Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist die 3-2-1-Backup-Strategie? Beispiele & Best Practices
Cybersecurity 101/Cybersecurity/3-2-1-Backup-Strategie

Was ist die 3-2-1-Backup-Strategie? Beispiele & Best Practices

Die 3-2-1-Backup-Strategie erfordert drei Datenkopien auf zwei Medientypen, wobei eine Kopie extern aufbewahrt wird. Erfahren Sie mehr über moderne Varianten und Best Practices zur Abwehr von Ransomware.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist die 3-2-1-Backup-Strategie?
Wie die 3-2-1-Backup-Strategie mit Cybersecurity zusammenhängt
Kernkomponenten der 3-2-1-Backup-Strategie
Moderne Varianten: Warum 3-2-1 allein nicht ausreicht
3-2-1-Backup-Strategie-Architektur
Wie implementiert man eine 3-2-1-Backup-Strategie?
Schritt 1: Kritische Daten identifizieren und klassifizieren
Schritt 2: Zwei unterschiedliche Speichermedien auswählen
Schritt 3: Externe Kopie einrichten
Schritt 4: Automatisieren und überwachen
Schritt 5: Wiederherstellungen testen und Ergebnisse dokumentieren
Zentrale Vorteile der 3-2-1-Backup-Strategie
Herausforderungen und Einschränkungen der 3-2-1-Backup-Strategie
Häufige Fehler bei der 3-2-1-Backup-Strategie
Best Practices für die 3-2-1-Backup-Strategie
Wie Ransomware Backup-Infrastrukturen angreift
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist das Purdue-Modell? Definition, Ebenen & Best Practices
  • Was ist ein Secure Web Gateway (SWG)? Netzwerkschutz erklärt
  • Was ist OS Command Injection? Ausnutzung, Auswirkungen & Abwehr
  • Malware-Statistiken
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: May 25, 2026

Was ist die 3-2-1-Backup-Strategie?

Die 3-2-1-Backup-Strategie, auch als 3-2-1-Backup-Regel bezeichnet, ist ein Datenschutzrahmen, der auf drei Regeln basiert: Halten Sie 3 Kopien Ihrer Daten vor, speichern Sie diese auf 2 verschiedenen Medientypen und bewahren Sie 1 Kopie extern auf. Peter Krogh hat das Konzept im Buch The DAM Book: Digital Asset Management for Photographers (O'Reilly Media, 2009) formalisiert und bestehende Best Practices in einen einprägsamen, umsetzbaren Rahmen gefasst. Der Backup-Leitfaden der CISA nennt sie als kanonischen Backup-Standard, und das NIST CSF bekräftigt ihre Prinzipien durch die Kontrolle PR.DS-11: „Backups von Daten werden erstellt, geschützt, gepflegt und getestet.“

Der Rahmen stammt ursprünglich aus der Fotografie, nicht aus der IT, was seine technologieunabhängige Universalität unterstreicht. Doch Universalität hat Grenzen. Das traditionelle 3-2-1 wurde für Hardwareausfälle und Standortkatastrophen entwickelt, nicht für gezielte Angriffe auf Backup-Infrastrukturen. Ransomware-Akteure suchen heute gezielt nach Backups, zerstören Wiederherstellungsoptionen, bevor sie eine Zahlung fordern. Dieser Wandel hat moderne Varianten hervorgebracht, die es zu verstehen gilt, bevor Sie einen Implementierungspfad wählen.

Wie die 3-2-1-Backup-Strategie mit Cybersecurity zusammenhängt

Backup-Strategien waren früher Aufgabe des IT-Betriebs. Ransomware hat sie auf den Schreibtisch des Sicherheitsteams verlagert.

NIST SP 800-209 warnt ausdrücklich, dass Ransomware sich weiterentwickelt hat und nun auch andere Speicherkomponenten wie NAS und Backup-Appliances umfasst, was den Diebstahl von Zugangsdaten, Privilegienerweiterung, Datenkorruption, -verlust oder -veränderung sowie die Kompromittierung zukünftiger Backups ermöglicht. Wenn Angreifer Ihre Backup-Infrastruktur kompromittieren, entscheidet die 3-2-1-Strategie über einen wiederherstellbaren Vorfall oder einen verlängerten Ausfall.

Ein Bericht über einen Ransomware-Vorfall beschrieb Techniken zur Backup-Zerstörung als gezielte Vorgehensweise, die innerhalb des Ransomware-Ökosystems geteilt wird. Ihre Backups sind kein Sicherheitsnetz mehr. Sie sind ein primäres Angriffsziel, und Ihre Backup-Strategie ist eine Sicherheitskontrolle. Das Verständnis jeder Komponente des Rahmens ist der erste Schritt zur Verteidigung.

Kernkomponenten der 3-2-1-Backup-Strategie

Jede Komponente des 3-2-1-Rahmens adressiert einen spezifischen Ausfallmodus. Der Backup-Optionen-Leitfaden der CISA und die NCCoE-Backup-Standards definieren alle drei formal:

  • Drei Kopien der Daten (1 Primär + 2 Backups) Sie eliminieren Single Points of Failure in allen Szenarien. Wenn ein Backup beschädigt oder gelöscht wird, bleibt eine zweite unabhängige Kopie erhalten. Dies ist Ihre Basis-Redundanz.
  • Zwei verschiedene Medientypen Sie speichern Kopien auf unterschiedlichen Speichertechnologien, etwa einem Festplatten-Array und Cloud-Objektspeicher oder SSD und Band. Ein Ausfall des RAID-Arrays betrifft nicht Ihre Bandbibliothek. Ein Ausfall des Cloud-Anbieters berührt nicht Ihren lokalen Speicher. Medienvielfalt schützt vor technologiespezifischen Katastrophen.
  • Eine externe Kopie Mindestens eine Kopie befindet sich an einem geografisch getrennten Standort vom Primärstandort. Brand, Überschwemmung, physischer Diebstahl oder Ransomware, die sich seitlich im Netzwerk ausbreitet, können alles an einem Standort zerstören. Geografische Trennung begrenzt diesen Schaden.

Diese drei Komponenten bilden die Basis, aber moderne Angriffsmuster haben Lücken aufgezeigt, die der ursprüngliche Rahmen nie adressieren sollte.

Moderne Varianten: Warum 3-2-1 allein nicht ausreicht

Die traditionelle 3-2-1-Backup-Regel geht von versehentlichen, nicht von gezielten Ausfällen aus. Moderne Ransomware-Akteure greifen gezielt Backup-Repositories an, löschen Schattenkopien und kompromittieren Backup-Admin-Zugangsdaten. Drei Varianten adressieren diese Lücke:

  • 3-2-1-1-0 (Enterprise-Standard) Fügt eine unveränderliche oder air-gapped Kopie hinzu und null Fehler durch verifizierte Wiederherstellungstests. Diese Variante wird in modernen Backup-Leitfäden als stärkerer Enterprise-Ansatz empfohlen. Die „0“ erfordert Backup-Monitoring und regelmäßige Wiederherstellungstests, damit Sie nie erst während eines Vorfalls ein beschädigtes Backup entdecken.
  • 3-2-1-1 (Zwischenlösung) Fügt eine Offline- oder unveränderliche Kopie hinzu, jedoch ohne die verpflichtende Verifikationstests von 3-2-1-1-0. Es ist ein praktikabler Zwischenschritt für Teams, die mehr Ransomware-Resilienz benötigen, ohne die volle operative Komplexität.
  • 4-3-2 (Fokus auf geografische Resilienz) Hält insgesamt vier Kopien an drei Standorten mit zwei Kopien extern auf separaten Netzwerken. Diese Variante priorisiert geografische Verteilung und mehrere Wiederherstellungswege für Geschäftskontinuität und unterscheidet sich damit vom Immutabilitätsfokus von 3-2-1-1-0.
VarianteHauptvorteilZentrale Abwägung
3-2-1Einfachheit, NIST/CISA-empfohlenUnzureichend gegen Ransomware, die Backups angreift
3-2-1-1Fügt Offline-Schutz hinzuKeine verifizierte Wiederherstellungssicherheit
3-2-1-1-0Immutabilität + VerifikationHöchste Implementierungskosten und operative Komplexität
4-3-2Maximale Resilienz gegen standortbezogene KatastrophenKomplexität der geografischen Logistik

Die Wahl einer Variante hängt von Ihrem Risikoprofil und der operativen Reife ab. Der nächste Abschnitt zeigt, wie die Strategie praktisch umgesetzt wird.

3-2-1-Backup-Strategie-Architektur

Die Implementierung umfasst drei Ebenen: Speicherarchitektur, Schutzmaßnahmen und Verifizierungsprozesse.

  • Ebene 1: Speicherarchitektur Sie betreiben Ihre Primärdaten in der Produktion, ein erstes Backup auf lokalem oder netzgebundenem Speicher für schnelle Wiederherstellung und ein zweites Backup an einem geografisch getrennten Standort. Jede Ebene dient einem anderen Wiederherstellungsszenario: Lokale Backups stellen einzelne Dateien schnell wieder her, externe Backups ermöglichen die Wiederherstellung nach standortweiten Katastrophen.
  • Ebene 2: Schutzmaßnahmen Jede Kopie benötigt unabhängige Zugriffskontrollen. Laut CISA-Ransomware-Leitfaden versuchen moderne Ransomware-Akteure „Backup-Snapshots zu löschen, Backup-Repositories zu verschlüsseln, Backup-Software zu deaktivieren [und] auf Cloud-Backup-Systeme mit kompromittierten Zugangsdaten zuzugreifen.“ Gemeinsame Zugangsdaten für alle Backup-Standorte bedeuten, dass ein kompromittiertes Konto Angreifern Zugriff auf jede Kopie gewährt.

Bei 3-2-1-1-0-Implementierungen verwendet die unveränderliche Kopie Aufbewahrungssperren, die Änderungen oder Löschungen für festgelegte Zeiträume verhindern. Air-gapped-Kopien erfordern physische oder logische Netzwerktrennung mit strikten Prozesskontrollen, wann die Trennung für Datentransfers überbrückt wird.

  • Ebene 3: Verifikation CISA-Verteidigungsleitfaden empfiehlt, zu überprüfen, dass Ihr Team Daten für mindestens sieben Tage Betriebszeit wiederherstellen kann. Monatliche Datei-Wiederherstellungstests, vierteljährliche Applikationswiederherstellungen und jährliche Failover-Übungen für die gesamte Umgebung bilden einen praxisnahen Testzyklus. Das „0“ in 3-2-1-1-0 existiert, weil ungetestete Backups im Krisenfall keine zuverlässige Wiederherstellung bieten.

Die Singularity Platform von SentinelOne ergänzt hier eine zusätzliche Verteidigungsebene. Ihre verhaltensbasierte KI überwacht kontinuierlich Vorgänge auf geschützten Endpunkten und ermöglicht Ransomware-Rollback-Wiederherstellung auf Vor-Infektionszustände. Der Agent schützt die Windows Volume Shadow Copy Service (VSS)-Infrastruktur, die von Ransomware-Varianten häufig vor der Verschlüsselung gelöscht wird.

Mit den Implementierungsebenen an Ort und Stelle folgt der nächste Schritt: die Strategie in die Praxis umzusetzen.

Wie implementiert man eine 3-2-1-Backup-Strategie?

Der Übergang vom Konzept zur Produktion erfordert eine strukturierte Einführung. Die folgenden Schritte führen durch eine praxisnahe Implementierungssequenz – von der Planung bis zur Validierung.

Schritt 1: Kritische Daten identifizieren und klassifizieren

Beginnen Sie mit einer Bestandsaufnahme der Daten, ohne die Ihr Unternehmen nicht arbeiten kann. Dazu gehören Produktionsdatenbanken, Applikationskonfigurationen, Authentifizierungsdaten, Verschlüsselungsschlüssel und Wiederherstellungsdokumentation. Klassifizieren Sie die Daten nach geschäftlicher Kritikalität, um für jede Stufe die passende Backup-Frequenz und Aufbewahrungsdauer festzulegen. Nicht alles benötigt stündliche Snapshots; die Abstimmung der Backup-Kadenz auf tatsächliche RTO- und RPO-Anforderungen vermeidet sowohl Überprovisionierung als auch Lücken.

Schritt 2: Zwei unterschiedliche Speichermedien auswählen

Wählen Sie zwei Speichertechnologien mit unabhängigen Ausfallmodi. Häufige Kombinationen sind:

  • Lokale Festplatte oder NAS + Cloud-Objektspeicher: Schnelle lokale Wiederherstellung mit geografischer Trennung über die Cloud
  • SSD + Band (WORM): Schnelles primäres Backup mit physisch offline gehaltener Sekundärkopie
  • On-Premises-Array + zweiter Cloud-Anbieter: Multi-Cloud-Redundanz gegen Kompromittierung eines einzelnen Anbieters

Ziel ist, sicherzustellen, dass ein Ausfall eines Mediums – sei es hardware-, software- oder zugangsdatenbasiert – das andere nicht betrifft.

Schritt 3: Externe Kopie einrichten

Ihre externe Kopie muss geografisch und logisch vom Primärstandort getrennt sein. Cloud-Backup in eine andere Region oder zu einem anderen Anbieter erfüllt diese Anforderung, sofern es als echtes geplantes Backup und nicht als Echtzeit-Synchronisierung konfiguriert ist. Für Organisationen, die 3-2-1-1-0 verfolgen, wird hier auch unveränderlicher Speicher mit Aufbewahrungssperren und unabhängigen Zugangsdaten eingerichtet.

Schritt 4: Automatisieren und überwachen

Manuelle Backup-Prozesse versagen unter operativem Druck. Automatisieren Sie Backup-Planung, Aufbewahrung und Alarmierung bei fehlgeschlagenen Jobs. Überwachen Sie Anomalien auf Backup-Volumes: Unerwartete Verschlüsselungsaktivität, Massenänderungen von Dateien oder Zugriffe von Nicht-Backup-Konten deuten auf eine mögliche Kompromittierung hin. Der CISA-Ransomware-Leitfaden warnt ausdrücklich, dass Angreifer Backup-Software und Zugangsdaten ins Visier nehmen – die Überwachung Ihrer Backup-Infrastruktur ist ebenso wichtig wie die Überwachung der Produktionssysteme.

Schritt 5: Wiederherstellungen testen und Ergebnisse dokumentieren

Ein Backup, das nie wiederhergestellt wurde, ist eine Annahme, keine Kontrolle. Führen Sie monatliche Datei-Wiederherstellungen, vierteljährliche Applikationswiederherstellungen und jährliche Failover-Tests der gesamten Umgebung durch. Dokumentieren Sie die tatsächlichen Wiederherstellungszeiten jeder Übung, damit Ihre RTO-Ziele der Realität entsprechen und nicht nur Schätzungen sind.

Mit einer funktionierenden Implementierung bietet die Strategie mehrere konkrete Vorteile für Organisationen, die sowohl mit versehentlichem als auch mit gezieltem Datenverlust konfrontiert sind.

Zentrale Vorteile der 3-2-1-Backup-Strategie

Eine korrekt implementierte 3-2-1-Backup-Strategie bietet messbare Vorteile in den Bereichen Wiederherstellung, Compliance und operative Resilienz.

  • Ransomware-Wiederherstellung ohne Lösegeldzahlung: Organisationen mit geeigneter Backup-Architektur sind besser in der Lage, verschlüsselte Daten wiederherzustellen, ohne auf Lösegeldzahlungen angewiesen zu sein. Validierte Backups bieten einen Wiederherstellungsweg, der nicht von der Kooperation der Angreifer abhängt.
  • Defense-in-Depth gegen Infrastrukturkompromittierung: Hybride Backup-Architekturen, die lokale und Cloud-Speicher kombinieren, erhalten die Wiederherstellungsfähigkeit, selbst wenn eine Umgebung vollständig kompromittiert ist. Lokale Backups ermöglichen schnelle Wiederherstellung bei alltäglichen Vorfällen, während Cloud-Backups geografische Trennung für Katastrophenszenarien bieten.
  • Compliance- und Audit-Konformität: Die 3-2-1-Struktur lässt sich direkt auf das NIST CSF abbilden und unterstützt grundlegende Datenschutzanforderungen. Diese Abbildung kann die Audit-Vorbereitung und Compliance-Berichterstattung vereinfachen.
  • Reduzierung von Cloud-Anbieter-Lock-in: Multi-Cloud-Backup-Architekturen verringern Ihre Abhängigkeit von Sicherheitsvorfällen bei einzelnen Anbietern. Der CISA-Backup-Leitfaden empfiehlt Multi-Cloud-Lösungen, um Szenarien abzusichern, in denen alle Konten eines Anbieters betroffen sind.
  • RTO/RPO-Management über verteilte Betriebsumgebungen hinweg: Lokale Kopien ermöglichen schnelle Wiederherstellung bei Routinevorfällen, während externe Kopien die Wiederherstellungsfähigkeit bei Katastrophen erhalten. Dieser gestufte Ansatz ermöglicht es, die RTO- und RPO-Anforderungen an die tatsächliche geschäftliche Kritikalität anzupassen, anstatt einen einheitlichen Standard auf alle Workloads anzuwenden.

Diese Vorteile verstärken sich, wenn sie mit modernen Varianten wie 3-2-1-1-0 kombiniert werden, die Immutabilität und verifizierte Wiederherstellung zum Basisrahmen hinzufügen.

Herausforderungen und Einschränkungen der 3-2-1-Backup-Strategie

Das 3-2-1-Rahmenwerk bietet einen starken Basisschutz, weist jedoch Einschränkungen auf, die moderne Umgebungen offenlegen.

  • Ransomware zerstört aktiv Backups Die größte Einschränkung ist die gezielte Angriffsführung. Angreifer versuchen routinemäßig, Backups zu beschädigen oder zu löschen, um Wiederherstellungsoptionen zu eliminieren. Das traditionelle 3-2-1 bietet keinen spezifischen Schutz gegen dieses Muster. Wenn Ihre Backups mit den Produktionssystemen verbunden bleiben, können Angreifer sie kompromittieren, bevor die Incident Response beginnt.
  • Backup-Infrastruktur ist eine Angriffsfläche Backup-Tools weisen eigene Schwachstellen auf. Ein CISA-Sicherheitsbulletin dokumentiert CVE-2025-68435, eine Authentifizierungsumgehung in Backup-Software, bei der Authentifizierungs-Middleware nicht korrekt auf API-Endpunkte angewendet wird. Sie müssen das gleiche Schwachstellenmanagement auf Backup-Software anwenden wie auf jedes andere Unternehmenssystem.
  • Cloud-Synchronisierung ist kein Backup Cloud-Synchronisierungsdienste erfüllen nicht die Anforderung einer externen Kopie. Ständige Synchronisierung bedeutet, dass bei Verschlüsselung der Primärdaten durch Ransomware beide Datensätze verschlüsselt werden. Dieses Missverständnis erzeugt falsche Sicherheit ohne tatsächlichen Schutz.
  • Immutabilität und Compliance-Konflikte Anforderungen an Datenaufbewahrung und -löschung können mit Immutabilitätskonfigurationen kollidieren. Vor der Implementierung von cloudbasiertem unveränderlichem Speicher in regulierten Umgebungen kann eine rechtliche Prüfung erforderlich sein, um Datenschutzpflichten mit Aufbewahrungssperren abzugleichen.

Diese Einschränkungen sind beherrschbar, aber ihre Ignorierung schafft Lücken, die Angreifer ausnutzen. Über die inhärenten Grenzen der Strategie hinaus führen Implementierungsfehler zu zusätzlichem Risiko.

Häufige Fehler bei der 3-2-1-Backup-Strategie

Auch gut gemeinte Backup-Implementierungen scheitern, wenn Teams einige typische Fehler wiederholen. Die Vermeidung dieser Fehler schließt die Lücken, auf die Ransomware-Akteure angewiesen sind.

  • Geteilte Zugangsdaten für alle Backup-Standorte: Ein einziges kompromittiertes Konto gewährt Zugriff auf jede Kopie und macht die geografische Diversifizierung zunichte. Backup-System-Zugangsdaten sollten getrennt von Produktionszugangsdaten verwaltet werden.
  • Netzwerkgebundener Speicher als „extern“ behandeln: Ein Backup-Server im selben Netzwerk ist nicht extern. Ransomware, die sich seitlich ausbreitet, erreicht netzwerknahe Speicher. Sie benötigen echte Netzwerk- und geografische Trennung – also separate Einrichtungen, nicht nur separate Server im selben Rechenzentrum.
  • Wiederherstellungen nie testen: Eine Expertenkritik in einem SANS-Newsletter stellte fest, dass die traditionelle 3-2-1-Kopienstrategie keine Wiederherstellung innerhalb von Stunden oder Tagen für geschäftskritische Anwendungen ermöglicht. Wenn Sie nie eine vollständige Wiederherstellung getestet haben, haben Sie keine Backup-Strategie, sondern eine Hoffnungsstrategie.
  • Nur inkrementelle Backup-Ketten betreiben: Die Beschädigung oder Löschung eines einzelnen inkrementellen Backups unterbricht die gesamte Wiederherstellungskette. Regelmäßige Vollbackups sind erforderlich, um einen Totalausfall der Kette zu verhindern.
  • Überprivilegierte Backup-Konten: Laut CISA-Backup-Leitfaden werden Backup-Konten mit Domain-Admin-Rechten zu attraktiven Zielen. Root-Accounts dürfen nicht für tägliche Backup-Operationen verwendet werden. Wenden Sie Zero-Trust-Prinzipien an: Nur minimal notwendige Rechte.
  • Backup-Software-Patches ignorieren: Backup-Infrastruktur weist CVEs auf wie jede andere Software. Behandeln Sie Backup-Management-Konsolen mit der gleichen Patch-Dringlichkeit wie Ihre Endpoint Security.
  • Wiederherstellungsabhängigkeiten vom Backup-Umfang ausschließen: NIST-Backup-Richtlinien verlangen, dass Backup-Pläne Passwörter, digitale Zertifikate, Verschlüsselungsschlüssel und andere Informationen umfassen, die für eine schnelle Wiederaufnahme des Betriebs erforderlich sind. Daten zu sichern, ohne die Schlüssel zur Entschlüsselung zu sichern, führt zum gleichen Ergebnis wie kein Backup.

Jeder dieser Fehler verringert den effektiven Schutz Ihrer 3-2-1-Architektur. Die folgenden Best Practices adressieren sie direkt.

Best Practices für die 3-2-1-Backup-Strategie

Diese sechs Maßnahmen härten Ihre 3-2-1-Implementierung gegen sowohl versehentliche Ausfälle als auch gezielte Angriffe auf die Backup-Infrastruktur ab.

  1. Unveränderlichen Speicher mit Aufbewahrungssperren einsetzen Gehärtete Backup-Repositories sollten Einmal-Zugangsdaten, deaktivierten Root-Zugang und Entfernung unnötiger Protokolle verwenden. Ziel ist ein Repository, das selbst bei kompromittiertem Management-Server schwer zu verändern ist.
  2. Air-gapped-Kopien etablieren NIST-Backup-Leitfaden empfiehlt, Backup-Dateien offline mit Update-Intervallen zu sichern, die RPO- und RTO-Anforderungen erfüllen. Physische Air-Gap und logische Isolation mit strikten Zugriffskontrollen sind beide gültige Umsetzungen.
  3. Alles verschlüsseln, Wiederherstellungsrechte einschränken Verschlüsseln Sie alle Backup-Daten im Ruhezustand und während der Übertragung. Kritisch ist, Wiederherstellungsrechte restriktiver zu vergeben als Backup-Rechte. Wenn Angreifer Schreibzugriff erlangen, können strengere Wiederherstellungsrechte die Datenextraktion erschweren.
  4. Verhaltensbasierte Überwachung der Backup-Infrastruktur implementieren Die Singularity Platform von SentinelOne erkennt Verhaltensanomalien auf Backup-Volumes in Echtzeit und stoppt Ransomware bei der Ausführung, bevor sie Backup-Dateien erreicht.
  5. Offline-Wiederherstellungsdokumentation pflegen NIST IR 8374 fordert, dass Reaktionspläne offline existieren müssen, da der Vorfall den Zugriff auf digitale Kopien im Zielnetzwerk eliminieren kann. Gedruckte oder auf verschlüsselten USB-Sticks gespeicherte Wiederherstellungsanleitungen sind eine legitime Resilienzmaßnahme.
  6. Medien und Anbieter diversifizieren Verwenden Sie eine Mischung aus Festplatte, Cloud-Objektspeicher und Write-Once-Read-Many (WORM)-Band über mehrere Anbieter hinweg. WORM-Band bleibt speziell deshalb relevant, weil es standardmäßig physisch offline ist. Multi-Provider-Strategien reduzieren die Angriffsfläche bei Authentifizierungskompromittierung eines einzelnen Anbieters.

Die Anwendung dieser Maßnahmen stärkt Ihre Architektur, aber das Verständnis der Angreifer-Taktiken zeigt, warum sie wichtig sind. Reale Vorfälle bestätigen, dass Angreifer Backup-Systeme als primäre Ziele betrachten.

Wie Ransomware Backup-Infrastrukturen angreift

Die Zerstörung von Backups ist kein Nebeneffekt von Ransomware-Operationen, sondern eine gezielte, dokumentierte Phase. Die folgenden Vorfälle zeigen, wie Angreifer Backup-Infrastrukturen in der Praxis angehen.

  • Beast Ransomware: Backup-Zerstörung als dokumentierte Taktik Ein Beast-Ransomware-Bericht zeigte, dass das operative Playbook der Gruppe Backup-spezifische Techniken enthielt, die offen im Ransomware-Ökosystem geteilt werden – Backup-Zerstörung als Standardvorgehen.
  • Wiederherstellungsverweigerung als formale Angriffsphase Ein M-Trends 2026-Bericht beschrieb, dass Angreifer mehr Zeit darauf verwenden, Backup-Systeme zu kartieren und zu kompromittieren, bevor sie zuschlagen. Wenn Ihre Backup-Repositories netzwerkzugänglich und nicht unabhängig überwacht sind, verschafft dieses Zeitfenster Angreifern mehr Möglichkeiten zur Kompromittierung.
  • Störungen im öffentlichen Sektor und Wiederherstellungsdruck Eine GovTech-Resilienz-Umfrage berichtete von ransomwarebedingten Störungen im öffentlichen Sektor, einschließlich Offline-Schaltung von Behörden und Auswirkungen auf Notfallmaßnahmen, wobei stärkere Unterstützung durch die Führungsebene mit erfolgreicherer Wiederherstellung korrelierte.

Diese Vorfälle verdeutlichen, dass eine Backup-Strategie allein nicht ausreicht. Die Kombination von Resilienz mit aktiver Endpunktverteidigung schließt die Lücke zwischen dem Vorhandensein von Backups und deren Nutzbarkeit.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Die 3-2-1-Backup-Strategie bleibt das Fundament des Datenschutzes, und Ransomware hat sie von einer IT-Operation zu einer Sicherheitskontrolle erhoben. Moderne Angreifer nehmen Backups als primäres Ziel ins Visier, wodurch Varianten wie 3-2-1-1-0 mit Immutabilität und verifizierten Wiederherstellungstests für die Resilienz von Unternehmen immer wichtiger werden. 

Kombinieren Sie Ihre Backup-Architektur mit verhaltensbasierter KI und autonomen Rollback-Funktionen, um Ransomware zu stoppen, bevor sie Ihre Backups erreicht, und Schäden rückgängig zu machen, wenn es doch passiert.

FAQs

Die 3-2-1-Backup-Strategie (auch bekannt als 3-2-1-Backup-Regel) ist ein Rahmenwerk für Datenschutz, das drei Kopien Ihrer Daten auf zwei verschiedenen Medientypen vorsieht, wobei eine Kopie extern aufbewahrt wird. CISA und NIST empfehlen sie beide als Mindeststandard. 

Das Rahmenwerk schützt vor Hardwareausfällen, standortbezogenen Katastrophen und Datenkorruption, indem sichergestellt wird, dass kein einzelnes Ereignis alle Kopien Ihrer Daten gleichzeitig zerstören kann.

Die 3-2-1-Strategie erfordert drei Kopien, zwei Medientypen und eine externe Kopie. Die 3-2-1-1-0-Strategie fügt zwei Komponenten hinzu: eine unveränderliche oder air-gapped Kopie, die Angreifer mit kompromittierten Zugangsdaten nicht verändern können, sowie null Fehler, die durch regelmäßige Wiederherstellungstests verifiziert werden. 

Diese Ergänzungen adressieren gezielt die Praxis von Ransomware-Operatoren, Backup-Infrastrukturen anzugreifen und zu zerstören, bevor Produktionsdaten verschlüsselt werden.

Cloud-Speicher erfüllt die Offsite-Anforderung nur, wenn es sich um ein echtes Backup handelt, nicht um einen Synchronisierungsdienst. Cloud-Synchronisierung spiegelt Änderungen in Echtzeit wider, was bedeutet, dass Ransomware-Verschlüsselung sich gleichzeitig auf beide Kopien ausbreitet. 

Ein korrektes Cloud-Backup verwendet geplante Snapshots mit unabhängigen Aufbewahrungsrichtlinien, separaten Zugangsdaten und idealerweise unveränderlichen Speicher-Locks, um Änderungen zu verhindern.

Folgen Sie einer gestaffelten Vorgehensweise: Monatliche Überprüfung der Dateiwiederherstellung aus zufälligen Backup-Repositories, vierteljährliche Wiederherstellungstests auf Anwendungsebene in isolierten Umgebungen und jährliche Failover-Übungen für die gesamte Umgebung. 

CISA empfiehlt, zu überprüfen, ob Ihr Team mindestens sieben Tage Betriebszeit wiederherstellen kann. Dokumentieren Sie die tatsächlichen Wiederherstellungszeiten bei jedem Test, um Ihre reale RTO mit der angenommenen zu vergleichen.

Richtig konfigurierte unveränderliche Backups können während des Aufbewahrungszeitraums weder verschlüsselt, verändert noch gelöscht werden. Eine fehlerhafte Konfiguration der Unveränderlichkeit, wie beispielsweise Aufbewahrungssperren mit Lücken oder überprivilegierte Verwaltungskonten, kann jedoch weiterhin ein Risiko darstellen. 

Air-Gapping bietet eine ergänzende Kontrolle: Unveränderlichkeit schützt vor Kompromittierung von Zugangsdaten, während Air-Gapping vor einer umfassenderen Kompromittierung der Infrastruktur schützt.

NIST gibt an, dass Backup-Pläne Passwörter, digitale Zertifikate, Verschlüsselungsschlüssel und alle Informationen abdecken müssen, die für die Wiederaufnahme des Betriebs erforderlich sind. 

Viele Organisationen sichern Daten, ohne die für den Zugriff erforderlichen Anmeldedaten und Schlüssel zu sichern, was zum gleichen Ergebnis führt wie kein Backup. Wiederherstellungsdokumentation, Netzwerkkonfigurationen und Anwendungsabhängigkeiten sollten ebenfalls im Backup-Umfang enthalten sein.

Erfahren Sie mehr über Cybersecurity

Statistiken zu DatenschutzverletzungenCybersecurity

Statistiken zu Datenschutzverletzungen

Sehen Sie sich die neuesten Statistiken zu Datenschutzverletzungen im Jahr 2026 an, um zu erfahren, womit Unternehmen konfrontiert sind. Erfahren Sie, wie Bedrohungsakteure Datenschutzverletzungen verursachen, wen sie ins Visier nehmen und weitere Details.

Mehr lesen
DDoS-AngriffsstatistikenCybersecurity

DDoS-Angriffsstatistiken

DDoS-Angriffe werden immer häufiger, kürzer und schwerer zu ignorieren. Unser Beitrag zu DDoS-Angriffsstatistiken zeigt Ihnen, wer aktuell ins Visier genommen wird, wie Kampagnen ablaufen und mehr.

Mehr lesen
Insider-BedrohungsstatistikenCybersecurity

Insider-Bedrohungsstatistiken

Erhalten Sie Einblicke in Trends, Updates und mehr zu den neuesten Insider-Bedrohungsstatistiken für 2026. Erfahren Sie, welchen Gefahren Organisationen aktuell ausgesetzt sind, wer betroffen ist und wie Sie sich schützen können.

Mehr lesen
Was ist ein Infostealer? Funktionsweise von Anmeldedaten-stehlender MalwareCybersecurity

Was ist ein Infostealer? Funktionsweise von Anmeldedaten-stehlender Malware

Infostealer extrahieren unbemerkt Passwörter, Sitzungscookies und Browserdaten von infizierten Systemen. Gestohlene Anmeldedaten begünstigen Ransomware, Kontenübernahmen und Betrug.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch