Datenverlust ist weitaus häufiger und kostspieliger, als die meisten Menschen annehmen. Ein einziger mechanischer Festplattenausfall, eine Ransomware-Variante wie LockBit, die einen Familiencomputer verschlüsselt, oder ein einziges versehentliches Löschen genügt, um jahrelange unersetzliche Dateien auszulöschen – Fotos, Videos, Steuerunterlagen, eine Abschlussarbeit, deren letzte Kapitel nie ausgedruckt wurden. Der rote Faden in fast jeder Verlustgeschichte ist derselbe: eine einzige Kopie der Daten, ohne zweite Verteidigungslinie. Eine einzige Kopie ist ein Single Point of Failure. Die 3-2-1-Regel existiert, um diesen Single Point of Failure zu beseitigen, und genau dabei soll Ihnen dieser Leitfaden helfen.
Was ist die 3-2-1-Backup-Regel?
Die 3-2-1-Regel wurde 2009 von Peter Krogh formalisiert, einem amerikanischen Berufsfotografen und Autor von The DAM Book: Digital Asset Management for Photographers. Krogh suchte nach einer einfachen Eselsbrücke für Fotografen, die durch defekte Backup-Workflows Tausende Aufnahmen verloren. Er destillierte jahrzehntelange IT-Best-Practices in drei Zahlen.
3 Kopien Ihrer Daten. Das Original zählt mit, plus zwei unabhängige Sicherungskopien. Die statistische Logik: Während jede einzelne Festplatte eine kleine, aber reale Chance hat, in einem bestimmten Jahr auszufallen (Backblaze veröffentlicht seine realen Drive Stats offen), ist die Wahrscheinlichkeit, dass zwei unabhängige Laufwerke gleichzeitig ausfallen, weitaus geringer, und dass drei unabhängige Kopien gemeinsam ausfallen, verschwindend unwahrscheinlich. Das reicht für einen praktischen Schutz.
2 verschiedene Medientypen. Zwei Laufwerke derselben Marke, desselben Modells und derselben Fertigungscharge haben eine korrelierte Ausfallwahrscheinlichkeit – ein Fertigungsfehler oder eine Überspannung trifft sie alle gleichzeitig. Zwei verschiedene Medientypen – eine externe Festplatte und ein Cloud-Dienst oder eine lokale Platte und ein NAS – beseitigen diese Korrelation. Technologische Vielfalt ist das Prinzip.
1 externe Kopie. Dies ist die am meisten vernachlässigte und kritischste Zahl. Eine Überschwemmung, ein Brand, ein Hardware-Diebstahl: Wenn sich all Ihre Kopien im selben Raum befinden, verschwinden sie gemeinsam. Die externe Kopie kann physisch sein (eine Platte im Haus der Eltern, ein Zweitbüro) oder logisch (Cloud). Cloud-Speicher hat den Zugang zu dieser externen Kopie demokratisiert, die einst Unternehmen mit großen Budgets vorbehalten war.
Die 3-2-1-Regel wurde nicht von Peter Krogh erfunden: Die zugrunde liegenden Prinzipien existieren in der Unternehmens-IT seit den 1970er-Jahren mit Magnetband. Was Krogh beisteuerte, war eine pädagogische Formulierung, die sie für jeden in dreißig Sekunden einprägsam macht.
Warum die 3-2-1-Regel gegen jedes Risiko funktioniert
Die Stärke der 3-2-1-Regel liegt darin, dass jede Zahl vor einem eigenen Risiko schützt. Diese Logik zu verstehen bedeutet zu verstehen, warum Sie keine davon entfernen können, ohne einen blinden Fleck zu schaffen.
Hardwareausfall: die 3 genügt. Jede Festplatte – HDD oder SSD – fällt irgendwann aus, und ein nicht unerheblicher Anteil fällt schon nach wenigen Jahren Nutzung aus; SSDs fallen seltener aus als HDDs, aber mit anderen Fehlermodi (stille Korruption, Firmware-Probleme, Wear-Leveling). Mit einer einzigen Kopie ist jeder Laufwerksausfall eine Katastrophe. Mit zwei Kopien auf verschiedenen Medien sinkt die Wahrscheinlichkeit, alles zu verlieren, drastisch. Mit drei unabhängigen Kopien ist der Schutz gegen einfachen Hardwareausfall praktisch vollständig.
Ransomware: die 1 Offline-Kopie ist entscheidend. Moderne Ransomware (LockBit, BlackCat, Cl0p) zielt gezielt auf Backups. Sie durchsucht das lokale Netzwerk, verschlüsselt NAS-Freigaben, verbundene USB-Laufwerke und Windows Volume Shadow Copies. Ein dauerhaft verbundenes Backup ist kein Ransomware-Backup mehr – es ist nur eine verschlüsselte Kopie, die darauf wartet zu geschehen. Eine externe Cloud-Kopie mit Versionierung (Backblaze, Wasabi, B2) oder ein physisch getrenntes Laufwerk sind die einzigen wirksamen Verteidigungen. Eine verschlüsselte Backup-Platte, die nach jedem Lauf getrennt wird, kann von der auf dem Rechner laufenden Ransomware nicht erreicht werden.
Brand und Überschwemmung: die 1 physische externe Kopie ist unersetzlich. Ein Wohnungsbrand kann den Inhalt eines Raums innerhalb von Minuten zerstören. Eine überflutete Wohnung legt Elektronik innerhalb von Stunden lahm. Weder das NAS im Wohnzimmer, noch die Platten in der Schreibtischschublade, noch der Laptop auf dem Tisch überleben. Nur eine Kopie an einem getrennten Ort – Cloud, das Zuhause eines Verwandten, ein Bankschließfach für hochkritische Daten – garantiert Kontinuität.
Versehentliches Löschen: Versionierung rettet Sie. Die 3-2-1-Regel schreibt Versionierung nicht ausdrücklich vor, aber moderne Umsetzungen schließen sie ein. Wenn Sie versehentlich eine Datei überschreiben und Ihr Cloud-Backup die überschriebene Version synchronisiert, sind alle Ihre Kopien gleichzeitig beschädigt – genau der Fehlermodus von Sync-Diensten wie Dropbox oder Google Drive ohne aktivierte Versionierung. Backblaze Computer Backup bewahrt Versionen 30 Tage auf (1 Jahr mit Extended Version History). BorgBackup bewahrt so viele Snapshots auf, wie Ihr Speicher zulässt. Diese Versionierung verwandelt das Backup in eine Zeitmaschine.
Moderne Weiterentwicklungen: 3-2-1-1-0, 4-3-2 und Hybrid Cloud
Die 3-2-1-Regel von 2009 hat sich weiterentwickelt, um modernen Bedrohungen zu begegnen. Drei Varianten sind heute etabliert.
Die 3-2-1-1-0-Regel (Veeam, 2012). Veeam Software, ein Anbieter von Unternehmens-Backup-Lösungen, formalisierte zwei kritische Ergänzungen. Die zusätzliche 1: mindestens eine offline oder per Air-Gap getrennte Kopie behalten – ein physisch getrenntes Laufwerk oder ein Offline-LTO-Band. Diese Zahl neutralisiert Netzwerk-Ransomware, die nicht verschlüsseln kann, was sie nicht sieht. Die 0: null verifizierte Fehler beim letzten Wiederherstellungstest. Dies ist die praktisch wichtigste Ergänzung, denn ein ungetestetes Backup ist eines, dessen Funktionsfähigkeit unbekannt ist. Ungetestete Wiederherstellungen scheitern bei einem echten Vorfall weit häufiger, als Teams erwarten – genau deshalb zählt die 0 (verifizierte Wiederherstellung).
Die 4-3-2-Regel (Berufsfotografen und Kreativstudios). Für Profis, deren Daten ihr Geschäftskapital darstellen – Fotografen mit 50-MB-RAW-Dateien pro Aufnahme, Videostudios mit 4K-Rohmaterial, Architekten mit 10-GB-BIM-Dateien – fügt die 4-3-2 eine zusätzliche Ebene hinzu: 4 Kopien, 3 Medien, 2 extern. Die zweite externe Kopie ist typischerweise eine zweite Cloud (Backblaze B2 + Amazon S3 Glacier) oder eine Platte in einem Bankschließfach für die wertvollsten Aufnahmen. Ein Hochzeitsfotograf mit 500 GB unersetzlicher RAW-Dateien hat eine wirtschaftliche Verpflichtung zur 4-3-2.
Der hybride Ansatz lokal + Cloud (Standard 2026). Für die große Mehrheit der Privatanwender und KMU kombiniert der praktische Ansatz 2026: ein lokales NAS (Synology, QNAP) mit RAID für Hardware-Redundanz + Backup-Software mit Zeitplanung (EaseUS Todo Backup, Acronis) für lokale Snapshots + Backblaze oder Wasabi für das externe Cloud-Backup. Diese Kombination deckt alle Risiken zu vertretbaren Kosten ab (unter 30 $/Monat für ein KMU mit 5 Arbeitsplätzen und 2 TB Daten).
Empfohlene Tools 2026: Vollständiger Vergleich
| Tool | Plattform | Preis 2026 | Verschlüsselung | Deduplizierung | Automatisierung | Ideal für |
|---|---|---|---|---|---|---|
| EaseUS Todo Backup | Windows | 29,95 $/Jahr (Home) | AES-256 | Nein | Ja (Scheduler) | Privat/KMU Windows |
| Acronis True Image | Win + Mac | 49,99 $/Jahr | AES-256 | Nein | Ja | Vollständiges Systemabbild |
| BorgBackup | Linux/Mac | Kostenlos (GPL) | AES-256 + HMAC | Ja (Block) | Per Cron | Homelab, Linux-Server |
| Restic | Win/Lin/Mac | Kostenlos (BSD) | AES-256 | Ja (Inhalt) | Per Cron/Task | Multi-Cloud, plattformübergreifend |
| rsync | Linux/Mac | Kostenlos (GPL) | Nicht nativ (per SSH) | Nein | Per Cron | Einfache Netzwerkkopie |
| Backblaze Computer | Win + Mac | 9 $/Monat | AES-256 | Ja (cloudseitig) | Kontinuierlich automatisch | Privatanwender, unbegrenzt extern |
| Backblaze B2 | API/S3 | 6 $/TB/Monat | AES-256 | Per Client | Per Client | KMU, Objektspeicher |
| Wasabi | API/S3 | 6,99 $/TB/Monat | AES-256 | Per Client | Per Client | B2-Alternative, keine Egress-Gebühren |
EaseUS Todo Backup ist die beste Wahl für nicht-technische Windows-Nutzer. Es erstellt vollständige Systemabbilder (über Universal Restore auf anderer Hardware wiederherstellbar), unterstützt inkrementelles und differentielles Backup und plant tägliche Aufträge automatisch. Die Home-Edition für 29,95 $/Jahr deckt einen PC ab. Die Workstation-Edition (59,95 $/Jahr) ergänzt die Wiederherstellung auf abweichender Hardware. Preise im Juni 2026 auf easeus.com überprüft.
BorgBackup glänzt in Linux-Umgebungen und bei Fotografen mit großen Datenmengen. Borgs Deduplizierung auf Blockebene ist besonders wirksam bei ähnlichen Dateien (RAW-Exporte derselben Session, Datenbanken mit wenigen Änderungen), sodass ein Repository mit überwiegend ähnlichen Daten merklich kleiner ausfallen kann als die Rohdatengröße. Native ChaCha20-Poly1305- oder AES-CTR-Verschlüsselung ab der Initialisierung verfügbar.
Restic ist Borg für Multi-Cloud- und Windows-Bedürfnisse überlegen. Es unterstützt nativ Backblaze B2, Amazon S3, Google Cloud Storage, Azure Blob, SFTP und lokale Repos – keine Plugins von Drittanbietern. Der Befehl restic backup ist unabhängig vom Backend identisch.
Backblaze Computer Backup bleibt die einfachste und günstigste externe Wahl für Privatanwender: Client installieren, vergessen, in der Gewissheit, dass 9 $/Monat ein unbegrenztes Volumen abdecken. Wesentliche Einschränkungen: 1 Computer pro Lizenz, langsame Netzwerk-Wiederherstellung bei sehr großen Datenmengen, kein Backup von Netzwerkverzeichnissen (nur lokale Laufwerke).
EaseUS Todo Backup einrichten
Kostenlose Version verfügbar · Home 29,95 $/Jahr · Automatischer Scheduler + Systemabbild + Universal Restore
3-2-1-Einrichtung Schritt für Schritt: 3 konkrete Szenarien
Szenario 1 — Privatanwender (Budget ~220 $/Jahr)
Ziel: Fotos, Dokumente, E-Mails, Windows-Profil gegen Ausfall, Ransomware, Brand schützen.
Hardware: 4-TB-USB-3.0-Festplatte (~90 $, WD Elements oder Seagate Expansion) + Backblaze Computer Backup (9 $/Monat) + EaseUS Todo Backup Home (29,95 $/Jahr).
Konfiguration:
- Schließen Sie die externe Festplatte an. Erstellen Sie in EaseUS Todo Backup einen Auftrag „Systemabbild“ – Ziel: externe Festplatte. Zeitplan: wöchentlich (Sonntag 3 Uhr). Inkrementeller Modus mit 4-wöchiger Aufbewahrung.
- Installieren Sie Backblaze Computer Backup. Wählen Sie beim ersten Start die Ordner: Dokumente, Fotos, Desktop, Projektordner. Lassen Sie den Upload im Hintergrund laufen (rechnen Sie mit 2 bis 5 Tagen für 100 GB je nach Upload-Geschwindigkeit).
- Konfigurieren Sie das automatische Auswerfen der Festplatte nach jedem EaseUS-Auftrag (aktivieren Sie „Nach Backup auswerfen“ in den Auftragseinstellungen). Eine getrennte Festplatte kann nicht von Ransomware verschlüsselt werden.
- Monatliche Prüfung: Öffnen Sie Backblaze, prüfen Sie das Datum des letzten Snapshots. Prüfen Sie in EaseUS den letzten Auftragsbericht (Status „Erfolgreich“). Stellen Sie eine Testdatei von jedem Medium wieder her.
Ergebnis: 3 Kopien (Windows-Original + EaseUS-Abbild + Backblaze-Cloud), 2 Medien (lokale Festplatte + Cloud), 1 extern (Backblaze). 3-2-1-Regel erreicht für etwa 220 $ im ersten Jahr.
Szenario 2 — KMU mit 5 Arbeitsplätzen (Budget 150-250 $/Monat)
Ziel: DSGVO-Konformität, Geschäftskontinuität, Schutz vor auf KMU zielender Ransomware.
Infrastruktur: Synology DS423+ NAS mit 4 × Seagate IronWolf 4 TB im RAID 6 (verträgt 2 gleichzeitige Laufwerksausfälle) + EaseUS Todo Backup Business (Netzwerklizenz) + verschlüsselter Backblaze-B2-Bucket.
Konfiguration:
- Konfigurieren Sie auf jedem Arbeitsplatz EaseUS Todo Backup Business mit einem täglichen differentiellen Auftrag auf das NAS (Projektordner und Benutzerprofile). Geplant um 23 Uhr, außerhalb der Arbeitszeit.
- Aktivieren Sie auf dem Synology-NAS Cloud Sync zu Backblaze B2 (native Synology-App). Konfigurieren Sie nur die Synchronisation des Backup-Ziels – nicht den gesamten NAS-Spiegel, zu teuer. Clientseitige Verschlüsselung mit dem firmeneigenen Schlüssel vor dem Upload.
- Konfigurieren Sie einen Synology-Hyper-Backup-Auftrag auf eine rotierende externe Festplatte (3 physische Platten beschriftet A/B/C, wöchentliche Rotation, eine Platte stets extern aufbewahrt). Dies ist die per Air-Gap getrennte Kopie der 3-2-1-1-0-Regel.
- Testen Sie einmal pro Quartal eine vollständige Arbeitsplatz-Wiederherstellung (aus dem NAS-Abbild). Dokumentieren Sie die tatsächliche Wiederherstellungszeit (reale RTO vs. Ziel-RTO).
Ergebnis: 3-2-1-1-0 umgesetzt. Tägliche inkrementelle lokale Kopien + RAID-NAS + verschlüsselte B2-Cloud + per Air-Gap getrennte externe Platte. Konformität mit Artikel 32 DSGVO (geeignete technische Maßnahmen).
Szenario 3 — Berufsfotograf (Budget 80-120 $/Monat)
Ziel: unersetzliche RAW-Dateien schützen (typischerweise 50 bis 200 GB pro Hochzeit oder Auftrag), 4-3-2-Regel empfohlen.
Feld-Workflow: Kopieren Sie nach jedem Auftrag sofort die SD-Karten auf den Laptop UND auf eine portable SSD (Samsung T7 Shield oder SanDisk Extreme Pro). Löschen Sie SD-Karten niemals, bevor beide Kopien verifiziert sind.
Studio-Infrastruktur: Synology DS923+ NAS mit 4 × WD Red Plus 8 TB im RAID 5 + BorgBackup auf dem NAS für deduplizierte Snapshots auf ein zweites entferntes NAS (Büro oder vertraute Familie mit anständiger Verbindung) + Backblaze B2 für die Kaltarchivierung gelieferter Aufträge.
Häufigkeit:
- Sofort (Feld): SD-Karte → Laptop + portable SSD
- Täglich (Studio): Laptop → NAS-RAID per BorgBackup (Block-Deduplizierung verkleinert das Repository, wenn Sessions ähnliche Daten teilen)
- Monatlich: NAS → Backblaze B2 Glacier (Kaltarchiv, 2 $/TB/Monat für seltenen Abruf)
- Jährlich: wertvollste Projekte auf LTO-8-Band exportieren, wenn das Volumen > 10 TB
Ergebnis: 4-3-2 erreicht. SD-Karte (1) + Laptop (2) + Studio-NAS-RAID (3) + entferntes NAS (4). Medien: Flash/SD, portable SSD, NAS-HDD, Cloud. Zwei externe Kopien: entferntes NAS + B2.
Test und Verifizierung: Der Schritt, den die meisten überspringen
Ein ungetestetes Backup ist kein Backup. Es ist eine Kopie, von der Sie hoffen, dass sie im Bedarfsfall funktioniert. Diese Unterscheidung ist nicht rhetorisch: Ungetestete Wiederherstellungen scheitern bei einem echten Vorfall weit häufiger, als Teams erwarten. Die häufigsten Ursachen: stillschweigend beschädigte Backup-Datei, unerkannte physische Mediendegradation, mit dem alten Format inkompatible Software- oder Versionsänderung.
Minimaler Monatstest. Stellen Sie eine zufällige Datei von jedem Backup-Medium wieder her und prüfen Sie, dass sie korrekt öffnet. Mit EaseUS Todo Backup nutzen Sie die Funktion „Backup durchsuchen“, um ohne vollständige Wiederherstellung auf Dateien zuzugreifen. Mit Backblaze laden Sie eine Datei über die Weboberfläche herunter. Mit BorgBackup: borg extract --dry-run ::archiv-name pfad/zur/datei zur Prüfung ohne physische Wiederherstellung.
Jährlicher vollständiger Wiederherstellungstest. Stellen Sie einmal im Jahr ein komplettes Abbild auf einer Testmaschine oder VM wieder her. Für ein KMU validiert dies die reale RTO – wie viele Stunden tatsächlich nötig sind, um einen Arbeitsplatz wieder betriebsbereit zu machen. Unter Windows mit EaseUS Todo Backup wird ein 256-GB-Arbeitsplatz in 45 bis 90 Minuten von einem lokalen NAS über Gigabit-Ethernet wiederhergestellt.
Automatisierte Überwachung. Professionelle Tools senden E-Mail-Benachrichtigungen bei einem fehlgeschlagenen Auftrag. Konfigurieren Sie diese Benachrichtigungen in EaseUS Todo Backup (Notification Center → E-Mail SMTP) oder in Backblaze (Dashboard → Notifications). Für BorgBackup ergänzt das Wrapper-Skript borgmatic Überwachung und Benachrichtigungen über Dienste wie Healthchecks.io – nach jedem erfolgreichen Lauf wird ein HTTP-Ping gesendet, und eine Warnung wird ausgelöst, wenn innerhalb des erwarteten Fensters kein Ping eintrifft.
Archiv-Integritätsprüfung. Magnetbänder degradieren, HDDs sammeln defekte Sektoren an, .zip- oder .tar-Dateien können stillschweigend beschädigen. BorgBackup hat borg check --verify-data, das jeden Repository-Chunk liest und verifiziert. Restic hat restic check --read-data für denselben Zweck. EaseUS Todo Backup enthält in den Eigenschaften jedes Auftrags eine Option „Backup prüfen“ – aktivieren Sie sie systematisch.
Kritische Fehler, die es zu vermeiden gilt
Fehler 1: das ungetestete Backup. Oben ausführlich beschrieben, ist dies einer der kostspieligsten Fehler. Selbst eine 5-minütige Monatsprüfung fängt die meisten Probleme ab, bevor sie katastrophal werden.
Fehler 2: das dauerhaft verbundene Backup. Eine 24/7 angeschlossene externe USB-Platte wird von moderner Ransomware wie LockBit 3.0 oder BlackCat in 3 bis 8 Minuten verschlüsselt. Wenn das Ihre einzige Backup-Kopie ist, haben Sie verloren. Die Lösung: nach jedem Auftrag trennen (manuell oder automatisch über EaseUS „Nach Backup auswerfen“) oder einen Cloud-Dienst mit unveränderlicher Versionierung nutzen. Backblaze B2 oder AWS S3 Object Lock verhindert jede Löschung oder Änderung einer Version, selbst durch den Bucket-Eigentümer, für die konfigurierte Dauer.
Fehler 3: RAID ist kein Backup. RAID 1 (Spiegel) dupliziert Daten in Echtzeit. Wenn Sie versehentlich einen Ordner löschen, breitet sich die Löschung sofort auf beide Spiegelplatten aus. Wenn Ransomware Ihr RAID-Volume verschlüsselt, werden beide Platten gleichzeitig verschlüsselt. RAID schützt vor dem Hardwareausfall einer Platte – nützlich, sogar empfohlen für ein NAS. Aber es ist kein Backup. Es ist eine Verfügbarkeitsebene.
Fehler 4: Snapshot ist kein Backup. LVM-, ZFS- oder Synology-Snapshot-Manager-Snapshots sind Zeitpunkt-Dateisystemzustände, die auf demselben Volume gespeichert sind – oft auf derselben Platte. Ein Snapshot schützt vor kürzlichem versehentlichem Löschen, solange die Platte noch funktioniert. Fällt die Platte aus oder wird das NAS gestohlen, verschwinden die Snapshots mit der Platte. Snapshots ergänzen eine 3-2-1-Strategie; sie ersetzen sie nicht.
Fehler 5: die Backup-Verschlüsselung vernachlässigen. Ein unverschlüsseltes Cloud-Backup oder eine verlorene/gestohlene externe Festplatte legt all Ihre persönlichen und beruflichen Daten offen. BorgBackup und Restic verschlüsseln standardmäßig bei der Initialisierung. EaseUS Todo Backup bietet in den Optionen jedes Auftrags AES-256-Verschlüsselung. Backblaze verschlüsselt standardmäßig serverseitig, mit der Option eines persönlichen privaten Schlüssels für alle, die dem Dienst nicht vertrauen möchten.
Fehler 6: Backup ohne dokumentierten Wiederherstellungsplan. In einer Krisensituation (Ransomware um 2 Uhr nachts, NAS-Ausfall am Tag vor einer Kundenlieferung) sucht niemand nach Dokumentation. Die Wiederherstellungsprozedur muss schriftlich vorliegen, ausgedruckt oder an einem Offline-Ort gespeichert sein (lokaler Passwort-Manager, Bankschließfach) und getestet sein. Zwei Seiten genügen: wie man in den Rettungsmodus bootet, wo die Wiederherstellungsplatte ist, welche Software, in welcher Reihenfolge.
Mehr zur Wiederherstellung, wenn das Backup versagt, finden Sie in unserem vollständigen Leitfaden zur Festplatten-Datenrettung 2026 und unserem Kostenvergleich zur Datenrettung. Für quelloffene Rettungstools behandelt unser Leitfaden TestDisk vs. PhotoRec beide Tools eingehend. Wenn Sie ein automatisches Backup unter Windows oder Mac einrichten müssen, lesen Sie unseren Leitfaden für automatisches Backup unter Windows und Mac 2026. Um die beste Rettungssoftware zu wählen, vergleicht unser Vergleich 2026 8 Tools über eine Reihe realer Szenarien hinweg.
EaseUS Todo Backup jetzt einrichten
Automatischer Scheduler · Vollständiges Systemabbild · Universal Restore · Kostenlose Version verfügbar
Recover your deleted files → EaseUS
Free scan · deleted, formatted & lost files · Windows & Mac
