fairlane.systems

BACKUP · SICHERHEIT

Backup-Strategien 3-2-1 und 3-2-1-1-0: So sichern Sie ein KMU revisionsfest

Drei Kopien, zwei Medien, eine Offsite, eine Offline, null Verifizier-Fehler. Tools, Cloud-Ziele und DSG-Aspekte für Mai 2026.

Recherche & Faktencheck: · Stand: 2026-05

Was ist die 3-2-1-Regel?

Die 3-2-1-Regel ist die seit den 2000er Jahren etablierte Mindestformel für Datensicherung. Sie verlangt drei Kopien jedes wichtigen Datensatzes, gespeichert auf zwei verschiedenen Medien-Typen, von denen mindestens eine Kopie an einem geografisch getrennten Ort liegt. Die Original-Daten zählen als eine der drei Kopien. Zwei Backup-Kopien plus das Original ergeben die Zahl drei.

Die Formel wurde ab 2020 zur 3-2-1-1-0-Regel erweitert, weil Ransomware-Wellen und unbemerkte Bit-Rot-Schäden klassische Backups regelmässig wertlos machten. Die zusätzliche 1 verlangt eine Offline-Kopie mit Air-Gap, also ein Medium, das physisch oder logisch vom Netzwerk getrennt ist. Die abschliessende 0 verlangt null Verifizier-Fehler im letzten Test-Restore. Ein Backup, das nicht wiederherstellbar ist, ist kein Backup.

In der Schweiz spielt zusätzlich der DSG-Aspekt eine Rolle: Backups gelten als Bearbeitung im Sinne von Art. 5 revDSG. Der Speicherort eines Backups muss daher dieselben Anforderungen erfüllen wie der Produktiv-Speicher. Wer seine Treuhand-Mandantendaten in CH und EU bearbeitet, darf das Backup nicht ohne Prüfung in die USA legen – sonst liegt ein Drittland-Transfer vor, der nach Art. 16 revDSG dokumentiert werden muss.

Warum es wichtig ist

Mai 2026 sind drei Bedrohungs-Klassen Realität, die ein klassisches Tape-Backup von 2015 nicht mehr abfängt. Erstens Ransomware: Aktuelle Verschlüsselungs-Trojaner suchen aktiv nach erreichbaren Backup-Volumes, hangeln sich über SMB-Freigaben oder API-Tokens auf den Backup-Server und verschlüsseln die Sicherungen mit. Wer keine Air-Gap-Kopie hat, zahlt oder verliert alles.

Zweitens Cloud-Provider-Ausfälle: Der OVH-Brand in Strassburg 2021 hat gezeigt, dass auch grosse Anbieter komplett ausfallen können. Wer nur bei einem Anbieter sichert, hat keine echte Redundanz. Drittens stille Datenkorruption: Festplatten geben bei modernen Kapazitäten statistisch alle 12 TB ein gekipptes Bit zurück, das nicht von ECC abgefangen wird. Ohne regelmässige Prüfsummen-Verifizierung merken Sie nicht, dass Ihr Backup von letztem Mai schon korrupt war.

Für ein Treuhand-Büro kommt die Aufbewahrungs-Pflicht nach Art. 958f OR dazu: 10 Jahre Lesbarkeit aller Geschäftsbücher und Belege. Wer in fünf Jahren ein PDF aus 2021 öffnen will und es ist kaputt, hat ein Compliance-Problem, das nicht durch Sorry-Sagen gelöst wird. Prüfer akzeptieren keine Ausreden.

Wie eine 3-2-1-1-0-Pipeline aufgebaut ist

Ein produktionsreifes Backup-Setup hat fünf Schichten: Quelle, lokales Backup, Offsite-Cloud, Offline-Air-Gap, Verifizierung. Jede Schicht hat eigene Tool-Auswahl.

Lokales Backup: Auf dem Produktiv-Server läuft ein Snapshot-Tool, das täglich oder stündlich konsistente Stand-Kopien erstellt. Mai 2026 sind restic (Go, AES-256-GCM, Deduplikation), BorgBackup (Python, AES-256-CTR, sehr ausgereift) und Duplicati (.NET, GUI für KMU) die Standard-Optionen aus dem Open-Source-Lager. rsnapshot setzt auf rsync + Hardlinks und ist die schlankste Variante für Linux-Server. Storage-Ziel ist meist ein zweites Volume oder ein NAS im gleichen Rack.

Offsite-Cloud: Die zweite Backup-Kopie geht auf ein Cloud-Storage-Ziel. Backblaze B2 kostet Mai 2026 ungefähr USD 6 pro TB und Monat ohne Egress-Trap bei Backblaze-eigenen Tools. Hetzner Storage Box liegt bei EUR 4 pro TB und Monat im Frankfurter Rechenzentrum, also EU-Residenz. Infomaniak Swiss Backup ist die teuerste, aber CH-residente Option für Kunden, die Datenstandort als Verkaufsargument brauchen. restic und Borg sprechen S3-Protokoll und somit alle drei Targets direkt an.

Verschlüsselung: Alle Backups werden client-seitig verschlüsselt, bevor sie auf das Cloud-Storage gehen. AES-256-GCM ist Mai 2026 Standard. Für Tarball-basierte Setups ohne natives Encrypt eignet sich GPG mit einem Schlüssel, der im Vault liegt. Der Schlüssel muss separat gesichert sein – sonst sichern Sie nur Datenmuell, den niemand mehr lesen kann.

Offline-Air-Gap: Einmal pro Monat zieht ein Mitarbeiter eine USB-Festplatte oder LTO-Tape aus dem Schrank, schliesst sie an, kopiert den aktuellen Backup-Stand und legt das Medium zurück in den Tresor oder zur Bank. Das ist die Versicherung gegen Ransomware, die alle Online-Backups erreicht.

Immutable Buckets: Backblaze B2 und AWS S3 unterstützen Object Lock im Compliance-Modus. Einmal geschriebene Daten können für die definierte Retention-Period nicht gelöscht oder überschrieben werden – auch nicht vom Root-Account. Das ist die zweite Verteidigungslinie gegen Ransomware, ohne USB-Hin-und-Her.

Verifizierung: Mindestens wöchentlich läuft ein restic check oder borg check, das die Prüfsummen aller Blöcke testet. Quartalsweise wird ein Test-Restore in eine isolierte Umgebung gefahren, mit dem Ziel: aus einem Backup eine lauffähige Kopie der Produktivumgebung herzustellen. Wer das nie testet, hat kein Backup, sondern Schroedinger-Daten.

Backup-Implementierung in 5 Schritten

  1. 01Inventar und Klassifizierung: Welche Datensätze, welche Aufbewahrungs-Pflicht, welche Schutzklasse? Trennen Sie Mandanten-Bewegungsdaten, Konfigurations-Daten und reine Logs.
  2. 02Tool-Auswahl: restic für Linux-Server mit S3-Backend, BorgBackup für hohe Reife, Duplicati für GUI-Bedienung auf Windows-Servern, rsnapshot für simple rsync-basierte Setups.
  3. 03Cloud-Ziel wählen: Hetzner Storage Box für EU-Residenz, Backblaze B2 mit Object Lock für Immutability, Infomaniak Swiss Backup für CH-Residenz, alle drei mit AES-256-GCM client-seitig verschlüsseln.
  4. 04Air-Gap-Rotation einrichten: Monatlich eine USB-Disk oder LTO-Tape aus dem Tresor holen, Backup ziehen, zurück in den Tresor. Restore-Runbook beilegen, das jeder Mitarbeitende verstehen kann.
  5. 05Verifizierung automatisieren: Wöchentlich restic check über Cron, quartalsweise Voll-Restore in isolierte Umgebung, Prüfberichte 10 Jahre aufbewahren.

Wann das volle 3-2-1-1-0-Setup

Das volle Setup mit Air-Gap und Immutable-Storage ist Pflicht für alle Betriebe, die unter Aufbewahrungs-Pflicht stehen: Treuhand, Anwaltskanzlei, Arztpraxis, Versicherungs-Vermittler, Buchhaltungsbüro. Auch jeder Online-Shop mit Bestellhistorie und jede Werkstatt mit Auftrags-Datenbank profitiert konkret – die Frage ist nicht ob, sondern wann Ransomware ankommt.

Konkret in der Schweiz: Eine 5-Personen-Treuhand mit 200 Mandanten produziert typischerweise 50 bis 200 GB Bewegungsdaten pro Jahr. Das passt mit Headroom auf eine 4-TB-USB-Disk, die monatlich rotiert. Die Cloud-Kopie auf Hetzner Storage Box kostet bei 200 GB rund EUR 1 pro Monat. Die laufenden Kosten sind tief, das Risiko bei Verzicht ist hoch.

Geschäftsmodell-Aspekt: Wer Kunden-Daten verwaltet, kann das volle Setup als Verkaufsargument einsetzen. Mandanten und Patienten fragen Mai 2026 zunehmend nach Backup- und Wiederherstellungs-Konzepten, weil sie selbst in der Presse von Ransomware-Fällen lesen. Ein klares 3-2-1-1-0-Dokument im Verkaufsgespräch schliesst Aufträge ab, die Mitbewerber mit „wir haben schon Backup, ist sicher" verlieren.

Wann ein leichteres Setup reicht

Reine Marketing-Webseite ohne Datenbank, statisches Image-Repository ohne User-Content, lokales Entwicklungs-Setup mit Git-Backup über GitHub – für diese Fälle reicht ein einfaches restic-zu-B2 oder gar nur Git-Push auf einen externen Provider. Air-Gap und Immutable-Storage sind hier Overkill und kosten Zeit, die woanders fehlt.

Ein häufiger Fehler: Manche KMU sichern alles mit gleicher Stringenz. Das Prüfungs-System der Lehrlings-Datenbank bekommt dieselbe Behandlung wie die Mandanten-Buchhaltung. Resultat: Speicherkosten verdoppeln sich, Prüfungs-Aufwand frisst Stunden pro Monat, und das eigentlich kritische System geht im Rauschen unter. Besser: Klassifizieren Sie nach Schutzklasse und richten Sie pro Klasse das passende Setup ein.

Eine zweite Falle ist das „Backup, das niemand wiederherstellt". Wenn das Wiederherstellungs-Verfahren nur eine Person kennt und diese Person den Schlüssel im Kopf hat, ist das kein Setup, sondern eine Personalrisiko-Wette. Dokumentieren Sie das Restore-Verfahren so, dass ein neuer Mitarbeitender mit dem Runbook in der Hand das Backup zurückspielen kann.

Vor- und Nachteile

STÄRKEN

  • Robust gegen Ransomware: Air-Gap-Kopie kann nicht verschlüsselt werden
  • Object Lock im Cloud-Bucket macht Löschen auch durch Admin-Account unmöglich
  • AES-256-GCM-Verschlüsselung schützt Daten auch beim Cloud-Anbieter
  • Quartal-Voll-Restore deckt stille Korruption auf, bevor sie zum Notfall wird
  • Open-Source-Tools (restic, Borg) machen unabhängig vom Anbieter

SCHWÄCHEN

  • Operativer Aufwand: monatliche USB-Rotation braucht eine verantwortliche Person
  • Restore-Tests kosten Stunden pro Quartal, werden gerne weggelassen
  • Verschlüsselungs-Schlüssel müssen selbst sicher verwahrt werden – Verlust = Backup verloren
  • Initial-Einrichtung 1 bis 3 Tage, oft mit externem Dienstleister

Häufige Fragen

Reicht ein OneDrive- oder Google-Drive-Sync als Backup?

Nein. Sync ist kein Backup. Wenn Sie eine Datei lokal löschen oder ein Trojaner sie verschlüsselt, wird die Änderung in die Cloud gespiegelt und Sie verlieren beide Kopien. Sync-Tools haben oft eine kurze Versions-Historie (30 bis 90 Tage), aber keine echte Air-Gap-Kopie und keine 10-Jahres-Retention. Für geschäftsrelevante Daten brauchen Sie ein dediziertes Backup-Tool zusätzlich zum Sync.

Wie oft soll ein Vollbackup laufen?

Praxis-Empfehlung für KMU: stündlich oder täglich inkrementell, wöchentlich vollständig, monatlich offline. restic und Borg arbeiten intern mit Deduplikation, sodass auch ein scheinbar tagliches Voll-Backup nur die Änderungen speichert. Wer hohe Schreib-Raten hat, verkürzt das inkrementelle Intervall. Wer mit ruhigeren Daten arbeitet, fasst stündlich zu täglich zusammen.

Was kostet das für eine 5-Personen-Treuhand?

Bei 200 GB Bewegungsdaten und 1 TB Archiv-Bestand: Hetzner Storage Box ca. EUR 4 pro Monat für 1 TB, eine 4-TB-USB-Disk kostet einmalig CHF 130, Tresor-Lagerung verursacht keine direkten Kosten. Software (restic, Borg) ist Open Source. Einrichtungs-Aufwand 1 bis 2 Tage durch einen Dienstleister, danach läuft das Setup ohne Eingriff. Jahres-Betrieb unter CHF 100, einmalige Einrichtung CHF 1500 bis CHF 3000.

Was ist mit Datenbanken – reicht ein File-Backup?

Nein, ein File-Backup einer laufenden PostgreSQL- oder MySQL-Datei kann inkonsistent sein. Nutzen Sie pg_dump, mysqldump oder native Streaming-Replikation, um konsistente Logical-Dumps zu erzeugen, und sichern Sie diese Dumps mit restic oder Borg. Für grosse Datenbanken empfehlen sich pgBackRest oder Percona XtraBackup mit Point-in-Time-Recovery.

Verwandte Themen

DISASTER RECOVERY · SICHERHEITDisaster Recovery, RTO und RPO: Was ein KMU-Treuhand wirklich vorhalten mussSECRETS · SICHERHEITSecrets-Management mit Vault: API-Keys, DB-Passwörter und JWT-Secrets richtig verwaltenHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetART. 957a OR · COMPLIANCEArt. 957a OR und KI-Buchungen: Audit-Trail, GeBüV und 10-Jahres-AufbewahrungRBAC · SICHERHEITRBAC und Rechtemanagement: Wer darf in einem Treuhand-System was sehen?MANAGED · SERVICEManaged Service & Monitoring: Wir betreiben es weiter, Sie nutzen es

Quellen

  1. BSI – IT-Grundschutz-Baustein CON.3 Datensicherungskonzept · 2026-02
  2. NIST SP 800-209 – Security Guidelines for Storage Infrastructure · 2026-03
  3. restic – Backup program documentation and threat model · 2026-04
  4. Backblaze B2 – Object Lock and pricing reference · 2026-05
  5. Hetzner Storage Box – product pricing page · 2026-05

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen