Was ist die 3-2-1-Backup-Regel?

3 Kopien Ihrer Daten – auf 2 unterschiedlichen Medientypen – wovon 1 Kopie ausserhalb des Standorts (offsite) liegt. Diese Regel schützt vor Hardware-Ausfall, Diebstahl, Brand und Ransomware-Angriffen.

Reicht das Microsoft-365-Backup von Microsoft selbst?

Nein. Microsoft sichert die Infrastruktur, nicht Ihre einzelnen Daten gegen versehentliches Löschen oder Ransomware. Ein gelöschtes Postfach ist nach 30 Tagen weg, gelöschte SharePoint-Dateien je nach Konfiguration nach 93 Tagen. Drittanbieter-Backups (Veeam, Acronis, Hornetsecurity 365 Total Backup) sind für KMU dringend empfohlen.

Was kostet ein professionelles Backup für ein KMU?

Für 15 Mitarbeitende rechnen Sie mit CHF 80–180 pro Monat für Microsoft-365-Backup plus CHF 100–250 pro Monat für Server- und Endpoint-Backup mit Cloud-Replikation. Im Vergleich: Die durchschnittlichen Wiederherstellungskosten nach Ransomware betragen laut Sophos-Report CHF 1.5 Millionen.

Wie oft sollte man Backups testen?

Mindestens einmal pro Quartal eine Test-Wiederherstellung einzelner Dateien, mindestens einmal jährlich eine vollständige Disaster-Recovery-Übung. Ungetestete Backups gelten als nicht vorhanden – viele KMU stellen erst im Ernstfall fest, dass die Sicherung nicht zurückspielbar ist.

Backup-Strategie KMU: 3-2-1-Regel & moderne Backups 2026

Kurz vorweg: Laut Sophos «State of Ransomware» wurden 2024 rund 59% aller weltweit befragten KMU mit Ransomware konfrontiert. Bei jedem dritten Vorfall waren die Backups mitverschlüsselt – Wiederherstellung unmöglich. Eine durchdachte Backup-Strategie ist heute keine IT-Spielerei, sondern Existenzversicherung.

Die 3-2-1-Regel – und warum sie 2026 zur 3-2-1-1-0 wird

Die klassische 3-2-1-Regel ist seit 20 Jahren der Goldstandard. Sie wurde an die Realität moderner Ransomware-Angriffe angepasst. So sieht das aktuelle Modell aus:

Drei Kopien Ihrer Daten

Das Original auf dem produktiven System (Server, M365, NAS) plus zwei zusätzliche Kopien. Eine einzige Kopie reicht nicht – wenn das Backup-Medium beim Restore-Versuch ebenfalls ausfällt, sind Sie blank.

Zwei unterschiedliche Medientypen

Beispielsweise SSD/HDD plus Cloud-Storage, oder NAS plus Tape. Verschiedene Technologien fallen selten gleichzeitig aus – und Schadsoftware befällt meist nur einen Typ gleichzeitig.

Eine Kopie ausserhalb des Standorts (offsite)

Brand, Wasserschaden, Diebstahl: Wer alle Backups im selben Raum lagert, verliert sie gemeinsam. Cloud (Azure, AWS, Schweizer Anbieter wie Infomaniak / Exoscale) oder ein zweiter Standort sind Pflicht.

Eine Kopie offline oder unveränderlich (immutable)

Die kritischste Ergänzung gegen Ransomware: Mindestens eine Kopie, die selbst Domain-Admins nicht löschen können. Object-Lock auf S3/Wasabi, WORM-Tapes oder air-gapped Offline-Medien.

Null Fehler bei der letzten Test-Wiederherstellung

Ein Backup, das nie getestet wurde, ist kein Backup. Mindestens quartalsweise stichprobenartig zurückspielen, jährlich eine vollständige DR-Übung durchführen.

Was Sie als KMU wirklich sichern müssen

Microsoft 365: Exchange-Postfächer, OneDrive, SharePoint-Sites, Teams-Chats – inklusive Anhänge und Versionsstände.
On-Premise- oder Cloud-Server: ERP- und CRM-Datenbanken (Bexio, Abacus, SAP), File-Server, Active Directory / Entra ID-Konfiguration.
Endgeräte: Laptops & Desktops mit lokal gespeicherten Daten – häufig unterschätzt, da viele KMU davon ausgehen, alles liege in der Cloud.
Branchen-Software: Kassensysteme, ERP-Modul-Datenbanken, CAD-Daten, Projekt-Archive – inkl. Lizenzen und Konfiguration.
Konfigurations-Backup: Firewall-Regeln, Switch-Configs, MDM-Policies (Intune), Telefonanlage – ohne diese kann ein Standort tagelang lahmliegen.
Webseiten / Shops: SQL-Datenbank plus Dateisystem, am besten täglich, plus monatliches Vollbackup.

Mythos: «Microsoft sichert mein M365 doch»

Das ist die teuerste Fehlannahme im Schweizer KMU-Mittelstand. Microsoft folgt dem Shared Responsibility Model: Microsoft sichert die Plattform-Verfügbarkeit – Sie sind für Ihre Daten verantwortlich. Konkret heisst das:

Versehentlich oder bösartig gelöschte Postfächer sind nach 30 Tagen unwiederbringlich weg.
SharePoint- und OneDrive-Dateien landen je nach Konfiguration im Papierkorb für maximal 93 Tage.
Teams-Chats können nach Aufbewahrungsrichtlinie schon nach 1 Tag endgültig verschwunden sein.
Ransomware verschlüsselt synchronisierte OneDrive-Dateien – die alten Versionen helfen nur, wenn Versionierung aktiv ist und der Angriff früh entdeckt wird.
Bei Mitarbeiteraustritt oder gekündigter Lizenz wird das Postfach 30 Tage später gelöscht – inklusive aller geschäftskritischen Inhalte.

Lösung: Drittanbieter-Backup wie Veeam Backup for Microsoft 365, Acronis Cyber Protect Cloud, Hornetsecurity 365 Total Backup oder Synology Active Backup – Daten landen ausserhalb von Microsofts Tenant in einem unabhängigen Speicher.

RTO und RPO: Was darf der Ausfall kosten?

Bevor Sie Backup-Software auswählen, definieren Sie zwei Grössen:

RTO – Recovery Time Objective

Wie lange darf das System nach einem Ausfall maximal stehen? Bei einem 10-Personen-Treuhänder vielleicht 4 Stunden, in einem 24/7-Industriebetrieb vielleicht 30 Minuten. Strenge RTOs erfordern Hot-Standby-Systeme statt klassischer Backups.

RPO – Recovery Point Objective

Wie viele Daten dürfen Sie maximal verlieren? Tägliches Backup = bis zu 24h Datenverlust. Stündliches Backup = bis zu 1h Datenverlust. Continuous Data Protection (CDP) reduziert das auf Sekunden – kostet aber mehr.

Realistische Kostenrechnung für 15 Mitarbeitende

Microsoft-365-Backup (15 Lizenzen, Cloud-Storage inkl.) CHF 90/Mt

Server-Backup-Software (z.B. Veeam Essentials, 1 Server) CHF 75/Mt

Cloud-Storage (Schweizer Anbieter, 2 TB mit Object-Lock) CHF 60/Mt

Endpoint-Backup für 10 Laptops (à CHF 5) CHF 50/Mt

Monitoring & Test-Wiederherstellung (managed) CHF 120/Mt

Gesamt monatlich ca. CHF 395/Mt

Rund CHF 4'700 pro Jahr. Verglichen mit den durchschnittlich 7-stelligen Wiederherstellungskosten eines schweren Ransomware-Falls eine günstige Versicherung – und in den meisten Fällen Voraussetzung für die Cyberversicherung selbst.

Schweizer KMU – das müssen Sie zusätzlich beachten

Datenstandort: Buchhaltungs- und Personaldaten unterliegen dem revDSG und teilweise OR Art. 957a (Aufbewahrungspflicht 10 Jahre). Schweizer Cloud-Storage (Infomaniak, Exoscale, Swisscom Backup) ist datenschutzrechtlich am unproblematischsten.
Aufbewahrungsfristen: Buchhaltung 10 Jahre, MwSt-Belege 10 Jahre, Lohndaten bis 10 Jahre nach Ende des Arbeitsverhältnisses – Backup-Strategie auf diese Fristen abstimmen.
Ransomware-Meldung: Seit April 2025 Meldepflicht ans NCSC für kritische Infrastruktur, freiwillig empfohlen für alle KMU.
Cyberversicherung: Schweizer Anbieter verlangen meist nachweislich getestete Backups, Offsite-Kopie und Immutability als Voraussetzung – sonst keine Deckung im Ransomware-Fall.

Fazit: Backup ist Risikomanagement, nicht IT

Die meisten KMU haben «irgendetwas Backup» – aber kaum jemand hat einen getesteten, dokumentierten Wiederherstellungsplan. Im Ernstfall entscheidet nicht die Backup-Software, sondern die Frage: Wissen wir, wer was wo wiederherstellt – und in welcher Reihenfolge?

Investieren Sie eine halbe Stunde, um Ihre RTO/RPO zu definieren, einen halben Tag für die 3-2-1-1-0-Architektur und ein paar Hundert Franken pro Monat für saubere Tools. Das ist die wahrscheinlich rentabelste IT-Investition, die Sie als KMU 2026 tätigen können.

Backup-Check für Ihr KMU

Wir prüfen Ihre bestehende Backup-Lösung gegen die 3-2-1-1-0-Regel, testen die Wiederherstellung und liefern einen klaren Massnahmen-Report. Erstgespräch kostenlos.

Backup-Check anfragen