--- title: 3-2-1-1-0-Backup-Regel date: 2026-06-01T17:22:00+02:00 canonical_url: "https://www.fast-lta.de//de/glossar/3-2-1-1-0-backup-regel" section: Glossar --- Die klas­si­sche 3 – 2‑1-Regel galt jahr­zehn­te­lang als Gold­stan­dard der Daten­si­che­rung: drei Kopien der Daten, auf zwei ver­schie­de­nen Medi­en­ty­pen, mit einer Kopie außer­halb des Stand­orts. Das Pro­blem im Ran­som­wa­re-Zeit­al­ter: Alle drei Kopien kön­nen netz­wer­ker­reich­bar sein. Ein Angrei­fer mit Domä­nen­ad­mi­nis­tra­tor-Rech­ten ver­nich­tet sie inner­halb von Stunden. Sicher­heits­ar­chi­tek­ten und das BSI emp­feh­len daher die Erwei­te­rung zur 3 – 2‑1 – 1‑0-Regel: Das ers­te „+1” for­dert, dass min­des­tens eine Kopie off­line oder air-gap­ped ist — nicht nur logisch iso­liert, nicht nur durch eine Fire­wall geschützt, son­dern phy­sisch nicht adres­sier­bar. Das ist der Air-Gap-Lay­er, der auch dann intakt bleibt, wenn ein Angrei­fer voll­stän­di­ge Domä­nen­ad­mi­nis­tra­tor-Rech­te erlangt hat. Das „+0” (zero errors after veri­fi­ca­ti­on) for­dert, dass Back­ups regel­mä­ßig auf Wie­der­her­stell­bar­keit geprüft wer­den. Ein Back­up ohne veri­fi­zier­ten Res­to­re ist kein Back­up — es ist eine Hoff­nung. Reco­very-Tests müs­sen zeit­ge­mes­sen und doku­men­tiert sein. Das BSI for­dert in CON.3.A11 regel­mä­ßi­ge Wie­der­her­stel­lungs­tests; NIS2 ver­langt deren Dokumentation. Die 3 – 2‑1 – 1‑0-Stra­te­gie ist die Mini­mal­an­for­de­rung für Orga­ni­sa­tio­nen, die NIS2- oder KRI­TIS-kon­form sein müs­sen. Die kon­kre­te Archi­tek­tur glie­dert sich typi­scher­wei­se in Tiers: Tier 1 (pri­mä­res Online-Back­up), Tier 2 (Air-Gap-Lay­er), Tier 3 (WORM-Lang­zeit­ar­chiv) und optio­nal Tier 4 (geo­gra­fi­sche Redundanz). ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ## Fragen und Antworten #### Reicht die klassische 3-2-1-Regel heute noch aus? Für Schutz gegen Ransomware nicht mehr. Alle drei Kopien der 3-2-1-Regel können netzwerkerreichbar sein — ein Angreifer mit Admin-Credentials vernichtet sie im Ernstfall gemeinsam. Die 3-2-1-1-0-Erweiterung fügt den entscheidenden Layer hinzu: eine physisch nicht erreichbare Kopie. Das ist der Unterschied zwischen einem Backup, das nach einem Angriff schützt, und einem, das gemeinsam mit der Produktivumgebung vernichtet wurde. #### Was bedeutet die „0" in 3-2-1-1-0? Die „0" steht für „zero errors after verification" — kein Fehler nach Verifikation. Backups müssen regelmäßig auf tatsächliche Wiederherstellbarkeit geprüft werden. Nicht nur „der Job lief durch und die Logs sind grün", sondern: „Wir haben aus diesem Backup vollständig wiederhergestellt und es hat X Stunden gedauert." Nur dann ist das RTO belegt.