Eine Kanzlei in Eppendorf. Montagmorgen. Alle Dokumente verschlüsselt, jede E-Mail weg, die Buchhaltung im Nirwana. Der IT-Partner holt das Backup-Band — nur: Auch das steckt noch im Laufwerk, und das Laufwerk hing am verseuchten Netz. Ende der Woche sind die Kanzlei-Mandate abgewandert, der Vertrauensverlust ist nicht mehr einzuholen.
Solche Szenen sehen wir regelmäßig bei Neukunden in Hamburg. Die Frage “Offline vs. Online Backup” ist deshalb keine Geschmacksfrage mehr, sondern eine Überlebensstrategie. Dieser Guide zeigt, welche Kombination 2026 tatsächlich schützt — und welche teuren Illusionen Sie sofort streichen sollten.
Inhalt in Kürze
- Offline vs. Online ist die falsche Frage. Die 3-2-1-1-0-Regel verlangt beides: Online für Tempo, Offline oder Immutable gegen Ransomware.
- Reine Cloud-Backups sind angreifbar. Laut Veeam Ransomware Trends Report 2025 zielen 96 Prozent der Angriffe gezielt auf Backup-Repositories.
- Tape ist 2026 nicht tot. LTO-9 speichert 18 TB pro Kassette, ist air-gapped sobald entnommen und für Archive ab 25 TB günstiger als Cloud.
- Immutable Cloud Storage ersetzt für viele Hamburger KMU den klassischen Tape-Keller — WORM-Lock hält Angreifer 7–90 Tage aus.
- Ungetestete Backups sind Hoffnung, keine Sicherung. Mindestens quartalsweise vollständig wiederherstellen, kritische Systeme monatlich.
Offline vs. Online Backup — die kurze Antwort
Offline-Backup bezeichnet jede Sicherung, die nach dem Schreiben physisch oder logisch vom Netzwerk getrennt wird: Tape-Kassetten im Safe, externe Festplatten im Rotationsschema, air-gapped Immutable Storage in der Cloud. Ransomware kann Offline-Backups nicht erreichen.
Online-Backup bezeichnet jede Sicherung, die permanent mit dem Netzwerk oder Internet verbunden ist: NAS-Systeme, Cloud-Speicher mit Live-Zugriff, Backup-Server im gleichen AD. Diese Backups sind schnell, aber im Ernstfall so angreifbar wie die Originaldaten.
Die richtige Antwort 2026: Nicht “entweder oder”, sondern die moderne 3-2-1-1-0-Backup-Regel — 3 Datenkopien, 2 verschiedene Medien, 1 extern, 1 offline oder immutable, 0 Fehler nach Test. Das BSI hat diese Struktur im IT-Grundschutz-Baustein CON.3 als Standard etabliert.
Vergleich der 5 wichtigsten Backup-Varianten
| Variante | Schutz gegen Ransomware | Recovery-Zeit | Aufwand | Kosten (25 TB, 5 Jahre) | Ideal für |
|---|---|---|---|---|---|
| Online Cloud (Standard) | ❌ angreifbar wenn Admin-Rechte kompromittiert | Minuten–Stunden | niedrig | ca. 18.000–30.000 € | Schnell-Recovery, keine Primärsicherung |
| Immutable Cloud (WORM) | ✅ hoch — 7–90 Tage unveränderbar | Stunden | mittel | ca. 22.000–38.000 € | Hamburger KMU bis 25 TB |
| Offline Tape (LTO-9) | ✅ sehr hoch — physisch getrennt | Tage | hoch (manuelle Rotation) | ca. 12.000–20.000 € (einmalig + Medien) | Archive ab 25 TB, Langzeit |
| Offline USB / externe HDD | ✅ hoch wenn abgeklemmt | Stunden–Tag | mittel (manuelle Rotation) | ca. 3.000–6.000 € | Kleine Büros, Notfall-Kopie |
| Air-Gapped Appliance | ✅ sehr hoch — automatisierte Trennung | Stunden | niedrig im Betrieb | ca. 25.000–50.000 € | Produktion, kritische Infrastruktur |
Quelle: Eigene Kalkulationen basierend auf Marktpreisen April 2026 (Azure Blob Archive, AWS S3 Glacier Deep Archive, HPE StoreOnce, Quantum Tape). Preise ohne Setup, Wartung und Strom. Details im Abschnitt “Kosten für 5/25/100 TB”.
Ein NAS im gleichen Netzwerk ist kein Offline-Backup. Auch wenn es "getrennt" aussieht: Solange die Admin-Credentials greifen und das Gerät per SMB, NFS oder iSCSI erreichbar ist, wird es mitverschlüsselt. Echtes Offline bedeutet: Netzwerkstecker raus, Strom aus, oder Immutable-Lock aktiv.
Ransomware-Schutz: Warum die Offline-Kopie Pflicht ist
Der Veeam 2025 Ransomware Trends Report hat 1.300 Unternehmen befragt — 900 davon wurden in den letzten 12 Monaten angegriffen. Das zentrale Ergebnis: 96 Prozent der Angreifer zielen gezielt auf Backup-Repositories, bevor sie die Produktivdaten verschlüsseln. Grund: Ohne funktionierendes Backup steigt die Zahlungsbereitschaft massiv.
Laut BSI-Lagebericht 2025 bleibt Ransomware die dominante Bedrohung für deutsche Unternehmen, parallel stieg der durch Cyberkriminalität verursachte Schaden laut Bitkom-Wirtschaftsschutzstudie 2025 auf über 200 Milliarden Euro — 87 Prozent der Unternehmen waren betroffen. Ohne saubere Backup-Strategie wird daraus schnell eine Existenzfrage — deshalb ist Backup bei uns Teil jeder Cybersecurity-Strategie Hamburg.
Das Angriffsmuster läuft immer gleich ab:
- Initialer Zugang per Phishing-Mail oder ungepatchter Schwachstelle (Tag 0–3)
- Privilege Escalation auf Domain-Admin-Rechte (Tag 3–10)
- Backup-Repositories werden identifiziert und kompromittiert — Veeam-Credentials, Synology-Admin, Azure-Storage-Keys (Tag 7–14)
- Exfiltration sensibler Daten für Double Extortion (Tag 10–21)
- Verschlüsselung von Produktivsystemen UND Online-Backups gleichzeitig (Tag 14–30)
Wer kein Offline- oder Immutable-Backup hat, steht dann vor der Wahl: zahlen oder Insolvenz. Laut einer Studie von Security Today zahlen deutsche Unternehmen seltener als der internationale Durchschnitt — weil viele mittlerweile verstanden haben, dass Zahlungen selten die Daten zurückbringen und Folgeangriffe wahrscheinlicher machen.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Unsicher, ob Ihr Backup Ransomware-fest ist?
15 Minuten, kostenlos, ohne Vertriebsdruck. Wir prüfen Ihre Backup-Strategie und sagen Ihnen ehrlich, wo die Lücken sind.
Erstgespräch buchen →Die 3-2-1-1-0-Regel: Modernisierter Standard für Ransomware-Zeiten
Die klassische 3-2-1-Regel stammt aus den 2000er-Jahren und war jahrzehntelang ausreichend. Mit flächendeckender Ransomware reicht sie nicht mehr — die Branche hat sie erweitert.
- 3 Datenkopien: Original plus mindestens zwei Backups. Eine einzige Kopie ist keine Redundanz.
- 2 verschiedene Medien: Nicht zwei Festplatten im gleichen NAS. Beispiel: SSD im Server + Tape + Cloud, oder NAS + Immutable Cloud.
- 1 externe Kopie (offsite): Geografische Trennung schützt vor Feuer, Wasser, Diebstahl. Mindestens 500 Meter Abstand, besser anderes Gebäude oder andere Stadt.
- 1 offline oder immutable Kopie: Physisch oder logisch unveränderbar. Tape im Safe, externe HDD im Rotation, Immutable Cloud Storage mit WORM-Lock.
- 0 Fehler nach Wiederherstellungstest: Regelmäßige Restore-Tests müssen vollständig und fehlerfrei durchlaufen — sonst gilt das Backup als nicht existent.
Weiterführend: elovade erklärt die 3-2-1-1-0-Regel mit Fokus auf Air-Gap-Implementierungen, brandmauer.de beschreibt die Praxis für mittelständische Unternehmen.
Die "0 Fehler"-Komponente ist der meist ignorierte Teil der Regel. Planen Sie feste Restore-Termine ein: Quartal = volles System, Monat = kritische Datenbanken, Jahr = Disaster-Recovery-Übung. Ohne Tests ist jede Backup-Strategie nur Wunschdenken. Siehe auch unseren Leitfaden Backup testen.
Tape vs. USB-Platten-Rotation vs. Immutable Cloud
Die drei gängigsten Offline- und Semi-Offline-Strategien für KMU im Detail.
LTO-Tape-Library
Bandlaufwerke haben das Industrieimage eines Dinosauriers — zu Unrecht. LTO-9 (Linear Tape-Open) speichert 18 TB nativ, 45 TB komprimiert pro Kassette, hält bis zu 30 Jahre und ist physisch nicht angreifbar, sobald die Kassette das Laufwerk verlässt.
Vorteile: Günstigster Preis pro GB bei Archiven ab 25 TB, unzerstörbar durch Ransomware, extrem lange Haltbarkeit, geringer Energieverbrauch im Archiv.
Nachteile: Hohe Einstiegskosten (ab ca. 8.000 € für Einsteiger-Library), manuelle Rotation nötig, langsame Recovery (Tage bei großen Datenmengen), spezialisiertes Personal oder IT-Partner erforderlich.
Typischer Use-Case: Architekturbüros mit 50+ TB Projektdaten, Produktionsbetriebe mit CAD-Archiven, Kanzleien mit 10-Jahres-Aufbewahrungspflicht. Siehe auch IT für Architekten Hamburg und IT für Steuerkanzleien.
USB-Festplatten-Rotation (GFS-Schema)
Grandfather-Father-Son-Rotation mit externen HDDs oder SSDs ist das klassische KMU-Modell: 7 Tagesplatten, 4 Wochenplatten, 12 Monatsplatten. Eine davon wird immer extern gelagert — im Auto des GF, im Banksafe, im zweiten Büro.
Vorteile: Sehr günstig (ab 3.000 € Setup für 25 TB), einfache Technologie, schnelle Einzel-Datei-Recovery, jeder GF versteht das Prinzip.
Nachteile: Hohes menschliches Versagensrisiko (Platte wird vergessen zu tauschen), begrenzte Haltbarkeit der Medien (5–7 Jahre), keine zentrale Kontrolle über Erfolg/Misserfolg, unverschlüsselt ist die Platte ein DSGVO-Risiko.
Typischer Use-Case: Kleine Büros bis 10 Mitarbeiter, Handwerksbetriebe, lokale Handelsunternehmen. Funktioniert nur, wenn diszipliniert rotiert wird — sonst gefährlich.
Immutable Cloud Storage (WORM)
Write Once Read Many — der Cloud-Anbieter garantiert, dass Objekte für einen definierten Zeitraum (meist 7–90 Tage, teilweise länger) nicht überschrieben oder gelöscht werden können. Auch nicht vom Administrator. Auch nicht mit kompromittierten Credentials.
Vorteile: Automatisierung ohne manuelles Rotieren, Geo-Redundanz inklusive, lineare Skalierung bei wachsenden Datenmengen, keine Hardware-Beschaffung, DSGVO-konform bei EU-Region-Wahl.
Nachteile: Laufende Kosten (kein Einmal-Invest), abhängig von Internet-Bandbreite, Restore großer Datenmengen dauert und kostet Egress-Gebühren, bei Provider-Pleite schwer migrierbar.
Typischer Use-Case: Dienstleister, Handel, Agenturen, alle Office-basierten Unternehmen bis ca. 25 TB. Besonders beliebt in Hamburg bei unseren Managed IT Services-Kunden sowie bei Unternehmen mit Hauptsitz am Standort Hamburg und Niederlassungen in Norddeutschland.
Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.
Kostenvergleich für 5, 25 und 100 TB über 5 Jahre
Realistische Richtpreise für Hamburger KMU basierend auf unseren Projekten und aktuellen Marktpreisen April 2026. Reine Storage-Kosten ohne Personal, Strom, Wartung.
| Datenmenge | Cloud-Backup (Standard) | Immutable Cloud | LTO-Tape | USB-Rotation |
|---|---|---|---|---|
| 5 TB (Büro 10–20 MA) | ca. 3.600 € / 5J | ca. 4.500 € / 5J | ca. 9.000 € (Einstieg zu teuer) | ca. 1.500 € / 5J |
| 25 TB (Büro 30–80 MA) | ca. 18.000 € / 5J | ca. 22.000 € / 5J | ca. 15.000 € / 5J | ca. 4.500 € (Rotation wird aufwendig) |
| 100 TB (Produktion/Archiv) | ca. 72.000 € / 5J | ca. 90.000 € / 5J | ca. 35.000 € / 5J | unpraktikabel |
Fazit: Bis 10 TB ist Cloud-Backup unschlagbar praktisch, 10–50 TB ist Immutable Cloud der Sweet Spot, ab 50 TB lohnt sich Tape. USB-Rotation bleibt die Notfall-Backup-Ebene für die meisten Unternehmen — als dritte oder vierte Kopie, nicht als Primärsicherung.
Backup-Konzept unklar? Wir sortieren das mit Ihnen.
Wir analysieren Ihre aktuellen Backup-Jobs, prüfen Recovery-Zeiten und empfehlen die passende Kombination aus Offline/Online. Kostenlos, 15 Minuten, Hamburg.
Backup-Check buchen →Die 7 häufigsten Fehler bei Backup-Strategien
Aus 5.000+ Support-Tickets pro Jahr und über 200 Neukunden-Übernahmen in Norddeutschland — das sind die wiederkehrenden Fehler:
- Backup im gleichen Netzwerk. NAS im Server-Raum mit SMB-Freigabe. Ransomware-Chance: 100 Prozent.
- Admin-Credentials überall identisch. Wer das Domain-Admin-Passwort hat, hat auch das Backup. Separate Backup-Accounts sind Pflicht.
- Keine Immutable-Komponente. Zwei Online-Backups ersetzen nicht ein Offline-Backup. Niemand prüft ob die Cloud-Kopie wirklich write-protected ist.
- Nie getestet. "Das Backup läuft grün" heißt nicht "Das Backup funktioniert". Nur der Restore zählt.
- Microsoft 365 gilt als gesichert. Microsoft repliziert die Daten, macht aber kein Backup im klassischen Sinne. Ein gelöschtes Postfach nach 30 Tagen ist weg. Zusätzliches M365-Backup ist Pflicht.
- Keine Dokumentation. Im Ernstfall weiß niemand, welches Band wann geschrieben wurde, welche VM auf welchem Ziel liegt, wer den Schlüssel hat.
- Backup-Jobs laufen auf einem alten Server. Veeam-Server auf Windows 2012 R2. Ungepatcht. Die Angreifer freuen sich.
Checkliste: Ist Ihr Backup Ransomware-fest?
Gehen Sie diese Liste einmal durch. Wenn ein Punkt unklar ist, haben Sie eine Lücke — auch wenn der Monitor grüne Häkchen zeigt.
- 3 Kopien Ihrer Produktivdaten existieren — Original plus 2 Backups, dokumentiert in einer Backup-Policy.
- 2 verschiedene Medien sind im Einsatz — z.B. Server-SSD + Cloud, oder NAS + Tape.
- 1 Kopie ist externally/offsite — mindestens 500 Meter entfernt, idealerweise in anderer Stadt.
- 1 Kopie ist offline oder immutable — Tape im Safe, externe HDD rotiert, oder WORM-Lock in der Cloud für mind. 30 Tage.
- Backup-Server ist gepatcht und isoliert — eigenes Subnetz, eigene Credentials, MFA für Admin-Zugriff.
- Restore-Test quartalsweise dokumentiert — Protokoll mit Datum, Dauer, Ergebnis, Verantwortlichem.
- Microsoft 365 separat gesichert — Drittanbieter-Backup für Exchange, SharePoint, OneDrive, Teams.
- Ransomware-Erkennung aktiv — Anomaly Detection im Backup-System warnt bei plötzlicher Verschlüsselungsaktivität.
- Disaster-Recovery-Plan existiert — dokumentiertes Vorgehen für den Ernstfall, inkl. Ansprechpartner und Prioritäten. Leitfaden: Disaster Recovery Plan erstellen.
- Jährliche Disaster-Recovery-Übung — komplettes Szenario einmal pro Jahr durchspielen, nicht nur einzelne Datei restoren.
Wer alle 10 Punkte mit “ja” beantworten kann, ist gut aufgestellt. Wer unsicher ist, macht einen Termin — das ist keine Verkaufsfloskel, sondern Existenzvorsorge.
Cloud-Backup vs. lokal: Wann was sinnvoll ist
Die reine Entscheidung “Cloud oder lokal” hängt an vier Faktoren:
- Bandbreite: Unter 100 Mbit/s symmetrisch wird Initial-Seed in die Cloud bei >5 TB zur Geduldsprobe. Viele Hamburger KMU im Gewerbegebiet haben bis heute asymmetrische Leitungen.
- Recovery Time Objective (RTO): Wie lange darf Ihr Unternehmen stillstehen? Unter 4 Stunden RTO funktioniert nur mit lokaler Primärsicherung plus Cloud als Offsite — nicht umgekehrt.
- Datenmenge: Über 25 TB rechnet sich Cloud auf Dauer nicht mehr, Tape und lokaler Immutable Storage werden günstiger.
- Compliance: DSGVO, Mandantengeheimnis, Berufsgeheimnis (Ärzte, Anwälte, Steuerberater) erfordern klare Anforderungen an Standort und Verschlüsselung. Cloud nur bei EU-Region, eigener KMS-Schlüssel.
Unsere Empfehlung für Hamburger KMU 2026 (10–100 MA, 5–25 TB Daten):
- Primär lokal: Backup-Appliance oder dedizierter Backup-Server mit stündlichen Snapshots, Restore in Minuten.
- Sekundär Cloud Immutable: Tägliche Replikation in WORM-Storage (Azure Blob Immutable, AWS S3 Object Lock, spezialisierter EU-Provider), 30–90 Tage Aufbewahrung.
- Tertiär Offline: Wöchentliche externe HDD-Rotation oder Tape, ein Medium immer außer Haus.
Das ist Mindestniveau. Darunter wird es im Ernstfall eng — auch für kleine Betriebe. Siehe auch Backup-Lösung für Unternehmen und der Leitfaden Backup und Wiederherstellung.
Fazit: Offline ist nicht tot — es ist unverzichtbar
Die Diskussion “Offline vs. Online Backup” führt in die Irre. Wer 2026 noch glaubt, eine der beiden Varianten allein reicht, hat die Ransomware-Realität nicht verstanden. Die Antwort ist immer beides — in der Kombination der 3-2-1-1-0-Regel.
Offline-Backup schützt, wenn alles andere kompromittiert ist. Online-Backup rettet, wenn Sie schnell wieder arbeiten müssen. Immutable Cloud ist für die meisten KMU die praktischste Umsetzung des Offline-Teils. Tape bleibt der Goldstandard für Archive. USB-Rotation bleibt die bezahlbare Rückfall-Ebene.
Wir sind seit über 20 Jahren IT-Dienstleister in Hamburg und haben in dieser Zeit hunderte Backup-Konzepte geprüft, überarbeitet und implementiert. Die eine universell richtige Lösung gibt es nicht — aber es gibt sehr wohl falsche Lösungen, die im Ernstfall Ihr Unternehmen kosten.
Wenn Sie unsicher sind, ob Ihre Strategie hält, lassen Sie sie prüfen. 15 Minuten am Telefon genügen meist, um die groben Lücken zu identifizieren. Das ist günstiger als ein Ransomware-Vorfall — garantiert.
Backup-Check Hamburg: 15 Minuten, kostenlos, ehrlich.
Wir schauen uns Ihr Konzept an, benennen die Lücken und zeigen, welche 3-2-1-1-0-Umsetzung zu Ihrem Unternehmen passt. Ohne Vertriebsgespräch, ohne PDF-Verkaufsunterlage.
Erstgespräch buchen →
