Artikel vom 20. März 2026
Mehrstufige Backup-Architektur: Best Practices 2026
Das 4‑Tier-Modell #
Tier 1: Online Backup (täglich) #
Technologie: Deduplizierendes Backup-System (Veeam, Commvault, Bacula) oder Cloud Backup (AWS, Azure, Google Cloud).
Charakteristiken:
- Hochfrequent (täglich, stündlich möglich)
- Schnelle RTO (Restore kann in Minuten erfolgen)
- Netzwerk-nah (gleicher Datacenter oder nahe Cloud)
- Eingebundene Deduplizierung (spart Speicherplatz)
- Netzwerk-verbunden: Tier 1 ist online und synchronisiert kontinuierlich
RPO: 1 – 24 Stunden (abhängig von Backup-Frequenz).
Kosten: Mittel (teuer in Betrieb, aber effiziente Speicher-Nutzung).
Resilienz gegen Ransomware: Schwach. Wenn ein Angreifer Ihr Netzwerk kompromittiert, kann er Tier 1 Backups löschen oder verschlüsseln. Die Deduplizierung und schnelle Verfügbarkeit sind auch ein Sicherheitsrisiko — der Angreifer kann alles in Echtzeit beschädigen.
Einsatz: Hauptsächlicher Recovery-Punkt für kleine Ausfälle (Hardware-Fehler, Datenlöschung durch Nutzer, Applikationsfehler). Nicht ausreichend gegen Ransomware allein.
Tier 2: Air-Gap Backup (wöchentlich) #
Technologie: Isolierte Hardware (Silent Brick), physisch vom Netzwerk getrennt. Oder: regelmäßiges Tape-Backup mit physischer Trennung.
Charakteristiken:
- Wöchentlich oder monatlich Backups
- Jede Kopie wird physisch vom Netzwerk disconnected
- In Tresor oder physisch sicherer Lagerung
- Kein Netzwerk-Zugang (während offline)
- Manuelle Kopie-Verwaltung (nicht automatisiert)
RPO: 1 – 7 Tage (je nach Kopier-Frequenz).
Kosten: Mittel (Hardware-Kosten + Verwaltung).
Resilienz gegen Ransomware: Stark. Der Angreifer kann Tier 1 löschen, aber Tier 2 ist physisch nicht erreichbar. Das ist die Versicherungs-Ebene.
Einsatz: Recovery nach Ransomware-Angriff oder vollständiger Netzwerk-Kompromittierung. Tier 2 ist die Basis der .
Praktisches Beispiel: Jeden Freitagmorgen nimmt der Backup-Admin eine physische Kopie der Tier 1 Backups, legt diese auf einem Silent Brick, disconnectet den Brick vom Netzwerk, und lagert ihn im Tresor ein. Diese Kopie ist dann für eine Woche offline.
Tier 3: WORM-Archiv (monatlich/langfristig) #
Technologie: Hardware- (Silent Cubes), Tape mit Hardware--Firmware, oder optische Medien.
Charakteristiken:
- Write Once Read Many () auf Firmware-Ebene
- Nicht mit Admin-Rechten löschbar (physisch nicht umgehbar)
- Langfristige Archivierung (7 – 30+ Jahre)
- Sehr niedrige Zugriffs-Frequenz (nicht für tägliche Recovery)
- Compliance-konform (für regulatorische Aufbewahrungsfristen)
RPO: Monatlich bis jährlich (abhängig von Archivierungsfrequenz).
Kosten: Günstig pro TB (Langzeit-Betriebskosten niedrig, aber hohe Anschaffungskosten).
Resilienz gegen Ransomware: Extrem stark. auf Hardware-Ebene kann auch von Systemadministratoren nicht gelöscht werden. Selbst wenn der Angreifer Root/Admin-Zugang hat, kann der Angreifer das nicht löschen.
Einsatz: Langfristige Archivierung und finale Recovery-Fallback. Wenn Tier 2 auch beschädigt wird (Szenario: mehrere Tage bevor offline-Kopie gemacht wird, und in dieser Zeit wird auch die Kopie gelöscht), ist Tier 3 noch sicher.
Praktisches Beispiel: Einmal monatlich wird eine konsolidierte Archiv-Kopie auf Silent Cubes (Hardware-) geschrieben. Diese Kopie ist 30 Jahre wartbar und kann unter keinen Umständen gelöscht werden.
Tier 4: Geo-Redundanz (kontinuierlich oder monatlich) #
Technologie: Cloud-Backup (AWS Glacier, Azure Archive, Backblaze), or external on-premises Standort (andere Stadt/Gebäude).
Charakteristiken:
- Geografisch getrennt von Primary-Datacentern
- Automatisierte oder periodische Replizierung
- Unkörperlich (Cloud) oder physisch getrennt
- Recovery-Zeit ist länger (Network-Latenz oder physischer Transport)
- Kostengünstig pro TB (Cloud ist billig für Langzeit-Lagerung)
RPO: Täglich bis monatlich.
Kosten: Günstig (Cloud-Storage ist billig).
Resilienz gegen Ransomware: Mittel bis stark (abhängig von Implementierung). Cloud-Anbieter können Zugriff blockieren, aber sind nicht immun gegen Angreifer-Zugriff, wenn sie Ihre Cloud-Credentials kompromittiert haben.
Einsatz: Geographische Redundanz gegen Regional-Katastrophen (Erdbeben zerstört lokales Datacenter) und finale Redundanz gegen unverhältnismäßig große Angriffe.
Praktisches Beispiel: Wöchentlich werden deduplizierte Backups in AWS S3 Glacier hochgeladen. Weniger häufig nutzen Sie diese, aber wenn Primary-Site + Tier 2⁄3 zerstört werden, ist Tier 4 noch da.
Welche Daten in welchen Tier? #
Nicht alle Daten brauchen alle Tiers:
| Datentyp | Tier 1 | Tier 2 | Tier 3 | Tier 4 |
|---|---|---|---|---|
| **Production-Systeme (AD, ERP)** | ✓ täglich | ✓ wöchentlich | ✗ optional | ✓ monatlich |
| **Kritische Geschäftsdaten** | ✓ täglich | ✓ wöchentlich | ✓ monatlich | ✓ monatlich |
| **Fileserver** | ✓ täglich | ✓ wöchentlich | ✗ optional | ✓ monatlich |
| **Langfristige Archive** | ✗ | ✗ | ✓ monatlich | ✓ monatlich |
| **E‑Mail** | ✓ täglich | ✓ monatlich | ✗ | ✗ |
| **Development-Daten** | ✓ täglich | ✗ | ✗ | ✗ |
Logik: Kritische Daten brauchen mehrere Tiers. Unkritische Daten können mit weniger Tiers auskommen. Langfristige Archive brauchen Tier 3 () für Compliance, aber nicht Tier 1.
Recovery-Szenarien #
Szenario 1: Hardware-Fehler eines Fileservers
- Recovery aus Tier 1 (Online Backup)
- RTO: 1 – 2 Stunden
- RPO: < 1 Tag
- Kosten: Gering (IT-Zeit)
Szenario 2: Datenlöschung durch Nutzer (vor einer Woche)
- Recovery aus Tier 1 oder Tier 2
- RTO: 2 – 4 Stunden
- RPO: < 1 Woche
- Kosten: Gering bis mittel
Szenario 3: Ransomware zerstört Production + Tier 1
- Recovery aus Tier 2 (Air-Gap)
- RTO: 4 – 12 Stunden (größere Volumina)
- RPO: < 1 Woche (Datenverlust vom Freitag bis Wochenanfang)
- Kosten: Hoch (große Wiederherstellung, komplexe Verifikation)
Szenario 4: Ransomware zerstört Production + Tier 1 + Tier 2 wird auch kompromittiert bevor offline-Kopie gemacht wurde
- Recovery aus Tier 3 (Hardware-)
- RTO: 12+ Stunden (sehr große Volumina, tape-based Recovery ist langsam)
- RPO: < 1 Monat (Datenverlust vom letzten monatlichen Archiv)
- Kosten: Sehr hoch (inklusive forensische Analyse)
Best Practices für 4‑Tier Setup #
Tier 1 & 2 Separation ist kritisch: Tier 2 physisch isoliert halten, nicht netzwerk-verbunden während es offline ist.
Hardware verwenden: Silent Cubes als Tier 3 (Hardware-) ist stärker als Software- auf Filesystem-Ebene.
Geo-Redundanz für katastrophale Szenarien: Tier 4 (Cloud oder externe Location) gegen worst-case.
Retention Policies: Tier 1: 7 – 14 Tage. Tier 2: 4 – 12 Wochen. Tier 3: 7+ Jahre. Tier 4: 1 – 5 Jahre.
Regelmäßig testen: Mindestens quartalsweise eine echte Recovery aus Tier 2 durchführen. Jährlich aus Tier 3.
Kosten-Überblick #
Für ein mittelständisches Unternehmen (500GB kritische Daten):
| Tier | Technologie | Anschaffung | Betrieb/Jahr | Summe (3 Jahre) |
|---|---|---|---|---|
| **Tier 1** | Deduplizierendes Backup System | 50k EUR | 15k EUR | 95k EUR |
| **Tier 2** | Silent Brick (Air-Gap) | 30k EUR | 5k EUR | 45k EUR |
| **Tier 3** | Silent Cubes (WORM) | 60k EUR | 3k EUR | 69k EUR |
| **Tier 4** | AWS Glacier | 0 EUR | 2k EUR | 6k EUR |
| **Total** | 140k EUR | 25k EUR | 215k EUR |
Das ist nicht billig — aber ein einzelner Ransomware-Angriff kostet 5 Mio. EUR (Bitkom, Schätzung). Die ROI ist deutlich.
Häufige Fragen #
Können wir Tier 2 und Tier 3 kombinieren? Theoretisch ja (Silent Cubes können als beides fungieren), aber praktisch ist eine Trennung besser: Tier 2 für schnellere Recovery, Tier 3 für langfristige Archivierung.
Brauchen wir wirklich 4 Tiers? Für Cyber-Resilienz: mindestens Tier 1 + Tier 2. Tier 3 ist sehr empfohlen. Tier 4 ist optional je nach Risiko-Profil.
Wie lange dauert Recovery aus Tier 3? -Hardware ist nicht schnell. Recovery aus Tier 3 kann 24+ Stunden dauern. Das ist Notfall-Recovery für worst-case, nicht Standard.
IT-Resilienz
IT-Resilienz ist die Fähigkeit einer IT-Infrastruktur, unter widrigen Bedingungen — von Cyberangriffen über Hardwareausfälle bis zu Naturkatastrophen — funktionsfähig zu bleiben oder die Funktionsfähigkeit in definierter Zeit wiederherzustellen, sodass kritische Geschäftsprozesse aufrechterhalten werden.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.