Kurz vorweg: Ein Backup, das ihr noch nie zurückgespielt habt, ist kein Backup, sondern eine Hoffnung. Im Ernstfall zählt nicht, dass gesichert wurde, sondern dass ihr die Daten getestet wiederherstellen könnt und mindestens eine Kopie dort liegt, wo Ransomware sie nicht erreicht. Alles andere ist Dekoration.
Die drei Sätze, die euch nicht schützen
Ein NAS, das nachts sichert, ist ein Anfang. Die Frage ist nur, ob es im selben Netz wie eure Arbeitsrechner hängt. Wenn ja, verschlüsselt moderne Ransomware es gleich mit. Erreichbare Backups sind das erste Ziel, nicht das letzte.
„Das läuft automatisch, da kümmert sich die Software drum“ ist der zweite Trugschluss. Automatisch heißt nicht überwacht. Der Job stirbt still vor acht Monaten, die Fehlermail landet in einem Postfach, das niemand liest, und gemerkt wird es am Tag des Ausfalls. Genau dafür gibt es überwachten Betrieb: Jemand sieht den toten Job, bevor er zum Problem wird.
Und dann ist da die Immutable-Appliance, die angeblich ransomware-sicher ist. Unveränderbarkeit ist gut. Aber ohne einen getesteten Restore wisst ihr nur, dass die Daten da sind, nicht, dass ihr sie in vertretbarer Zeit zurückbekommt. Das ist ein Unterschied ums Überleben.
3-2-1-1-0, ehrlich übersetzt
Die alte 3-2-1-Regel hat zwei Ziffern dazubekommen. Was sie im Alltag wirklich bedeuten:
| Regel | Was es real heißt |
|---|---|
| 3 Kopien | Das Original plus zwei Backups. Nicht das Original plus eine Kopie, die ihr „Backup“ nennt. |
| 2 Medien | Auf zwei verschiedenen Speicherarten. Zwei Ordner auf demselben NAS zählen nicht. |
| 1 außer Haus | Eine Kopie an einem anderen Ort, also anderer Standort oder seriöser Cloud- bzw. Hosting-Anbieter. |
| 1 offline oder unveränderbar | Eine Kopie, die ein Angreifer nicht löschen oder verschlüsseln kann. |
| 0 Fehler beim Test | Der Restore wurde getestet und lief fehlerfrei durch. Das ist die wichtigste Ziffer. |
Die letzte Null ist die, an der fast alle scheitern. Alle reden über die Sicherung. Kaum jemand übt die Rückholung. Wer unter NIS2 fällt, hat das Thema ohnehin auf dem Tisch: Wiederherstellung ist dort Pflicht, nicht Kür.
Der Test, den kaum jemand macht
Nehmt euch einen Nachmittag, sucht euch ein echtes System aus, nicht das kleinste, und spielt es aus dem Backup in eine getrennte Umgebung zurück. Stoppt dabei die Zeit. Zwei Fragen beantworten sich von selbst:
- Wie lange dauert es? Das ist eure reale Wiederanlaufzeit. Wenn „ein paar Stunden“ in Wahrheit zwei Tage heißt, wollt ihr das jetzt wissen und nicht mitten im Vorfall.
- Wie viel fehlt? Der Abstand zwischen letztem Backup und Ausfall. Ein Tag Datenverlust ist für die Buchhaltung etwas anderes als für einen Onlineshop.
Der Hintergrund ist unbequem: 87 Prozent der deutschen Unternehmen waren zuletzt von Datendiebstahl, Spionage oder Sabotage betroffen, und allein Cyberangriffe richten pro Jahr 202,4 Milliarden Euro Schaden an (Bitkom, 2025). Ransomware geht dabei gezielt zuerst an die Backups, bevor sie die Produktivsysteme trifft. Wer erst im Schadensfall herausfindet, dass der Restore nicht klappt, hatte kein Backup. Er hatte ein Gerücht. Und im Zweifel auch keinen Versicherungsschutz, denn genau solche Lücken sind der Klassiker, bei dem die Cyberversicherung nicht zahlt.
Wollt ihr wissen, ob euer Backup einen echten Restore-Test übersteht, inklusive einer Kopie, die außer Reichweite liegt? Schreib mir — wir testen die Rückholung, bevor es der Ernstfall tut.