Air Gap und die neue 3-2-1-1-0 Backup-Regel

Backups mit klassischer 3-2-1 Regel werden heutzutage nicht mehr gänzlich als effektive Datensicherheitsstrategie gegen Hacker und Ransomware angesehen. Grund dafür ist die immer weiter wachsende Raffinesse von Cyberkriminellen. Wo damals noch 3 Kopien Ihrer Daten, 2 unterschiedliche Speichermedien und 1 Backup an einem externen Ort gereicht haben, bringt die moderne 3-2-1-1-0 Regel einen neuen Standard auf den Backup-Markt.

Aber was genau ist überhaupt ein „3-2-1-1-0 Backup“, was hat ein "Air Gap" damit zu tun und wie können Sie sich und Ihre Daten denn nun wirklich sicher schützen?

In diesem Artikel erklären wir, weshalb auch Sie unbedingt auf die neue 3-2-1-1-0 Backup-Lösung umsteigen sollten.

Was sind Backup-Regeln?

Backup-Regeln legen fest, wie, wo und wie häufig Daten gesichert werden sollten, um einen maximalen Schutz vor Datenverlust zu gewährleisten. Sie sind deshalb ein zentraler Bestandteil jeder Backup-Strategie!

Die Bedeutung von Datensicherung wird häufig unterschätzt, bis es zu spät ist: Hardwaredefekte, Cyberangriffe oder versehentliches Löschen führen schnell zu einem vollständigen Datenverlust. Gut definierte Backup-Regeln helfen, genau das zu verhindern. Sie bieten eine strukturierte Anleitung, wie Sicherheitskopien erstellt und gespeichert werden sollen. Wichtig ist hierbei u.a. die Regelmäßigkeit, eine Standortunabhängigkeit und eine mögliche Automatisierung des Backup-Prozesses.

Warum ist eine Backup-Strategie so wichtig?

Ohne durchdachte Backup-Strategie riskieren Unternehmen Datenverlust, Betriebsstillstand und massive Kosten. Angriffe wie Ransomware, Hardware-Ausfälle oder auch menschliche Fehler können theoretisch jederzeit auftreten, und ohne Backup gibt es dementsprechend keine 'Rückfallebene'. Eine gute Backup-Strategie sichert also nicht nur Daten, sondern auch die Handlungsfähigkeit des Unternehmens. Sie berücksichtigt Speicherorte, Aufbewahrungsfristen, Wiederherstellungszeiten und Sicherheitsanforderungen und stellt somit den Grundpfeiler moderner IT-Resilienz dar.

Natürlich sind Unternehmen mit anderen Backup-Regelungen und Strategien wie Privatpersonen ausgestattet, doch rein prinzipiell gelten viele dieser Regelungen und Ansätze im Grunde auch für Privatleute. Wollen Sie als Privatperson Ihre Daten also wirklich sicher schützen, werden Sie im Laufe dieses Blogartikels noch einige hilfreiche Tipps erhalten!

Wie oft sollten Backups erstellt werden?

Die Häufigkeit von Backups richtet sich in erster Linie nach dem sogenannten Wiederherstellungspunktziel (also der maximal akzeptablen Datenlücke). Für geschäftskritische Systeme empfehlen wir tägliche oder sogar stündliche Backups. In dynamischeren Umgebungen mit hoher Datenveränderung kann ein inkrementelles Backup alle 1-4 Stunden sinnvoll sein. Wichtig ist, eine regelmäßige Überprüfung durchzuführen, ob die Backups a) korrekt erstellt wurden und b) im Notfall auch zuverlässig wiederherstellbar sind.

Was ist die 3-2-1 Backup-Regel?

Die klassische 3-2-1 Regel ist eine bewährte Backup-Strategie, die für mehr Ausfallsicherheit sorgt. Ihr Prinzip ist einfach, aber effektiv:

• 3 Kopien der Daten insgesamt
• 2 unterschiedliche Speichermedien (z.B. NAS + externe Festplatte)
• 1 Kopie außerhalb des Standorts (z.B. in der Cloud)

Der Vorteil: Selbst bei physischem Schaden, Diebstahl oder Ransomware bleiben Daten durch das räumlich getrennte Backup verfügbar. Diese Regel ist vor allem für KMUs und IT-Administratoren ein praktischer Leitfaden für erste Sicherheitsvorkehrungen und galt lange Zeit als effiziente und sichere Regel für Backup-Strategien in Unternehmen.

Was steckt hinter der 3-2-1-1-0 Backup-Regel?

Die erweiterte 3-2-1-1-0 Regel baut auf der klassischen 3-2-1 Methode auf, hat aber zusätzliche Schutzmaßnahmen für modernere Bedrohungsszenarien:

• 3 Datenkopien insgesamt
• 2 unterschiedliche Speichermedien
• 1 externes Backup (z.B. Cloud oder Offsite)
• 1 unveränderliches Backup, das vor Manipulation oder Ransomware geschützt ist
• 0 Fehler bei der Backup-Überprüfung

Die Zusätze des unveränderlichen Backups und die der 0 Fehlertoleranz bieten zusätzlichen Schutz vor gezielten Angriffen wie Ransomware. Die "1" steht hier für ein Air-Gap-Backup, also ein Backup, dass vollständig vom Netzwerk getrennt ist und nicht per Fernzugriff erreichbar ist.

Diese Regel bringt mehr Resilienz in die Backup-Strategie und ist besonders für Organisationen mit hohen Anforderungen (z.B. NIS2) an die IT-Sicherheit relevant.

Was ist ein Air Gap Backup?

Bei einem Air Gap handelt es sich um eine „physische Netzwerkisolierung“. Es ist ein Prozess, bei dem Daten durch den Transport eines Speichermediums, wie eine z.B. eine auf externe Festplatte oder ein Magnetband (LTO1-LTO8) aus dem Netzwerk heraus isoliert werden. Ziel ist es, sicherzustellen, dass ein Backup selbst im Falle eines schwerwiegenden Angriffs nicht kompromittiert werden kann.

Das zu transportierende Medium wird zunächst in das Quellsystem eingelegt, mit den Daten beschrieben und anschließend aus diesem System entfernt und sicher verwahrt. Alternativ kann auch ein immutable (unveränderlich) Cloud-Snapshot mit Zugriffsschutz als logischer Air-Gap dienen.

Was ist ein Immutable Backup?

Ein Immutable Backup ist eine Sicherungskopie, die nach ihrer Erstellung nicht mehr verändert oder gelöscht werden kann. Die Unveränderbarkeit wird durch spezielle Speicherlösungen erreicht (z.B. WORM-Technologie oder S3 Object Lock). Damit ist das Backup selbst im Falle eines erfolgreichen Angriffs auf die IT-Infrastruktur noch vollständig intakt und stellt eine großartige Verteidigungslinie für den Ernstfall dar. Das Immutable Backup ist deshalb ein zentraler Bestandteil moderner Backup-Strategien!

Wie schützen Backups vor Ransomware?

Sicherungsbänder können in der Regel mit Air Gap gleichgesetzt werden und erleben momentan als Massenspeicher seit 2016 wieder Ihre Renaissance. Die bisherigen als Lösung aller Probleme gehypten Online Backups sind durch die Bedrohung von modernen Malware-Mutationen leider ins Hintertreffen geraten. Bei Band basierten Backups steht das Air Gap im Mittelpunkt weil es möglich macht mit einer Offline-Kopie der Daten diese zuverlässig vor dem Zugriff von Hackern und Ransomeware zu schützen.

Um eine zeitgemäße Reaktion auf das zunehmende Cyber-Risiko zu geben lautet die neue Backup-Regel 3-2-1-1. Diese Regel empfiehlt, dass wie bisher mindestens drei Datenkopien, sich an zwei Standorten befinden und darüber hinaus mindesten zwei weitere Offline-Datensicherung idealerweise an beiden Standorten durchgeführt werden.

Um Ihre Daten vor Ransomware und anderen Malware-Abgriffen zu schützen, sollten Sie sich diese mindestens die 3-2-1 oder die 3-2-1-1-0 Regel zu Herzen nehmen.

Dem ein oder anderen kommen Datensicherungsbänder wie aus der Zeit gefallen vor. Fakt ist aber, dass die folgenden Vorteile und Eigenschaften alle Tapes mit sich bringen:

1. Tapes sind sicher und langlebig
2. Tapes sind mit Abstand das günstigste Speichermedium für große Datenmengen
3. Ein Air Gap Backup funktioniert nur mit Tapes zuverlässig
4. Es gibt klar definierte Roadmaps für LTO-Tapes*
5. Auf Tapes gesicherte Daten verbrauchen keinen Strom und sind damit CO2 und klimafreundlich

* Jede neue LTO Tape Technologie kann mindestens zwei vorhergehende LTO Generation lesen, und stellt damit sicher, dass die auf Band befindlichen Daten auch beim Wechsel auf ein neues Bandlaufwerk weiterhin zuverlässig gelesen werden können.
Günstig, Langlebig und Alternativlos - Was spricht dagegen sich mit dieser Sicherheit auszustatten?

Unser Fazit zum Thema Air-Gap und dem 3-2-1-1-0 Backup

Setzen Sie bei Ihrem Backup in Zukunft auf eine „Air Gap basierende Strategie“ und sehen Sie den Einsatz von Bändern im Backup vor zum Schutz von Hackern und Erpressern. Verteidigen Sie Ihre wertvollen Daten gegen moderne Ransomware-Angriffe, Netzwerkausfälle und die Verbreitung von Malware innerhalb Ihrer Netzwerke. Schonen Sie außerdem die Umwelt und das Klima in dem Sie Online-Backups auf das notwendige Maß reduzieren und vermehrt Tapes einsetzen. Wenn Sie Fragen zur Konzeption eines 3-2-1-1-0 oder weiteren Backup-Strategien haben, steht Ihnen das BRANDMAUER IT Team gerne zur Verfügung.

Übrigens: Noch mehr zu unseren Backup-Services finden Sie hier: Managed Backup Service