Cloud-Backup-Strategie: Die 3-2-1-Regel und darüber hinaus für 2026

Veröffentlicht: 8. Juli 2025·Aktualisiert: 25. August 2025·Geprüft vom Opsio-Ingenieurteam

Country Manager, Sweden

AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia

Würden Ihre Backups einen Ransomware-Angriff überleben, der speziell auf Backup-Systeme abzielt?Moderne Ransomware sucht und zerstört gezielt Backups, bevor sie Produktionsdaten verschlüsselt. Eine robuste Cloud-Backup-Strategie muss sowohl vor versehentlichem Datenverlust als auch vor unbefugter Zerstörung schützen.

Wichtige Erkenntnisse

Die 3-2-1-Regel ist das Minimum:Drei Kopien, zwei Medientypen, eine Offsite. Für mehr Widerstandsfähigkeit gegen Ransomware fügen Sie unveränderliche und Air-Gap-Kopien hinzu.
Unveränderliche Backups sind unerlässlich:S3 Object Lock und Azure Immutable Blob verhindern das Löschen selbst durch kompromittierte Administratoranmeldeinformationen.
Testen Sie die Wiederherstellung regelmäßig:Ein Backup, das Sie nie wiederhergestellt haben, ist eine Hypothese, kein Backup.
Alles automatisieren:Manuelle Sicherungsprozesse sind inkonsistent und fehleranfällig.

Die 3-2-1-1-0-Regel

Für die Ransomware-Ära hat sich die klassische 3-2-1-Regel entwickelt:

3Kopien Ihrer Daten
2verschiedene Speichermedien
1Offsite kopieren (andere Region oder Cloud)
1Kopie unveränderlich (kann nicht geändert oder gelöscht werden)
0Fehler bei der Backup-Überprüfung (automatisierte Wiederherstellungstests)

Cloud-Backup-Architektur

Datentyp	AWS Backup-Lösung	Azure Backup-Lösung	Aufbewahrung
VM/Instanz	AWS Backup (EBS-Snapshots)	Azure Backup (VM Snapshots)	30 Tage täglich, 12 Monate monatlich
Datenbank	Automatisierte RDS-Backups + Snapshots	Azure SQL Sicherung	35 Tage PITR, Snapshots pro Richtlinie
Objektspeicher	S3 Regionsübergreifende Replikation + Versionierung	Blob-Replikation + vorläufiges Löschen	Gemäß Compliance-Anforderung
Dateisysteme	EFS-Backup über AWS Backup	Azure Dateisicherung	30-90 Tage
Kubernetes	Velero + S3	Velero + Azure Blob	Kritikalität pro Workload

Kostenlose Expertenberatung

Brauchen Sie Unterstützung bei Cloud-Backup-Strategie?

Unsere Cloud-Architekten unterstützen Sie bei Cloud-Backup-Strategie — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.

Solution ArchitectKI-SpezialistSicherheitsexperteDevOps-Ingenieur

50+ zertifizierte Ingenieure4.9/5 Kundenbewertung24/7 Support

Unveränderliche Backup-Implementierung

AWS S3 Objektsperre

S3 Die Objektsperre im Compliance-Modus verhindert, dass jeder – einschließlich des Root-Kontos – Objekte für einen definierten Aufbewahrungszeitraum löscht oder ändert. Der Governance-Modus ermöglicht autorisierten Benutzern das Überschreiben, was weniger sicher, aber flexibler ist. Verwenden Sie zum Schutz vor Ransomware den Compliance-Modus mit einer Aufbewahrungsdauer, die Ihre erwartete Erkennungszeit überschreitet (mindestens 30 Tage).

AWS Backup-Tresorsperre

Backup Vault Lock wendet Unveränderlichkeit auf AWS Backup-Wiederherstellungspunkte an. Nach der Sperrung können Backup-Tresorrichtlinien weder geändert noch gelöscht werden. Dies schützt EBS-Snapshots, RDS-Backups und EFS-Backups sowohl vor versehentlichem als auch vor böswilligem Löschen.

Azure Unveränderlicher Blobspeicher

Azure unterstützt zeitbasierte Aufbewahrungsrichtlinien und Richtlinien zur rechtlichen Aufbewahrung von Blobcontainern. Zeitbasierte Richtlinien verhindern das Löschen für einen bestimmten Zeitraum. Die gesetzliche Aufbewahrungsfrist verhindert das Löschen, bis die Aufbewahrungsfrist ausdrücklich aufgehoben wird. Beide schützen Backups vor Ransomware, die versucht, Wiederherstellungsdaten zu löschen.

Backup-Tests und -Validierung

Automatisierte Wiederherstellungstests:Planen Sie monatliche automatisierte Wiederherstellungen kritischer Datenbanken und überprüfen Sie die Datenintegrität durch Prüfsummen
Vollständige DR-Übung:Vierteljährliche Wiederherstellung vollständiger Anwendungsstapel zur Überprüfung der End-to-End-Wiederherstellung
Zeitmessung wiederherstellen:Verfolgen Sie die tatsächliche Wiederherstellungszeit anhand von RTO-Zielen – ein 4-Stunden-RTO ist bedeutungslos, wenn Wiederherstellungen tatsächlich 12 Stunden dauern
Überprüfung der Datenintegrität:Vergleichen Sie wiederhergestellte Daten mit der Quelle mithilfe von Zeilenanzahl, Prüfsummen und Geschäftsregelvalidierung

Wie Opsio Cloud-Backups verwaltet

Design der Backup-Architektur:Wir implementieren 3-2-1-1-0-Backup-Strategien mit unveränderlichem Speicher auf allen Cloud-Plattformen.
Automatisierte Backup-Verwaltung:AWS Backup und Azure Backup, konfiguriert mit Aufbewahrungsrichtlinien, regionsübergreifender Replikation und Compliance-Tagging.
Monatlicher Wiederherstellungstest:Automatisierte Wiederherstellungsüberprüfung mit Integritätsprüfungen und Dokumentation.
Ransomware-resistentes Design:Unveränderliche Backups in isolierten Konten mit separaten Anmeldeinformationen, auf die Produktionsumgebungen nicht zugreifen können.

Häufig gestellte Fragen

Wie viel kostet ein Cloud-Backup?

Die Kosten für Cloud-Backups hängen vom Datenvolumen und der Aufbewahrungsdauer ab. AWS EBS-Snapshots kosten 0,05 $/GB-Monat. S3 Speicher für Backups kostet 0,023 $/GB-Monat (Standard) bis 0,004 $/GB-Monat (Glacier). Eine typische 10-TB-Backup-Umgebung kostet je nach Aufbewahrungs- und Replikationseinstellungen 200–1.000 US-Dollar pro Monat.

Wie lange sollte ich Backups aufbewahren?

Die Aufbewahrung hängt von Compliance-Anforderungen und Wiederherstellungsanforderungen ab. Allgemeine Empfehlung: tägliche Backups für 30 Tage, wöchentlich für 90 Tage, monatlich für 12 Monate. Compliance-Frameworks benötigen möglicherweise länger: PCI DSS erfordert 12 Monate, HIPAA erfordert 6 Jahre, einige Finanzvorschriften erfordern 7 Jahre.

Über den Autor

Johan Carlsson

Country Manager, Sweden at Opsio