Backup Strategie für Unternehmen
Wenn ein Server ausfällt, eine Datei versehentlich gelöscht wird oder Schadsoftware produktive Systeme verschlüsselt, zeigt sich sehr schnell, ob eine Backup-Strategie für Unternehmen nur auf dem Papier existiert oder im Alltag wirklich funktioniert. Denn Datenverlust kostet nicht nur Zeit, sondern oft Umsatz, Vertrauen und Handlungsfähigkeit.
Viele Unternehmen sichern Daten irgendwie – ein NAS im Büro, ein täglicher Export, vielleicht noch eine Kopie in der Cloud. Das klingt vernünftig, ersetzt aber noch keine durchdachte Strategie. Entscheidend ist nicht nur, ob Daten gesichert werden, sondern welche Systeme, in welchem Rhythmus, in welcher Version und mit welchem Wiederanlaufziel.
RPO und RTO: Die zwei wichtigsten Zielwerte
Bevor über Software, Speicherorte oder Aufbewahrungsfristen gesprochen wird, braucht es klare Zielwerte. Zwei Fragen sind zentral:
Wie viel Datenverlust ist akzeptabel?
Definiert den maximalen Zeitraum, über den Daten verloren gehen dürfen. Bestimmt den Sicherungsintervall.
Wie schnell muss das System wieder laufen?
Definiert die maximale Ausfallzeit. Bestimmt die Restore-Methode und erforderliche Infrastruktur.
Diese Ziele sollten nicht allein technisch festgelegt werden. Wenn die Wiederherstellung eines ERP-Servers acht Stunden dauert, stehen Vertrieb, Produktion oder Kundenservice still. Deshalb: RPO und RTO gemeinsam mit den Fachbereichen definieren – nicht nachträglich.
Typische Schwachstellen im Mittelstand
- Microsoft-365-Daten, SaaS-Anwendungen und Endgeräte werden nicht gesichert – nur Fileserver und VMs
- Einheitliche Zeitpläne für sehr unterschiedliche Datenarten – Buchhaltung und Archiv werden gleich behandelt
- Backup und Produktivumgebung im selben Netzwerk ohne logische Trennung – Ransomware trifft beides
- Kein regelmäßiger Restore-Test – Sicherung läuft, aber Verwendbarkeit unbekannt
- Neue Systeme werden erst Monate später in den Backup-Job aufgenommen
Wenn Sicherungen nur im eigenen Netzwerk ohne logische Trennung liegen, kann ein Angriff beides treffen. Dann ist formal ein Backup vorhanden – praktisch aber nicht mehr nutzbar.
Die 3-2-1-Regel – und warum sie allein nicht mehr reicht
Die 3-2-1-Regel bleibt ein guter Ausgangspunkt für jede Backup-Strategie:
Kopien der Daten
Original + zwei Sicherungen. Kein einzelner Fehler kann alle Kopien gleichzeitig treffen.
Unterschiedliche Medien
Zum Beispiel lokales NAS + Cloud oder Tape. Medienspezifische Ausfälle werden abgefangen.
Kopie extern
Mindestens eine Sicherung außerhalb des Hauptstandorts – für den Fall eines Totalausfalls vor Ort.
Bei modernen Bedrohungen sollte ergänzt werden: mindestens eine Kopie ist vor Manipulation geschützt (immutable) und idealerweise nicht dauerhaft direkt aus der Produktivumgebung erreichbar.
Was wirklich gesichert werden muss
Neben Servern und Dateiablagen gehören heute zu einer vollständigen Sicherung:
- Microsoft 365: Postfächer, Teams-Daten, SharePoint-Inhalte (Cloud-Anbieter sichert nicht automatisch alles)
- Virtuelle Maschinen und Hypervisor-Konfigurationen
- Branchensoftware und Datenbanken (ERP, CRM)
- Mobile Endgeräte und Notebooks im Außendienst
- Netzwerk- und Sicherheitskomponenten (Firewall-Konfigurationen)
- SaaS-Anwendungen mit eigenen Datenhaltungen
Backup-Typen im Überblick
| Typ | Datenmenge | Restore-Geschwindigkeit | Empfehlung |
|---|---|---|---|
| Vollbackup | Hoch | Schnell | Wöchentlich als Basis |
| Differenziell | Mittel | Schnell | Gut für kritische Systeme |
| Inkrementell | Gering | Mittel | Tägliche Sicherung |
| Snapshot | Gering | Sehr schnell | VMs, kurze RPO-Fenster |
| Immutable Backup | Mittel–Hoch | Mittel | Pflicht bei Ransomware-Schutz |
Backup-Strategie für Ihr Unternehmen entwickeln?
Wir analysieren Ihre bestehende Datensicherung, definieren RPO/RTO gemeinsam mit Ihnen und entwickeln ein belastbares Konzept.
Jetzt unverbindlich anfragen →Der Restore entscheidet über die Qualität
Ob eine Sicherung technisch erfolgreich durchgelaufen ist, sagt noch wenig über ihre tatsächliche Verwendbarkeit aus. Erst ein getesteter Restore zeigt, ob Daten vollständig, konsistent und im nötigen Zeitfenster zurückgeholt werden können.
Kritikalität priorisieren
Welche Systeme müssen zuerst laufen? Domänencontroller → Datenbankserver → Applikationsserver → Fileserver. Abhängigkeiten vorher dokumentieren.
Restore-Tests regelmäßig durchführen
Nicht nur Vollausfall testen – auch kleine, häufige Fälle: gelöschte Datei, beschädigtes Postfach, fehlerhafte Datenbank. Mindestens quartalsweise.
Zuständigkeiten im Vorfall klären
Wer entscheidet über Restore, wer führt ihn durch, wer kommuniziert intern? Unklar geregelte Rollen kosten im Ernstfall wertvolle Stunden.
Dokumentation aktuell halten
Jede Systemänderung, neues Gerät oder neuer Cloud-Dienst muss direkt in den Backup-Scope aufgenommen werden – nicht erst beim nächsten Audit.
Cloud, Hybrid und Außenstandorte
Früher konzentrierte sich Datensicherung auf den Serverraum vor Ort. Heute arbeiten viele Unternehmen hybrid. Anwendungen laufen teils lokal, teils in der Cloud, Mitarbeitende greifen mobil zu, mehrere Standorte nutzen gemeinsame Systeme.
Wichtige Klarstellung: Cloud-Anbieter wie Microsoft übernehmen keine vollständige Datensicherung im Sinne eines Backups. Microsoft schützt die Infrastruktur – nicht vor versehentlichem Löschen, Benutzerfehlern oder bösartigen Aktionen durch kompromittierte Konten. Microsoft-365-Daten müssen separat gesichert werden.
Außenstandorte und Homeoffice-Szenarien bringen zusätzliche Fragen: Sollen Daten lokal auf Endgeräten gehalten werden oder konsequent in zentrale Systeme fließen? Was passiert, wenn eine Niederlassung keine Verbindung zum Hauptstandort hat? Diese Punkte gehören nicht ans Ende eines Projekts, sondern in die strategische Planung.