Backup-Strategien gegen Ransomware: Die 3-2-1-1-0-Regel erklärt
Warum klassische 3-2-1-Backups bei Ransomware versagen – und wie die 3-2-1-1-0-Regel KMU wirklich schützt. Mit konkreten Umsetzungstipps.
Backup-Strategien gegen Ransomware: Die 3-2-1-1-0-Regel erklärt
Key Takeaways
- Klassische 3-2-1-Backups bieten keinen ausreichenden Schutz gegen moderne Ransomware, die Backup-Systeme gezielt angreift
- Die 3-2-1-1-0-Regel ergänzt die bewährte Methode um eine offline/air-gapped Kopie und mandatory Restore-Tests
- NIS-2 fordert explizit getestete und dokumentierte Backup- und Wiederherstellungsverfahren
- Umsetzung ist auch ohne großes Security-Team mit Azure Backup, Veeam oder Open-Source-Tools möglich
- Die „0
Häufige Fragen
Was bedeutet die 3-2-1-1-0-Regel genau?
3 Kopien der Daten, auf 2 verschiedenen Medientypen, davon 1 Kopie extern/offsite, 1 Kopie offline oder air-gapped (vom Netzwerk getrennt), und 0 ungeprüfte Backups – also regelmäßig verifizierte Wiederherstellbarkeit. Die letzte Ziffer ist dabei die kritischste: Ein Backup ohne Restore-Test ist kein Backup.
Warum reicht das klassische 3-2-1-Backup nicht mehr gegen Ransomware?
Moderne Ransomware-Gruppen wie LockBit oder BlackCat recherchieren vor der Verschlüsselung aktiv nach Backup-Systemen im Netzwerk und löschen oder verschlüsseln diese zuerst. Netzwerkgebundene Backups – auch Cloud-Sync-Lösungen ohne Versionierung – sind dadurch nicht mehr zuverlässig. Die zusätzliche offline/air-gapped Kopie der 3-2-1-1-0-Regel schließt genau diese Lücke.
Was fordert NIS-2 konkret zum Thema Backup?
NIS-2 (umgesetzt im deutschen NIS2UmsuCG) verlangt unter Artikel 21 explizit Maßnahmen zur Datensicherung und Wiederherstellung sowie zum Krisenmanagement. Konkret müssen Backups regelmäßig getestet, Wiederherstellungszeiten dokumentiert und Backups gegen unbefugten Zugriff geschützt sein. Ein undokumentiertes, ungetestetes Backup erfüllt diese Anforderungen nicht.