Backup-Strategie 2026: Die 3-2-1-Regel richtig umsetzen

Eine solide Backup-Strategie nach der 3-2-1-Regel ist 2026 wichtiger denn je. Ransomware-Angriffe, Hardwareausfälle und menschliche Fehler bedrohen Daten täglich – ob auf dem Heimserver, dem NAS oder in der Cloud. Wer keine durchdachte Backup-Strategie hat, riskiert den totalen Datenverlust. In diesem Guide erkläre ich dir, wie die 3-2-1-Regel funktioniert, welche Tools sich in der Praxis bewährt haben und wie du deine Backups konkret mit rsync, Restic oder BorgBackup umsetzt.

Warum Backups 2026 unverzichtbar sind

Die Bedrohungslage hat sich in den letzten Jahren dramatisch verschärft. Drei Szenarien sind besonders gefährlich:

• Ransomware: Kriminelle verschlüsseln deine Daten und fordern Lösegeld. Betroffen sind nicht nur Unternehmen, sondern zunehmend auch Privatpersonen und Homelab-Betreiber. Moderne Ransomware greift gezielt auch Backup-Verzeichnisse an, die lokal erreichbar sind.
• Hardwarefehler: Festplatten sterben – nicht ob, sondern wann. SSDs haben eine begrenzte Schreiblebensdauer. RAID ersetzt kein Backup, da es nur gegen Hardwareausfälle schützt, nicht gegen Datenverlust durch fehlerhafte Software oder gelöschte Dateien.
• Menschliche Fehler: Versehentlich gelöschte Dateien, fehlerhafte Updates oder ein falsch ausgeführtes rm -rf – die häufigste Ursache für Datenverlust ist der Mensch selbst.

Fazit: Wer keine Backups hat, lebt gefährlich. Wer schlechte Backups hat, fühlt sich in falscher Sicherheit.

Die 3-2-1-Backup-Strategie erklärt

Die 3-2-1-Regel ist ein bewährtes Grundprinzip, das schon seit Jahrzehnten gilt und bis heute den Standard für sichere Datensicherung setzt:

• 3 Kopien deiner Daten – eine primäre und zwei Backups
• 2 verschiedene Medien – z.B. interne Festplatte + NAS oder externe Festplatte
• 1 Kopie offsite – räumlich getrennt vom Hauptsystem (Cloud, Remote-Server, externe Festplatte bei der Familie)

Diese Strategie schützt gegen die meisten Ausfallszenarien: Wenn dein Server abbrennt, ist die Offsite-Kopie noch intakt. Wenn Ransomware zuschlägt, ist ein nicht-verbundenes Backup noch sicher.

3-2-1-1-0: Die erweiterte Strategie gegen Ransomware

Moderne Backup-Konzepte ergänzen die klassische 3-2-1-Regel um zwei weitere Faktoren:

• +1 Immutable/Air-gapped Backup: Eine unveränderliche Kopie, auf die Ransomware keinen Schreibzugriff hat. Das kann ein Tape, ein Object-Storage mit Object-Lock oder ein Air-gapped Medium sein.
• +0 Fehler bei Restore-Tests: Backups, die nicht wiederherstellbar sind, sind wertlos. Mindestens quartalsweise sollte ein Restore-Test erfolgen.

Backup-Tools im Vergleich: rsync, BorgBackup, Restic und Veeam

Für Linux-Systeme und Homelabs gibt es mehrere ausgezeichnete Backup-Tools. Jedes hat seine Stärken:

rsync – Der Klassiker für einfache Backups

rsync ist in fast jeder Linux-Distribution vorinstalliert und seit Jahrzehnten bewährt. Es synchronisiert Verzeichnisse lokal oder über SSH und überträgt nur geänderte Daten (Delta-Transfer).

Typischer rsync-Backup-Befehl:

# Lokales Backup auf NAS
rsync -avz --delete /home/user/ /mnt/nas/backup/home/

# Remote-Backup via SSH
rsync -avz -e "ssh -p 22" --delete /home/user/ backupserver:/backup/home/

# Mit Ausschlüssen
rsync -avz --delete \
  --exclude='*.tmp' \
  --exclude='.cache/' \
  /home/user/ /mnt/backup/home/

Für Snapshot-Backups mit rsync empfiehlt sich rsnapshot, das Hard-Links nutzt, um platzsparende inkrementelle Backups zu erstellen:

# rsnapshot.conf
backup  /home/          localhost/
retain  hourly  6
retain  daily   7
retain  weekly  4
retain  monthly 3

Wann rsync? Für einfache Synchronisierungsaufgaben, wenn keine Verschlüsselung oder Deduplizierung benötigt wird.

Restic – Modern, sicher und cloud-nativ

Restic ist ein modernes Backup-Tool in Go mit integrierter Verschlüsselung (AES-256-CTR + Poly1305-AES) und Deduplizierung. Sein größter Vorteil: Es unterstützt nativ viele Cloud-Storage-Backends.

Unterstützte Backends: Lokal, SFTP, Amazon S3, Backblaze B2, Google Cloud Storage, Azure Blob Storage, Rclone (für weitere Dienste)

# Repository initialisieren (lokal)
restic init --repo /mnt/backup/restic-repo

# Backup erstellen
restic -r /mnt/backup/restic-repo backup /home/user/

# In S3-kompatiblen Storage (z.B. Hetzner Object Storage)
export AWS_ACCESS_KEY_ID="your-key"
export AWS_SECRET_ACCESS_KEY="your-secret"
restic -r s3:https://fsn1.your-objectstorage.com/mybucket backup /home/user/

# Snapshots anzeigen
restic -r /mnt/backup/restic-repo snapshots

# Restore
restic -r /mnt/backup/restic-repo restore latest --target /restore/

# Alte Snapshots aufräumen (Policy: täglich 7, wöchentlich 4, monatlich 12)
restic -r /mnt/backup/restic-repo forget --prune \
  --keep-daily 7 --keep-weekly 4 --keep-monthly 12

Wann Restic? Für die meisten Homelab-Betreiber die erste Wahl – besonders wenn Cloud-Backup gewünscht ist.

BorgBackup – Schnell, effizient, dedupliziert

BorgBackup (kurz: Borg) überzeugt mit hervorragender Deduplizierung und hoher Geschwindigkeit. In Benchmarks schlägt Borg Restic deutlich bei reinen Backup-Zeiten, da es in C/Python geschrieben ist und sehr effizient komprimiert.

# Repository initialisieren (verschlüsselt)
borg init --encryption=repokey /mnt/backup/borg-repo

# Backup erstellen
borg create \
  --verbose \
  --filter AME \
  --list \
  --stats \
  --show-rc \
  --compression lz4 \
  --exclude-caches \
  /mnt/backup/borg-repo::'{hostname}-{now}' \
  /home \
  /etc

# Snapshots (Archive) anzeigen
borg list /mnt/backup/borg-repo

# Restore
borg extract /mnt/backup/borg-repo::archivname

# Aufräumen
borg prune \
  --keep-daily=7 \
  --keep-weekly=4 \
  --keep-monthly=12 \
  /mnt/backup/borg-repo

Borgmatic – Wrapper für BorgBackup – ermöglicht einfache YAML-Konfiguration und Cron-Integration.

Wann BorgBackup? Wenn Geschwindigkeit und Effizienz Priorität haben und die Daten hauptsächlich lokal oder auf SSH-Remotes gesichert werden.

Veeam Backup & Replication – Enterprise auf Heimniveau

Veeam ist in der Enterprise-Welt der Standard. Seit einigen Jahren gibt es Veeam Backup for Linux (VBL) und Veeam Backup Community Edition – kostenlos für kleine Umgebungen bis zu 10 Workloads.

Veeam glänzt besonders beim Backup von virtuellen Maschinen (VMware vSphere, Hyper-V, Proxmox ab bestimmten Editionen). Die grafische Oberfläche macht es einsteigerfreundlich.

Wann Veeam? Wenn du eine Proxmox- oder VMware-Umgebung betreibst und eine kommerzielle, vollständige Lösung mit GUI bevorzugst.

Cloud-Backup vs. lokales Backup: Was ist besser?

Beide haben ihre Daseinsberechtigung – und im Sinne der 3-2-1-Regel solltest du beides nutzen:

Wichtig: Cloud-Sync (Nextcloud, Dropbox, Google Drive) ist kein Backup! Wenn Ransomware deine Dateien verschlüsselt und die Synchronisierung aktiv ist, wird die verschlüsselte Version sofort in die Cloud übertragen.

Empfohlene Cloud-Backup-Anbieter

• Hetzner Object Storage – günstig, DSGVO-konform, S3-kompatibel – ideal mit Restic oder rclone
• Backblaze B2 – sehr günstig, nativ von Restic unterstützt
• Wasabi – kein Egress-Cost, S3-kompatibel
• Storj – dezentral, Ende-zu-Ende-verschlüsselt

Meine empfohlene 3-2-1-Backup-Strategie für den Homelab

Hier ist eine konkrete Umsetzung, die ich für mein eigenes Homelab empfehle:

1. Kopie 1 (Primär): Produktionsdaten auf dem Hauptserver
2. Kopie 2 (Lokal): Tägliches Restic-Backup auf lokales NAS (via SFTP oder gemountetes Share)
3. Kopie 3 (Offsite): Wöchentliches Restic-Backup auf Hetzner Object Storage

Automatisierung mit Cron:

# /etc/cron.d/restic-backup

# Tägliches lokales Backup um 02:00 Uhr
0 2 * * * root /usr/local/bin/backup-local.sh >> /var/log/backup-local.log 2>&1

# Wöchentliches Cloud-Backup jeden Sonntag um 03:00 Uhr  
0 3 * * 0 root /usr/local/bin/backup-cloud.sh >> /var/log/backup-cloud.log 2>&1

backup-local.sh (Beispiel):

#!/bin/bash
export RESTIC_REPOSITORY="/mnt/nas/restic-repo"
export RESTIC_PASSWORD_FILE="/root/.restic-password"

restic backup /home /etc /var/www
restic forget --prune --keep-daily 7 --keep-weekly 4 --keep-monthly 6
restic check

Restore-Tests nicht vergessen!

Ein Backup ist nur so gut wie der letzte erfolgreiche Restore-Test. Plane mindestens quartalsweise einen Restore-Test ein:

# Integrität prüfen
restic -r /mnt/backup/restic-repo check

# Testweise einzelne Datei wiederherstellen
restic -r /mnt/backup/restic-repo restore latest \
  --include "/home/user/wichtige-datei.txt" \
  --target /tmp/restore-test/

Fazit: Backup-Strategie 2026 – Jetzt umsetzen

Die 3-2-1-Backup-Strategie ist auch 2026 das solide Fundament jeder Datensicherung. Mit Tools wie Restic oder BorgBackup kannst du sie kostenlos und automatisiert umsetzen – egal ob du ein kleines Homelab, einen Linux-Server oder eine größere Proxmox-Umgebung betreibst.

Die wichtigsten Punkte zusammengefasst:

• Mindestens 3 Kopien, 2 Medien, 1 Offsite – immer
• Cloud-Sync ist kein Backup – echtes Backup mit Versionierung nutzen
• Verschlüsselung ist Pflicht – besonders für Cloud-Backups (Restic, Borg)
• Restore-Tests regelmäßig durchführen – sonst ist das Backup wertlos
• Erwäge 3-2-1-1-0 für erhöhten Ransomware-Schutz

Warte nicht, bis du deine Daten verlierst. Richte noch heute deine Backup-Strategie ein!

Häufige Backup-Fehler und wie du sie vermeidest

In der Praxis sehe ich immer wieder dieselben Fehler bei der Backup-Strategie. Hier sind die häufigsten – und wie du sie vermeidest:

Fehler 1: Nur ein einziges Backup

Ein einziges Backup ist besser als keines, aber weit entfernt von sicher. Wenn das Backup-Medium gleichzeitig mit den Originaldaten ausfällt (z.B. bei einem Brand oder Überspannung), sind beide Kopien verloren. Die 3-2-1-Regel schützt davor durch geografische und mediale Redundanz.

Fehler 2: RAID als Backup-Ersatz

RAID (Redundant Array of Independent Disks) ist kein Backup! RAID schützt vor Hardwareausfällen einzelner Platten, aber nicht vor:

• Versehentlichem Löschen von Dateien
• Ransomware-Verschlüsselung
• Controller-Ausfällen, die alle Platten unlesbar machen
• Feuer, Diebstahl oder Überflutung

RAID + Backup zusammen ergibt Sinn. RAID allein ist keine Backup-Strategie.

Fehler 3: Keine Verschlüsselung

Offsite-Backups ohne Verschlüsselung sind ein Datenschutzrisiko. Wenn dein Cloud-Anbieter gehackt wird oder du eine externe Festplatte verlierst, sind alle Daten für Angreifer lesbar. Sowohl Restic als auch BorgBackup verschlüsseln standardmäßig alle Daten – nutze diese Funktion!

Fehler 4: Backups nie testen

Viele wissen nicht, ob ihr Backup wirklich funktioniert – bis es zu spät ist. Plane regelmäßige Restore-Tests in deinen Kalender ein. Ein monatlicher Test einer einzelnen wichtigen Datei und ein quartalsweiser vollständiger Restore-Test sind ein guter Anfang.

Fehler 5: Backup-Retention nicht geplant

Ohne klare Retention-Policy füllt sich das Backup-Ziel und läuft irgendwann voll. Definiere von Anfang an, wie viele tägliche, wöchentliche und monatliche Snapshots du behalten möchtest, und konfiguriere automatisches Pruning in deinen Backup-Tools.

Proxmox Backup Server: Integrierte 3-2-1-Strategie für VMs

Wer Proxmox VE in seinem Homelab betreibt, sollte den Proxmox Backup Server (PBS) kennen. PBS ist eine kostenlose, dedizierte Backup-Lösung, die speziell für Proxmox-Umgebungen entwickelt wurde.

Vorteile von Proxmox Backup Server:

• Inkrementelle Backups mit Deduplizierung auf Blockebene
• Integrierte Verschlüsselung und Verifikation
• Direkte Integration in die Proxmox-Weboberfläche
• Unterstützung für Tape-Backups (für Air-gapped Offsite)
• WORM (Write Once Read Many) für Ransomware-Schutz

Eine typische Proxmox-3-2-1-Strategie mit PBS:

1. Primärer PBS auf einem separaten Server im lokalen Netzwerk
2. Tägliche Backups aller VMs und CTs auf den lokalen PBS
3. Wöchentliche Synchronisation des PBS auf einen Remote-PBS (z.B. bei Hetzner) oder in die Cloud via rclone/restic