Backup nach 3-2-1-Regel

Die 3-2-1-Regel

Die 3-2-1-Regel beschreibt den Mindeststandard für Datensicherung: drei Kopien der Daten, davon eine die Produktivinstanz, zwei Sicherungen, auf zwei verschiedenen Medientypen oder Speichersystemen, und mindestens eine Kopie räumlich getrennt und vom Netzwerk isoliert offline aufbewahrt.

Im Ransomware-Zeitalter wird die Regel erweitert zu 3-2-1-1-0: drei Kopien, zwei Medien, eine extern, eine offline beziehungsweise unveränderlich, null Fehler in der Wiederherstellung. Unveränderliche Backups werden über WORM-Speicher oder Object Lock realisiert.

Warum Online-Backups nicht reichen

Moderne Ransomware-Angreifer suchen gezielt nach Sicherungssystemen und löschen oder verschlüsseln sie vor der eigentlichen Verschlüsselung der Produktivsysteme. Backups, die mit den gleichen Zugangsdaten erreichbar sind wie der Produktivbetrieb, gelten daher als nicht ransomware-fest. Eine offline oder unveränderlich gespeicherte Kopie ist die einzige Garantie, im Ernstfall ohne Lösegeldzahlung wieder handlungsfähig zu sein.

Wiederherstellungstests

Backups, die nie wiederhergestellt wurden, gelten in der Praxis als nicht vorhanden. Mindestens vierteljährliche Wiederherstellungstests mit dokumentiertem Ergebnis gehören zum Mindeststandard. Geprüft wird nicht nur die technische Wiederherstellung, sondern auch die Vollständigkeit, Aktualität und die Wiederherstellungszeit gegenüber definierten Zielvorgaben RTO und RPO.

Pflicht und Stand der Technik

Art. 32 Abs. 1 lit. c DSGVO verlangt die Fähigkeit zur raschen Wiederherstellung. NIS2 fordert ausdrücklich Maßnahmen zur Aufrechterhaltung des Betriebs und zum Backup. Ein erfolgreicher Ransomware-Angriff ohne wiederherstellbare Backups wird in der Bußgeldzumessung als schwerwiegender Mangel der TOM bewertet.