DEEN
Support Beratung anfragen
← Zurück zu News

Backup ist nicht gleich Backup: Das 3-2-1-Prinzip in der Praxis

IT-Sicherheit 04. März 2026 ≈ 6 Min. Lesezeit

„Wir haben ein Backup" — dieser Satz ist in den meisten Praxen heute zum Glück Standard. Was er im Einzelfall genau bedeutet, ist allerdings höchst unterschiedlich. Manchmal ist es ein USB-Stick, der einmal die Woche in einen anderen Raum getragen wird. Manchmal ein NAS unter dem Empfangstresen. Manchmal eine Cloud, von der niemand weiß, ob die Daten je wieder herauskommen. Eine Datensicherung ist nur so gut, wie sie sich im Ernstfall wiederherstellen lässt. Das BSI empfiehlt dafür seit Jahren ein einfaches Prinzip: 3-2-1.

Was 3-2-1 bedeutet

  • 3 Kopien Ihrer Daten existieren insgesamt (das Original und zwei Backups).
  • 2 unterschiedliche Medien kommen zum Einsatz (z. B. eine NAS-Festplatte und ein verschlüsselter Cloud-Speicher — nicht zweimal dieselbe Bauart).
  • 1 Kopie liegt physisch außer Haus (offsite) — geschützt vor Feuer, Wasser, Diebstahl und Verschlüsselung durch Ransomware.

Klingt nüchtern. Ist aber präzise so formuliert, weil die häufigsten realen Verluste — Brand, Wasserschaden, gezielter Diebstahl, Ransomware — alle Backup-Kopien am selben Standort gleichzeitig zerstören.

Warum ein NAS allein kein Backup ist

Ein Network-Attached Storage im Server-Schrank ist eine schöne Sache — schnell, komfortabel, lokal. Aber:

  • Wenn die Stromleitung einen Schaden hat, sind Server und NAS gleich tot.
  • Wenn Ransomware den Server befällt, befällt sie meist auch das NAS, weil das NAS für den Server normalerweise als Netzlaufwerk erreichbar ist.
  • Wenn die Praxis brennt, brennen Server und NAS.

Ein NAS ist eine Sekundärspeicher-Lösung — und ein guter erster Schritt. Aber es ersetzt das Offsite-Backup nicht. Genau das adressiert die „1" in 3-2-1.

Die 3-2-1-Backup-Regel wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als wirksame Schutzmaßnahme gegen Ransomware und Hardwareausfall empfohlen.

Was das BSI sagt

Der BSI-IT-Grundschutzbaustein „CON.3 Datensicherungskonzept" liefert das Gerüst: regelmäßige Sicherungen, ein redundanter Datenbestand, kurzfristige Wiederaufnahme des Betriebs nach Verlust. In den Umsetzungshinweisen wird explizit auf Trennung der Sicherungen vom produktiven System und auf den Schutz der Sicherungsmedien gegen unbefugten Zugriff hingewiesen. Auch für Privatpersonen empfiehlt das BSI mittlerweile die 3-2-1-Logik.

Spezialfall Arztpraxis: §75b SGB V

Für Vertragsärzt:innen kommt zusätzlich die IT-Sicherheitsrichtlinie nach §75b SGB V ins Spiel. Sie regelt unter anderem Aufbewahrungsfristen für Patient:innen-Daten, fordert Verschlüsselung der Sicherungen und gibt vor, dass Backup-Strategien dokumentiert sein müssen. In der Praxis bedeutet das:

  • Backups verschlüsselt ablegen — nicht nur unterwegs, sondern auch im Ruhezustand auf dem Speichermedium.
  • Aufbewahrungsfristen einhalten (für medizinische Dokumentation in der Regel 10 Jahre, in Sonderfällen länger).
  • Die Sicherungs- und Wiederherstellungsprozesse schriftlich dokumentieren — Teil Ihres IT-Sicherheitskonzepts.

Das oft vergessene Element: der Restore-Test

Hier scheitern die meisten Praxen, wenn der Ernstfall eintritt: Das Backup lief jede Nacht. Aber niemand hat in den letzten zwölf Monaten getestet, ob es sich auch wiederherstellen lässt. Wir sehen das regelmäßig — und es ist erschütternd. Unsere Empfehlung:

  1. Quartalsweise stellen wir aus einem Backup einen Stand wieder her — auf einem isolierten System, ohne das produktive System anzufassen.
  2. Ergebnis dokumentieren: Was wurde getestet, wie lange dauerte es, was funktionierte, was nicht.
  3. Bei Auffälligkeiten: Strategie anpassen, neu testen.

Ein Restore-Test pro Quartal ist im Verhältnis zum Risiko ein lächerlich kleiner Aufwand — und der Unterschied zwischen „wir hatten ein Backup" und „wir sind in zwei Stunden wieder am Netz".

Wie wir das aufsetzen

Im Rahmen unseres Backup-as-a-Service bauen wir die Offsite-Komponente auf — auf unseren eigenen Synology-Systemen in Deutschland, end-to-end-verschlüsselt. Lokal nutzen wir je nach Größe und Anforderung ein NAS oder eine zweite Speichereinheit beim Server. Restore-Tests werden bei Managed-Services-Verträgen quartalsweise durchgeführt und dokumentiert. Den Praxisalltag stört das Ganze nicht — die Sicherung läuft nachts.

Mindeststandard für jede Praxis

Wenn Sie nichts anderes aus diesem Artikel mitnehmen, dann das:

  • Mindestens drei Datenkopien (Original + zwei Sicherungen).
  • Mindestens eine davon offsite (nicht im gleichen Raum, nicht im gleichen Brandabschnitt).
  • Alle Sicherungen verschlüsselt.
  • Restore mindestens einmal pro Quartal testen.

Das ist nicht zu viel verlangt — und es kann den Unterschied zwischen einem schlechten Vormittag und einer geschlossenen Praxis machen.

Quellen

  1. BSI: IT-Grundschutz-Kompendium, Baustein CON.3 Datensicherungskonzept. bsi.bund.de · PDF
  2. BSI: Umsetzungshinweise zum Baustein CON.3 Datensicherungskonzept. bsi.bund.de · PDF
  3. BSI: Datensicherung und Datenverlust — Empfehlungen für Verbraucher:innen. bsi.bund.de
  4. Datenschutz und Gesundheit: 3-2-1-Backup-Strategie — Essentieller Datenschutz für Arztpraxen. datenschutzundgesundheit.de
  5. Dr. Datenschutz: Mindestanforderung an ein Backup-Konzept als TOM laut HBDI. dr-datenschutz.de

Weitere Artikel

IT-Sicherheit · 14. Mai 2026

Phishing in der Praxis: Was MFA wirklich verhindert

Weiterlesen Datenschutz · 22. März 2026

§203 StGB und IT-Dienstleister

Weiterlesen tomedo® · 28. April 2026

KIM 1.5: Was sich für Ihre Praxis ändert

Weiterlesen

Backup, das im Ernstfall hält.

Unser Backup-as-a-Service auf eigenen Synology-Systemen in Deutschland — mit dokumentiertem Restore-Test.

Zur Cloud-Seite