Inhalt in Kürze
- Internes Backup allein reicht nicht. Es schützt vor Hardwaredefekt und versehentlichem Löschen, aber nicht vor Brand, Diebstahl, Ransomware oder Wasserschaden.
- Externes Backup allein reicht auch nicht. Es ist langsamer in der Wiederherstellung und teurer für tägliche Kleinstrestores.
- Die 3-2-1-1-0-Regel ist der Standard 2026: drei Kopien, zwei Medien, eine offsite, eine immutable, null Fehler beim Test.
- Microsoft 365 ist kein Backup. OneDrive, SharePoint und Exchange Online brauchen ein zusätzliches drittes Backup — Microsoft sagt das selbst im Shared-Responsibility-Modell.
- Wir sehen es jede Woche: Backups, die seit Monaten nicht getestet wurden. Im Ernstfall steht der Betrieb dann wochenlang still.
Sie haben wichtige Daten in Ihrer IT-Infrastruktur — Aufträge, Rechnungen, Kundendaten, Konstruktionspläne, Mitarbeiterakten. Die Frage ist nicht, ob Sie ein Backup brauchen. Die Frage ist, wo Sie Ihr Backup aufbewahren: lokal im eigenen Haus, extern in einem Rechenzentrum oder in der Cloud — oder in einer Kombination aus allem. Wir erklären, warum 2026 nur eine Antwort wirklich trägt: alles drei.
Wo soll man ein Backup aufbewahren? Die kurze Antwort
Ein Backup gehört an mindestens drei Orte gleichzeitig: lokal (für schnelle Restores), offsite in einem deutschen Rechenzentrum oder einer Cloud (für Brand- und Diebstahlschutz) und immutable oder air-gapped (gegen Ransomware). Das ist der Kern der 3-2-1-1-0-Regel: drei Kopien, zwei Medien, eine offsite, eine unveränderlich, null Fehler beim Restore-Test.
In der Praxis heißt das: Tagessicherung läuft auf ein NAS oder einen Backup-Server im eigenen Serverraum. Eine zweite Kopie wird automatisch in ein deutsches Rechenzentrum repliziert — räumlich getrennt vom Hauptstandort. Eine dritte Kopie liegt auf einem unveränderbaren Medium (Object Lock, WORM-Tape, abgesteckte Air-Gap-Festplatte), das auch ein Angreifer mit Admin-Rechten nicht löschen kann. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für genau diese Schichten-Strategie die 3-2-1-Regel als Mindeststandard. Wer ein Backup nur auf einer USB-Festplatte am Server, nur im NAS oder nur in OneDrive hat, hat im Ernstfall keines.
Internes Backup: Schnelle Wiederherstellung im eigenen Haus
Ein internes Backup — auch Onsite-Backup oder In-House-Backup genannt — speichert Ihre Daten dort, wo Ihre IT-Infrastruktur steht: im eigenen Serverraum, im Büro, am Standort. Typische Medien sind Network-Attached-Storage-Systeme (NAS), Backup-Server, Tape-Libraries oder externe USB-Festplatten.
Vorteile eines internen Backups:
- Hohe Geschwindigkeit: 10-Gbit-Netzwerk macht selbst die Wiederherstellung großer Datenbanken in Minuten möglich.
- Niedrige laufende Kosten: Einmal die Hardware angeschafft, fallen nur noch Wartung und Strom an.
- Volle Kontrolle: Sie wissen jederzeit, wo Ihre Daten liegen, und niemand außer Ihnen hat Zugriff.
Klassischerweise laufen tägliche inkrementelle Sicherungen plus wöchentliche oder monatliche Vollsicherungen. Bei kleineren Unternehmen reicht häufig die in Windows Server integrierte Sicherung — die übrigens deutlich besser funktioniert als ihr Ruf, siehe unseren Artikel zu Windows-Backup richtig einrichten. Größere Umgebungen setzen auf Veeam Backup & Replication, das zur Standard-Software für KMU mit virtualisierten Umgebungen geworden ist.
Wo internes Backup an seine Grenzen stößt
Ein internes Backup ist Ihre erste Verteidigungslinie. Es schützt zuverlässig vor:
- Versehentlichem Löschen einzelner Dateien
- Beschädigten Dokumenten und Datenbankfehlern
- Ausfall einzelner Festplatten oder Server
Es schützt nicht vor Szenarien, bei denen die Backup-Hardware mitbetroffen ist:
| Szenario | Internes Backup wirkungslos, weil… |
|---|---|
| Brand im Serverraum | Backup-NAS verbrennt mit dem Server |
| Wasserschaden / Rohrbruch | Beide Systeme stehen im selben Raum |
| Einbruch / Diebstahl | Diebe nehmen Server und NAS gleichzeitig mit |
| Ransomware-Angriff | Schadsoftware verschlüsselt Backup-Shares mit |
| Stromschlag / Überspannung | Beide Geräte hängen am selben Stromkreis |
| Hochwasser im Erdgeschoss | Komplettverlust am Standort |
Die Bundesanstalt für Sicherheit in der Informationstechnik fasst es im BSI-Aufruf zum World Backup Day 2026 nüchtern zusammen: Nur etwa ein Fünftel der Internetnutzerinnen und -nutzer legt regelmäßig ein Backup an. Bei Unternehmen sieht es kaum besser aus.
Moderne Ransomware-Familien suchen aktiv nach Backup-Volumes im Netzwerk. NAS-Systeme mit SMB-Freigabe, Backup-Server mit erreichbaren Repositories, ja sogar veraltete Tape-Wechsler werden gezielt mitverschlüsselt. Ein internes Backup ohne Air-Gap oder Immutable-Schutz ist im Zweifel kein Backup mehr — sondern noch ein Datensatz, den der Angreifer in der Hand hält.
Externes Backup: Schutz gegen den Worst Case
Ein externes Backup — auch Offsite-Backup genannt — lagert Ihre Daten räumlich getrennt vom Hauptstandort. Klassische Varianten:
- Externe Festplatte oder Tape, die nach jedem Backup mitgenommen wird (Geschäftsführer, Tresor, Bankschließfach)
- Cloud-Backup in ein deutsches Rechenzentrum (Veeam Cloud Connect, Cove, SkyKick, Microsoft Azure Backup)
- Replikation in ein zweites eigenes Rechenzentrum (für größere Mittelständler)
- Immutable Object Storage mit Object Lock — z. B. in Azure Blob Storage oder S3-kompatiblen Speichern
Ein gutes externes Backup deckt genau die Szenarien ab, bei denen das interne Backup versagt: Brand, Diebstahl, Wasser, Ransomware, Hardware-Totalschaden. Bei hagel one backup replizieren wir die Daten unserer Kunden direkt in unser eigenes Rechenzentrum in Hamburg. Sie wissen jederzeit, wo die Daten liegen, und der Datentransfer bleibt im DSGVO-Rahmen.
Grenzen reiner Offsite-Backups
So gut ein externes Backup im Worst Case ist — als alleinige Lösung hat es Schwächen:
- Wiederherstellung dauert länger. Ein Komplettrestore aus der Cloud bei 2 TB Datenvolumen kann 24 bis 48 Stunden brauchen, selbst über schnelles Internet.
- Bandbreite kostet. Das tägliche Vollbackup von 500 GB belegt eine Standleitung schnell vollständig.
- Kleinstrestores sind umständlich. „Mein Mitarbeiter hat versehentlich die Excel-Datei überschrieben” — dafür über die Cloud zu gehen, ist Overkill.
Die 3-2-1-1-0-Backup-Regel: Standard 2026
Lange galt die klassische 3-2-1-Regel: drei Datenkopien, zwei verschiedene Medien, eine externe Kopie. Veeam hat diese Regel populär gemacht, sie ist seit über 15 Jahren Industriestandard. Mit dem Aufstieg von Ransomware reicht das nicht mehr — der IT-Administrator-Beitrag zur Backup-Strategie fasst es so zusammen: Die 3-2-1-1-0-Regel ist das Upgrade für resiliente Datensicherung.
- 3 Kopien Ihrer Daten: Das Original + mindestens 2 Sicherungen. Eine Kopie ist keine Sicherung.
- 2 verschiedene Speichermedien: Zum Beispiel SSD im Server + HDD im NAS. So überlebt ein Medienschaden.
- 1 Kopie offsite (extern): In einem zweiten Rechenzentrum, in der Cloud, oder physisch am anderen Ort.
- 1 Kopie offline oder immutable: Air-Gap-Festplatte, Tape, oder Immutable-Repository mit Object Lock. Ransomware-resistent.
- 0 Fehler beim Wiederherstellungstest: Mindestens einmal pro Quartal echtes Restore prüfen, nicht nur Logfiles lesen.
In der Praxis übersetzt sich das für ein typisches KMU mit 30 Mitarbeitern in Hamburg ungefähr so:
| Stufe | Medium | Aufbewahrungsort | Schützt vor |
|---|---|---|---|
| Live-Daten | SSD im Server / Cloud | Serverraum + M365 | (kein Schutz, nur Original) |
| Backup 1 — intern | NAS / Backup-Server | eigener Serverraum | Datei-Löschung, Defekt |
| Backup 2 — offsite | Cloud-Repository (Veeam, Cove) | deutsches Rechenzentrum | Brand, Diebstahl, Wasser |
| Backup 3 — immutable | Object Lock / Tape / Air-Gap-HDD | physisch getrennt | Ransomware, Insider-Angriff |
Cloud-Backup, Veeam, SkyKick, Microsoft 365 Backup
Beim Stichwort Cloud werden viele Geschäftsführer skeptisch — verständlich. Die drei häufigsten Fragen aus unseren Erstgesprächen:
1. Liegen meine Daten in Deutschland? Bei einem deutschen Rechenzentrum ja. Bei US-Anbietern wie Microsoft Azure können Sie eine deutsche Region (Frankfurt, Berlin) wählen — der CLOUD Act bleibt aber theoretisch im Raum. Bei kritischen Daten (Mandantengeheimnis, Patientendaten) bevorzugen wir DSGVO-souveräne Anbieter.
2. Was kostet das? Faustregel für ein 30-Mitarbeiter-KMU: 1 bis 3 Euro pro GB und Monat für hochwertige Cloud-Backup-Lösungen mit deutschen Rechenzentren und Immutable-Schutz. Ein typisches Setup mit 1 TB Server-Daten + 30 Microsoft-365-Postfächern liegt bei 150 bis 250 Euro pro Monat.
3. Reicht OneDrive / SharePoint nicht? Nein. Microsoft selbst weist im Shared-Responsibility-Modell ausdrücklich darauf hin, dass die Datenwiederherstellung in der Verantwortung des Kunden liegt. Wer Microsoft 365 produktiv nutzt, braucht ein eigenes Microsoft 365 Backup mit SkyKick oder Cove. Sonst sind im Schadensfall Mails, Kalender, Teams-Chats und SharePoint-Bibliotheken weg.
Die Krypto-Trojaner werden nicht sofort aktiv, die schlummern erstmal. Wenn Sie das Backup von letzter Woche zurückspielen, ist der da auch schon drauf. Deshalb brauchen wir Versionen, die weiter zurückreichen — und vor allem ein Backup, das der Angreifer nicht löschen oder verschlüsseln kann.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Air-Gap und Immutable: Die Ransomware-Antwort
Die größte Bedrohung für Backups 2026 heißt Ransomware. Die Arete-Studie zu Ransomware-Trends Januar 2026 zeigt: Die drei aktivsten Ransomware-Gruppen waren im Dezember 2025 für 57 Prozent aller Erpressungsangriffe verantwortlich. KI-gestützte Massenangriffe machen heute keinen Unterschied mehr zwischen einem Konzern und einem 15-Mann-Handwerksbetrieb in Wandsbek.
Moderne Angriffe folgen einem Standardmuster:
- Initial Access über Phishing-Mail oder kompromittierten VPN-Zugang
- Lateral Movement — wochenlang unbemerkt durchs Netzwerk
- Backup-Vernichtung — Repositories werden gelöscht oder verschlüsselt
- Verschlüsselung der produktiven Systeme
- Erpressung mit Doppel-Druck (Verschlüsselung + Daten-Leak-Drohung)
Punkt 3 ist die Erkenntnis der letzten drei Jahre: Ein gutes Backup ist nichts wert, wenn der Angreifer es zerstören kann, bevor er die Produktivsysteme angreift. Gegen genau dieses Szenario gibt es zwei wirksame Antworten.
- Air-Gap-Backup: Das Backup-Medium ist physisch oder logisch nicht erreichbar. Klassisches Air-Gap: Festplatte wird nach dem Backup abgesteckt. Modernes Air-Gap: separate Backup-Domain, eigene Credentials, separates Netzwerksegment.
- Immutable Backup: Das Repository ist auf der Storage-Ebene unveränderbar. Object Lock in S3-kompatiblem Storage, WORM-Tape, Veeam Hardened Linux Repository. Selbst Admin-Konten können die Daten nicht vorzeitig löschen.
- Multi-Faktor-Schutz für Backup-Konten: MFA für jeden Zugriff auf Backup-Software. Separate Admin-Accounts, die im AD nicht existieren.
- Versionsketten von 90+ Tagen: Krypto-Trojaner schlummern oft Wochen, bevor sie aktiv werden. Wer nur 7 Tage zurück hat, hat verloren.
- Quartalsweise Restore-Tests: Nicht das Logfile lesen — echte Wiederherstellung in eine isolierte Test-Umgebung. Sonst zählt es nicht.
Aus der Praxis: Drei Monate Stillstand bei einem Sanitärbetrieb
Im Februar 2024 kam ein Sanitärbetrieb aus dem Hamburger Umland zu uns — 25 Mitarbeiter, fünf Servicewagen, ein Server, ein NAS für Backups. Sechs Wochen vorher waren sie nachts gehackt worden. Der Cyberkriminelle war über eine offene RDP-Schnittstelle auf den Server gekommen, hatte sich drei Wochen Zeit gelassen, um das Netzwerk zu kartieren — und dann an einem Sonntagabend um 22:30 Uhr zugeschlagen.
Verschlüsselt wurden: der Hauptserver, der Datei-Server, die Buchhaltung, die Auftragsverwaltung — und das NAS, auf dem alle Backups lagen. Die externe USB-Festplatte, die der Geschäftsführer früher freitags mit nach Hause genommen hatte, war seit drei Monaten nicht mehr aus dem Schrank geholt worden.
Drei Monate konnte der Betrieb nicht arbeiten. Aufträge wurden abgesagt, Materiallieferungen mussten gestoppt werden, Lohnabrechnungen lief manuell auf Papier. Der wirtschaftliche Schaden lag im sechsstelligen Bereich — Lösegeld haben sie nicht gezahlt.
Drei Monate komplett alles weg. Alles, was wir geschrieben haben, alles, was wir gemacht haben.
Was hätte den Schaden verhindert? Genau die fünf Punkte oben. Heute hat der Betrieb ein NAS für tägliche Backups, eine Cloud-Replikation in unser Hamburger Rechenzentrum mit Immutable-Schutz, eine wöchentliche Air-Gap-Festplatte im Tresor des Steuerberaters — und einen automatisierten Quartals-Restore-Test, dessen Ergebnis Bernd Kühn jedes Mal per E-Mail bekommt.
Backup für Hamburger Mittelstand: So setzen wir es um
Bei jedem Neukunden in Hamburg, Bremen, Kiel oder Lübeck schauen wir uns das Backup zuerst an. Das ist der wichtigste Punkt der Cyber-Risikoanalyse, die wir vor jedem Vertragsstart machen. In ungefähr 80 Prozent der Fälle finden wir mindestens eines dieser Probleme:
- Backup läuft, aber wurde seit Monaten nicht getestet
- Backup-Medium ist im selben Raum wie der Server (kein Offsite)
- Microsoft 365 hat gar keine Datensicherung — „die liegt ja in der Cloud”
- Backup-Software-Lizenz ist abgelaufen, Jobs schlagen seit Wochen fehl
- Backup-Admin-Account hat das gleiche Passwort wie der Domain-Admin
Unser Standard-Setup für ein KMU mit 10 bis 50 Mitarbeitern sieht inzwischen so aus:
| Komponente | Was | Aufbewahrung |
|---|---|---|
| Lokal | Veeam Backup & Replication auf dediziertem Backup-Server | Serverraum, eigenes VLAN |
| Cloud | Replikation in hagel one backup Hamburg | Hamburg-Rechenzentrum, eigenes Land |
| Microsoft 365 | SkyKick / Cove Data Protection | Drittes Backup für M365-Postfächer, SharePoint, Teams |
| Immutable | Veeam Hardened Repository oder Object Lock | physisch getrennter Server, ransomware-sicher |
| Test | Quartals-Restore in Test-VLAN | automatisiert, dokumentiert |
Das Ganze läuft als Teil unseres Festpreis-Modells — siehe Managed IT Services ab 50 Euro pro Arbeitsplatz und Monat. Backup ist nicht extra, Backup ist die Basis.
Wir haben Kunden, die nehmen einmal pro Woche eine Backup-Festplatte mit nach Hause oder ins Bankschließfach. Das klingt in 2026 altmodisch — aber es ist das ehrlichste Air-Gap, das es gibt. Solange jemand bewusst das Medium umsteckt, kann keine Ransomware der Welt es verschlüsseln. Wir kombinieren das gerne mit modernem Cloud-Immutable: doppelt hält besser.
Was Sie als Geschäftsführer in der nächsten Woche tun sollten
Die meisten Backup-Probleme, die wir sehen, sind keine technischen Probleme. Es sind Aufmerksamkeits-Probleme. Niemand hat sich seit Jahren mal hingesetzt und kritisch gefragt: „Funktioniert unser Backup wirklich, oder hoffen wir nur, dass es funktioniert?” Drei Schritte, die Sie als Geschäftsführer ohne IT-Hintergrund in der nächsten Woche selbst anstoßen können:
- Fragen Sie Ihren IT-Verantwortlichen nach dem letzten Restore-Test. Datum, Ergebnis, betroffene Systeme. Wenn die Antwort „so direkt kann ich das nicht sagen" lautet, haben Sie Ihr erstes Thema gefunden.
- Lassen Sie sich die 3-2-1-1-0-Architektur erklären. Drei Kopien, zwei Medien, eine offsite, eine immutable, null Fehler. Wenn eine dieser Stufen fehlt, ist Ihr Backup unvollständig.
- Buchen Sie ein 15-Minuten-Erstgespräch mit einem unabhängigen IT-Dienstleister, wenn Sie das Bauchgefühl haben, dass etwas nicht stimmt. Eine zweite Meinung zu Backup-Strategie kostet nichts, kann Sie aber im Worst Case ein halbes Jahr Stillstand kosten.
Häufige Einwände — und unsere Antwort
| Einwand | Unsere Erfahrung |
|---|---|
| „Wir haben doch schon ein Backup auf dem NAS.” | Das ist Stufe 1 von 3. Was passiert bei Brand oder Ransomware? |
| „Cloud-Backup ist uns zu unsicher.” | Hamburger Rechenzentrum, DSGVO-konform, AES-256-verschlüsselt. Sicherer als die meisten On-Prem-Lösungen. |
| „Microsoft 365 ist doch redundant.” | Microsoft repliziert die Server. Ihre versehentlich gelöschte Mail von vor 35 Tagen ist trotzdem weg. |
| „Wir sind zu klein für so ein Setup.” | Wir betreuen Kunden ab 5 Mitarbeitern. Gerade bei kleinen Unternehmen tut der Datenverlust am meisten weh. |
| „Das ist uns zu teuer.” | Drei Monate Stillstand kosten sechsstellig. Ein gutes Backup-Setup für 30 MA liegt bei 200 bis 350 Euro pro Monat. |
Backup, das im Ernstfall wirklich rettet — sprechen wir darüber.
15 Minuten. Kostenlos. Ohne Vertriebsdruck. Wir schauen uns Ihre aktuelle Backup-Strategie an und sagen Ihnen ehrlich, wo Sie stehen.
Erstgespräch buchen →Weiterführende Quellen
- BSI: Vorsorge für den Ernstfall — World Backup Day 2026
- IT-Administrator: Warum 3-2-1 nicht mehr ausreicht
- Veeam: Was ist die 3-2-1-Backup-Regel?
- Arete: Ransomware Trends Januar 2026
Weiterlesen auf hagel-it.de:
