktuellen Systemzustand wiederhergestellt werden kann. Das Backup vom Dienstagmorgen enthält den Zustand von Dienstagmorgen, egal was danach passiert ist.

RTO und RPO: die zwei Fragen, die ein Backup-Konzept beantworten muss

Jedes Backup-Konzept basiert auf zwei Kernfragen. Wer sie nicht beantwortet hat, hat kein Konzept.

RTO (Recovery Time Objective): Wie lange darf der Betrieb nach einem Ausfall maximal stehen? Für ein produzierendes Unternehmen kann ein Ausfall von 4 Stunden akzeptabel sein. Für ein Unternehmen, das vollständig auf digitale Kundendaten angewiesen ist, vielleicht nicht.

RPO (Recovery Point Objective): Wie alt darf der letzte Wiederherstellungspunkt maximal sein? Wenn das letzte Backup von gestern Nacht stammt und heute Nachmittag ein Angriff passiert, sind alle Daten des heutigen Tages verloren. Ist das akzeptabel? Für ein Buchhaltungsbüro mit tagesaktuellem Buchungsaufkommen möglicherweise nicht.

Die Antworten auf RTO und RPO bestimmen die Backup-Architektur. Wer eine RTO von 2 Stunden und eine RPO von 1 Stunde anstrebt, braucht andere Technologien als jemand, dem RTO von 48 Stunden und RPO von 24 Stunden reichen.

Die meisten mittelständischen Unternehmen bewegen sich realistisch im Bereich RPO 4-8h, RTO 8-24h. Das ist mit modernen Cloud-Backup-Lösungen gut erreichbar, ohne Enterprise-Budget.

Häufige Fehler in der Praxis

Backup wird eingerichtet, aber nie getestet. Ein Backup, das nie wiederhergestellt wurde, ist ein ungetestetes Versprechen. Der erste Restore-Test sollte nicht nach einem Ransomware-Angriff um 3 Uhr morgens stattfinden.

Alle Backups liegen im selben Netzwerk. Ein NAS im selben Netzwerksegment wie die Produktivsysteme ist bei Ransomware mitgefährdet. Backup-Systeme gehören in isolierte Segmente oder in die Cloud.

Keine Aufbewahrungsfristen definiert. Wie lange werden Backups aufbewahrt? Wenn Ransomware unbemerkt drei Wochen im System schlummert und dann zuschlägt, hilft ein Backup von vorgestern nicht. Längere Aufbewahrungszeiten sind kein Luxus, sondern Notwendigkeit.

M365-Daten werden als gesichert behandelt. Dazu gleich mehr.

Backup läuft, aber niemand prüft die Logs. Ein Backup-Job, der seit zwei Wochen fehlschlägt und niemanden alarmiert, bietet keinen Schutz.

M365-Backup: was Microsoft sichert und was nicht

Microsoft stellt die Verfügbarkeit des M365-Dienstes sicher. Das bedeutet: Wenn die Microsoft-Rechenzentren ausfallen, ist Microsoft verantwortlich für die Wiederherstellung. Aber das ist nicht dasselbe wie Datensicherung Ihrer Inhalte.

Was Microsoft nicht dauerhaft schützt: versehentlich gelöschte Postfächer nach Ablauf der Aufbewahrungsfrist, versehentlich überschriebene SharePoint-Dateien nach Ende des Versionierungsfensters, Teams-Nachrichten und Kanal-Inhalte bei bestimmten Löschoperationen, Daten, die durch einen kompromittierten Account aktiv gelöscht wurden.

Die Aufbewahrungsfristen in M365 sind für die meisten Pläne begrenzt. Gelöschte Postfächer werden standardmäßig 30 Tage aufbewahrt, danach sind sie weg. Versionsverlauf in SharePoint wird nach 500 Versionen oder nach Ablauf der Aufbewahrungsrichtlinie gekürzt.

Für Unternehmen, die E-Mails aus rechtlichen oder steuerlichen Gründen archivieren müssen, oder für die Teams und SharePoint kritische Arbeitsinfrastruktur ist, reicht M365-intern nicht.

Spezialisierte M365-Backup-Lösungen sichern Exchange-Postfächer, SharePoint-Sites, Teams-Daten und OneDrive-Inhalte täglich in unabhängige Backups außerhalb der Microsoft-Infrastruktur. Wiederherstellung ist zeitpunktbezogen möglich, auch nach versehentlichem Löschen oder Ransomware.

Einen Restore-Test richtig durchführen

Ein Restore-Test ist keine komplizierte Übung, aber er muss vollständig sein. Was er prüft:

Erstens: Kann die Backup-Software die Sicherungsdaten lesen? Klingt selbstverständlich, ist aber nicht immer gegeben, wenn Backup-Medien oder Zugangsdaten sich verändert haben.

Zweitens: Kann ein konkretes System oder eine konkrete Datei aus einem definierten Zeitpunkt wiederhergestellt werden? Nicht ein beliebiges Testsystem, sondern ein produktiv genutztes.

Drittens: Wie lange dauert die Wiederherstellung tatsächlich? Die gemessene Zeit gibt Aufschluss darüber, ob die RTO-Ziele realistisch sind.

Der Test wird dokumentiert: Datum, getestetes System, Backup-Zeitpunkt, Ergebnis, gemessene Dauer, eventuelle Probleme. Diese Dokumentation ist bei NIS2-Prüfungen, DSGVO-Audits und Versicherungsfragen relevant.

Wenn Sie unsicher sind, ob Ihr aktuelles Backup-Konzept den Anforderungen standhält, sprechen Sie uns an. ITCC erstellt für mittelständische Unternehmen Backup-Konzepte nach 3-2-1-1-Regel inklusive M365-Sicherung, mit definierten RTO/RPO-Zielen und regelmäßigen Restore-Tests.