Zurück
Backup-Strategie

RAID ist kein Backup: So sicherst du richtig mit der 3-2-1-1-0-Regel

RAID (egal ob 1, 5, 6 oder 10) erhöht Verfügbarkeit und schützt je nach Level vor einzelnen oder wenigen Plattenausfällen. Es schützt jedoch nicht vor Löschen, Ransomware, Fehlkonfigurationen, Feuer oder Diebstahl. Echte Backups folgen der 3-2-1-1-0-Regel.

TL;DR
  • RAID ≠ Backup: Schützt vor Plattenausfall, nicht vor Logikfehlern, Ransomware oder Katastrophen.
  • 3-2-1-1-0: 3 Kopien, 2 Medientypen, 1 Offsite, 1 Offline/Immutable, 0 Restore-Fehler.
  • Regelmäßige Restore-Tests sind Pflicht — nur getestete Backups sind echte Backups.

Was RAID wirklich löst — und was nicht

Je nach Level toleriert RAID den Ausfall von einer oder mehreren Festplatten und hält Systeme online. Es bewahrt jedoch dieselben Datenfehler auf allen Platten synchron: versehentliches Löschen, Malware-Verschlüsselung, korrupt geschriebene Dateien oder ein falsch konfiguriertes Skript replizieren sich unmittelbar.

  • Verfügbarkeit: ✓ Besser als Single-Disk, Tausch im Betrieb möglich.
  • Datenintegrität: ✗ Kein Schutz vor logischen Fehlern und massiver Korruption.
  • Desaster: ✗ Kein Schutz bei Brand, Wasser, Diebstahl, Überspannung.

Die 3-2-1-1-0-Regel, kurz erklärt

3 Kopien

Produktivdaten + zwei Backups. Versionsstände erlauben Rücksprünge vor einem Vorfall.

2 Medientypen

Zum Beispiel: Primärspeicher + NAS/Backup-Appliance + Objekt-Storage (S3 kompatibel).

1 Offsite

Eine Kopie außerhalb des Standorts schützt vor lokalen Katastrophen.

1 Offline/Immutable

Write-Once-Read-Many (WORM)/Object-Lock oder Air-Gap verhindert nachträgliche Manipulation.

0 Restore-Fehler

Nur regelmäßige Restore-Tests zeigen, ob Backups vollständig und nutzbar sind.

Praxis: ein einfacher Backup-Plan

  • Täglich inkrementell, wöchentlich vollständig (GFS-Schema je nach Bedarf).
  • Versionierung aktivieren; Aufbewahrung z. B. 30/90/365 Tage pro Schutzklasse.
  • Immutable S3 (Object-Lock/WORM) oder Air-Gap für mind. eine Kopie erzwingen.
  • Verschlüsselung im Transit und at-rest; Schlüssel sicher verwalten (KMS/HSM).
  • Quartalsweise Restore-Tests: Stichproben von Dateien, VMs und Anwendungen.
  • Monitoring & Alarme für fehlgeschlagene Jobs, Kapazität und RPO/RTO-Ziele.

Warum Snapshots & Replikation kein Backup ersetzen

Snapshots und Replikation sind wertvolle Bausteine — aber beide replizieren Zustände. Wird eine Datei gelöscht oder verschlüsselt, wird der Fehler oft unverzüglich mitübertragen. Nur mit Versionierung, Offline-/Immutable-Kopie und Offsite-Aufbewahrung erreichst du echte Resilienz.

  • Snapshots sind lokale Zeitpunkte. Ohne Retention/Offsite sind sie angreifbar (Ransomware, Brand).
  • Synchrone Replikation spiegelt auch Fehler sofort — kein Schutz gegen Logikfehler.
  • Asynchrone Replikation kann ein kleines Zeitfenster schützen, ersetzt aber keine Versionierung.

Wofür Backups gedacht sind: RPO & RTO verstehen

Backups sind eine Risikosteuerung: Du definierst, wie viel Datenverlust (RPO) und Ausfallzeit (RTO) akzeptabel sind und richtest Prozesse/Technik danach aus.

  • RPO (Recovery Point Objective): Wie alt dürfen Daten im Wiederherstellungsfall sein?
  • RTO (Recovery Time Objective): Wie lange darf die Wiederherstellung dauern?
  • Policy & Retention: Welche Daten, wie oft, wie lange, auf welchen Medien — dokumentiert und prüfbar.

Geeignete Technologien & Prinzipien

  • Versionierung/Snapshots pro Workload mit klarer Aufbewahrung (z. B. 30/90/365 Tage).
  • Immutable Object Storage (S3 Object-Lock/WORM) für unveränderliche Kopien.
  • Verschlüsselung mit sicherem Schlüsselmanagement (KMS/HSM, getrennte Rollen).
  • Dedup/Kompression zur Kostensenkung, ohne Restore-Geschwindigkeit zu gefährden.
  • Monitoring & Reporting inkl. Alarmen für Job-Fehler, Kapazität, RPO/RTO-Verstöße.
  • Least Privilege & Trennung: Backup-Accounts getrennt von Produktions-Admins.

Konkretes Beispiel-Setup (KMU)

  1. Workloads per Agent/Hypervisor sichern (Dateien, DBs, VMs, Container Volumes).
  2. Primär-Backup auf ein NAS/Appliance im LAN mit Versionierung und täglichem Zeitplan.
  3. Repliziere verschlüsselt in ein S3-Bucket mit Object-Lock (Compliance/Governance-Mode).
  4. Für besonders kritische Daten zusätzlich wöchentliches Air-Gap-Medium (Wechselplatte/Tape).
  5. Definiere Retention nach Schutzklasse (z. B. 30/90/365d) und dokumentiere Verantwortliche.
  6. Automatisiere monatliche/vierteljährliche Restore-Tests und protokolliere „0 Fehler“.

Häufige Fehler

  • Nur RAID/Snapshots — keine Offsite/Immutable Kopie.
  • Keine regelmäßigen Restore-Tests; Backups sind unvollständig oder nicht bootfähig.
  • Ein Admin hat überall Vollzugriff; Ransomware löscht/verschlüsselt auch Backups.
  • Backups und Schlüssel/Passwörter am selben Ort abgelegt.
  • Kein Monitoring; Job-Fehler bleiben wochenlang unbemerkt.

FAQ

  • Sind Snapshots Backups? Nein. Snapshots sind schnelle lokale Stände. Ohne Offsite/Immutable/Versionierung fehlt Schutz gegen Logikfehler und Desaster.
  • Reicht RAID 6/10? Nein. RAID erhöht Verfügbarkeit; Backups adressieren Datenverlust durch Fehler, Angriffe und Katastrophen.
  • Wie oft sichern? Hängt vom RPO ab. Typisch: täglich inkrementell, wöchentlich Vollbackup, kritische DBs stündlich.

Checkliste

  • RAID vorhanden? Gut — aber zusätzlich echte Backups nach 3-2-1-1-0 einrichten.
  • Mindestens eine immutable/offline Kopie vorhanden und dokumentiert?
  • Letzter Restore-Test dokumentiert (0 Fehler)? Nächster Termin geplant?
Backup-Strategie prüfen lassen

Wir unterstützen bei Planung, Umsetzung und Automatisierung — von On-Prem bis Cloud, inklusive Immutable-Backups und Restore-Tests.

Kontakt aufnehmen
Zurück zum Blog
RAID ist kein Backup - 3-2-1-1-0 richtig umsetzen | Bissolux