Immutable Backups: 3-2-1-1-0 als Pflicht für KMU 2026
Immutable Backups sind 2026 das letzte Sicherheitsnetz, wenn klassische Backup-Strategien an moderner Ransomware scheitern. Und sie scheitern — messbar und regelmäßig.
Stellen Sie sich vor: Ein Montagmorgen, 7:23 Uhr. Sie kommen ins Büro, öffnen Ihren Rechner — und sehen nichts außer einem roten Bildschirm. Eine Ransomware-Gruppe hat in der Nacht zugeschlagen und Ihre gesamte Infrastruktur verschlüsselt. Produktionsdaten, ERP-System, E-Mails, alles weg.
Kein Problem, denken Sie. Sie haben Backups.
Dann kommt der zweite Schlag: Auch die Backups sind verschlüsselt. Die Angreifer haben sie vor der eigentlichen Attacke gezielt kompromittiert. Was vor Jahren undenkbar schien, ist heute gängige Praxis: Laut einer Erhebung des Security Insider verlieren 96 Prozent der Ransomware-Opfer auch ihre Backups. Und die durchschnittliche Ausfallzeit nach einem erfolgreichen Angriff? 21 Tage.
Ein gutes Backup-Konzept zu haben, ist nicht mehr genug. Es muss auch eines sein, das Angreifer nicht einfach mitlöschen können — genau hier setzen Immutable Backups an.
Warum moderne Ransomware gezielt Backups angreift
Frühere Ransomware-Varianten verschlüsselten einfach alles, was sie fanden — wahllos und schnell. Heutige Angreifergruppen gehen strategisch vor. Sie dringen Wochen oder Monate vor dem eigentlichen Angriff ins Netzwerk ein, erkunden die Infrastruktur und identifizieren gezielt Backup-Systeme. Dann wird der Angriff ausgelöst — synchron auf Produktion und Backup.
Das Ergebnis: klassische Backup-Konzepte, die auf der 3-2-1-Regel basieren, versagen genau dann, wenn sie gebraucht werden.
Die 3-2-1-Regel (3 Kopien, auf 2 verschiedenen Medientypen, 1 davon außerhalb des Standorts) war jahrelang der anerkannte Standard — und ist es für viele KMU noch heute. Das Problem: Wenn alle drei Kopien über dasselbe Netzwerk erreichbar sind, reicht ein kompromittierter Admin-Account, um alle drei zu zerstören.
Von 3-2-1 zu 3-2-1-1-0: Immutable Backups als Schlussstein
Veeam, einer der führenden Anbieter für Datensicherung, hat die klassische Regel um zwei entscheidende Komponenten erweitert. Das Ergebnis ist die 3-2-1-1-0-Regel:
| Bedeutung | Warum wichtig | |
|---|---|---|
| 3 | 3 Kopien der Daten | Grundschutz gegen Datenverlust |
| 2 | 2 verschiedene Medientypen | Schutz vor Medienversagen (z. B. Festplatte und Cloud) |
| 1 | 1 Kopie außerhalb des Standorts | Schutz vor lokalem Totalschaden (Brand, Überflutung) |
| 1 | 1 unveränderliche (immutable) oder air-gapped Kopie | Schutz vor Ransomware, die Backups gezielt angreift |
| 0 | 0 Wiederherstellungsfehler (getestete Recovery) | Sicherheit, dass die Wiederherstellung im Ernstfall funktioniert |
Was ist ein Immutable Backup?
Ein Immutable Backup ist eine Sicherungskopie, die für einen definierten Zeitraum weder verändert, gelöscht noch überschrieben werden kann — auch nicht durch einen Administrator mit vollen Rechten, auch nicht durch Malware mit gestohlenen Zugangsdaten. Technisch wird das über sogenanntes Object Lock realisiert: Die Kopie wird in einem Speichersystem abgelegt, das Veränderungen auf Infrastrukturebene verhindert.
Empfohlene Aufbewahrungszeit: mindestens 30 Tage. Das deckt die typische Zeit ab, die vergeht, bis ein Angriff überhaupt entdeckt wird. Wenn die Verschlüsselung erst nach zwei Wochen bemerkt wird, kann dennoch auf eine saubere Kopie zurückgegriffen werden.
Was bedeutet „0 Wiederherstellungsfehler“?
Die letzte Ziffer ist die ehrlichste: Ein Backup, das noch nie getestet wurde, ist kein verlässliches Backup — es ist eine ungeprüfte Annahme. Laut einer Studie aus dem Jahr 2025 testen nur 33 Prozent der deutschen Unternehmen ihre Backup-Wiederherstellung regelmäßig. Die anderen 67 Prozent werden erst im Notfall erfahren, ob ihre Strategie funktioniert.
„Eine getestete Wiederherstellung ist kein Komfort-Feature. Sie ist die einzige Möglichkeit, sicher zu sein, dass das Backup im Ernstfall nicht versagt.“
— Veeam Data Protection Trends Report 2026
Prüfen Sie sich selbst: Wo steht Ihr Backup-Konzept?
Beantworten Sie diese fünf Fragen ehrlich:
- Haben Sie mindestens eine Backup-Kopie, die über kein erreichbares Netzwerk veränderbar ist?
- Ist Ihre Backup-Lösung mit separaten Zugangsdaten gesichert — getrennt von der Domäne?
- Wird die Wiederherstellung regelmäßig (mindestens einmal jährlich) simuliert und dokumentiert?
- Deckt Ihre Backup-Aufbewahrungszeit mindestens 30 Tage ab?
- Ist Ihr Backup-Konzept in Ihren NIS2-Risikomanagementmaßnahmen dokumentiert?
Wenn Sie auch nur eine dieser Fragen mit „Nein“ oder „Ich weiß nicht“ beantworten, sollten Sie handeln — bevor es ein Angreifer tut.
Praxis-Tipp: GEMAKOM Immutable Backup mit Object Lock
GEMAKOM realisiert die 3-2-1-1-0-Strategie für den Mittelstand über Veeam Cloud Connect in Kombination mit den Rechenzentren der PFALZKOM GmbH (Rheinland-Pfalz, ~1 ms Latenz zu Frankfurt). Die Immutable Backups werden mit aktiviertem Object Lock gespeichert — Made in Germany, DSGVO-konform, monatliche Mietbasis ohne Investitionskosten. Inklusive: Automatisierte Wiederherstellungstests, dokumentierte RTO/RPO-Werte und ein klarer Notfallplan. Mehr zu GEMAKOM Cloud-Services.
Fazit: Immutable Backups sind keine Kür mehr
Die 3-2-1-Regel war ein guter Standard für eine Zeit, in der Ransomware-Gruppen noch nicht gezielt Backup-Systeme angriffen. Diese Zeit ist vorbei. Wer heute eine 96-prozentige Chance hat, im Ernstfall auch die Backups zu verlieren, hat kein funktionierendes Backup-Konzept — er hat eine Sicherheit in falscher Hoffnung.
Die 3-2-1-1-0-Regel mit Immutable Backups ist keine Übertreibung. Sie ist die pragmatische Antwort auf eine veränderte Bedrohungslage. Und mit Veeam Cloud Connect lässt sie sich für KMU ohne großen Investitionsaufwand umsetzen.
Sie möchten wissen, ob Ihr Backup-Konzept dem nächsten Angriff standhalten würde?
Wir prüfen Ihre aktuelle Strategie und zeigen Ihnen, wo konkrete Schwachstellen bestehen — und wie Sie sie schließen.
Jetzt Erstgespräch vereinbaren