Key Takeaways
Ein Backup ohne getestete Wiederherstellung vermittelt ein falsches Sicherheitsgefühl – 94 % der Unternehmen glauben, dass sie sich von einer Katastrophe erholen würden, aber nur 26 % haben tatsächlich einen Plan parat.
Die klassische 3-2-1-Backup-Regel muss für 2026 aktualisiert werden: Die 3-2-1-1-0-Regel fügt eine unveränderliche oder „air-gapped“ Kopie hinzu (die Ransomware nicht löschen kann) sowie null Fehler, die durch tatsächliche Wiederherstellungstests verifiziert wurden.
Google Workspace und Microsoft 365 sind keine Backup-Lösungen – beide Plattformen haben begrenzte Aufbewahrungsfristen und schützen dich nicht, wenn Ransomware synchronisierte Dateien verschlüsselt oder ein Mitarbeiter ein gemeinsames Laufwerk dauerhaft löscht.
Deine RTO- und RPO-Ziele bestimmen deine gesamte Backup-Strategie: Wie schnell du wieder online sein musst und wie viel Datenverlust du dir leisten kannst, sollte bewusst anhand von Geschäftsprioritäten festgelegt werden – und nicht erst in einer Krise herausgefunden werden.
Führe vierteljährlich einen Wiederherstellungstest durch – nicht nur eine Überprüfung, ob die Backup-Software gelaufen ist, sondern eine tatsächliche, zeitlich begrenzte Wiederherstellung eines kritischen Systems –, denn Unternehmen mit intakten, getesteten Backups haben eine fast doppelt so hohe Wahrscheinlichkeit, sich innerhalb einer Woche von einer Ransomware-Attacke zu erholen.
Eine 30-köpfige Marketingagentur in München stellte an einem Dienstagmorgen fest, dass sie von Ransomware befallen worden war. Der Betriebsleiter versuchte, die Daten aus den Backups wiederherzustellen, musste jedoch feststellen, dass sich alle Backup-Kopien auf demselben Netzwerk befanden, das die Angreifer bereits verschlüsselt hatten. Drei Jahre an Kundendateien, Finanzunterlagen und Projektvorlagen waren verloren. Das Unternehmen hatte zwar Backups, konnte die Daten aber einfach nicht daraus wiederherstellen.
Datensicherung und -wiederherstellung bezeichnet das Erstellen, Speichern und regelmäßige Überprüfen von Kopien geschäftskritischer Informationen, damit ein Unternehmen nach einem Datenverlust – sei es durch Cyberangriffe, Hardwareausfälle oder menschliches Versagen – den normalen Betrieb wiederherstellen kann. Für KMUs (kleine und mittlere Unternehmen) ist das keine nebensächliche IT-Aufgabe. Es ist die Grundlage jeder ernstzunehmenden IT-Sicherheitsstrategie. Und doch behandeln die meisten Unternehmen das Thema erst dann ernst, wenn etwas schiefgeht.
Dieser Leitfaden richtet sich an Gründer, Personalverantwortliche und Büroleiter, die unerwartet die Verantwortung für die IT übernommen haben, ohne sich wirklich darauf eingelassen zu haben. Wir gehen gemeinsam durch, was gesichert werden muss und wie oft, wie man klassische Backup-Regeln für 2026 aktualisiert, wie man Wiederherstellungsziele festlegt, die tatsächlich zu deinem Unternehmen passen, und warum das Testen deines Backups der wichtigste Schritt ist, den die meisten Unternehmen überspringen.
Warum ist die Datensicherung ein IT-Sicherheitsproblem und nicht nur eine IT-Aufgabe?
Die Kosten, wenn man es falsch macht
Backup-Ausfälle verursachen nicht nur Unannehmlichkeiten. Sie führen zur Schließung von Unternehmen. Laut Daten der FEMA öffnen 43 % der von einer Katastrophe betroffenen Kleinunternehmen nie wieder ihre Türen, und weitere 29 % gehen innerhalb von zwei Jahren in die Insolvenz (Invenio IT). Die finanziellen Folgen sind enorm: KMUs zahlen während Ausfallzeiten durchschnittlich 8.000 US-Dollar pro Stunde (HD Tech), und ein durchschnittlicher Ransomware-Vorfall führt zu etwa 24 Tagen Ausfallzeit (CaiberOps).
Ransomware ist mittlerweile bei 88 % der Sicherheitsvorfälle in KMUs beteiligt, verglichen mit nur 39 % bei Großunternehmen (Swif). Und Angreifer verschlüsseln nicht nur Produktionsdaten. Sie haben es auf dein Sicherheitsnetz abgesehen: 96 % der Ransomware-Angriffe zielen auf Backup-Standorte ab (StationX). Wenn Backups kompromittiert werden, explodieren die Wiederherstellungskosten. Eine Studie von Sophos ergab, dass Unternehmen mit kompromittierten Backups mit Wiederherstellungskosten von durchschnittlich 3 Millionen US-Dollar rechnen müssen, verglichen mit 375.000 US-Dollar bei Unternehmen mit intakten Backups (CNiC Solutions).
Wo Backups in deine gesamte IT-Sicherheitsstrategie passen
Stell dir die Cybersicherheit für dein Unternehmen als auf drei Säulen ruhend vor: Gerätesicherheit, Zugriffskontrolle und Datensicherung. Die Gerätesicherheit schützt die Endgeräte. Das Zugriffs- und Berechtigungsmanagement stellt sicher, dass nur die richtigen Personen auf die richtigen Systeme zugreifen können. Die Datensicherung ist deine Wiederherstellungsebene: das, was es dir ermöglicht, wieder auf die Beine zu kommen, wenn die anderen beiden Säulen versagen – und das werden sie irgendwann bei jedem Unternehmen tun.
Die meisten KMUs investieren in Antivirensoftware und vielleicht in einen Passwortmanager für das Team. Weitaus weniger investieren in eine Wiederherstellungslösung, die sie tatsächlich getestet haben. In diesem Ungleichgewicht liegt das eigentliche Risiko.
Was sollten KMUs eigentlich sichern und wie oft?
Kategorisierung deiner geschäftskritischen Daten
Erstelle zunächst eine Liste mit allem, ohne das dein Unternehmen nicht länger als ein paar Stunden funktionieren könnte. Für die meisten KMUs umfasst das:
- Finanzunterlagen: Rechnungen, Steuererklärungen, Gehaltsdaten, Bankdaten
- Kundendaten: CRM-Einträge, Verträge, Kommunikationsverlauf
- Betriebskonfigurationen: DNS-Einstellungen, Serverkonfigurationen, Einstellungen für SaaS-Plattformen
- Mitarbeiterdaten: Personalakten, Einstellungsunterlagen, Zugangsdaten
- Geistiges Eigentum: Produktdesigns, Quellcodes, Marketingmaterialien
Nicht alles erfordert die gleiche Backup-Häufigkeit. Deine Kundendatenbank benötigt wahrscheinlich tägliche Snapshots. Ein Ordner mit alten Marketingpräsentationen muss vielleicht nur wöchentlich gesichert werden. Das Ziel ist es, die Backup-Häufigkeit daran anzupassen, wie viel Datenverlust du dir leisten kannst – ein Konzept, das wir im Abschnitt zu RTO/RPO weiter unten behandeln werden.
Wie die Backup-Häufigkeit mit akzeptablem Datenverlust zusammenhängt
Wenn du einmal täglich ein Backup durchführst und um 16 Uhr ein Ausfall passiert, verlierst du alles seit dem Backup von gestern Abend. Für Finanzunterlagen oder laufende Kundenprojekte könnte diese Lücke inakzeptabel sein. Bei archivierten Dokumenten ist das wahrscheinlich in Ordnung. Entscheidend ist, diese Entscheidung bewusst zu treffen und nicht erst in einer Krise zu entdecken.
Die Dateien und Systeme, die die meisten KMUs vergessen
Hier ist ein Muster, das wir immer wieder beobachten: Unternehmen sichern ihren Hauptdateiserver, vergessen dabei aber SaaS-Daten, Gerätekonfigurationen und freigegebene Laufwerke, die nicht mit der Cloud synchronisiert sind.
Google Workspace und Microsoft 365 sichern deine Daten nicht vollständig. Wir werden dieses Missverständnis später ausführlich behandeln, aber kurz gesagt: Wenn ein Mitarbeiter einen Ordner auf einem freigegebenen Laufwerk dauerhaft löscht oder wenn Ransomware synchronisierte Dateien verschlüsselt, ist das Aufbewahrungsfenster deines Cloud-Anbieters begrenzt. Ohne ein separates Backup sind diese Daten möglicherweise für immer verloren.
Daten auf Geräteebene sind ein weiterer blinder Fleck. Denk mal darüber nach, was sich auf einzelnen Laptops befindet: lokale Dateien, Browser-Lesezeichen, App-Konfigurationen, Anmeldedaten, die außerhalb des Passwort-Managers gespeichert sind. Wenn ein Laptop kaputtgeht, verloren geht oder gestohlen wird, sind diese Daten damit weg – es sei denn, du hast Vorkehrungen getroffen.
Was ist die 3-2-1-Backup-Regel, und gilt sie auch noch im Jahr 2026?
Die ursprüngliche 3-2-1-Regel erklärt
Die 3-2-1-Regel gilt seit Anfang der 2000er Jahre als Goldstandard für Backup-Strategien. Sie besagt, dass du Folgendes aufbewahren solltest:
- 3 Kopien deiner Daten (das Original plus zwei Backups)
- 2 verschiedene Speichermedien (z. B. lokale Festplatte und Cloud)
- 1 Kopie außerhalb des Standorts (physisch getrennt von deinem Hauptstandort)
Die Logik ist einfach: Redundanz schützt vor einzelnen Ausfallpunkten. Wenn dein Büro überflutet wird, bleibt die externe Kopie erhalten. Wenn dein Cloud-Anbieter einen Ausfall hat, sorgt die lokale Kopie dafür, dass du weiterarbeiten kannst.
Warum die Regel für Cloud-First-Unternehmen aktualisiert werden muss
Für moderne KMUs, die überwiegend mit SaaS-Tools und Cloud-Infrastruktur arbeiten, ist „3-2-1“ zwar nicht falsch, aber unvollständig. Die aktualisierte Version lautet „3-2-1-1-0“:
- 3 Kopien deiner Daten
- 2 verschiedene Speichertypen
- 1 Kopie außerhalb des Standorts
- 1 unveränderliche oder „Air-Gapped“-Kopie: ein Backup, das nicht verändert oder gelöscht werden kann – selbst nicht von einem Angreifer, der dein Netzwerk kompromittiert. Unveränderlicher Speicher bedeutet, dass Daten, sobald sie geschrieben sind, nicht mehr verändert oder durch Ransomware verschlüsselt werden können.
- 0 Fehler: durch tatsächliche Wiederherstellungstests verifiziert, nicht nur angenommen
Die unveränderliche Kopie ist entscheidend, da Angreifer gezielt Backups ins Visier nehmen. Über zwei Drittel der Ransomware-Angriffe zwischen 2024 und 2025 richteten sich gegen Unternehmen mit weniger als 500 Mitarbeitern (Entre), und 91 % der Opfer, die das Lösegeld gezahlt haben, erhielten nicht alle ihre Daten zurück (StorX Network). Ein unveränderliches Backup ist oft der einzige Weg zur vollständigen Wiederherstellung.
Reine Cloud- vs. hybride Backup-Ansätze
Rund 84 % der Unternehmen nutzen mittlerweile Cloud-Backups, bei kleinen und mittleren Unternehmen steigt diese Zahl sogar auf 93 % (PhoenixNAP). Reine Cloud-Backups sind attraktiv, da sie keine Hardware vor Ort erfordern, leicht skalierbar sind und von überall aus zugänglich sind. Für viele KMU ist es der richtige Einstieg.
Doch reine Cloud-Backups bergen Risiken. Wenn deine Internetverbindung während einer Wiederherstellung ausfällt, kannst du nicht auf deine Backups zugreifen. Wenn dein Cloud-Backup-Konto dieselben Anmeldedaten wie deine Produktionsumgebung verwendet, kann ein Angreifer, der eines davon kompromittiert, beide angreifen. Hybride Ansätze (die Kombination von Cloud-Backups mit einer lokalen Appliance oder einem NAS-Gerät) bieten dir schnellere lokale Wiederherstellungen bei alltäglichen Problemen und Cloud-Ausfallsicherheit bei Katastrophen. Die richtige Wahl hängt von deiner Teamgröße, deinem Budget und davon ab, wie schnell du wieder online sein musst.
Wie legt man realistische Wiederherstellungsziele fest?
Was RTO und RPO im Klartext bedeuten
Zwei Abkürzungen sind hier wichtig, und sie sind einfacher, als sie klingen:
- RTO (Recovery Time Objective): Wie schnell du nach einem Ausfall wieder einsatzbereit sein musst. Wenn dein RTO 4 Stunden beträgt, bedeutet das, dass deine Systeme innerhalb von 4 Stunden nach einem Vorfall wieder betriebsbereit sein müssen.
- RPO (Recovery Point Objective): Wie viele Daten du dir leisten kannst zu verlieren, gemessen in Zeit. Wenn dein RPO 1 Stunde beträgt, darf dein aktuellstes Backup zu jedem Zeitpunkt höchstens 1 Stunde alt sein.
Zusammen bestimmen diese beiden Zahlen die Ausgestaltung deiner Backup-Strategie. Ein RPO von 1 Stunde erfordert nahezu kontinuierliche Backups. Ein RPO von 24 Stunden lässt sich mit nächtlichen Snapshots bewältigen. Ein RTO von 30 Minuten erfordert lokale, sofort zugängliche Backups. Ein RTO von 12 Stunden bietet dir mehr Flexibilität.
Wiederherstellungsziele an geschäftliche Prioritäten anpassen
Nicht jedes System verdient denselben RTO und RPO. Deine kundenorientierte Plattform benötigt vielleicht einen RTO von 1 Stunde, während dein internes Wiki einen Tag Ausfallzeit verkraften könnte. Ordne deine Systeme in Stufen ein:
- Stufe 1 (geschäftskritisch): CRM, E-Mail, Finanzsysteme. RTO: 1 bis 4 Stunden. RPO: 1 Stunde oder weniger.
- Stufe 2 (wichtig, aber nicht dringend): Projektmanagement-Tools, HR-Plattformen. RTO: 4 bis 12 Stunden. RPO: 4 bis 8 Stunden.
- Stufe 3 (nice-to-have): interne Wikis, archivierte Dateien. RTO: 24+ Stunden. RPO: 24 Stunden.
Diese Einstufung verhindert, dass du zu viel in Backups für Systeme mit niedriger Priorität investierst, während du diejenigen, die dein Unternehmen am Laufen halten, nicht ausreichend schützt.
Wenn „gut genug“-Ziele wirklich gut genug sind
Fast 83 % der Unternehmen können maximal 12 Stunden Ausfallzeit verkraften, bevor das Geschäft negativ beeinträchtigt wird, aber nur 52 % können kritische Systeme tatsächlich innerhalb dieses Zeitfensters wiederherstellen (PhoenixNAP). Die Lücke zwischen dem, was du brauchst, und dem, was du leisten kannst, birgt das eigentliche Risiko. Für ein 15-köpfiges Unternehmen ohne eigene IT-Abteilung sind ein RTO von 12 Stunden und ein RPO von 8 Stunden für die meisten Systeme ein vernünftiger, erreichbarer Ausgangspunkt. Perfektion ist der Feind der Sicherheit.
Wie erkennst du Sicherheitslücken in deiner aktuellen Backup-Konfiguration?
Das Missverständnis rund um Microsoft 365 und Google Workspace
Das ist die gefährlichste Annahme, die wir bei KMUs beobachten: „Wir nutzen Google Workspace (oder Microsoft 365), also sind unsere Daten gesichert.“ Das sind sie nicht, zumindest nicht so, wie du denkst.
Beide Plattformen konzentrieren sich auf Verfügbarkeit – also darauf, den Dienst am Laufen zu halten – und nicht auf die langfristige Datenwiederherstellung. Wenn ein Mitarbeiter Dateien von einem freigegebenen Laufwerk löscht, hast du in der Regel 25 bis 30 Tage Zeit, sie aus dem Papierkorb wiederherzustellen. Danach sind sie weg. Wenn Ransomware synchronisierte Dateien verschlüsselt, können die beschädigten Versionen deine intakten Kopien überschreiben. Wenn ein böswilliger Insider oder ein kompromittiertes Konto ein Postfach löscht, sind deine Wiederherstellungsmöglichkeiten begrenzt.
Das bedeutet nicht, dass Google oder Microsoft etwas falsch machen. Ihre Plattformen sind nicht als Backup-Lösungen konzipiert. Du brauchst ein separates, dediziertes Backup, das deine SaaS-Daten unabhängig erfasst.
Backups, die im selben Netzwerk wie die Produktionsumgebung gespeichert sind
Das ist das Szenario aus unserer Einleitung, und es ist die häufigste und gefährlichste Sicherheitslücke bei Backups. Wenn dein Backup-Laufwerk mit demselben Netzwerk verbunden ist wie deine Arbeitsplätze und Server, verschlüsselt Ransomware, die sich über das Netzwerk verbreitet, deine Backups zusammen mit allem anderen. In 54 % der Vorfälle wird Ransomware innerhalb von 7 Tagen nach dem ersten Zugriff eingesetzt (StationX), was bedeutet, dass Angreifer Zeit haben, eure Backup-Speicherorte zu finden und ins Visier zu nehmen, noch bevor ihr überhaupt merkt, dass sie sich in eurem Netzwerk befinden.
Die Lösung ist Isolation. Dein Backup muss an einem Ort gespeichert werden, den der Angreifer vom kompromittierten Netzwerk aus nicht erreichen kann: in einem externen Cloud-Speicher, auf einem Air-Gapped-Laufwerk oder auf einer unveränderlichen Speicherplattform, die das Löschen selbst mit Administratorrechten verhindert.
Der eine Schritt, den die meisten Unternehmen überspringen: Hast du schon mal eine Wiederherstellung getestet?
Bevor du dir Gedanken darüber machst, wie man einen Wiederherstellungstest durchführt (darauf gehen wir später ein), stell dir eine einfachere Frage: Hat schon mal jemand in deinem Unternehmen eine Datei aus dem Backup wiederhergestellt? Nicht „meldet die Backup-Software, dass der Vorgang erfolgreich war?“, sondern „hat ein Mensch tatsächlich eine Datei abgerufen und bestätigt, dass sie intakt war?“
Eine Umfrage zur Geschäftskontinuität ergab, dass 94 % der Unternehmen glauben, sie würden sich von einer Katastrophe erholen, aber nur 26 % verfügen tatsächlich über einen Katastrophenplan (Invenio IT). Genau in dieser Vertrauenslücke liegen die Fehlerquellen. Unternehmen mit intakten, getesteten Backups erholen sich in 46 % der Fälle innerhalb einer Woche von einem Ransomware-Angriff; bei denen mit kompromittierten Backups gelingt das nur in 26 % der Fälle (CNiC Solutions).
Wenn du nicht mit „Ja, wir haben aus dem Backup wiederhergestellt und es hat funktioniert“ antworten kannst, ist das deine dringendste Schwachstelle.
Wie schützt man sensible Geschäftsdaten ohne ein eigenes IT-Team?
Verschlüsselung und Zugriffskontrollen für Backup-Daten
Deine Backups enthalten deine sensibelsten Informationen: Kundendaten, Finanzdaten, Mitarbeiterakten. Wenn sie nicht verschlüsselt sind, hat jeder, der auf das Speichermedium zugreift, uneingeschränkten Zugriff auf alles. Stelle sicher, dass deine Backup-Lösung Daten sowohl während der Übertragung als auch im Ruhezustand (beim Speichern) verschlüsselt.
Auch Zugriffskontrollen sind wichtig. Der gleiche Mitarbeiter, der versehentlich Produktionsdateien löscht, sollte nicht in der Lage sein, die Backups zu löschen. Verwende separate Zugangsdaten für die Backup-Verwaltung, aktiviere die Multi-Faktor-Authentifizierung und schränke ein, wer Backup-Repositorys ändern oder löschen darf. Diese Grundsätze sind dieselben, die du auch in deinen allgemeinen Cybersicherheitsmaßnahmen anwendest – nur dass sie hier auf deine Wiederherstellungsebene angewendet werden.
Automatisierung deiner Backup-Richtlinie, damit sie auch wirklich funktioniert
Manuelle Backups scheitern, weil Menschen Dinge vergessen, zu beschäftigt sind oder das Unternehmen verlassen. Dein Backup-Zeitplan sollte automatisiert und überwacht werden und bei einem Fehler eine Benachrichtigung auslösen. Das bedeutet:
- Geplante Backups, die ohne menschliches Eingreifen ablaufen
- Automatisierte Überwachung, die versäumte oder fehlgeschlagene Backup-Aufträge meldet
- Warnmeldungen, die an eine bestimmte Person (oder ein Team) gesendet werden, wenn etwas schiefgeht
- Aufbewahrungsrichtlinien, die ältere Versionen für einen festgelegten Zeitraum aufbewahren
Wenn du dich darauf verlässt, dass jemand daran denkt, jeden Freitag einen USB-Stick anzuschließen, hast du keine Backup-Strategie. Du hast nur eine Hoffnung. Eine gute IT-Dokumentation sollte außerdem deinen Backup-Zeitplan, die Speicherorte und die zuständigen Ansprechpartner festhalten, damit das Wissen nicht mit einem Mitarbeiter aus dem Haus geht, wenn dieser das Unternehmen verlässt.
So sieht ein verwaltetes IT-Backup in der Praxis aus
Für KMUs ohne eigenes IT-Team ist der Aufbau und die Pflege einer Backup-Strategie von Grund auf eine erhebliche Herausforderung. Du musst Tools auswählen, Zeitpläne konfigurieren, Speicher verwalten, Jobs überwachen, Wiederherstellungen testen und alles auf dem neuesten Stand halten, während dein Unternehmen wächst. Das ist eine Menge, die man von jemandem verlangt, dessen Hauptaufgabe im Personalwesen oder im operativen Geschäft liegt.
Hier kommen Managed-IT-Plattformen ins Spiel. Bei über 200 deeploi-Kunden sank der IT-Aufwand um bis zu 90 %, wobei Backup-Konfiguration, Verschlüsselung auf Geräteebene und Sicherheitsüberwachung als Teil eines umfassenderen Managed-IT-Dienstes abgedeckt wurden. In der Praxis ist der Datenschutz auf Geräteebene in das tägliche IT-Management der Plattform integriert, sodass Backups kein separates Projekt sind, das extra aufgebaut werden muss. Es ist fest in den IT-Betrieb eingebunden.
Wie wählst du die richtige Backup-Lösung für dein Unternehmen aus?
Wichtige Kriterien für die Bewertung von Backup-Tools
Achte beim Vergleich von Backup-Lösungen auf folgende Faktoren:
- Umfang: Werden Endgeräte (Laptops, Desktops), Server, SaaS-Daten und die Cloud-Infrastruktur gesichert? Oder nur eines davon?
- Automatisierung: Kannst du die Lösung einmal einrichten und dann vergessen, oder muss sie manuell ausgelöst werden?
- Überwachung: Wird man benachrichtigt, wenn Backups fehlschlagen?
- Wiederherstellungsgeschwindigkeit: Wie schnell kannst du Daten wiederherstellen? Minuten, Stunden oder Tage?
- Unveränderlichkeit: Können Backups von einem Angreifer verändert oder gelöscht werden?
- Kosten für KMU: Erfolgt die Abrechnung pro Gerät, pro Benutzer oder pro GB? Was kostet es tatsächlich für ein Team von 20 bis 100 Mitarbeitern?
Fragen, die du jedem Backup- oder Managed-IT-Anbieter stellen solltest
Bevor du dich für eine Backup-Lösung entscheidest oder einen Managed-IT-Anbieter beauftragst, der Backups in seinem Service anbietet, stelle diese Fragen:
- Wo werden die Backup-Daten gespeichert, und sind sie von unserem Produktionsnetzwerk isoliert?
- Sind die Backups im Ruhezustand und während der Übertragung verschlüsselt?
- Kann Ransomware, die unser Netzwerk befällt, auch unsere Backups verschlüsseln oder löschen?
- Wie lange dauert die vollständige Systemwiederherstellung tatsächlich? Nicht die beworbene Zeit, sondern die tatsächliche.
- Wie oft werden Wiederherstellungstests durchgeführt, und können wir die Ergebnisse einsehen?
- Was passiert mit unseren Daten, wenn wir die Plattform verlassen?
Jeder Anbieter, der dir keine klaren, konkreten Antworten auf diese Fragen geben kann, ist ein Warnsignal. Zu verstehen, was hochwertiger IT-Support tatsächlich kostet, hilft dir dabei zu beurteilen, ob die angebotenen Preise angemessen oder verdächtig günstig sind.
Warnsignale, die darauf hindeuten, dass eine Lösung nicht skalierbar ist
Achte auf diese Warnzeichen:
- Preise, die drastisch in die Höhe schnellen, wenn du weitere Geräte oder Nutzer hinzufügst
- Keine integrierte Überwachung oder Benachrichtigung bei fehlgeschlagenen Backups
- Wiederherstellungsprozesse, die Support-Tickets beim Anbieter und mehrtägige Bearbeitungszeiten erfordern
- Keine Unterstützung für SaaS-Backups (Google Workspace, Microsoft 365)
- Anbieterabhängigkeit, die den Export deiner Backup-Daten erschwert oder verteuert
Eine Backup-Lösung für ein 15-köpfiges Unternehmen muss auch dann noch funktionieren, wenn ihr schon 80 Mitarbeiter seid. Wenn Skalierung bedeutet, das gesamte System zu ersetzen, werdet ihr genau zum falschen Zeitpunkt wieder mit dem Moment konfrontiert sein, in dem ihr denkt: „Wir dachten, wir wären gesichert.“
Wie erstellst du einen Backup- und Wiederherstellungsplan, den du tatsächlich testen kannst?
Was gehört in einen Backup- und Wiederherstellungsplan?
Ein Backup-Plan ist nicht einfach nur „Wir nutzen Backblaze“. Es ist ein dokumentierter Prozess, der konkrete Fragen beantwortet:
- Welche Daten und Systeme werden gesichert, und was ist ausdrücklich ausgeschlossen?
- Wie oft läuft jede Sicherung?
- Wo werden die Backups gespeichert (Cloud, lokal, hybrid)?
- Wer ist für die Überwachung des Backup-Zustands verantwortlich?
- Wie lauten die RTO- und RPO-Ziele für jede Systemebene?
- Wie sieht der schrittweise Wiederherstellungsprozess für jedes System aus?
- Wann fand der letzte erfolgreiche Wiederherstellungstest statt und wie lauteten die Ergebnisse?
Nur 30 % der kleinen Unternehmen verfügen über eine dokumentierte Ausfallsicherheitsstrategie, und mehr als die Hälfte der Unternehmen weltweit hat keinerlei Plan zur Geschäftskontinuität (The Business Picture). Das schriftlich festzuhalten ist keine Bürokratie. Es ist der Unterschied zwischen einer Wiederherstellung in zwei Stunden und einem zweiwöchigen Chaos. Um sicherzustellen, dass deine allgemeinen IT-Compliance-Verpflichtungen erfüllt sind, ist es oft entscheidend, dass du über diese Art von Dokumentation verfügst.
Wie man einen Wiederherstellungstest durchführt und wie oft
Ein Wiederherstellungstest beweist, dass dein Backup tatsächlich funktioniert. Hier ist ein praktischer Ablauf:
- Wähle ein kritisches System aus: Entscheide dich für etwas Wichtiges, wie deine CRM-Datenbank, ein zentrales gemeinsames Laufwerk oder ein Image eines Mitarbeiter-Laptops.
- Stell einen Timer ein: Du willst messen, wie lange die Wiederherstellung tatsächlich dauert, nicht nur, ob sie erfolgreich ist. Das validiert deinen RTO.
- Führe die Wiederherstellung in einer separaten Umgebung durch: Überschreibe keine Produktionsdaten. Führe die Wiederherstellung auf einem Testrechner oder einer isolierten Cloud-Instanz durch.
- Überprüfe die Daten: Öffne Dateien, überprüfe Datensätze und vergewissere dich, dass nichts beschädigt ist. Ein Backup, das verfälschte Daten wiederherstellt, ist kein Backup.
- Dokumentiere alles: Notiere das Datum, was wiederhergestellt wurde, wie lange es gedauert hat und welche Probleme aufgetreten sind.
- Wiederhole das vierteljährlich: Einmal im Jahr reicht nicht aus. Systeme ändern sich, Datenmengen wachsen und Backup-Konfigurationen verschieben sich. Vierteljährliche Tests decken Probleme auf, bevor sie zu Krisen werden.
Daten der FEMA zeigen, dass 90 % der Unternehmen innerhalb eines Jahres scheitern, wenn sie den Betrieb nicht innerhalb von 5 Tagen nach einer Katastrophe wieder aufnehmen können (Greater Eureka Springs Chamber). Mit einem vierteljährlichen Wiederherstellungstest findest du heraus, ob dein 5-Tage-Fenster realistisch ist, bevor die Uhr wirklich zu ticken beginnt.
Verantwortung zuweisen, wenn es keine IT-Abteilung gibt
In einem Unternehmen ohne IT-Mitarbeiter fällt die Verantwortung für das Backup meist demjenigen zu, der es eingerichtet hat – und diese Person ist vielleicht schon vor zwei Jahren gegangen. Das schafft einen Single Point of Failure, der genauso gefährlich ist wie die Speicherung von Backups im selben Netzwerk.
Bestimme eine bestimmte Person als Verantwortlichen für die Backups. Das bedeutet nicht, dass diese Person technisch versiert sein muss. Es bedeutet, dass sie für Folgendes verantwortlich ist:
- Wöchentliche Überprüfung der Backup-Überwachungs-Dashboards
- die vierteljährlichen Wiederherstellungstests zu koordinieren
- Aktualisierung des Backup-Plans bei Systemänderungen
- Die Eskalation von Ausfällen an deinen Managed-IT-Anbieter oder den externen Support
Überlegt euch, was passiert, wenn diese Person im Urlaub ist oder das Unternehmen verlässt. Das Bewusstsein dafür, wie Mitarbeiter Tools nutzen und wer Zugriff auf was hat, ist für Backups genauso wichtig wie für die Sicherheit. Eine Rolle als Backup-Verantwortlicher mit einem dokumentierten Übergabeprozess löst dieses Problem. Ebenso wie die Zusammenarbeit mit einer Managed-IT-Plattform, die die Überwachung und Alarmierung für dich übernimmt und den Prozess unabhängig von internen Personalveränderungen am Laufen hält.
Häufig gestellte Fragen
Wie identifiziere ich Sicherheitslücken in meiner IT-Infrastruktur?
Erstelle zunächst eine Liste aller Systeme, die geschäftskritische Daten enthalten, und stelle dir zu jedem drei Fragen: Wird ein Backup erstellt, wird das Backup getrennt vom Produktionssystem gespeichert und hat schon einmal jemand die Wiederherstellung daraus getestet? Überprüfe anschließend die Zugriffskontrollen, suche nach nicht gepatchter Software und schätze ein, ob Maßnahmen zum Schutz vor Phishing vorhanden sind. Eine einfache Selbstbewertung wie diese deckt die häufigsten Lücken auf, ohne dass tiefgreifendes technisches Fachwissen erforderlich ist.
Welche Maßnahmen gehören zu einer guten IT-Sicherheitsstrategie?
Eine solide Strategie deckt drei Bereiche ab: Prävention (Endgeräteschutz, IT-Sicherheit für dein Unternehmen, Patch-Management, Zugriffskontrollen), Erkennung (Überwachung auf ungewöhnliche Aktivitäten, automatisierte Warnmeldungen) und Wiederherstellung (getestete Backups mit definierten RTO- und RPO-Zielen). Die meisten KMUs konzentrieren sich fast ausschließlich auf Prävention und vernachlässigen die Wiederherstellung, was sie anfällig macht, wenn ein Angriff erfolgreich ist.
Ist Cloud-Speicher dasselbe wie ein Backup?
Nein, das ist es nicht. Cloud-Speicherdienste wie Google Drive oder OneDrive synchronisieren Dateien geräteübergreifend und halten sie verfügbar. Sie bieten keinen Schutz vor versehentlichem Löschen über ein begrenztes Aufbewahrungsfenster im Papierkorb hinaus und schützen auch nicht vor Ransomware, die synchronisierte Dateien verschlüsselt. Ein echtes Backup erstellt unabhängige Kopien, die separat gespeichert werden, mit Versionshistorie und Aufbewahrungsrichtlinien, die es dir ermöglichen, auf einen sauberen Zustand zurückzusetzen.
Wie oft sollten KMUs ihre Backups testen?
Mindestens vierteljährlich. Ein vollständiger Wiederherstellungstest für mindestens ein kritisches System – zeitlich festgehalten und dokumentiert – alle drei Monate ist für die meisten KMUs ein sinnvoller Rhythmus. Wenn du größere Änderungen an der Infrastruktur vornimmst (Wechsel des CRM-Systems, Hinzufügen neuer SaaS-Tools, deutliche Vergrößerung des Teams), führe nach der Änderung einen zusätzlichen Test durch. Im Jahr 2025 gaben 100 % der weltweit befragten leitenden Technologie-Führungskräfte an, dass ihre Unternehmen im Vorjahr aufgrund von IT-Ausfällen Umsatzverluste erlitten hatten (Invenio IT). Durch regelmäßige Tests kannst du die Dauer und die Auswirkungen solcher Ausfälle reduzieren.
Was ist der Unterschied zwischen RTO und RPO?
RTO (Recovery Time Objective) gibt an, wie schnell ihr nach einem Vorfall wieder betriebsbereit sein müsst. RPO (Recovery Point Objective) gibt an, wie viel Datenverlust ihr tolerieren könnt, gemessen als maximales Alter des letzten Backups. Ein 4-Stunden-RTO bedeutet, dass die Systeme innerhalb von 4 Stunden wieder verfügbar sein müssen. Ein RPO von 1 Stunde bedeutet, dass du Backups benötigst, die nie älter als 1 Stunde sind. Zusammen legen sie deine Anforderungen an die Backup-Häufigkeit und die Wiederherstellungsgeschwindigkeit fest.
Was ist der einfachste Weg, automatisierte Backups für ein KMU ohne IT-Team einzurichten?
Der einfachste Ansatz ist die Nutzung einer Managed-IT-Plattform wie deeploi, die Backups auf Geräteebene, Verschlüsselung und Überwachung als Teil eines umfassenderen IT-Management-Services beinhaltet. Dadurch entfällt die Notwendigkeit, separate Backup-Tools auszuwählen, zu konfigurieren und zu warten. Die Plattform automatisiert den Backup-Zeitplan, überwacht auf Ausfälle und sorgt dafür, dass deine Onboarding- und Offboarding-Workflows miteinander verknüpft sind, sodass neue Geräte vom ersten Tag an automatisch geschützt sind.
Was ist die häufigste Ursache für Datenverluste?
In 40 % der Fälle von Datenverlust ist die Ursache ein Hardwareausfall. Menschliches Versagen macht weitere 29 % aus (Webtribunal). Ransomware und Cyberangriffe stehen zwar im Mittelpunkt der Aufmerksamkeit, doch ein Laptop mit einer defekten Festplatte oder ein Mitarbeiter, der versehentlich den falschen Ordner löscht, sind statistisch gesehen häufigere Ursachen. Eine gute Backup-Strategie schützt vor all diesen Ursachen, nicht nur vor den dramatischen.
Kann die Zahlung eines Lösegelds deine Daten wiederherstellen?
Meistens nicht vollständig. Untersuchungen zeigen, dass 91 % der Ransomware-Opfer, die das Lösegeld gezahlt haben, nicht alle ihre Daten zurückerhalten haben. Selbst wenn Entschlüsselungsschlüssel bereitgestellt werden, funktionieren diese oft nur langsam oder unvollständig, sodass Dateien beschädigt bleiben. Die Kosten durch Ausfallzeiten übersteigen das Lösegeld bei weitem: Produktivitätsverluste, Wiederherstellung und Reputationsschäden kosten fast immer etwa das 50-Fache des Lösegelds (Spacelift). Intakte, getestete Backups sind ein weitaus zuverlässigerer Weg zur Wiederherstellung.
Fazit
Ein ungetestetes Backup vermittelt ein falsches Gefühl der Sicherheit. Es schlummert still im Hintergrund und gibt dir ein Vertrauen, das sich in dem Moment in Luft auflöst, in dem du die Daten tatsächlich wiederherstellen musst. Die Lücke zwischen „Wir haben irgendwo Backups“ und „Wir können in zwei Stunden wieder einsatzbereit sein“ ist der Punkt, an dem Unternehmen scheitern – nicht, weil sie nicht in Backups investiert haben, sondern weil sie nie überprüft haben, ob diese unter realen Bedingungen auch wirklich funktionieren.
Die gute Nachricht ist: Um diese Lücke zu schließen, musst du kein IT-Experte werden. Es erfordert lediglich ein paar bewusste Entscheidungen: Identifiziere deine kritischen Daten, setze realistische Wiederherstellungsziele, halte dich an die aktualisierte 3-2-1-1-0-Regel und teste deine Wiederherstellungen vierteljährlich. Automatisierung und Managed-IT-Support gibt es genau dafür, damit Gründer, Personalverantwortliche und Büroleiter das richtig hinbekommen, ohne eine IT-Abteilung von Grund auf aufbauen zu müssen.
Fang mit der einfachsten Frage an: Wenn deine Systeme gerade jetzt ausfallen würden, könntest du sie tatsächlich wiederherstellen? Wenn du dir nicht sicher bist, ist das dein Zeichen zum Handeln. Überprüfe deine Grundlagen der Cybersicherheit, stelle sicher, dass dein Backup isoliert und getestet ist, und übertrage jemandem die Verantwortung dafür, dass dies auch so bleibt. Die Unternehmen, die Störungen überstehen, sind nicht diejenigen mit den ausgefeiltesten Tools. Es sind diejenigen, die überprüft haben, ob ihr Sicherheitsnetz sie auffangen würde, bevor sie fallen.










