IT-Security
Backup-Strategie für KMU: die 3-2-1-Regel einfach erklärt
Ein Montag ohne Ausweichmöglichkeit
Ein Treuhandbüro in Schaffhausen ruft uns an einem Dienstagmorgen an. Die Buchhaltungssoftware startet nicht mehr, auf dem Bildschirm steht eine Lösegeldforderung, alle Dateien auf dem Server sind verschlüsselt. Die erste Frage, die wir stellen, ist immer dieselbe: «Haben Sie ein Backup, das nicht am selben Ort hängt wie der Server?» In diesem Fall: nein. Die externe Festplatte für die Sicherung steckte permanent im Server, und die Verschlüsselung hat sie gleich mitgenommen. Zwei Wochen Arbeit waren weg, dazu drei Tage Stillstand.
Das Bundesamt für Cybersicherheit BACS meldet für 2025 einen Anstieg der Ransomware-Fälle um 59 Prozent, ein grosser Teil davon geht auf das Konto der Gruppe Akira. Diese Zahl ist kein Grund zur Panik, aber ein guter Anlass, die eigene Backup-Strategie einmal ehrlich zu prüfen. Die 3-2-1-Regel ist dafür der einfachste Massstab, den es gibt.
Was die 3-2-1-Regel konkret verlangt
Die Regel ist über zwanzig Jahre alt und trotzdem noch immer richtig: drei Kopien Ihrer Daten, auf zwei unterschiedlichen Medientypen, davon eine Kopie ausserhalb des Standorts.
Konkret heisst das für ein typisches KMU: Die Originaldaten liegen auf dem Server oder in der Cloud. Eine erste Sicherung liegt auf einem zweiten Medium im selben Gebäude, etwa einem NAS oder einer externen Festplatte. Eine zweite Sicherung liegt physisch woanders, entweder bei einem Cloud-Anbieter oder auf einem Datenträger, der abends mit nach Hause genommen wird. Wichtig ist der Grundgedanke dahinter: Ein einzelnes Ereignis – Brand, Diebstahl, Verschlüsselungstrojaner – darf niemals alle drei Kopien gleichzeitig treffen. Genau das ist beim Treuhandbüro passiert, weil die externe Festplatte dauerhaft am Server hing und vom selben Trojaner erreicht wurde.
Cloud oder lokal? Beides, aus gutem Grund
Viele Kundinnen und Kunden fragen uns, ob eine reine Cloud-Sicherung nicht einfacher wäre. Ist sie, aber sie allein reicht nicht. Ein lokales Backup lässt sich im Ernstfall innert Stunden zurückspielen, weil die Datenmenge nicht erst über die Internetleitung muss. Eine Wiederherstellung von mehreren hundert Gigabyte aus der Cloud kann je nach Anschluss einen ganzen Tag dauern, manchmal länger. Eine reine lokale Sicherung wiederum nützt nichts, wenn das Bürogebäude nicht mehr zugänglich ist oder der Trojaner das lokale Netzwerk komplett durchkämmt.
Die Kombination macht den Unterschied: lokal für die schnelle Wiederherstellung im Alltag, in der Cloud oder extern für den Fall, dass am Standort selbst etwas schiefgeht. Für ein Unternehmen mit zehn Mitarbeitenden bewegt sich eine saubere Cloud-Backup-Lösung mit Versionierung in der Regel zwischen 80 und 150 Franken im Monat. Das klingt nach einer Ausgabe, die man aufschieben kann. Bis zu dem Tag, an dem man sie gebraucht hätte.
Ein Detail, das oft übersehen wird: Wo die Cloud-Kopie physisch liegt, ist für Schweizer KMU nicht egal. Wer mit Kundendaten, Personalakten oder Mandaten arbeitet, sollte bei der Wahl des Anbieters gezielt nach dem Rechenzentrumsstandort fragen. Viele grössere Anbieter betreiben inzwischen Rechenzentren in der Schweiz, das ist beim Vertragsabschluss eine Zeile wert, keine Nebensache.
Was ein Tag Datenverlust wirklich kostet
Rechnen Sie kurz mit uns: Ein Betrieb mit acht Mitarbeitenden und einem durchschnittlichen Stundenansatz von 90 Franken verliert bei einem kompletten Ausfall schnell 60 bis 70 Prozent der Produktivität für zwei bis drei Tage. Das sind allein an Lohnkosten ohne Wertschöpfung schnell 8000 bis 12'000 Franken. Dazu kommen verpasste Termine, verärgerte Kundschaft und im schlimmsten Fall Konventionalstrafen bei vertraglich zugesicherten Lieferfristen. Das Treuhandbüro aus dem Beispiel oben hat am Ende rund 15'000 Franken an Wiederherstellungskosten und entgangenen Mandaten gerechnet – für eine Situation, die eine korrekt eingerichtete externe Sicherung für unter 100 Franken im Monat verhindert hätte.
Ein Backup, das im Ernstfall nichts taugt, ist kein Backup
Der zweite Fehler, den wir regelmässig sehen, ist keine fehlende Sicherung, sondern eine ungetestete. Die Sicherung läuft jede Nacht automatisch, niemand schaut je hinein, bis sie gebraucht wird – und dann fehlt eine Datenbank, das Passwort ist verloren gegangen, oder die letzten drei Monate an Sicherungen sind wegen eines stillen Fehlers leer. Ein Backup ist erst dann ein Backup, wenn Sie es mindestens einmal pro Quartal tatsächlich zurückgespielt und geprüft haben. Das dauert eine halbe Stunde und gehört für uns zum Pflichtprogramm jedes Wartungsvertrags.
Unbrauchbar gegen Verschlüsselungstrojaner: das Backup, das der Trojaner mitverschlüsselt
Ransomware sucht heute gezielt nach angeschlossenen Netzlaufwerken und Sicherungsordnern und verschlüsselt sie gleich mit. Gruppen wie Akira, die für einen grossen Teil der Fälle in der Schweiz verantwortlich sind, verschaffen sich zuerst Zugriff auf das Netzwerk und suchen dann gezielt nach Backup-Servern, bevor sie die eigentliche Verschlüsselung starten. Eine Sicherung, die dauerhaft mit dem Netzwerk verbunden ist, bietet dagegen keinen echten Schutz mehr. Setzen Sie auf eine Lösung mit Versionierung und, wo möglich, auf «unveränderliche» Backups, die auch mit administrativen Rechten nicht nachträglich gelöscht oder überschrieben werden können. Die meisten seriösen Cloud-Backup-Anbieter bieten das inzwischen standardmässig an, oft ohne Aufpreis.
Checkliste: 3-2-1-Backup für Ihr Unternehmen
- Mindestens drei Kopien Ihrer wichtigsten Daten, keine Ausnahme für «nicht so wichtige» Ordner
- Zwei unterschiedliche Speichermedien, zum Beispiel NAS und Cloud
- Mindestens eine Kopie physisch ausserhalb Ihres Standorts
- Keine Sicherung, die dauerhaft und ungeschützt mit dem Produktivnetzwerk verbunden ist
- Versionierung beziehungsweise unveränderliche Backups gegen Ransomware
- Rückspielung mindestens einmal pro Quartal tatsächlich testen, nicht nur den Sicherungslauf kontrollieren
- Zugangsdaten zur Backup-Lösung getrennt vom Tagesgeschäft aufbewahren
Brauchen Sie Unterstützung?
Wir schauen uns Ihre Situation unverbindlich an und sagen Ihnen ehrlich, was sich lohnt.
Kontakt aufnehmenSolche Tipps direkt ins Postfach?
Praxisnahes IT-Wissen für KMU — kein Spam, jederzeit abmeldbar.
Newsletter
Bleiben Sie informiert über die neuesten IT-Trends und unsere Services