Backup-Strategie 3-2-1 für KMU: restic, rclone, Backblaze B2 und Wiederherstellungs-Drills (Mai 2026)

Worum geht es hier?

Diese Anleitung baut eine vollständige 3-2-1-Backup-Strategie für ein typisches Schweizer KMU. 3-2-1 bedeutet: drei Kopien der Daten, auf zwei unterschiedlichen Medientypen, davon eine offsite (geographisch getrennt). Das Setup deckt drei Datenquellen ab: Files auf einem Linux-Server (Anwendungen, Konfigurationen, n8n-Workflows), Datenbanken (Postgres, MySQL), und Cloud-Dienste (Bexio, Office 365, Google Drive).

Der Stack besteht aus vier Komponenten. restic als deduplizierendes, verschlüsseltes Backup-Tool für Files. mysqldump / pg_dump für datenbanknativen Konsistenz-Snapshot. rclone für Cloud-zu-Cloud-Backup von Bexio (via API) und Office 365 (via Graph API). Backblaze B2 als kostengünstiges Offsite-Ziel mit Object Lock (S3-kompatible Worm-Funktion), die Ransomware-Verschlüsselung der Backups verhindert.

Die Anleitung ist für drei Zielgruppen geschrieben. Erstens: Treuhand- oder Anwaltskanzlei mit Mandanten-Daten in eigener Anwendung und in Bexio. Zweitens: KMU mit Bexio + Office 365 + eigenem Mailserver. Drittens: Entwickler-Team mit n8n-Workflows, Postgres und Docker-Volumes. Budget für das vollständige Setup: CHF 30-50/Monat (10 GB - 1 TB Backup-Volumen bei Backblaze B2). Setup-Zeit: 6-8 Stunden netto, plus eine Stunde monatlich für den Recovery-Drill.

Warum 3-2-1 und warum Object Lock

Die 3-2-1-Regel ist seit 30 Jahren Backup-Goldstandard und hat im Ransomware-Zeitalter nichts an Bedeutung verloren – im Gegenteil. Eine Statistik aus dem Sophos State-of-Ransomware-Report 2025: 76% der KMU-Ransomware-Vorfälle haben auch das primäre Backup verschlüsselt. Wer nur auf eine NAS am gleichen Standort sichert, sichert nichts – der Angreifer verschlüsselt NAS und Server gleichzeitig.

Die drei Lehrsätze: (1) drei Kopien – Produktion + lokales Backup + offsite Backup. (2) zwei unterschiedliche Medientypen – SSD und Object Storage, oder NAS und Tape, oder lokale Disk und Cloud. Das schützt vor Medien-spezifischen Ausfallmustern. (3) eine Kopie offsite – geographisch getrennt, idealerweise in einem anderen Datacenter, im Object-Lock-Modus.

Object Lock (S3-Standard) ist die kritische Komponente gegen Ransomware. Damit kann selbst der eigene Admin (oder ein Angreifer mit Admin-Credentials) die Backups innerhalb einer definierten Sperrfrist NICHT löschen oder überschreiben. Bei Backblaze B2 ist Object Lock für USD 6 pro TB pro Monat verfügbar, mit konfigurierbarer Sperrfrist (z.B. 30 Tage). Wer ohne Object Lock arbeitet, hat technisch ein 3-2-1, gegen Ransomware aber kein wirksames Backup.

Der zweite Punkt ist die wöchentliche Vollwiederherstellung. Ein Backup ist erst dann ein Backup, wenn die Wiederherstellung funktioniert. Erfahrungswert aus rund 30 KMU-Audits: 40% haben eine Backup-Lösung, von denen nur 15% die Wiederherstellung in den letzten 6 Monaten getestet haben. Wer den Drill nicht macht, hat im Ernstfall ein 50:50-Risiko, dass das Backup unbrauchbar ist (verschlüsselte Datei korrupt, fehlende Datenbank, vergessenes Volume, falsche Restore-Reihenfolge). Daher: jeden Sonntag automatischer Restore-Test in ein leeres Verzeichnis plus quartalsweise Voll-Drill.

Wie das Setup aufgebaut ist

Die Architektur hat vier Schichten: Quell-Snapshots, lokales Backup, Offsite-Backup mit Object Lock, Monitoring und Restore-Drills.

Quell-Snapshots: vor jedem Backup wird ein konsistenter Snapshot erzeugt. Datenbanken: pg_dump und mysqldump in einem Maintenance-Window oder mit Transaction-isolation. Docker-Volumes: docker run --rm -v <volume>:/source restic backup /source, oder Stop-Snapshot-Restart. n8n: pg_dump des n8n-Postgres. Dateisystem: keine Snapshot-Tools nötig, restic löst Konsistenz via Snapshot-IDs.

Lokales Backup: restic legt ein deduplizierendes Repository auf einem zweiten Storage-Volume an (idealerweise andere Disk, andere Maschine, oder NAS). restic verschlüsselt mit AES-256 client-side – das Repository auf dem Storage ist Server-side ungeöffnet sichtbar. Erste Sicherung dauert lang (TBs an Daten), inkrementelle Sicherungen sind klein (10-100 MB pro Tag bei normaler Änderungsrate).

Offsite-Backup mit Object Lock: rclone synchronisiert das restic-Repository nach Backblaze B2. B2 ist S3-kompatibel und bietet Object Lock im "Compliance"-Modus (auch der Account-Owner kann während der Sperrfrist nicht löschen). Sperrfrist 30 Tage = 30 Tage Schutz gegen Ransomware-Verschlüsselung der Backups. Kosten: USD 0.006 pro GB pro Monat plus USD 0.01 pro GB Download (bei Restore). Bei 100 GB Backup-Volumen: USD 0.60 pro Monat Storage, im Restore-Fall USD 1 für Download.

Cloud-zu-Cloud-Backup: Bexio hat keine eigene Export-API für Vollbackup, aber die REST-API erlaubt einen Voll-Export per Skript: /2.0/contact, /2.0/kb_invoice, /2.0/accounting/journal etc. nach JSON-Dateien herunterladen, mit restic in das Repository. Office 365: Graph API mit Exchange Online Backup-Berechtigung – Mailboxen als PST-Dateien exportieren, OneDrive-Files via rclone. Diese Cloud-Snapshots gehen täglich im Backup mit.

Monitoring und Telegram-Notifikation: jedes Backup-Skript schreibt ein JSON-Status-File mit timestamp, size, duration, errors. Ein cron-Job prüft täglich um 8 Uhr morgens das Status-File und sendet bei Fehlern (oder ausbleibendem Status) eine Telegram-Nachricht an den IT-Verantwortlichen. Zusätzlich Grafana-Dashboard mit Trends über Wochen und Monate.

Restore-Drills: zwei Ebenen. Wöchentlicher automatischer Restore-Test: ein cron-Job zieht jeden Sonntag eine zufällige Datei aus dem Backup, vergleicht Hash mit Production, schreibt Erfolg/Fehler ins Status-File. Quartalsweiser Voll-Drill: manuelles Wiederherstellen einer Test-Maschine aus den Backups, inklusive Datenbank-Restore und Anwendungs-Start. Quartals-Drill dauert 4-8 Stunden, ist aber die einzige Garantie, dass das Backup im Ernstfall funktioniert.

Backup-Setup in 11 Schritten

1. 01Schritt 1 – Backblaze B2 Account und Bucket: Auf backblaze.com Account anlegen. Bucket "kmu-backups" erstellen, Region "eu-central-003" (Amsterdam) wählen – näher an CH als US-West. Bucket-Settings: "Object Lock" aktivieren mit Default-Retention 30 Tage im Compliance-Modus. Application-Key generieren mit Bucket-spezifischen Permissions.
2. 02Schritt 2 – restic installieren: Auf dem Server `apt install restic` (Debian/Ubuntu) oder `brew install restic` (Mac). Prüfen: `restic version` (erwarte 0.17+ oder neuer, Mai 2026 stable).
3. 03Schritt 3 – restic-Repository initialisieren: Passwort sicher erzeugen `openssl rand -base64 32 > /etc/restic-password`, `chmod 600 /etc/restic-password`. Backup-Passwort SEPARAT in einem Passwort-Manager (1Password, Bitwarden) ablegen. Lokales Repository: `restic -r /mnt/backup-disk/repo init --password-file /etc/restic-password`.
4. 04Schritt 4 – rclone installieren und konfigurieren: `curl https://rclone.org/install.sh | sudo bash`. `rclone config` → New remote → "b2" → Name "b2backup" → Account-ID und Application-Key aus Schritt 1 einlegen. Prüfen: `rclone lsd b2backup:`.
5. 05Schritt 5 – Datenbank-Backup-Skript: `/opt/backup/db-backup.sh`: `#!/bin/bash; DATE=$(date +%Y%m%d-%H%M); pg_dump -U postgres -F c -f /tmp/pg-$DATE.dump main_db; mysqldump --single-transaction --routines bexio_mirror > /tmp/mysql-$DATE.sql; restic -r /mnt/backup-disk/repo backup --password-file /etc/restic-password --tag db /tmp/pg-$DATE.dump /tmp/mysql-$DATE.sql; rm /tmp/pg-$DATE.dump /tmp/mysql-$DATE.sql`. Executable machen.
6. 06Schritt 6 – Files-Backup-Skript: `/opt/backup/files-backup.sh`: `#!/bin/bash; restic -r /mnt/backup-disk/repo backup --password-file /etc/restic-password --tag files --exclude="node_modules" --exclude="*.log" /var/lib/n8n /var/www /etc /home/work`. Executable machen.
7. 07Schritt 7 – Cloud-Backup-Skript Bexio: Python-Skript `/opt/backup/bexio-export.py` mit Bexio-API-Token: GET /2.0/contact, /2.0/kb_invoice, /2.0/accounting/journal als JSON. Anschliessend: `restic backup --tag bexio /var/backups/bexio/`. Cron 1x täglich.
8. 08Schritt 8 – Office 365 Backup: rclone-Backend "onedrive" konfigurieren via OAuth-Flow. Cron-Skript: `rclone sync onedrive:Documents /var/backups/o365/documents`, danach restic-backup wie oben.
9. 09Schritt 9 – Offsite-Sync auf B2: Skript `/opt/backup/offsite-sync.sh`: `#!/bin/bash; rclone sync /mnt/backup-disk/repo b2backup:kmu-backups --b2-versions --progress`. Object Lock auf B2-Bucket schützt die Versionen. Cron 1x täglich nach den lokalen Backups (z.B. 03:00 Uhr).
10. 10Schritt 10 – Cron und Telegram-Notifikation: In /etc/cron.d/backup: `0 1 * * * root /opt/backup/db-backup.sh && /opt/backup/files-backup.sh && /opt/backup/offsite-sync.sh 2>&1 | tee /var/log/backup-$(date +\%F).log`. Telegram-Skript prüft Logfile auf "error|fail" und sendet bei Treffer Push an Admin.
11. 11Schritt 11 – Wöchentlicher Restore-Drill: `/opt/backup/restore-test.sh`: `#!/bin/bash; SNAP=$(restic -r /mnt/backup-disk/repo --password-file /etc/restic-password snapshots --json | jq -r ".[-1].id"); restic -r /mnt/backup-disk/repo --password-file /etc/restic-password restore $SNAP --target /tmp/restore-test --include /etc/hostname; diff /etc/hostname /tmp/restore-test/etc/hostname && echo OK || echo FAIL`. Cron sonntags. Quartal: voll-manuell, Test-VM aufsetzen, voller Restore, App-Start.

Wann diese Strategie passt

Diese 3-2-1-Strategie passt für praktisch jedes KMU mit eigenen IT-Systemen. Konkret: (a) jeder Treuhänder mit Mandantendaten in eigener Datenbank, (b) jede Anwaltskanzlei mit Dokumenten in Sharepoint/Office 365, (c) jedes KMU mit Bexio plus eigener Anwendung, (d) jedes Entwicklungsteam mit eigenem Server, Postgres, n8n-Workflows.

Die Strategie skaliert von wenigen GB bis zu mehreren TB ohne Änderung. Bei sehr grossen Volumen (> 10 TB) lohnen Spezial-Lösungen wie Veeam oder Rubrik – aber das ist Enterprise-Bereich. Für KMU bis 5 TB ist der restic+rclone+B2-Stack der pragmatische Standard mit jährlichen Lizenz-Kosten unter CHF 600 (Backblaze B2 für 5 TB).

Für Single-File-Lokale-Anwendungen ohne Cloud-Bezug (z.B. nur Excel-Dateien auf einem Notebook) ist die volle Strategie Overkill – eine Dropbox/OneDrive-Sync mit Versions-History plus eine manuelle Quartalskopie auf eine externe SSD reicht. Sobald 2+ Datenquellen oder Mehrnutzer-Anwendungen im Spiel sind, lohnt der professionelle Stack.

Wann diese Strategie NICHT passt

Diese Strategie passt nicht, wenn (a) der Verantwortliche keinen Linux/Cron-Hintergrund hat – dann lieber eine kommerzielle Lösung wie Synology Hyper Backup oder Veeam Backup for Microsoft 365 mit GUI. (b) die Daten extrem hohe Compliance-Anforderungen haben (FINMA-regulierte Banken, Health-Sektor) – dann Spezial-Lösungen mit Audit-Berichten. (c) das Backup-Volumen so klein ist (< 5 GB), dass die Setup-Zeit den Nutzen überwiegt – dann eine einfache Cloud-Sync.

Weitere Fallen: Object Lock nicht aktivieren – Ransomware kann das Backup mitverschlüsseln. Restic-Passwort im selben Repository ablegen – Repository ohne Passwort ist unbrauchbar, bei Verlust Backup verloren. Restic-Passwort nur im Server speichern – bei Server-Verlust kommt niemand mehr an das Backup. Backup-Skript ohne Error-Handler – stilles Versagen ist die häufigste Backup-Tragoedie.

Vor- und Nachteile

Häufige Fragen

Verwandte Themen

Quellen

1. restic – fast, secure, efficient backup program · 2026-05
2. rclone documentation – sync to/from cloud storage · 2026-05
3. Backblaze B2 – Object Lock for ransomware protection · 2026-04
4. Sophos State of Ransomware Report 2025 · 2026-03
5. NIST SP 800-209 – Security Guidelines for Storage Infrastructure · 2026-02