Backup und Disaster Recovery für Berliner KMU: Was Sie wirklich brauchen
Backups gehören zu den Bereichen der IT, bei denen jedes Unternehmen davon ausgeht, dass alles geregelt ist — bis es plötzlich nicht mehr so ist.
Das Muster wiederholt sich: Ein Ransomware-Angriff trifft das Unternehmen, eine kritische Datei wird gelöscht, ein Server fällt aus — und dann beginnt das eigentliche Gespräch. War das letzte Backup von gestern oder von vor drei Wochen? Hat jemand die Wiederherstellung jemals getestet? Ist Microsoft 365 im Backup enthalten oder nur der Fileserver?
Dieser Leitfaden beschreibt, wie ein funktionierendes Backup- und Disaster-Recovery-Konzept für ein Berliner KMU im Jahr 2025 aussieht — nicht in der Theorie, sondern im Betrieb.
Das Problem mit „wir haben Backups“
Ein laufendes Backup-System zu haben ist nicht dasselbe wie eine verifizierte Wiederherstellungsfähigkeit zu besitzen. Der Unterschied zeigt sich erst unter Druck — genau dann, wenn man ihn am wenigsten braucht.
Häufige Lücken in KMU-Backup-Setups:
- Microsoft 365 ist nicht gesichert. Microsofts Shared-Responsibility-Modell besagt ausdrücklich, dass der Datenschutz in der Verantwortung des Kunden liegt. Exchange Online, SharePoint, OneDrive und Teams-Daten können gelöscht werden — absichtlich oder versehentlich — und Microsofts Papierkorb-Aufbewahrung ist zeitlich begrenzt. Ein separates Microsoft-365-Backup ist für jedes Unternehmen, das kritische Geschäftsprozesse über M365 abwickelt, keine Option, sondern Pflicht.
- Backups werden nicht getestet. Ein Backup-Job, der ohne Fehler abgeschlossen wird, bedeutet nicht, dass die Daten wiederherstellbar sind. Backup-Dateien können beschädigt, unvollständig oder in einem Format gespeichert sein, das spezifische Software zur Wiederherstellung erfordert. Wer in den letzten 90 Tagen keinen Wiederherstellungstest durchgeführt hat, hat kein verifiziertes Backup.
- Backups hängen im selben Netzwerk wie die Produktion. Ransomware greift routinemäßig Backup-Systeme an. Wenn Ihr NAS vom Netzwerk aus erreichbar ist, wird es zusammen mit allem anderen verschlüsselt. Luftisolierte oder unveränderliche Backup-Kopien sind keine Komfortoption, sondern eine Grundvoraussetzung.
- RTO und RPO sind nicht definiert. Recovery Time Objective (wie lange das Unternehmen ausfällt) und Recovery Point Objective (wie viel Datenverlust tolerierbar ist) bestimmen, welche Backup-Infrastruktur Sie tatsächlich benötigen. Ohne diese Parameter bauen Sie ein Backup ohne zu wissen, wogegen Sie sich schützen.
Die 3-2-1-Regel — und warum sie immer noch die Basis ist
Die 3-2-1-Regel bleibt der Mindeststandard für KMU-Backups:
- 3 Kopien Ihrer Daten
- 2 unterschiedliche Speichermedien oder Systeme
- 1 Kopie außerhalb des Standorts oder in der Cloud
Für ein Berliner KMU, das Microsoft 365 und einen lokalen oder gehosteten Fileserver nutzt, bedeutet das in der Praxis: lokales Backup (schnelle Wiederherstellung), Cloud-Backup (externer Standort) und ein Microsoft-365-Backup über ein Drittanbieter-Tool wie Veeam, Acronis oder Backupify.
2025 ergänzt eine aktualisierte Version dieser Regel einen vierten Aspekt: eine Kopie sollte unveränderlich sein — das heißt, sie kann weder von Ransomware noch von einem kompromittierten Admin-Konto gelöscht oder geändert werden. Azure Blob Storage mit Unveränderlichkeitsrichtlinien oder S3-kompatibler Objektspeicher mit Object-Lock-Funktion erfüllt diese Anforderung ohne nennenswerte Mehrkosten.
Was tatsächlich gesichert werden muss
| Datenquelle | Backup-Anforderung | Häufige Lücke |
|---|---|---|
| Exchange Online / Outlook | M365-Drittanbieter-Backup | Kein Backup vorhanden |
| SharePoint / OneDrive / Teams | M365-Drittanbieter-Backup | Annahme: durch Microsoft gedeckt |
| Fileserver / NAS | Lokal + Cloud, unveränderliche Kopie | Netzwerkgebundenes Backup (Ransomware-Risiko) |
| Branchenanwendungen | Anwendungskonsistentes Backup | Datenbank nicht im Datei-Backup enthalten |
| Endgeräte (Laptops / PCs) | OneDrive-Synchronisierung oder Endgeräte-Backup | Desktop- und Download-Ordner ausgeschlossen |
Backup vs. Disaster Recovery — der Unterschied ist entscheidend
Ein Backup ist eine Kopie Ihrer Daten. Disaster Recovery ist ein Plan, der Ihre Geschäftsprozesse innerhalb einer definierten Frist auf einen akzeptablen Zustand zurückführt. Beides hängt zusammen, ist aber nicht dasselbe.
Ein Disaster-Recovery-Plan für ein KMU muss keine 200 Seiten umfassen. Er muss jedoch folgende Fragen beantworten:
- Welche Systeme und Prozesse würden den Betrieb stoppen, wenn sie nicht verfügbar sind?
- Was ist die maximal tolerierbare Ausfallzeit (RTO) für jeden dieser Bereiche?
- Wie viel Datenverlust in Stunden ist akzeptabel (RPO)?
- Wer ist zuständig für die Einleitung der Wiederherstellung, und was genau wird getan?
- Wo sind Wiederherstellungszugangsdaten und Dokumentation gespeichert — nicht auf den Systemen, die möglicherweise ausgefallen sind?
Tests: Der Schritt, den niemand macht
Ein nicht getestetes Backup ist eine Hypothese, keine Wiederherstellungsfähigkeit. Vierteljährliche Wiederherstellungstests sind das Minimum — und sie müssen den vollständigen Wiederherstellungspfad testen, nicht nur „können wir die Dateien sehen“.
Ein aussagekräftiger Wiederherstellungstest für ein KMU umfasst:
- Wiederherstellung einer bestimmten Datei oder eines Ordners aus einem Backup, das mindestens 7 Tage alt ist
- Wiederherstellung eines Postfachs oder Kalendereintrags aus dem Microsoft-365-Backup
- Bestätigung, dass eine wiederhergestellte Datenbank geöffnet werden kann und Anwendungen sich verbinden
- Dokumentation der tatsächlichen Wiederherstellungszeit im Vergleich zum RTO-Ziel
Ransomware-spezifische Überlegungen
Ransomware hat das Bedrohungsmodell für Backups grundlegend verändert:
- Unveränderlicher Speicher ist nicht verhandelbar. Backup-Ziele sollten Object-Lock- oder Write-Once-Richtlinien unterstützen. Azure Blob, Wasabi und Backblaze B2 bieten dies zu geringen Kosten an.
- Backup-Admin-Zugangsdaten müssen isoliert sein. Das Konto, das Ihr Backup-System verwaltet, sollte nicht dasselbe sein, das für die tägliche Administration verwendet wird. Idealerweise ist der Zugriff auf das Backup-System von normalen Arbeitsplätzen aus nicht möglich.
- Air-Gap- oder Offline-Kopien. Eine rotierende externe Festplatte, die an einem externen Standort aufbewahrt wird — auch nur zu Hause bei einem Geschäftsführer — bietet einen Wiederherstellungspfad, der vollständig vom Netzwerk unabhängig ist.
DSGVO- und NIS2-Implikationen
Die DSGVO verlangt technische und organisatorische Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit personenbezogener Daten. In der Praxis bedeutet das: dokumentierte Backup-Verfahren, getestete Wiederherstellungsfähigkeit und — entscheidend — ein Incident-Response-Plan. Ein Ransomware-Angriff, der personenbezogene Daten verschlüsselt, ist eine meldepflichtige DSGVO-Verletzung innerhalb von 72 Stunden.
Kostenlos für Berliner KMU
Wie sicher ist Ihre IT wirklich?
Wir prüfen Ihre Sicherheitslage, Microsoft-365-Konfiguration, Netzwerkresilienz und Compliance-Lücken — und liefern Ihnen einen schriftlichen Bericht ohne Verpflichtung.
Kostenlose IT-Analyse anfordern →
Keine Verpflichtung. Schriftlicher Bericht inklusive. Ca. 45 Minuten Ihrer Zeit.
Zusammenfassung
Die Lücke zwischen „wir haben Backups“ und „wir können wiederherstellen“ ist der Ort, an dem die meisten KMU-Datenverluste passieren. Die Grundlagen sind technisch nicht komplex: 3-2-1-Regel, unveränderliche Außenstandort-Kopie, getestete Wiederherstellung und ein schriftlicher Wiederherstellungsplan mit definierten RTO- und RPO-Werten.
Wenn Ihr Backup-Setup in den letzten 12 Monaten nicht überprüft wurde, besteht eine realistische Möglichkeit, dass etwas darin nicht mehr stimmt. Eine systematische Überprüfung Ihrer Backup- und Wiederherstellungskonfiguration ist Teil unserer kostenlosen IT-Analyse für Berliner KMU.
Weiterführende Artikel