Datensicherung war schon immer wichtig — 2026 ist sie überlebenswichtig. Die Synology-Analyse zu Backup & Recovery 2026 bringt es auf den Punkt: Ransomware, Komplexität und NIS2 erhöhen den Druck auf Backup-Strategien. Wer 2026 noch mit einer einzelnen externen Festplatte arbeitet, riskiert in einem Vorfall Wochen Stillstand. Wir zeigen, was wirklich schützt — Praxis aus über 200 Backup-Projekten bei Hamburger KMU.
Inhalt in Kürze
- 3-2-1-1-0-Regel: Drei Kopien, zwei Medien, eine extern, eine offline/immutable, null Restore-Fehler. Vom BSI empfohlen.
- Wiederherstellung testen: Ohne Restore-Test ist das Backup nur eine Vermutung.
- Ransomware-Schutz: Immutable Storage (S3 Object Lock, Azure Blob Immutable, Veeam V12) verhindert, dass Schadsoftware Backups mitverschlüsselt.
- NIS2-Pflicht: Dokumentiertes Backup-Konzept, regelmäßige Tests, Geschäftsführer-Haftung.
Was Datensicherung wirklich bedeutet
Datensicherung ist nicht „Datei kopieren”. Eine professionelle Backup-Strategie umfasst:
- Was wird gesichert? System (Betriebssystem, Konfiguration), Anwendungsdaten (Datenbanken, Dateien), E-Mails und Cloud-Inhalte (M365, SaaS).
- Wie oft? Inkrementell stündlich/täglich, Vollsicherung wöchentlich, langfristige Archivierung monatlich.
- Wo gespeichert? Lokales NAS, externes Medium, Cloud — mindestens drei Standorte.
- Wie geschützt? Verschlüsselung in Übertragung (TLS) und Speicherung (AES-256), Zugriffstrennung, Immutable-Storage gegen Ransomware.
- Wie wiederhergestellt? Definierte Wiederherstellungszeit (RTO), regelmäßige Restore-Tests, dokumentierte Notfall-Prozesse.
Die 3-2-1-1-0-Regel — der heutige Standard
Die klassische 3-2-1-Regel (drei Kopien, zwei Medien, eine extern) wurde durch Ransomware-Angriffe ergänzt. Der Veeam-Backup-Guide und der BSI-Leitfaden empfehlen die Erweiterung auf 3-2-1-1-0:
- 3 Kopien der Daten: Original plus zwei Backups.
- 2 unterschiedliche Speichermedien: z. B. interne SSD und NAS, oder NAS und Tape.
- 1 externe Kopie: außerhalb des Standorts — Cloud, Schwesterstandort oder Bankschließfach.
- 1 unveränderliche Kopie: Immutable Storage, das Schreibzugriff für eine festgelegte Zeit verbietet.
- 0 Fehler: regelmäßige Wiederherstellungstests, dokumentiert.
Die „1 immutable Kopie" ist 2026 der entscheidende Punkt. Moderne Ransomware (z. B. BlackCat, LockBit) sucht aktiv nach Backup-Servern und verschlüsselt sie zuerst. Ohne unveränderliches Backup zahlen Sie das Lösegeld — oder gehen pleite. Mit immutable Backup haben Sie nach 24 Stunden wieder einen Betrieb.
Backup-Methoden im Vergleich
Drei Verfahren werden in der Praxis kombiniert:
| Methode | Wie | Speicherbedarf | Restore-Komplexität |
|---|---|---|---|
| Vollsicherung | Alle Daten | Höchster | Einfachster |
| Inkrementell | Nur Änderungen seit letztem Backup | Niedrig | Komplex (Kette nötig) |
| Differenziell | Alle Änderungen seit letzter Vollsicherung | Mittel | Mittel |
Standard-Setup im Mittelstand: Wöchentliche Vollsicherung am Sonntagabend, tägliche inkrementelle Sicherung in der Nacht. Datenbanken werden zusätzlich stündlich per Transaktions-Log gesichert. Mehr zur Backup-Architektur: Backup für Unternehmen.
Wo Backups physisch hin gehören
Drei Speicherorte — und alle haben ihre Berechtigung:
Lokales NAS oder Backup-Server
Schnellste Wiederherstellung. Für Datenbanken, Dateien, virtuelle Maschinen. NAS-Hersteller wie Synology, QNAP und TerraMaster bieten Hyper Backup mit Cloud-Anbindung. Hardware-Investition: 1.500–4.000 € für ein KMU-NAS mit RAID-6 und 4–8 TB Nutzkapazität.
Externe Festplatten oder Tape
Für eine physisch getrennte Offline-Kopie. Wichtig: Festplatte rotieren — nicht dauerhaft am Server angeschlossen lassen, sonst verschlüsselt Ransomware sie mit. Tape ist 2026 noch lebendig: Großformatige Datenmengen (10 TB+) werden günstig und langfristig gespeichert.
Cloud-Backup
Microsoft Azure Backup, AWS Backup, Backblaze B2, Wasabi — der einfachste Weg zur Offsite-Kopie. Vorteile: ortsunabhängig, automatisch, mit Immutable-Optionen. Beispiele:
- Azure Backup für Server und Microsoft 365: ab 5 € pro Server, 1,80 € pro M365-Postfach.
- Veeam Cloud Connect: replikative Sicherung in zertifizierte Rechenzentren.
- SkyKick Backup für M365: 3,50 € pro User für unbegrenzte Versionshistorie.
Mehr zu M365-Backup: SkyKick Backup für Microsoft 365.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Datenbanken sind keine Dateien
Datenbanken sind ein Sonderfall. Wer eine SQL-Server-Datenbank einfach als Datei kopiert, sichert eventuell einen inkonsistenten Zustand — und kann später nichts wiederherstellen. Drei Pflicht-Punkte:
- Datenbank-eigenes Backup verwenden. SQL Server hat BACKUP DATABASE, MySQL mysqldump, PostgreSQL pg_dump. Diese Tools sichern den konsistenten Zustand.
- Transaktions-Logs sichern. Erlauben Wiederherstellung auf den Punkt — z. B. „Stand 14:32 Uhr, eine Minute vor dem Crash".
- Application-aware Backup mit Veeam. Die Backup-Software ruft den Datenbank-Server auf, fordert einen konsistenten Schnappschuss an, sichert dann.
Verschlüsselung und Zugriffsschutz
Ein gestohlenes Backup ist ein Datenleck. Drei Pflichten:
- AES-256-Verschlüsselung für jedes Backup-Image. Schlüsselverwaltung getrennt vom Backup.
- MFA für Backup-Zugang. Wer aufs Backup-Portal kommt, kann Restores starten — und damit auch zerstören.
- Account-Trennung: Der Backup-Service-Account hat eigene Rechte, getrennt vom Domain-Admin. Sonst kann ein kompromittierter Domain-Admin die Backups löschen.
Mehr zur Sicherheitsarchitektur: Microsoft 365 Sicherheit & DSGVO.
Aus der Praxis: Was wir bei Neukunden vorfinden
Drei Bilder, die wir leider zu oft sehen:
- Die externe Festplatte am Server: Permanent angeschlossen. Ransomware verschlüsselt sie in der ersten Minute des Angriffs. Lösung: Rotation oder Cloud-Backup.
- Das nie getestete NAS: „Wir backupen seit 2018.” Restore-Test? Nie gemacht. Beim ersten Versuch stellt sich heraus: Das NAS war zwei Jahre lang voll, neue Backups gingen ins Nichts. Lösung: Quartalsweiser Restore-Test, dokumentiert.
- Microsoft 365 ungesichert: „Microsoft sichert das doch?” Microsoft hält 30 Tage Versionshistorie — bei massenhaftem Lösch-Vorfall ist das oft zu wenig. Lösung: Drittanbieter-Backup für M365 ab 3,50 € pro User.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
NIS2 und Backup — was Pflicht wird
NIS2 betrifft Mittelständler in vielen Branchen. Die Anforderungen an Backup:
- Dokumentiertes Backup-Konzept. Welche Daten, welche Häufigkeit, welcher Speicherort, welche RPO/RTO.
- Regelmäßige Restore-Tests. Mindestens quartalsweise, dokumentiert mit Ergebnis.
- Schutz vor Ransomware. Immutable-Backups oder Air-Gap-Tape.
- Wiederherstellungsplan als Teil des Notfall-Plans (Disaster Recovery Plan).
- Geschäftsführer-Haftung. Nichteinhaltung kann bis zu 10 Mio. Euro oder 2 % des Umsatzes kosten.
Mehr: Disaster Recovery & Business Continuity für KMU 2026 und NIS2-Beratung Hamburg.
Wiederherstellungstest — der Schritt, den fast alle vergessen
Ein Backup, das nie zurückgespielt wurde, ist eine Vermutung. Was wir bei jedem Mandanten quartalsweise testen:
- Datei-Restore: Eine zufällige Datei aus dem Backup zurückspielen.
- Server-Restore: Eine ganze VM in einer isolierten Umgebung wieder hochfahren.
- M365-Restore: Ein Postfach komplett zurückstellen, prüfen ob Mails, Kalender und Kontakte da sind.
- Disaster-Übung: Einmal pro Jahr eine ganze Wiederherstellung — als ob alles weg wäre. Dauer messen, Schwachstellen dokumentieren.
IT-Sicherheit ist Chefsache. Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ihre aktuelle Sicherheitslage — ehrlich bewertet.
Erstgespräch buchen →Externe Quellen
- BSI: Datensicherung — Behördliche Empfehlungen zur Datensicherung.
- Microsoft Learn: Azure Backup — Cloud-Backup-Dokumentation.
Fazit — Backup ist Pflicht, kein Add-on
Eine sichere Datensicherung kostet 2026 weniger als ein einziger Tag Stillstand nach einem Ransomware-Angriff. Die Mathematik ist eindeutig: 200–400 € pro Monat für ein professionelles Backup vs. 50.000–500.000 € pro Vorfall. Die 3-2-1-1-0-Regel, regelmäßige Restore-Tests und Immutable Storage sind keine Spitzfindigkeiten, sondern der heutige Standard. Wenn der Vorfall trotzdem eintritt, entscheidet die erste Stunde — der Praxis-Fahrplan zum IT-Notfall Bremen führt Sie durch die ersten 72 Stunden inkl. Meldekette und Lösegeld-Falle.
Wir helfen Hamburger Mittelständlern beim Aufbau einer sauberen Backup-Strategie — von der NAS im Büro bis zum unveränderlichen Cloud-Backup. Mehr zu unseren Sicherheitsleistungen: hagel one backup und Cybersecurity Hamburg. Sie wollen wissen, wie es bei Ihnen aussieht? Rufen Sie uns unter 040 284 10 26-0 an oder schreiben Sie uns — 15 Minuten reichen für einen ersten Eindruck.
