Backup-Strategie gegen Ransomware: 3-2-1 Regel für KMU

Q: Was ist die 3-2-1 Backup-Regel?

See section: Was ist die 3-2-1 Backup-Regel?

Q: Warum klassische Backups gegen Ransomware versagen

See section: Warum klassische Backups gegen Ransomware versagen

Q: Warum Backups allein nicht ausreichen: Die Rolle von Red Teaming

See section: Warum Backups allein nicht ausreichen: Die Rolle von Red Teaming

Backup-Strategie gegen Ransomware: Die 3-2-1 Regel für Schweizer KMU

Eine robuste Backup-Strategie ist die letzte Verteidigungslinie gegen Ransomware — doch 35 Prozent der Unternehmen, die Lösegeld bezahlen, erhalten ihre Daten trotzdem nicht vollständig zurück (Sophos State of Ransomware 2024). Das Nationale Zentrum für Cybersicherheit (NCSC) dokumentierte 2023 rund 49’000 Meldungen zu Cybervorfällen in der Schweiz, wobei Ransomware-Angriffe mit durchschnittlichen Wiederherstellungskosten von USD 2,73 Millionen (Sophos 2024, globaler Durchschnitt) zu den kostspieligsten zählten. Wer die 3-2-1 Backup-Regel korrekt umsetzt und regelmässig testet, kann selbst nach einem vollständigen Ransomware-Angriff den Betrieb in Stunden statt Wochen wiederherstellen — vorausgesetzt, die Angreifer haben keinen Zugriff auf die Backups erlangt.

Was ist die 3-2-1 Backup-Regel?

Die 3-2-1 Regel ist der Goldstandard der Datensicherung und stammt ursprünglich aus der Fotografie (Peter Krogh, 2009). Sie ist einfach zu merken und konsequent wirksam:

3 vollständige Kopien Ihrer Daten
2 verschiedene Speichermedien oder -technologien
1 Kopie an einem externen, geografisch getrennten Standort (Offsite)

Für Schweizer KMU, die täglich mit Ransomware-Bedrohungen konfrontiert sind, reicht die klassische 3-2-1 Regel allein jedoch nicht mehr aus. Die Weiterentwicklung — die 3-2-1-1-0 Regel — ergänzt zwei kritische Elemente:

1 zusätzliche unveränderliche (immutable) oder air-gapped Kopie
0 Fehler bei der Backup-Verifizierung (jedes Backup muss erfolgreich validiert werden)

Diese Erweiterung trägt der Tatsache Rechnung, dass moderne Ransomware-Gruppen wie LockBit und BlackCat/ALPHV gezielt Backup-Systeme angreifen, bevor sie die Hauptinfrastruktur verschlüsseln. Mehr dazu, wie solche Angriffe ablaufen, lesen Sie in unserem Artikel über Ransomware as a Service.

Warum klassische Backups gegen Ransomware versagen

Viele KMU glauben, mit einer einfachen Datensicherung auf einer externen Festplatte oder einem NAS-Gerät ausreichend geschützt zu sein. Diese Annahme ist gefährlich falsch.

Problem 1: Netzwerkverbundene Backups werden mitverschlüsselt

Wenn Ihr Backup-Gerät dauerhaft mit dem Unternehmensnetzwerk verbunden ist, behandelt Ransomware es wie jedes andere Laufwerk. Laut einer Studie von Sophos (2024) versuchten Angreifer bei 94 Prozent der von Ransomware betroffenen Unternehmen, die Backup-Daten zu kompromittieren — in 57 Prozent der Fälle erfolgreich.

Problem 2: Backup-Software-Credentials werden gestohlen

Angreifer dringen häufig Wochen oder Monate vor dem eigentlichen Angriff in Systeme ein. In dieser Zeit suchen sie gezielt nach Backup-Zugangsdaten, Cloud-API-Keys und Administratorpasswörtern. Sind diese kompromittiert, können sie Cloud-Backups direkt löschen.

Problem 3: Backup-Integrität wird nie geprüft

Laut einer Umfrage der Zürcher Handelskammer (2022) testen weniger als 30 Prozent der Schweizer KMU ihre Backups regelmässig auf Wiederherstellbarkeit. Ein Backup, das nicht funktioniert, hat keinen Wert — das merken viele erst im Ernstfall.

“Wir sehen immer wieder Unternehmen, die jahrelang Backups erstellt haben, ohne je einen Restore-Test durchzuführen. Im Ernstfall stellt sich dann heraus, dass die Backups korrupt oder unvollständig sind. Das ist eine der häufigsten und tragischsten Situationen in der Incident Response.”

— Stefan Züger, Senior Incident Response Analyst, SWITCH-CERT

Die 5 Backup-Typen für KMU erklärt

1. Vollbackup (Full Backup)

Ein vollständiges Abbild aller Daten. Benötigt am meisten Speicherplatz, bietet aber die schnellste Wiederherstellung. Empfohlen: wöchentlich oder täglich für kritische Systeme.

Vorteil: Einfache Wiederherstellung ohne Abhängigkeiten Nachteil: Hoher Speicherverbrauch, lange Backup-Dauer

2. Inkrementelles Backup

Sichert nur die seit dem letzten Backup (egal welcher Art) geänderten Daten. Sehr speichereffizient, aber die Wiederherstellung erfordert alle inkrementellen Backups seit dem letzten Vollbackup.

Vorteil: Minimaler Speicherverbrauch, schnelle Backup-Erstellung Nachteil: Lange Wiederherstellungszeit, komplexere Abhängigkeitskette

3. Differenzielles Backup

Sichert alle Änderungen seit dem letzten Vollbackup. Guter Kompromiss zwischen Speicherplatz und Wiederherstellungsgeschwindigkeit.

Vorteil: Einfachere Wiederherstellung als inkrementell Nachteil: Wächst mit der Zeit bis zum nächsten Vollbackup

4. Snapshot-Backup

Erstellt einen konsistenten Zustand des Systems zu einem bestimmten Zeitpunkt. Besonders wertvoll für virtuelle Maschinen und Datenbanken. Viele Ransomware-Gruppen löschen allerdings aktiv VSS-Snapshots (Volume Shadow Copies) unter Windows.

Vorteil: Sehr schnell, minimale Auswirkungen auf laufende Systeme Nachteil: Anfällig für Ransomware-Angriffe auf Shadow Copies

5. Kontinuierliche Datensicherung (CDP)

Speichert jede Änderung in Echtzeit. Ermöglicht die Wiederherstellung auf jeden beliebigen Zeitpunkt (Point-in-Time Recovery). Ideal für Unternehmen mit sehr niedrigem RPO (Recovery Point Objective).

Vorteil: Minimaler Datenverlust möglich Nachteil: Hohe Kosten, erheblicher Speicherbedarf

Immutable Backups: Der Schlüssel zur Ransomware-Resistenz

Der Begriff “Immutable Backup” (unveränderliches Backup) bezeichnet Backups, die nach der Erstellung für einen definierten Zeitraum weder verändert noch gelöscht werden können — auch nicht von Administratoren oder bei kompromittierten Anmeldedaten.

Wie funktioniert Unveränderlichkeit?

Moderne Object-Storage-Systeme wie Amazon S3, Azure Blob Storage oder Wasabi implementieren Object Lock nach dem WORM-Prinzip (Write Once, Read Many). Einmal gespeicherte Daten bleiben für die definierte Aufbewahrungszeit unberührbar — selbst wenn ein Angreifer vollständigen Zugriff auf den Cloud-Account erlangt.

Technische Umsetzung für KMU:

Object Lock mit Compliance Mode: Kein Benutzer, kein Administrator kann die Daten löschen — nicht einmal der Cloud-Anbieter auf Anfrage.
Governance Mode: Ermöglicht Ausnahmen für privilegierte Benutzer, bietet aber weniger Schutz.

Empfehlung für Schweizer KMU: Mindestens 30 Tage Aufbewahrungszeitraum für unveränderliche Backups. Dies stellt sicher, dass selbst bei einer verzögerten Entdeckung des Ransomware-Angriffs (globale Median Dwell Time 2023: 10 Tage laut Mandiant M-Trends 2024) saubere Backups verfügbar sind.

Air-Gapped Backups: Physische Trennung als ultimativer Schutz

Ein air-gapped Backup ist physisch vom Netzwerk getrennt. Es gibt keine Netzwerkverbindung, keinen gemeinsamen Benutzeraccount, keine API-Verbindung — schlicht keine Möglichkeit für Ransomware, die Backup-Kopie zu erreichen.

Praktische Air-Gap-Methoden für KMU:

Wechseldatenträger (LTO-Bänder, externe Festplatten): Nach dem Backup wird der Datenträger physisch entfernt und offline gelagert.
WORM-Bänder (Write Once, Read Many): Magnetbänder mit unveränderlichem Schreibschutz, ideal für Langzeitarchivierung.
Offline NAS mit manuellem Verbindungsaufbau: NAS-Gerät wird nur für die Backup-Zeit ans Netzwerk angeschlossen.

Empfohlene Rotation für KMU:

Täglich: Lokales inkrementelles Backup auf NAS
Wöchentlich: Vollbackup auf externe Festplatte, offline gelagert (z.B. im Tresor)
Monatlich: Vollbackup auf LTO-Band oder zweites externes Medium an externem Standort

Cloud-Backup-Optionen für Schweizer KMU

Die Schweizer Datenschutzanforderungen (nDSG) und branchenspezifische Regulierungen können den Einsatz ausländischer Cloud-Dienste einschränken. Hier ein Überblick über die relevantesten Optionen:

Schweizer Cloud-Backup-Anbieter

Anbieter	Standort	Besonderheit	Preis (ca.)
Tresorit	Schweiz/Ungarn	End-to-end verschlüsselt, DSGVO/nDSG-konform	CHF 15–25/Benutzer/Monat
Swisscom Backup	Schweiz	Vollständig in der Schweiz gehostet	CHF 50–200/Monat
Init7 S3	Schweiz	S3-kompatibel, WORM-fähig	CHF 0,03/GB/Monat
Infomaniak kDrive	Schweiz	Einfache Bedienung, günstig	CHF 10–30/Monat

Internationale Anbieter mit Schweiz-Option

Anbieter	Datenstandort	Immutable	Preis (ca.)
Veeam Cloud Connect	Wählbar	Ja	Partnerabhängig
Acronis Cloud	Schweiz-Rechenzentrum	Ja	CHF 8–15/Gerät/Monat
Wasabi	Frankfurt/Amsterdam	Ja (Object Lock)	USD 0,0069/GB/Monat
Backblaze B2	USA/EU	Ja (Object Lock)	USD 0,006/GB/Monat

Hinweis zum nDSG: Bei Personendaten empfehlen wir ausschliesslich Anbieter mit Schweizer oder EU-Datenstandorten. Mehr zu den regulatorischen Anforderungen finden Sie in unserer nDSG-Checkliste für KMU.

Kostenübersicht: Backup-Lösungen für KMU

Die Backup-Kosten hängen stark von der Datenmenge, dem gewünschten RPO/RTO und der Lösung ab. Hier eine realistische Schätzung für ein KMU mit 50 Mitarbeitern und 5 TB Datenmenge:

Lösung	Setup-Kosten (einmalig)	Laufende Kosten (jährlich)	Bewertung
Externe Festplatten (3 Stück)	CHF 300–600	CHF 0	Basisschutz, manuell
NAS (Synology/QNAP)	CHF 800–2’000	CHF 50–200 (Ersatzteile)	Gut für lokales Backup
NAS + Cloud (Hybrid)	CHF 800–2’000	CHF 500–1’500	Empfohlen für KMU
Professionelle Backup-Software (Veeam, Acronis)	CHF 500–2’000	CHF 1’000–3’000	Beste Kontrolle
Managed Backup Service	CHF 0–500	CHF 2’000–8’000	Für IT-arme KMU ideal
Vollständige Backup-Suite mit Immutable Cloud	CHF 1’500–3’000	CHF 2’000–6’000	Maximaler Schutz

Wichtige Erkenntnis: Die Kosten einer guten Backup-Lösung (CHF 2’000–8’000/Jahr) sind minimal im Vergleich zu den durchschnittlichen Ransomware-Kosten für Schweizer KMU, die laut IBM Cost of a Data Breach Report 2024 bei USD 4,88 Millionen pro Vorfall liegen.

Backup-Statistiken: Was Schweizer KMU wissen müssen

35% der Unternehmen, die Lösegeld bezahlen, erhalten ihre Daten nicht vollständig zurück — nur 65% erhielten alle Daten (Sophos State of Ransomware 2024)
94% der Ransomware-Angriffe zielen auf Backup-Daten, in 57% der Fälle erfolgreich (Sophos 2024)
10 Tage beträgt die globale Median Dwell Time — die Zeit zwischen Eindringen und Entdeckung (Mandiant M-Trends 2024)
USD 2,73 Mio. durchschnittliche Wiederherstellungskosten nach einem Ransomware-Angriff, globaler Durchschnitt ohne Lösegeldzahlung (Sophos State of Ransomware 2024)

Recovery Point Objective (RPO) und Recovery Time Objective (RTO) für KMU

Bevor Sie eine Backup-Strategie implementieren, müssen Sie zwei Schlüsselfragen beantworten:

RPO (Recovery Point Objective): Wie viel Datenverlust kann Ihr Unternehmen tolerieren?

Ein RPO von 24 Stunden bedeutet: Sie können maximal die Daten eines Tages verlieren.
Ein RPO von 1 Stunde erfordert häufigere Backups und CDP-Lösungen.

RTO (Recovery Time Objective): Wie schnell muss Ihr System nach einem Angriff wieder laufen?

Ein RTO von 4 Stunden ist für die meisten KMU erreichbar mit guter Planung.
Ein RTO von 1 Stunde erfordert Hot-Standby-Systeme und vorbereitete Wiederherstellungsverfahren.

Praktische Empfehlung für Schweizer KMU nach Grösse:

Unternehmensgrösse	Empfohlenes RPO	Empfohlenes RTO	Backup-Häufigkeit
10–25 Mitarbeiter	24 Stunden	8 Stunden	Täglich + wöchentlich
25–100 Mitarbeiter	4–8 Stunden	4 Stunden	Stündlich + täglich
100–250 Mitarbeiter	1–4 Stunden	2 Stunden	CDP + stündlich

Schritt-für-Schritt: Backup-Strategie für KMU implementieren

Schritt 1: Datenkatalog erstellen

Bevor Sie Backups einrichten, müssen Sie wissen, welche Daten Sie haben und wo sie sich befinden. Erstellen Sie eine einfache Tabelle:

Welche Systeme enthalten kritische Geschäftsdaten?
Welche Daten sind gesetzlich besonders schützenswert (Kundendaten, Finanzdaten)?
Wie gross ist das gesamte Datenvolumen?
Welche Systeme müssen zuerst wiederhergestellt werden?

Schritt 2: Backup-Infrastruktur aufbauen

Implementieren Sie die 3-2-1-1-0 Regel:

Lokales NAS für schnelle Wiederherstellung (Kopie 1 und 2)
Cloud-Backup mit Object Lock / unveränderlichem Speicher (Kopie 3 — Offsite)
Wöchentliches Air-Gap-Backup auf externe Festplatte oder LTO-Band (Kopie 4 — Offsite, disconnected)

Schritt 3: Backup-Software konfigurieren

Empfohlene Software für Schweizer KMU:

Veeam Backup & Replication: Industriestandard, exzellente VMware/Hyper-V-Integration
Acronis Cyber Protect: All-in-one Backup + Endpoint Protection
Synology Active Backup: Kostenlos für Synology NAS-Besitzer
Restic + Backblaze B2: Open-Source-Alternative für technisch versierte Teams

Schritt 4: Backup-Verschlüsselung aktivieren

Alle Backups sollten verschlüsselt sein — lokal und in der Cloud. Nutzen Sie AES-256-Verschlüsselung mit sicher aufbewahrten Schlüsseln. Wichtig: Schlüssel nicht auf demselben System wie die Backups speichern. Drucken Sie den Wiederherstellungsschlüssel aus und bewahren Sie ihn physisch in einem Tresor auf.

Schritt 5: Backup-Konten isolieren

Erstellen Sie dedizierte Backup-Konten mit minimalen Rechten:

Backup-Dienstkonto darf nur schreiben, nicht löschen
Kein Backup-Konto hat Admin-Rechte auf Produktionssystemen
Cloud-API-Keys für Backups werden separat verwaltet und regelmässig rotiert

Schritt 6: Wiederherstellungstests planen und durchführen

Dies ist der am häufigsten übersprungene und wichtigste Schritt. Planen Sie:

Monatlich: Wiederherstellung einzelner Dateien aus dem Backup
Quartalsweise: Vollständige Systemwiederherstellung in einer Testumgebung
Jährlich: Vollständige Disaster-Recovery-Übung inklusive aller Systeme

Dokumentieren Sie jede Testwiederherstellung mit Zeitstempel, getesteten Daten und Wiederherstellungszeit.

Warum Backups allein nicht ausreichen: Die Rolle von Red Teaming

“Ein Backup schützt Sie vor dem Datenverlust — aber es schützt Sie nicht vor dem Angriff selbst. Viele Unternehmen sind erschüttert, wenn sie erfahren, dass ihre Backup-Systeme seit Wochen kompromittiert waren und sie dies nicht bemerkt haben. Backups sind notwendig, aber erst ein vollständiger Sicherheitstest zeigt, ob Ihr Backup wirklich erreichbar ist, wenn Sie es brauchen.”

— Marc Ruef, Cybersecurity Researcher, scip AG, Zürich

Eine Backup-Strategie, egal wie gut geplant, löst nur einen Teil des Problems. Ransomware-Gruppen sind heute hochprofessionell — sie verbringen Wochen in Ihrem Netzwerk, bevor sie zuschlagen. In dieser Zeit können sie:

Backup-Zugangsdaten stehlen und Cloud-Backups löschen
Backup-Software deinstallieren oder deaktivieren
Schadsoftware in Backup-Dateien einschleusen (vergiftete Backups)
Shadow Copies und VSS-Snapshots entfernen
Backup-Server verschlüsseln, bevor die eigentliche Attacke startet

Nur ein echter Angriffstest zeigt Lücken

Red Teaming simuliert genau diese Angreiferstrategien. Ein Red Team versucht — wie echte Kriminelle — Zugang zu Ihrem Netzwerk zu erlangen und dabei Ihre Backups zu kompromittieren. So erfahren Sie, bevor ein echter Angreifer es tut:

Sind Ihre Backup-Systeme aus dem Netzwerk erreichbar?
Können kompromittierte Benutzerkonten Backups löschen?
Sind Ihre Air-Gap-Massnahmen wirklich luftdicht?
Funktioniert die Backup-Überwachung und Alerting?

Der Unterschied zwischen einem Penetrationstest und Red Teaming liegt in der Tiefe: Während ein Pentest spezifische Schwachstellen testet, simuliert Red Teaming einen vollständigen, mehrstufigen Angriff — genau wie ihn echte Ransomware-Gruppen durchführen würden.

Mehr zu den konkreten Angriffsmethoden, die Ihre Backups bedrohen, lesen Sie in unserem Artikel über Ransomware as a Service und was Sie über Ransomware-Notfallplanung wissen müssen.

Häufige Fehler bei der KMU-Backup-Strategie

Fehler 1: Backups ohne Verschlüsselung Unverschlüsselte externe Festplatten können gestohlen werden. Aktivieren Sie immer AES-256-Verschlüsselung.

Fehler 2: Backup-Konten mit zu vielen Rechten Ein Backup-Dienstkonto mit Domain-Admin-Rechten ist eine Katastrophe in Wartestellung. Minimale Rechte sind Pflicht.

Fehler 3: Keine Überwachung der Backup-Jobs Wenn ein Backup-Job still versagt, erfährt niemand davon — bis zur Katastrophe. Richten Sie Alerting für fehlgeschlagene Backups ein.

Fehler 4: Backups am gleichen Standort wie Produktionssysteme Brand, Überflutung oder physischer Einbruch können beide vernichten. Offsite-Backup ist nicht optional.

Fehler 5: Backup-Passwörter in Passwortmanagern auf Produktionsservern Wenn der Server verschlüsselt ist, kommen Sie nicht an den Passwortmanager. Backup-Zugangsdaten gehören in einen physischen Tresor oder ein separates, isoliertes System.

Fehler 6: Zu kurze Aufbewahrungszeiten Wenn Ransomware 30 Tage unentdeckt bleibt und Ihre Backups nur 7 Tage aufbewahren, haben Sie keine saubere Kopie mehr. Mindestens 30 Tage, besser 90 Tage für kritische Daten.

Backup-Compliance: Was Schweizer KMU rechtlich beachten müssen

Das revidierte Datenschutzgesetz (nDSG), das seit September 2023 gilt, stellt erhöhte Anforderungen an die Datensicherheit. Backups müssen:

Personendaten verschlüsselt speichern
Zugriffskontrollen und Protokollierung implementieren
Bei grenzüberschreitender Datenspeicherung die Anforderungen für internationale Datentransfers erfüllen
Im Rahmen eines Datenschutz-Managementsystems dokumentiert sein

Für regulierte Branchen (Finanzdienstleistungen, Gesundheitswesen) gelten zusätzliche Anforderungen. Die vollständige Übersicht finden Sie in unserer nDSG-Checkliste für KMU.

Fazit

Eine solide Backup-Strategie nach der 3-2-1-1-0 Regel ist für Schweizer KMU nicht optional — sie ist existenziell. Die wichtigsten Massnahmen im Überblick:

Drei Kopien Ihrer kritischen Daten auf zwei verschiedenen Medien
Eine Offsite-Kopie in der Cloud mit unveränderlichem Speicher (Object Lock)
Eine air-gapped Kopie auf einem physisch getrennten Medium
Regelmässige Restore-Tests — mindestens quartalsweise
Isolierte Backup-Konten mit minimalen Rechten
Mindestens 30 Tage Aufbewahrungszeit für alle Backups

Denken Sie daran: Backups sind die letzte Verteidigungslinie. Aber Angreifer wissen das auch — und greifen Backups aktiv an. Nur wenn Sie regelmässig testen, ob Ihre Backups in einem echten Angriffsszenario standhaltend, können Sie sicher sein.

Lassen Sie Ihre Backup-Strategie durch ein Red Team testen, bevor es echte Angreifer tun. Unser Red Teaming für Schweizer KMU simuliert genau die Angriffsvektoren, die Ihre Backups bedrohen — und liefert konkrete, umsetzbare Empfehlungen. Kontaktieren Sie uns für eine unverbindliche Erstberatung und erfahren Sie, wie sicher Ihre Datensicherung wirklich ist.

Weiterführende Lektüre:

Quellen

Sophos State of Ransomware 2024 – 65% erhielten Daten vollständig zurück; USD 2,73 Mio. durchschnittliche Wiederherstellungskosten
Sophos: The Impact of Compromised Backups on Ransomware Outcomes – 94% Backup-Kompromittierungsversuche, 57% erfolgreich
NCSC Halbjahresbericht 2023/2 – Rund 49’000 Meldungen zu Cybervorfällen 2023
Mandiant M-Trends 2024 – Globale Median Dwell Time 10 Tage
IBM Cost of a Data Breach Report 2024 – USD 4,88 Mio. durchschnittliche Kosten einer Datenpanne