---
title: "Mehrstufige Backup-Architektur: Best Practices 2026"
date: 2026-03-20T10:05:00+01:00
author: FAST LTA
canonical_url: "https://www.fast-lta.de//de/blog/mehrstufige-backup-architektur-best-practices-2026"
section: "Entries: Articles"
---
### Das 4‑Tier-Modell [\#](#das-4-tier-modell "Das 4-Tier-Modell")

#### Tier 1: Online Back­up (täg­lich) [\#](#tier-1-online-backup-t%C3%A4glich "Tier 1: Online Backup (täglich)")

**Tech­no­lo­gie:** Dedu­pli­zie­ren­des Back­up-Sys­tem (Vee­am, Commv­ault, Bacu­la) oder Cloud Back­up (AWS, Azu­re, Goog­le Cloud).

**Cha­rak­te­ris­ti­ken:**

- Hoch­fre­quent (täg­lich, stünd­lich möglich)
- Schnel­le RTO (Res­to­re kann in Minu­ten erfolgen)
- Netz­werk-nah (glei­cher Dat­a­cen­ter oder nahe Cloud)
- Ein­ge­bun­de­ne Dedu­pli­zie­rung (spart Speicherplatz)
- **Netz­werk-ver­bun­den:** Tier 1 ist online und syn­chro­ni­siert kontinuierlich

**RPO:** 1 – 24 Stun­den (abhän­gig von Backup-Frequenz).

**Kos­ten:** Mit­tel (teu­er in Betrieb, aber effi­zi­en­te Speicher-Nutzung).

**Resi­li­enz gegen Ran­som­wa­re:** **Schwach.** Wenn ein Angrei­fer Ihr Netz­werk kom­pro­mit­tiert, kann er Tier 1 Back­ups löschen oder ver­schlüs­seln. Die Dedu­pli­zie­rung und schnel­le Ver­füg­bar­keit sind auch ein Sicher­heits­ri­si­ko — der Angrei­fer kann alles in Echt­zeit beschädigen.

**Ein­satz:** Haupt­säch­li­cher Reco­very-Punkt für klei­ne Aus­fäl­le (Hard­ware-Feh­ler, Daten­lö­schung durch Nut­zer, Appli­ka­ti­ons­feh­ler). Nicht aus­rei­chend gegen Ran­som­wa­re allein.

#### Tier 2: Air-Gap Back­up (wöchent­lich) [\#](#tier-2-air-gap-backup-w%C3%B6chentlich "Tier 2: Air-Gap Backup (wöchentlich)")

**Tech­no­lo­gie:** Iso­lier­te Hard­ware (Silent Brick), phy­sisch vom Netz­werk getrennt. Oder: regel­mä­ßi­ges Tape-Back­up mit phy­si­scher Trennung.

**Cha­rak­te­ris­ti­ken:**

- Wöchent­lich oder monat­lich Backups
- Jede Kopie wird **phy­sisch vom Netz­werk disconnected**
- In Tre­sor oder phy­sisch siche­rer Lagerung
- Kein Netz­werk-Zugang (wäh­rend offline)
- Manu­el­le Kopie-Ver­wal­tung (nicht automatisiert)

**RPO:** 1 – 7 Tage (je nach Kopier-Frequenz).

**Kos­ten:** Mit­tel (Hard­ware-Kos­ten + Verwaltung).

**Resi­li­enz gegen Ran­som­wa­re:** **Stark.** Der Angrei­fer kann Tier 1 löschen, aber Tier 2 ist phy­sisch nicht erreich­bar. Das ist die Versicherungs-Ebene.

**Ein­satz:** Reco­very nach Ran­som­wa­re-Angriff oder voll­stän­di­ger Netz­werk-Kom­pro­mit­tie­rung. Tier 2 ist die Basis der Cyber-Resilienz.

**Prak­ti­sches Bei­spiel:** Jeden Frei­tag­mor­gen nimmt der Back­up-Admin eine phy­si­sche Kopie der Tier 1 Back­ups, legt die­se auf einem Silent Brick, dis­con­nec­tet den Brick vom Netz­werk, und lagert ihn im Tre­sor ein. Die­se Kopie ist dann für eine Woche offline.

#### Tier 3: WORM-Archiv (monatlich/​langfristig) [\#](#tier-3-worm-archiv-monatlich-langfristig "Tier 3: WORM-Archiv (monatlich/langfristig)")

**Tech­no­lo­gie:** Hard­ware-WORM (Silent Cubes), Tape mit Hard­ware-WORM-Firm­ware, oder opti­sche Medien.

**Cha­rak­te­ris­ti­ken:**

- Wri­te Once Read Many (WORM) auf Firmware-Ebene
- Nicht mit Admin-Rech­ten lösch­bar (phy­sisch nicht umgehbar)
- Lang­fris­ti­ge Archi­vie­rung (7 – 30+ Jahre)
- Sehr nied­ri­ge Zugriffs-Fre­quenz (nicht für täg­li­che Recovery)
- Com­pli­ance-kon­form (für regu­la­to­ri­sche Aufbewahrungsfristen)

**RPO:** Monat­lich bis jähr­lich (abhän­gig von Archivierungsfrequenz).

**Kos­ten:** Güns­tig pro TB (Lang­zeit-Betriebs­kos­ten nied­rig, aber hohe Anschaffungskosten).

**Resi­li­enz gegen Ran­som­wa­re:** **Extrem stark.** WORM auf Hard­ware-Ebe­ne kann auch von Sys­tem­ad­mi­nis­tra­to­ren nicht gelöscht wer­den. Selbst wenn der Angrei­fer Roo­t/Ad­min-Zugang hat, kann der Angrei­fer das WORM nicht löschen.

**Ein­satz:** Lang­fris­ti­ge Archi­vie­rung und fina­le Reco­very-Fall­back. Wenn Tier 2 auch beschä­digt wird (Sze­na­rio: meh­re­re Tage bevor off­line-Kopie gemacht wird, und in die­ser Zeit wird auch die Kopie gelöscht), ist Tier 3 noch sicher.

**Prak­ti­sches Bei­spiel:** Ein­mal monat­lich wird eine kon­so­li­dier­te Archiv-Kopie auf Silent Cubes (Hard­ware-WORM) geschrie­ben. Die­se Kopie ist 30 Jah­re wart­bar und kann unter kei­nen Umstän­den gelöscht werden.

#### Tier 4: Geo-Red­un­danz (kon­ti­nu­ier­lich oder monat­lich) [\#](#tier-4-geo-redundanz-kontinuierlich-oder-monatlich "Tier 4: Geo-Redundanz (kontinuierlich oder monatlich)")

**Tech­no­lo­gie:** Cloud-Back­up (AWS Gla­cier, Azu­re Archi­ve, Back­bla­ze), or exter­nal on-pre­mi­ses Stand­ort (ande­re Stadt/​Gebäude).

**Cha­rak­te­ris­ti­ken:**

- Geo­gra­fisch getrennt von Primary-Datacentern
- Auto­ma­ti­sier­te oder peri­odi­sche Replizierung
- Unkör­per­lich (Cloud) oder phy­sisch getrennt
- Reco­very-Zeit ist län­ger (Net­work-Latenz oder phy­si­scher Transport)
- Kos­ten­güns­tig pro TB (Cloud ist bil­lig für Langzeit-Lagerung)

**RPO:** Täg­lich bis monatlich.

**Kos­ten:** Güns­tig (Cloud-Sto­rage ist billig).

**Resi­li­enz gegen Ran­som­wa­re:** **Mit­tel bis stark** (abhän­gig von Imple­men­tie­rung). Cloud-Anbie­ter kön­nen Zugriff blo­ckie­ren, aber sind nicht immun gegen Angrei­fer-Zugriff, wenn sie Ihre Cloud-Cre­den­ti­als kom­pro­mit­tiert haben.

**Ein­satz:** Geo­gra­phi­sche Red­un­danz gegen Regio­nal-Kata­stro­phen (Erd­be­ben zer­stört loka­les Dat­a­cen­ter) und fina­le Red­un­danz gegen unver­hält­nis­mä­ßig gro­ße Angriffe.

**Prak­ti­sches Bei­spiel:** Wöchent­lich wer­den dedu­pli­zier­te Back­ups in AWS S3 Gla­cier hoch­ge­la­den. Weni­ger häu­fig nut­zen Sie die­se, aber wenn Pri­ma­ry-Site + Tier 2⁄3 zer­stört wer­den, ist Tier 4 noch da.

### Wel­che Daten in wel­chen Tier? [\#](#welche-daten-in-welchen-tier "Welche Daten in welchen Tier?")

Nicht alle Daten brau­chen alle Tiers:

Daten­typTier 1Tier 2Tier 3Tier 4\*\*Pro­duc­tion-Sys­te­me (AD, ERP)\*\*✓ täg­lich✓ wöchent­lich✗ optio­nal✓ monat­lich\*\*Kri­ti­sche Geschäftsdaten\*\*✓ täg­lich✓ wöchent­lich✓ monat­lich✓ monat­lich\*\*File­ser­ver\*\*✓ täg­lich✓ wöchent­lich✗ optio­nal✓ monat­lich\*\*Lang­fris­ti­ge Archive\*\*✗✗✓ monat­lich✓ monat­lich\*\*E‑Mail\*\*✓ täg­lich✓ monat­lich✗✗\*\*Deve­lo­p­ment-Daten\*\*✓ täg­lich✗✗✗**Logik:** Kri­ti­sche Daten brau­chen meh­re­re Tiers. Unkri­ti­sche Daten kön­nen mit weni­ger Tiers aus­kom­men. Lang­fris­ti­ge Archi­ve brau­chen Tier 3 (WORM) für Com­pli­ance, aber nicht Tier 1.

### Reco­very-Sze­na­ri­en [\#](#recovery-szenarien "Recovery-Szenarien")

**Sze­na­rio 1: Hard­ware-Feh­ler eines Fileservers**

- Reco­very aus Tier 1 (Online Backup)
- RTO: 1 – 2 Stunden
- RPO: < 1 Tag
- Kos­ten: Gering (IT-Zeit)

**Sze­na­rio 2: Daten­lö­schung durch Nut­zer (vor einer Woche)**

- Reco­very aus Tier 1 oder Tier 2
- RTO: 2 – 4 Stunden
- RPO: < 1 Woche
- Kos­ten: Gering bis mittel

**Sze­na­rio 3: Ran­som­wa­re zer­stört Pro­duc­tion + Tier 1**

- Reco­very aus Tier 2 (Air-Gap)
- RTO: 4 – 12 Stun­den (grö­ße­re Volumina)
- RPO: < 1 Woche (Daten­ver­lust vom Frei­tag bis Wochenanfang)
- Kos­ten: Hoch (gro­ße Wie­der­her­stel­lung, kom­ple­xe Verifikation)

**Sze­na­rio 4: Ran­som­wa­re zer­stört Pro­duc­tion + Tier 1 + Tier 2 wird auch kom­pro­mit­tiert bevor off­line-Kopie gemacht wurde**

- Reco­very aus Tier 3 (Hard­ware-WORM)
- RTO: 12+ Stun­den (sehr gro­ße Volu­mi­na, tape-based Reco­very ist langsam)
- RPO: < 1 Monat (Daten­ver­lust vom letz­ten monat­li­chen Archiv)
- Kos­ten: Sehr hoch (inklu­si­ve foren­si­sche Analyse)

### Best Prac­ti­ces für 4‑Tier Set­up [\#](#best-practices-f%C3%BCr-4-tier-setup "Best Practices für 4-Tier Setup")

1. **Tier 1 & 2 Sepa­ra­ti­on ist kri­tisch:** Tier 2 phy­sisch iso­liert hal­ten, nicht netz­werk-ver­bun­den wäh­rend es off­line ist.
2. **WORM Hard­ware ver­wen­den:** Silent Cubes als Tier 3 (Hard­ware-WORM) ist stär­ker als Soft­ware-WORM auf Filesystem-Ebene.
3. **Geo-Red­un­danz für kata­stro­pha­le Sze­na­ri­en:** Tier 4 (Cloud oder exter­ne Loca­ti­on) gegen worst-case.
4. **Reten­ti­on Poli­ci­es:** Tier 1: 7 – 14 Tage. Tier 2: 4 – 12 Wochen. Tier 3: 7+ Jah­re. Tier 4: 1 – 5 Jahre.
5. **Regel­mä­ßig tes­ten:** Min­des­tens quar­tals­wei­se eine ech­te Reco­very aus Tier 2 durch­füh­ren. Jähr­lich aus Tier 3.

### Kos­ten-Über­blick [\#](#kosten-%C3%BCberblick "Kosten-Überblick")

Für ein mit­tel­stän­di­sches Unter­neh­men (500GB kri­ti­sche Daten):

TierTech­no­lo­gieAnschaf­fungBetrieb/​JahrSum­me (3 Jahre)\*\*Tier 1\*\*Dedu­pli­zie­ren­des Back­up System50k EUR15k EUR95k EUR\*\*Tier 2\*\*Silent Brick (Air-Gap)30k EUR5k EUR45k EUR\*\*Tier 3\*\*Silent Cubes (WORM)60k EUR3k EUR69k EUR\*\*Tier 4\*\*AWS Gla­cier0 EUR2k EUR6k EUR\*\*Total\*\*140k EUR25k EUR215k EURDas ist nicht bil­lig — aber ein ein­zel­ner Ran­som­wa­re-Angriff kos­tet 5 Mio. EUR (Bit­kom, Schät­zung). Die ROI ist deutlich.

### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen")

**Kön­nen wir Tier 2 und Tier 3 kombinieren?** Theo­re­tisch ja (Silent Cubes kön­nen als bei­des fun­gie­ren), aber prak­tisch ist eine Tren­nung bes­ser: Tier 2 für schnel­le­re Reco­very, Tier 3 für lang­fris­ti­ge Archivierung.

**Brau­chen wir wirk­lich 4 Tiers?** Für Cyber-Resi­li­enz: min­des­tens Tier 1 + Tier 2. Tier 3 ist sehr emp­foh­len. Tier 4 ist optio­nal je nach Risiko-Profil.

**Wie lan­ge dau­ert Reco­very aus Tier 3?** WORM-Hard­ware ist nicht schnell. Reco­very aus Tier 3 kann 24+ Stun­den dau­ern. Das ist Not­fall-Reco­very für worst-case, nicht Standard.

---

### IT-Resilienz

IT-Resilienz ist die Fähigkeit einer IT-Infrastruktur, unter widrigen Bedingungen — von Cyberangriffen über Hardwareausfälle bis zu Naturkatastrophen — funktionsfähig zu bleiben oder die Funktionsfähigkeit in definierter Zeit wiederherzustellen, sodass kritische Geschäftsprozesse aufrechterhalten werden.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/it-resilienz)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)