Backups machen die meisten Unternehmen — zumindest irgendwie. Eine externe Festplatte hier, eine Kopie auf dem NAS dort. Doch was passiert, wenn der Server brennt, Ransomware alle Systeme verschlüsselt oder ein Wasserschaden das Büro lahmlegt? Dann reicht ein einfaches Backup nicht aus. Was Sie brauchen, ist ein Disaster-Recovery-Plan — und der beginnt weit vor dem Ernstfall.
Backup ist nicht gleich Disaster Recovery
Viele verwechseln Backup mit Disaster Recovery. Ein Backup sichert Daten. Disaster Recovery stellt den gesamten Geschäftsbetrieb wieder her — Systeme, Anwendungen, Netzwerk, Zugänge. Der Unterschied wird im Ernstfall existenziell.
| Kriterium | Backup | Disaster Recovery |
|---|---|---|
| Ziel | Daten sichern | Geschäftsbetrieb wiederherstellen |
| Umfang | Dateien, Datenbanken, E-Mails | Komplette Systeme inkl. Konfiguration |
| Wiederherstellung | Stunden bis Tage | Minuten bis Stunden |
| Automatisierung | Oft manuell oder zeitgesteuert | Vollautomatisch mit Failover |
| Test | Selten getestet | Regelmäßig getestet und dokumentiert |
| Kosten | Gering | Mittel bis hoch (aber günstiger als Ausfall) |
Laut einer Studie von Gartner kostet eine Stunde IT-Ausfall im Durchschnitt 5.600 USD pro Minute — bei Großunternehmen. Für KMU liegt der Wert niedriger, aber selbst bei 500 EUR pro Stunde summiert sich ein mehrtägiger Ausfall schnell auf fünfstellige Beträge — plus Reputationsschaden und verlorene Kunden.
Die 3-2-1-Regel: Das Minimum für jedes Unternehmen
Die 3-2-1-Regel ist seit Jahren der goldene Standard für Backup-Strategien. Sie ist einfach zu merken und deckt die häufigsten Ausfallszenarien ab:
3 Kopien Ihrer Daten
Das Original plus zwei Backups. Wenn eine Kopie defekt ist oder verschlüsselt wird, haben Sie immer noch ein funktionierendes Backup.
2 verschiedene Medien
Speichern Sie Backups auf unterschiedlichen Medientypen — z.B. lokales NAS und Cloud-Storage. Ein Hardware-Defekt betrifft so nicht alle Kopien gleichzeitig.
1 Kopie extern
Mindestens ein Backup muss außerhalb Ihres Standorts liegen — in der Cloud oder an einem zweiten Standort. Schützt vor Brand, Wasserschaden und Einbruch.
⚠️ Wichtig: Viele Unternehmen sichern nur auf ein NAS im selben Serverraum. Bei Ransomware, Brand oder Überspannung sind dann Original und Backup gleichzeitig verloren. Eine externe Kopie ist Pflicht — keine Option.
RTO und RPO: Die zwei wichtigsten Kennzahlen
Bevor Sie eine Backup- und DR-Strategie planen, müssen Sie zwei Fragen beantworten:
RPO — Recovery Point Objective
Wie viel Datenverlust können Sie tolerieren? Ein RPO von 4 Stunden bedeutet: Sie verlieren maximal 4 Stunden an Arbeit. Je kleiner der RPO, desto häufiger müssen Sie sichern.
RTO — Recovery Time Objective
Wie schnell müssen Systeme wieder laufen? Ein RTO von 1 Stunde bedeutet: Spätestens 60 Minuten nach dem Ausfall ist der Betrieb wiederhergestellt. Je kleiner der RTO, desto aufwendiger die DR-Infrastruktur.
Tipp: RPO und RTO pro System definieren
Nicht jedes System braucht denselben Schutz. Ihr E-Mail-Server hat vermutlich einen kleineren RTO als der Archiv-Speicher. Priorisieren Sie: Welche Systeme sind geschäftskritisch? Definieren Sie RPO und RTO individuell pro Anwendung — das spart Kosten und fokussiert Ressourcen.
Die 5 häufigsten Backup-Fehler in KMU
- Backups werden nie getestet — niemand weiß, ob die Wiederherstellung funktioniert
- Nur Dateien gesichert, aber keine Systemimages — Betriebssystem und Konfiguration fehlen
- Alle Backups am selben Standort — bei Brand oder Ransomware alles verloren
- Kein Backup der Cloud-Daten — Microsoft 365 sichert Ihre Daten nicht automatisch für Sie
- Kein dokumentierter Wiederherstellungsplan — im Ernstfall herrscht Chaos
Cloud-Backup vs. lokales Backup: Was ist besser?
| Kriterium | Lokales Backup (NAS/Band) | Cloud-Backup |
|---|---|---|
| Geschwindigkeit | Sehr schnell (LAN) | Abhängig von Internetleitung |
| Erste Sicherung | Sofort | Kann bei großen Datenmengen Tage dauern |
| Standort-Schutz | Nein (gleicher Standort) | Ja (externes Rechenzentrum) |
| Kosten | Einmalig Hardware + Strom | Monatliche Gebühr nach Volumen |
| Skalierbarkeit | Begrenzt durch Hardware | Nahezu unbegrenzt |
| Ransomware-Schutz | Gefährdet wenn im Netzwerk | Immutable Backups möglich |
| DSGVO | Volle Kontrolle | Auf EU-Rechenzentrum achten |
Microsoft 365: Warum Sie auch Cloud-Daten sichern müssen
Ein weit verbreiteter Irrtum: Microsoft sichert Ihre Daten in Microsoft 365 nicht für Sie. Die Shared-Responsibility-Model von Microsoft besagt klar: Microsoft sorgt für die Verfügbarkeit der Plattform. Für den Schutz Ihrer Daten sind Sie selbst verantwortlich.
Checkliste: Backup & Disaster Recovery
Maßnahmen für IT-Verantwortliche
- 3-2-1-Regel umgesetzt (3 Kopien, 2 Medien, 1 extern)
- RPO und RTO pro geschäftskritischem System definiert
- Regelmäßige Wiederherstellungstests durchführen (mindestens quartalsweise)
- Microsoft-365-Backup mit Drittanbieter-Lösung eingerichtet
- Immutable Backups aktiviert (Schutz vor Ransomware-Verschlüsselung)
- Backup-Monitoring mit automatischen Warnmeldungen bei Fehlern
- Dokumentierter Wiederherstellungsplan mit klaren Zuständigkeiten
- Server als vollständige Systemimages sichern (nicht nur Dateien)
- Backup-Verschlüsselung aktiviert (AES-256, Passwort sicher hinterlegt)
- Jährliche Überprüfung der Strategie bei Infrastruktur-Änderungen
Fazit: Ein Backup ohne Plan ist nur eine Hoffnung
Daten sichern ist der erste Schritt — aber ohne getesteten Wiederherstellungsplan, definierte RTO/RPO-Werte und eine durchdachte Strategie bleibt Ihr Backup ein Glücksspiel. Investieren Sie die Zeit, Ihre Backup-Strategie zu überprüfen und einen Disaster-Recovery-Plan zu erstellen. Im Ernstfall entscheidet das über Stunden oder Tage Ausfallzeit — und möglicherweise über die Existenz Ihres Unternehmens.