Eine durchdachte Backup-Strategie gegen Ransomware ist 2026 die letzte und zugleich wichtigste Verteidigungslinie eines Unternehmens. Denn so gut die Prävention auch sein mag - wenn Angreifer wie Qilin oder Akira einmal im Netzwerk sind und Daten verschlüsseln, entscheidet allein das Backup darüber, ob der Betrieb in Stunden wieder läuft oder dauerhaft Daten verloren gehen. Genau hier scheitern viele KMU.
Das BSI führt das Backup-Prinzip im IT-Grundschutz-Baustein CON.3 und empfiehlt es ausdrücklich als Basismaßnahme gegen Ransomware. Doch ein Backup, das im Ernstfall nicht funktioniert oder selbst mitverschlüsselt wird, ist wertlos. Dieser Beitrag zeigt, wie eine moderne Backup-Strategie gegen Ransomware aussieht und worauf es bei der Notfallplanung wirklich ankommt.
Backup-Strategie gegen Ransomware: von 3-2-1 zu 3-2-1-1-0
Die klassische 3-2-1-Regel ist seit Jahren der Standard: drei Kopien Ihrer Daten auf zwei verschiedenen Medientypen, davon eine an einem externen Standort. Sie schützt zuverlässig vor Hardwaredefekten, Feuer oder Diebstahl. Gegen moderne Ransomware reicht sie allein jedoch nicht mehr aus, denn Angreifer suchen heute gezielt nach erreichbaren Backups und verschlüsseln sie gleich mit.
Deshalb wird die Regel 2026 erweitert zur 3-2-1-1-0-Strategie. Die zusätzliche „1“ steht für eine Kopie, die offline oder unveränderlich (immutable) gespeichert ist - für Ransomware also unerreichbar. Die „0“ bedeutet null Fehler bei der Wiederherstellung, also regelmäßig getestete Backups. Erst diese Erweiterung schützt auch dann, wenn der Angreifer bereits im Netzwerk ist.
Das BSI verankert dieses Prinzip im IT-Grundschutz und empfiehlt ausdrücklich, Datensicherungen so zu gestalten, dass sie auch im Falle eines erfolgreichen Angriffs auf die Produktivumgebung intakt bleiben. Für KMU heißt das nicht zwingend hohe Investitionen: Viele moderne NAS-Systeme und Cloud-Dienste bieten Immutable-Funktionen bereits an, sie müssen nur korrekt konfiguriert und aktiviert werden. Entscheidend ist, die Strategie an die eigene IT-Landschaft anzupassen, statt eine Standardlösung ungeprüft zu übernehmen.
Was die Regel im Detail bedeutet
- 3 Kopien der Daten - das Original plus zwei Sicherungen
- 2 verschiedene Speichermedien - etwa NAS und Cloud oder Band
- 1 Kopie an einem externen, räumlich getrennten Standort
- 1 Kopie offline oder unveränderlich (immutable, air-gapped)
- 0 Fehler bei der Wiederherstellung - nachgewiesen durch echte Restore-Tests
Der entscheidende Baustein ist die Unveränderlichkeit. Immutable Backups lassen sich für einen festgelegten Zeitraum weder löschen noch überschreiben - auch nicht mit gestohlenen Administratorrechten. Genau das macht sie zum wirksamsten Schutz gegen die doppelte Erpressung moderner Ransomware-Gruppen.
Warum das so wichtig ist, zeigt das Vorgehen der Angreifer. Gruppen wie Qilin und Akira verschaffen sich heute fast immer Administratorrechte, bevor sie die Verschlüsselung starten. Mit diesen Rechten suchen sie gezielt nach verbundenen Sicherungslaufwerken, NAS-Systemen und Cloud-Backups und löschen oder verschlüsseln diese zuerst. Ein Backup, das mit denselben Zugangsdaten erreichbar ist wie die Produktivsysteme, bietet daher keinen verlässlichen Schutz. Erst die physische oder logische Trennung - ein echtes Air-Gap oder unveränderlicher Speicher - durchbricht diese Logik.
Der häufigste Fehler: ungetestete Backups
Ein Backup beweist seinen Wert ausschließlich bei der Wiederherstellung. In der Praxis stellen viele Unternehmen erst im Ernstfall fest, dass ihre Sicherung unvollständig, beschädigt oder schlicht nicht wiederherstellbar ist. Das BSI nennt fehlende oder ungetestete Backups als einen der Hauptgründe, warum Ransomware-Angriffe zu unwiederbringlichem Datenverlust führen.
Die Lösung ist einfach, wird aber selten konsequent umgesetzt: Spielen Sie mindestens vierteljährlich eine echte Sicherung in eine isolierte Umgebung zurück und dokumentieren Sie das Ergebnis. So kennen Sie Ihre tatsächliche Wiederherstellungszeit, bevor es darauf ankommt - und nicht erst, wenn der Betrieb stillsteht.
Zwei Kennzahlen sollten Sie dabei im Blick behalten. Die Recovery Time Objective (RTO) beschreibt, wie lange die Wiederherstellung maximal dauern darf, bevor der Ausfall geschäftskritisch wird. Die Recovery Point Objective (RPO) gibt an, wie viel Datenverlust verkraftbar ist - also wie aktuell das jüngste Backup sein muss. Ein Betrieb, der nur einmal täglich sichert, riskiert im schlimmsten Fall den Verlust eines ganzen Arbeitstages. Definieren Sie diese Werte bewusst und richten Sie die Sicherungsintervalle daran aus, statt sich auf Standardeinstellungen zu verlassen.
Notfallplanung: der Plan für den Ernstfall
Ein gutes Backup ist die Grundlage, ein getesteter Notfallplan macht daraus eine funktionierende Strategie. Im Ernstfall zählt jede Minute, und improvisierte Entscheidungen kosten Zeit und Geld. Ihr Notfallplan sollte folgende Punkte klar regeln:
- Wer ist im Ernstfall verantwortlich und entscheidungsbefugt?
- Welche Systeme werden zuerst isoliert, um die Ausbreitung zu stoppen?
- In welcher Reihenfolge werden Systeme wiederhergestellt (Priorisierung)?
- Welche externen Stellen werden informiert - Dienstleister, Versicherung, BSI?
- Wie wird die Belegschaft und gegebenenfalls Kunden kommuniziert?
Für NIS2-betroffene Unternehmen ist all das ohnehin Pflicht: Das Umsetzungsgesetz verlangt nachweisbar robuste Backup- und Recovery-Strategien sowie dokumentierte Wiederherstellungstests. Immutable Backups und Restore-Tests sind 2026 keine Kür mehr, sondern regulatorische Anforderung.
Den Notfall einmal durchspielen
Ein Plan, der nur in der Schublade liegt, hilft im Ernstfall wenig. Spielen Sie das Szenario daher mindestens einmal im Jahr im Rahmen einer Tischübung durch: Was passiert in den ersten Stunden nach Entdeckung eines Angriffs? Wer trifft welche Entscheidung? Funktioniert die Kommunikation, wenn E-Mail und Telefonie ausgefallen sind? Solche Übungen decken Lücken auf, die auf dem Papier unsichtbar bleiben - etwa fehlende Kontaktdaten von Dienstleistern oder eine Notfalldokumentation, die nur auf dem verschlüsselten Server liegt.
Bewahren Sie wichtige Notfallunterlagen deshalb auch in ausgedruckter oder getrennt gespeicherter Form auf. Dazu gehören Kontaktlisten, Wiederherstellungsanleitungen, Lizenzschlüssel und Zugangsdaten zu den Backup-Systemen. Wer im Krisenfall erst suchen muss, verliert wertvolle Zeit.
Sinnvoll ist es zudem, im Vorfeld zu klären, welche externen Partner im Ernstfall helfen können. Ein IT-Dienstleister, der Ihre Infrastruktur bereits kennt, kann im Schadensfall deutlich schneller reagieren als ein Anbieter, der sich erst einarbeiten muss. Auch der Versicherer und gegebenenfalls die zuständige Aufsichtsbehörde gehören auf die Liste. Wer diese Beziehungen vor dem Ernstfall aufbaut, gewinnt im entscheidenden Moment wertvolle Stunden - und genau diese Stunden entscheiden oft über die Höhe des Gesamtschadens.
Fazit
Eine moderne Backup-Strategie gegen Ransomware folgt der 3-2-1-1-0-Regel, setzt auf unveränderliche Kopien und wird durch regelmäßige Restore-Tests abgesichert. Kombiniert mit einem klaren Notfallplan verwandelt sie einen potenziell existenzbedrohenden Angriff in einen beherrschbaren Zwischenfall. Wer hier investiert, kauft sich die wertvollste Versicherung im digitalen Geschäftsbetrieb.
Ist Ihr Backup wirklich ransomwaresicher und im Ernstfall wiederherstellbar? Cryon aus Leipzig konzipiert und betreibt unveränderliche Backup-Lösungen, führt Restore-Tests durch und erstellt mit Ihnen einen belastbaren Notfallplan. Lassen Sie uns Ihre Datensicherung gemeinsam auf den Prüfstand stellen.
Sind Ihre Backups wirklich sicher?
Cryon richtet eine widerstandsfähige Backup-Strategie ein und testet die Wiederherstellung, damit im Ernstfall alles läuft.
