· Backup und Datensicherung · Lesedauer von ca. 5 Min.
Veeam Backup in der Praxis: 3-2-1-1-0 sauber konfigurieren
Von Backup-Jobs über Immutable Repository bis Off-Site-Kopie nach Azure Deutschland. Ein Konfigurations-Leitfaden für Veeam nach der 3-2-1-1-0-Regel.
Die 3-2-1-1-0-Regel ist schnell erklärt, die saubere Umsetzung in Veeam dauert länger. Warum drei Kopien, zwei Medien, eine Off-Site-Kopie, eine unveränderliche Variante und null Fehler im Restore-Test der heutige Standard sind, haben wir im konzeptionellen Artikel 3-2-1-1-0-Regel und Immutable Backup beschrieben. Hier geht es um die Konfiguration in Veeam, Schritt für Schritt, so wie wir sie für Hamburger KMU einrichten.
Backup-Jobs strukturieren
Der erste Hebel ist der Job-Aufbau. Veeam arbeitet im Standard mit einer wöchentlichen Vollsicherung und täglichen inkrementellen Sicherungen (Forward Incremental). Für die meisten KMU mit 10 bis 100 Mitarbeitern ist das die richtige Wahl, weil das Backup-Fenster kurz bleibt und der Speicherbedarf kalkulierbar ist.
Drei Regeln aus dem Betriebsalltag:
- Zeitfenster außerhalb der Arbeitszeit. Vollsicherungen laufen am Wochenende, inkrementelle Sicherungen nachts. So kollidiert das Backup nicht mit der Last produktiver Server.
- Logische Job-Gruppen. Trennen Sie kritische Systeme (Domaincontroller, ERP, Fileserver) von weniger kritischen. Unterschiedliche Aufbewahrung und Priorität werden so sauber steuerbar.
- Application-Aware Processing aktivieren. Für SQL, Exchange oder Active Directory sorgt der konsistente Snapshot dafür, dass die Datenbank nach dem Restore tatsächlich startet und nicht nur die Dateien vorhanden sind.
Für Umgebungen mit knappem Backup-Fenster ist Forever Forward Incremental eine Alternative, die periodische Vollsicherung entfällt dann. Das spart Zeit, erhöht aber die Abhängigkeit von der Integrität der Kette. Wir wägen das pro Kunde ab.
Repositories richtig wählen
Die zwei Medien aus der Regel bilden Sie über unterschiedliche Repository-Typen ab. Entscheidend ist, dass mindestens eine Kopie unveränderlich liegt, denn moderne Ransomware sucht gezielt das Backup, bevor sie produktiv verschlüsselt.
| Repository-Typ | Schutz vor Ransomware | Typischer Einsatz |
|---|---|---|
| Lokaler Speicher (Server, DAS) | gering, online erreichbar | schnelles erstes Restore-Ziel |
| NAS (SMB/NFS) | mittel, je nach Zugriffstrennung | zweites Medium vor Ort |
| Hardened Repository (Linux, Immutable) | hoch, unveränderlich per Dateisystem | manipulationssichere lokale Kopie |
| Object Storage mit Object Lock (S3, Azure Blob) | hoch, unveränderlich in der Cloud | Off-Site-Kopie nach 3-2-1-1-0 |
Das Hardened Repository ist ein Linux-Server mit aktiviertem Immutable-Flag. Veeam setzt dort ein Aufbewahrungsschloss auf jede Sicherung, das selbst ein Administrator nicht vorzeitig löschen kann (Stand 2026, Vertrauensstufe mittel). In der Cloud übernimmt Object Lock auf S3 oder Azure Blob dieselbe Aufgabe. Diese eine unveränderliche Kopie ist das Herzstück der 3-2-1-1-0-Regel.
GFS-Aufbewahrung planen
Grandfather-Father-Son (GFS) regelt, wie lange welche Sicherung erhalten bleibt. Veeam markiert dafür einzelne Vollsicherungen als wöchentlich, monatlich oder jährlich. Ein praxistauglicher Rahmen für KMU sieht so aus:
| Stufe | Aufbewahrung | Zweck |
|---|---|---|
| Täglich | 14 bis 30 Tage | schnelle Wiederherstellung jüngster Stände |
| Wöchentlich | 8 bis 12 Wochen | Rückgriff über mehrere Wochen |
| Monatlich | 12 Monate | quartalsbezogene Anforderungen |
| Jährlich | 7 bis 10 Jahre | gesetzliche Aufbewahrungspflichten |
Die jährliche Stufe richtet sich nach Ihrer Branche. Steuerberater, Arztpraxen und Finanzdienstleister haben hier längere Pflichten als ein Handwerksbetrieb. Wir setzen die Werte gemeinsam mit Ihnen fest, statt sie zu raten.
Verschlüsselung in Transit und at Rest
Zwei Stellen brauchen Verschlüsselung. At Rest verschlüsselt Veeam die Backup-Dateien direkt im Job (AES-256, Stand 2026, Vertrauensstufe mittel). Damit ist eine gestohlene Festplatte oder ein kompromittiertes Cloud-Konto ohne Passwort wertlos. In Transit sichert TLS die Übertragung zwischen den Veeam-Komponenten und zum Off-Site-Ziel.
Wichtig ist die Passwort-Verwaltung. Geht das Verschlüsselungspasswort verloren, ist auch das Backup verloren, denn Veeam kennt keine Hintertür. Wir hinterlegen die Schlüssel deshalb in einem getrennten Passwort-Tresor und dokumentieren den Wiederherstellungsweg.
Off-Site-Kopie nach Azure Deutschland
Die eigentliche Off-Site-Kopie übernimmt der Backup Copy Job. Er kopiert bestehende Sicherungen vom lokalen Repository in die Cloud, ohne die produktiven Server erneut zu belasten. Ziel ist bei uns Azure-Speicher in einem deutschen Rechenzentrum, mit Object Lock für die unveränderliche Variante.
Drei Punkte halten den Copy Job verlässlich:
- Eigene Anmeldedaten für die Cloud. Das Cloud-Konto ist vom lokalen Backup getrennt, ein kompromittiertes Domänenkonto erreicht die Off-Site-Kopie nicht.
- Bandbreiten-Drosselung tagsüber. Der Upload läuft gedrosselt während der Arbeitszeit und mit voller Bandbreite nachts.
- GFS auch in der Cloud. Die Off-Site-Kopie bekommt eine eigene, oft längere Aufbewahrung als das lokale Repository.
Wiederherstellungstests mit SureBackup
Die Null in 3-2-1-1-0 steht für null Fehler beim Restore. Ein Backup ohne getesteten Restore ist eine Hoffnung, kein Sicherheitsnetz. Veeam SureBackup startet die gesicherten virtuellen Maschinen in einer isolierten Sandbox und prüft automatisiert, ob das System bootet und Dienste antworten.
Wir fahren SureBackup-Tests planmäßig und protokollieren jeden Lauf. Das Protokoll ist nicht Bürokratie, sondern der Nachweis, dass die Wiederherstellung im Ernstfall funktioniert. Für regulierte Branchen ist diese Dokumentation ohnehin Pflicht.
Häufige Fragen
Wie viele Kopien brauche ich mindestens?
Drei. Die produktiven Daten plus zwei Sicherungen auf unterschiedlichen Medien, davon eine Off-Site und eine unveränderlich. Das ist der Kern der 3-2-1-1-0-Regel.
Was bedeutet Immutable Backup konkret?
Eine Sicherung, die für einen festgelegten Zeitraum nicht verändert oder gelöscht werden kann, auch nicht mit Administratorrechten. In Veeam realisiert über ein Hardened Repository oder Object Lock in der Cloud.
Reicht ein NAS als Backup-Ziel aus?
Als alleiniges Ziel nein. Ein dauerhaft eingebundenes NAS ist für Ransomware erreichbar. Es taugt als zweites Medium vor Ort, braucht aber eine unveränderliche Off-Site-Kopie als Ergänzung.
Wie oft sollte ich Restores testen?
Planmäßig und automatisiert. Mit SureBackup laufen Tests regelmäßig im Hintergrund, kritische Systeme prüfen wir zusätzlich in einem manuellen Restore-Durchlauf.
Wie Netzleiter Veeam betreibt
Netzleiter ist Veeam-Partner (VMTSP und VMSP) und richtet Backup-Umgebungen für Unternehmen und Praxen in Hamburg und der Metropolregion ein. Die Off-Site-Kopie läuft über unser Cloud-Backup NetzleitAIR auf Azure-Speicher in einem deutschen Rechenzentrum. Wiederherstellungszeiten sind je Servicepaket dokumentiert, sodass Sie wissen, woran Sie im Ernstfall sind, statt im Notfall zu improvisieren.
Im Managed Service übernehmen wir Einrichtung, Verschlüsselung, GFS-Planung, die Off-Site-Kopie und die protokollierten Restore-Tests. Mehr zum Leistungsumfang finden Sie unter Leistungen, für ein konkretes Backup-Konzept melden Sie sich über Kontakt.
Beratung: Vertrieb 040 20 94 97 67, vertrieb@netzleiter.com. Support: 040 25 499 500, support@netzleiter.com.
