Hauptsitz

ITRIS One AG
Industriestrasse 169
8957 Spreitenbach

+41 58 855 51 51
one@itris.ch

Anfrage

Hauptsitz

ITRIS One AG
Industriestrasse 169
8957 Spreitenbach

+41 58 855 51 51
one@itris.ch

Anfrage

Backup-Strategien im Wandel

Kontaktieren Sie uns

Von 3-2-1 zur 3-2-1-1-0 Strategie: 
Warum klassische Redundanz nicht mehr ausreicht

Die 3-2-1 Regel stammt aus einer Zeit, in der Ausfälle meist hardwarebedingt waren. Drei Kopien auf zwei unterschiedlichen Medientypen und eine Off-site-Kopie schützen vor lokalem Verlust. Diese Regel ist nach wie vor ein solides Fundament und wird von Herstellern wie Veeam und Commvault weiterhin als relevant bestätigt. Die Bedrohungslage hat sich aber verändert: Ransomware-Angriffe zielen zunehmend auf Backup-Systeme, und Regulatoren verlangen eine garantierte Wiederherstellbarkeit. Deshalb wurde die Strategie auf 3-2-1-1-0 erweitert:

  • 3 Kopien: Eine primäre Produktionskopie plus zwei Backups.
  • 2 unterschiedliche Medien: Zum Beispiel lokaler Speicher und ein Cloud-Object-Storage.
  • 1 Off-site-Kopie: Geografische Trennung schützt vor Standortschäden und Katastrophen.
  • 1 unveränderliche oder isolierte Kopie (Immutability / Air Gap): Diese Kopie kann für einen definierten Zeitraum weder gelöscht noch verändert werden. Sie ist ein entscheidender Schutz gegen Ransomware, da Angreifer nicht alle Sicherungen kompromittieren können.
  • 0 Fehler: Backups müssen regelmässig geprüft werden, um sicherzustellen, dass sie vollständig und wiederherstellbar sind. Automatisierte Restore-Tests reduzieren das Risiko von Wiederherstellungsfehlern.


Diese erweiterte Regel berücksichtigt die Anforderungen moderner Regulierungen. Die EU-NIS2-Richtlinie verlangt von «wichtigen» und «wesentlichen» Einrichtungen, einschliesslich Managed Service Providern, strenge Cyber-Sicherheitsmassnahmen wie Risikomanagement, Incident-Detection und schnelle Meldung von Zwischenfällen. Die EU-Data-Act stärkt seit September 2025 die Datenportabilität; Unternehmen müssen ihre Daten jederzeit verschieben können. In der Schweiz schreibt die revidierte Bundesgesetzgebung (revDSG, in Kraft seit 1. September 2023) vor, dass Unternehmen ihre Verarbeitungstätigkeiten dokumentieren und Datenpannen «so schnell wie möglich» melden. Für Schweizer Unternehmen bedeutet dies: eine robuste 3-2-1-1-0 Strategie mit Nachweisen zur Wiederherstellbarkeit ist nicht nur Best Practice, sondern zunehmend eine regulatorische Pflicht.

ITRIS One AG – Expertenstatement Anatol Studler

Anatol Studler
Chief Technology Officer
ITRIS One AG

Cyber-Resilience und Immutability – mehr als nur Backup

Cyber-Resilience bezeichnet die Fähigkeit, trotz Störungen oder Angriffen schnell wieder betriebsfähig zu werden und das Vertrauen in die Daten zu wahren (niedrige RPO/RTO). Backups sind nur ein Teil einer ganzheitlichen Resilience-Strategie. Wichtige Faktoren sind:

  • Unveränderliche Backups (Immutability): Laut Impossible Cloud und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind offline oder immutabel gespeicherte Backups die effektivste Schutzmassnahme gegen Ransomware. S3 Object Lock oder WORM-Speicher verhindern, dass Angreifer eine Sicherung löschen oder verschlüsseln.
  • Zugriffskontrollen und Verschlüsselung: Backup-Anbieter sollten sowohl die Speicherung als auch die Übertragung verschlüsseln und rollenbasierte Zugriffsberechtigungen einsetzen. Die Schweizer Datenschutzgesetze verlangen, dass personenbezogene Daten bei der Übermittlung in Drittstaaten besonders geschützt werden.
  • Regelmässige Tests: Veeam weist darauf hin, dass automatisierte Wiederherstellungstests (z.B. SureBackup) die einzige Möglichkeit sind, um sicherzustellen, dass Backups im Ernstfall funktionieren. Der «0-Fehler-Aspekt» bedeutet daher ein dokumentiertes Testverfahren.
  • Protokollierung und Monitoring: Um Manipulationen zu erkennen, sind Protokollierung und Audit-Trails erforderlich. In der Schweiz können Verstösse gegen die Dokumentationspflicht zu Bussen führen.


Nur wenn diese Massnahmen kombiniert werden, entsteht echte Cyber-Resilience. Ein immutables Backup allein reicht nicht; die gesamte Wiederherstellungskette muss belastbar sein.

Minimum Viable Company (MVC) und Isolated Recovery Environment (IRE)

Während immutables Backup ein technischer Grundpfeiler ist, gewinnt auch die organisationale Resilience an Bedeutung. Dafür haben sich zwei Konzepte etabliert:

  • Minimum Viable Company (MVC): Dieser Ansatz definiert das absolute Minimum an Geschäftsprozessen, Systemen und Daten, das ein Unternehmen nach einem Angriff wiederherstellen muss, um funktionsfähig zu bleiben. Veeam betont, dass viele Firmen ihre Resilienz überschätzen; laut dem «Veeam Ransomware Trends 2025»-Report gaben 69 % der befragten Unternehmen an, sich vor dem Angriff gut vorbereitet zu fühlen, doch nach einem Vorfall sank diese Zuversicht um 20 %. Die Definition einer MVC erfordert eine Priorisierung kritischer Funktionen und eine kontinuierliche Resilience‑Praxis, statt nur einen Plan auf Papier. Governance‑Frameworks wie der NIST Cybersecurity Framework 2.0, NIST SP 800‑34, ISO 27001, ISO 22301 und die europäische Digital Operational Resilience Act (DORA) verlangen ausdrücklich, dass Unternehmen kritische Geschäftsprozesse identifizieren, minimal akzeptable Betriebsniveaus festlegen und Wiederherstellungsprioritäten definieren. In einem KMU‑Umfeld bedeutet das: Bereits im Vorfeld Inventar und Prioritäten festlegen und Recovery‑Pläne testen, damit im Ernstfall zuerst die lebensnotwendigen Services – etwa Finanzbuchhaltung, Kundenbetreuung oder regulatorisch vorgeschriebene Meldewege – laufen.
  • Phasen des MVC‑Ansatzes: Vor dem Vorfall sollten Unternehmen neben der Prozess‑Priorisierung robuste Datensicherungsfunktionen implementieren – darunter VM‑Recovery, häufige Snapshots und Replikation, unveränderliche und air‑gapped Backups sowie automatisierte Orchestrierung und Clean‑Room‑/Isolated‑Recovery‑Environments. Während der MVC‑Phase werden ausschliesslich essenzielle Dienste wiederhergestellt, parallel laufen forensische Analysen und eine kontinuierliche Überwachung. Nach Erreichen des MVC‑Zustands folgt die vollständige Wiederherstellung: weniger kritische Systeme werden sequenziell zurückgeführt, Sicherheitslücken geschlossen und Lessons Learned dokumentiert. Für KMU bietet sich hier der Einsatz von Backup‑as‑a‑Service mit definierten Playbooks und Tabletop‑Übungen an; diese helfen, das MVC‑Szenario regelmässig zu üben und Schwachstellen frühzeitig zu erkennen.
  • Isolated Recovery Environment (IRE): Eine MVC‑Strategie benötigt eine saubere Wiederherstellungsbasis. IREs schaffen diese Basis, indem sie eine von der Produktionsumgebung abgetrennte Zone für Backups bereitstellen. Dabei wird die Netzwerkanbindung gezielt gekappt, sodass eine air‑gapped Kopie entsteht. Das Konzept eines IRE liefert Administratoren eine saubere Backup‑Version, die auf Abruf wiederhergestellt werden kann und so als letzte Verteidigungslinie dient. Gute IRE‑Lösungen kombinieren unveränderliche und nicht vorzeitig löschbare Sicherungen, Ransomware‑Erkennung, Recovery‑Orchestrierung und regelmässige Proben des Recovery‑Prozesses. Sie adressieren die NIST‑Kategorien «Protection», «Detection» und «Recovery»: Backups werden auf WORM‑Speicher repliziert (Schutz), Anomalie‑Erkennung scannt nach Malware (Detektion) und eine isolierte Kopie stellt eine schnelle Wiederherstellung sicher (Recovery). Zudem senkt eine IRE die Angriffsfläche, unterstützt Compliance‑Vorgaben wie GDPR, HIPAA oder Sheltered Harbor und erhöht die Widerstandsfähigkeit von Banken oder Finanzdienstleistern.


Für KMU ist die Grösse einer IRE pragmatisch zu wählen: Sie sollte so klein wie möglich sein, um kritische Anwendungen zu unterstützen, aber gross genug, um eine saubere Recovery zu gewährleisten. Zudem unterscheiden Experten zwischen Clean‑Room‑Umgebung und Recovery‑Environment: Eine Clean‑Room‑Umgebung dient zum Testen und Scannen der Daten vor der Rücküberführung und benötigt nur minimale Infrastruktur; eine IRE hingegen stellt während der Recovery die Produktionsumgebung auf separater Infrastruktur bereit. Einige Backup‑Anbieter offerieren solche isolierten Umgebungen als Dienstleistung. Für Schweizer KMU kann ein BaaS‑Modell mit IRE‑Funktionen den Aufbau eigener Infrastruktur überflüssig machen und gleichzeitig sicherstellen, dass im Ernstfall eine saubere, unveränderte Kopie zur Verfügung steht.

Daten-Souveränität: Warum Speicherstandort und Rechtsraum wichtig sind

EU vs. USA – Gefährdungen durch den CLOUD Act

Ein europäischer Backup-Plan muss nicht nur technischen Schutz bieten, sondern auch sicherstellen, dass Daten dem richtigen Rechtsraum unterliegen. Der US-CLOUD Act erlaubt amerikanischen Behörden, Daten von US-Unternehmen herauszuverlangen, selbst wenn diese physisch in Europa gespeichert sind. Somit können Daten in einem Frankfurter oder Dubliner Rechenzentrum dennoch den Zugriffen US-amerikanischer Behörden unterliegen. Diese Möglichkeit kollidiert mit den strengen europäischen Datenschutzgesetzen und stellt ein Souveränitätsrisiko dar.

Schweizer Vorteil

Schweiz gilt als neutraler Rechtsraum und ist nicht an internationale Geheimdienst-Abkommen gebunden. Die revidierte DSG ist weltweit als umfassender Datenschutzstandard anerkannt. Die politische Neutralität und die geographische Lage im Herzen Europas ermöglichen eine inländische Datenhaltung, die europäische Datenschutzprinzipien erfüllt. Der Schweizer Finanzmarktaufsicht (FINMA) zufolge müssen Finanzinstitute Datenpannen, die Kundendaten betreffen, umgehend melden; dies erhöht die Transparenz und zwingt zu resilienten Backup-Prozessen. Unternehmen können ausserdem von der hohen Energieeffizienz und dem kühlen Klima profitieren, das Rechenzentren kostengünstig betreiben lässt.

Datenresidenz und Kontrolle

Die NIS2-Richtlinie verlangt von Dienstleistern, dass sie Drittanbieter überwachen und sicherstellen, dass Daten nur in zulässigen Regionen verarbeitet werden. Auch die Checkliste von Keepit empfiehlt dringend, dass Backup-Anbieter Datenresidenzkontrolle anbieten, damit Unternehmen selbst bestimmen können, wo ihre Backups gespeichert werden. Für Schweizer KMU, die sowohl dem revDSG als auch dem GDPR unterliegen, ist dies zentral: personenbezogene Daten sollten entweder im Inland oder in einem Land mit angemessenen Datenschutzbestimmungen gespeichert werden.

Vorteile von Backup-as-a-Service für KMU und Managed Service Provider

Für kleine und mittlere Unternehmen ist die Implementierung einer komplexen Backup-Architektur oft nicht realisierbar. Backup-as-a-Service (BaaS) bietet hier eine pragmatische Lösung:

  • Entlastung der IT-Ressourcen: BaaS ermöglicht es KMU, Datensicherung und Wiederherstellung an einen spezialisierten Dienstleister auszulagern. Gerade kleine Unternehmen beschäftigen selten eigene Backup‑Spezialisten; BaaS stellt ihnen dennoch Enterprise‑Schutz zur Verfügung, ohne Personalbindung.
  • Skalierbarkeit und Flexibilität: Cloud-basierte Backups wachsen mit dem Datenvolumen. Speicher lässt sich ohne teure Vorabinvestitionen erweitern. Dies ist wichtig, wenn KMU wachsen oder neue Standorte eröffnen.
  • Immutable Backups und Ransomware-Schutz: Moderne BaaS-Plattformen integrieren unveränderliche Speicher und Air-Gap-Funktionen, sodass eine saubere Kopie selbst dann erhalten bleibt, wenn das Primärsystem kompromittiert wird. In Kombination mit automatisierten Restore-Tests entsteht ein sicherer Wiederherstellungsweg.
  • Planbare Kosten und Compliance-Expertise: BaaS wird meist als monatliches Abo mit klaren Service Level Agreements angeboten. Dadurch entfallen hohe Investitionskosten und unerwartete Aufwendungen. Viele Dienstleister bringen Zertifizierungen (ISO 27001) sowie Know-how zu NIS2 und revDSG ein und können bei Audits unterstützen.
  • Integration von Disaster Recovery: Durch die Kombination von BaaS und Disaster-Recovery-as-a-Service (DRaaS) können KMU bei grösseren Ausfällen schnell in eine ausgelagerte Infrastruktur ausweichen und so den Betrieb aufrechterhalten.


Zusammengefasst erlaubt BaaS es Schweizer KMU und Managed Service Providern, eine 3-2-1-1-0-Strategie umzusetzen, ohne interne Ressourcen zu überstrapazieren.

Best Practices für eine resiliente Backup-Strategie in der Schweiz

  • 1. Risikobasierte Planung: Ermitteln Sie, welche Daten und Systeme geschäftskritisch sind. Berücksichtigen Sie gesetzliche Anforderungen (revDSG, GDPR, FINMA-Vorgaben) und Branchenstandards.
  • 2. Hybrid-Ansatz: Kombinieren Sie lokale Backups für schnelle Wiederherstellung mit Off-site-Backups in einer europäischen oder schweizerischen Cloud. Achten Sie auf Medienvielfalt (Disk, Tape, Object Storage).
  • 3. Implementieren Sie Immutability: Nutzen Sie Funktionen wie S3 Object Lock oder WORM-Storage, um mindestens eine Kopie unveränderlich zu machen. Aktivieren Sie Aufbewahrungsfristen, die Ransomware-Angreifer nicht umgehen können.
  • 4. Souveräne Cloud-Provider wählen: Vermeiden Sie Anbieter, die dem US-CLOUD Act unterliegen. Europäische oder Schweizer Anbieter gewährleisten, dass Ihre Daten ausschliesslich europäischem Recht unterstehen.
  • 5. Automatisiertes Testing und Monitoring: Planen Sie regelmässige Restore-Tests, überwachen Sie Backup-Jobs und bewahren Sie Protokolle auf. Nur so können Sie das «0-Fehler-Ziel» erreichen und Compliance-Nachweise liefern.
  • 6. Dokumentation und Rollenmanagement: Halten Sie fest, wer auf Backups zugreifen darf, wer Wiederherstellungen freigibt und wie im Notfall eskaliert wird. Die revDSG erfordert ein Verzeichnis der Verarbeitungstätigkeiten und eine rasche Meldung von Datenpannen.
  • 7. BaaS sinnvoll nutzen: Überprüfen Sie die Serviceverträge Ihrer BaaS-Anbieter bezüglich Datenstandort, Immutability, Support-Modell und Compliance. Ein guter Anbieter bietet flexible Service-Tiers, transparente Kosten und Unterstützung bei Audits.

Fazit

Die Weiterentwicklung von der einfachen 3-2-1-Regel zur 3-2-1-1-0-Strategie verdeutlicht, dass moderne Datensicherung weit mehr umfasst als reine Redundanz. Ransomware, regulatorische Vorgaben (NIS2, EU-Data-Act, revDSG) und geopolitische Spannungen zwingen Unternehmen dazu, die gesamte Wiederherstellungskette zu betrachten. Unveränderliche Backups, regelmässige Wiederherstellungstests und ein souveräner Speicherort sind heute wesentliche Bestandteile einer professionellen Cyber-Resilience-Strategie. Für Schweizer KMU bieten Backup-as-a-Service und Managed Services eine effiziente Möglichkeit, diese Anforderungen umzusetzen und gleichzeitig interne IT-Teams zu entlasten. Unternehmen, die frühzeitig in resiliente und souveräne Backup-Architekturen investieren, sichern nicht nur ihre Geschäftskontinuität, sondern erfüllen auch die steigenden Anforderungen von Kunden, Partnern und Regulatoren.

Consulting

Solutions

Services

Unternehmen