Backup & Disaster Recovery für KMU: Der komplette Entscheidungs-Guide

Laut einer Studie von Arcserve haben 76 Prozent aller Unternehmen in den vergangenen zwei Jahren kritische Datenverluste erlitten. Die durchschnittlichen Kosten pro Stunde Ausfallzeit liegen für mittelständische Unternehmen bei rund 25.000 Euro – bei größeren Mittelständlern schnell im sechsstelligen Bereich. Noch dramatischer: Rund 60 Prozent der kleinen Unternehmen, die einen schwerwiegenden Datenverlust erleiden, stellen innerhalb von sechs Monaten den Geschäftsbetrieb ein.

Trotzdem zeigt die Praxis, dass viele KMU keine systematische Backup-Strategie verfolgen. Sicherungen laufen unregelmäßig, werden nicht getestet, und ein dokumentierter Disaster-Recovery-Plan existiert schlicht nicht. Dieser Guide gibt Ihnen das Wissen und die Werkzeuge an die Hand, um Ihr Unternehmen zuverlässig gegen Datenverlust und Ausfälle abzusichern – pragmatisch, ohne überzogenes Budget und mit klarem Fokus auf mittelständische Anforderungen.

Inhaltsverzeichnis

• Die 3-2-1-Backup-Regel: Das Fundament jeder Strategie
• Cloud-Backup-Lösungen für KMU
• On-Premise-Backup: Lokale Sicherung richtig umsetzen
• Disaster Recovery Plan erstellen
• Testing der Backups: Warum und wie oft
• Kosten kalkulieren: Was Backup und DR wirklich kosten
• Vergleich: Cloud vs. On-Premise und Tool-Übersicht
• Checkliste: Backup-Strategie für Ihr Unternehmen
• Praxisbeispiel: Wie ein KMU den Ernstfall meisterte
• Zusammenfassung und nächste Schritte
• FAQ

Die 3-2-1-Backup-Regel: Das Fundament jeder Strategie {#die-3-2-1-backup-regel}

Bevor Sie sich mit einzelnen Tools oder Cloud-Anbietern beschäftigen, sollten Sie das wichtigste Prinzip der Datensicherung verstehen: die 3-2-1-Regel. Sie wurde ursprünglich vom Fotografen Peter Krogh formuliert und gilt heute als universeller Mindeststandard für jede seriöse Backup-Strategie.

Das Prinzip in drei Zahlen

3 – Drei Kopien Ihrer Daten: Sie verfügen über mindestens drei Exemplare jeder geschäftskritischen Datei. Das umfasst die Arbeitskopie (die Originaldaten, mit denen Sie täglich arbeiten) plus zwei zusätzliche Sicherungskopien.

2 – Zwei unterschiedliche Medientypen: Die Kopien liegen auf mindestens zwei verschiedenen Speichermedien. Beispielsweise auf einer lokalen Festplatte und zusätzlich auf einem NAS-System, auf Tape oder in der Cloud. Der Grund: Wenn ein Medientyp ausfällt (etwa durch einen Firmware-Fehler, der alle Festplatten eines Herstellers betrifft), bleibt die andere Kopie intakt.

1 – Eine Kopie an einem externen Standort: Mindestens eine Sicherung wird physisch getrennt vom Hauptstandort aufbewahrt. Das schützt gegen standortbezogene Risiken wie Brand, Wasserschaden, Einbruch oder Naturkatastrophen. In der Praxis bedeutet das: Cloud-Speicher, ein zweiter Firmenstandort oder ein Bankschließfach für Offsite-Medien.

Erweiterung: Die 3-2-1-1-0-Regel

Moderne Sicherheitsexperten erweitern die klassische Regel inzwischen um zwei weitere Ziffern:

1 – Eine Offline- oder Air-Gapped-Kopie: Mindestens eine Sicherung ist nicht über das Netzwerk erreichbar. Das schützt gezielt gegen Ransomware-Angriffe, die sich über das Netzwerk ausbreiten und gezielt auch Backup-Systeme verschlüsseln.

0 – Null Fehler bei der Wiederherstellung: Backups werden regelmäßig getestet, und die letzte Wiederherstellungsprüfung zeigt null Fehler. Ein Backup, das sich nicht erfolgreich wiederherstellen lässt, ist wertlos.

Praxistipp: Starten Sie mit der klassischen 3-2-1-Regel und erweitern Sie schrittweise. Selbst die einfache Umsetzung – lokales Backup plus Cloud-Kopie – bringt einen enormen Sicherheitsgewinn gegenüber dem Status quo in den meisten KMU.

Welche Daten müssen gesichert werden?

Bevor Sie Ihr Backup-Konzept aufsetzen, brauchen Sie eine Bestandsaufnahme Ihrer geschäftskritischen Daten:

• Finanzdaten: Buchhaltung, Rechnungen, Kontoauszüge, Steuerunterlagen (gesetzliche Aufbewahrungspflicht: 10 Jahre nach GoBD)
• Kundendaten: CRM-Datenbanken, Verträge, Korrespondenz
• Produktionsdaten: ERP-Datenbanken, CAD-Dateien, Produktionspläne
• Kommunikation: E-Mail-Archive, Projektdokumentation
• Konfigurationen: Server-Einstellungen, Netzwerk-Konfigurationen, Lizenzschlüssel
• Mitarbeiterdaten: Personalakten, Gehaltsabrechnungen (DSGVO-relevant)

Ordnen Sie jeder Datenkategorie eine Kritikalitätsstufe zu: Wie lange darf dieses System maximal ausfallen, bevor es den Geschäftsbetrieb gefährdet? Die Antwort bestimmt Ihre Recovery-Anforderungen.

Cloud-Backup-Lösungen für KMU {#cloud-backup-loesungen}

Cloud Backup hat sich in den vergangenen Jahren als Standard für KMU etabliert – und das aus guten Gründen. Die Einstiegshürden sind niedrig, die Skalierung ist flexibel, und die Offsite-Anforderung der 3-2-1-Regel ist automatisch erfüllt.

Vorteile von Cloud Backup

Kein Hardware-Investment: Sie benötigen keine eigenen Backup-Server oder Tape-Libraries. Die gesamte Infrastruktur stellt der Cloud-Anbieter bereit. Für KMU mit begrenztem IT-Budget ist das ein entscheidender Vorteil.

Automatische Offsite-Sicherung: Ihre Daten liegen in einem Rechenzentrum, das geografisch von Ihrem Standort getrennt ist. Bei einem Brand oder einer Naturkatastrophe am Firmenstandort bleiben die Cloud-Backups unberührt.

Skalierbarkeit: Sie zahlen nur für den Speicherplatz, den Sie tatsächlich nutzen. Wenn Ihr Datenvolumen wächst, wächst der Cloud-Speicher mit – ohne Hardware-Austausch.

Automatisierung: Die meisten Cloud-Backup-Lösungen bieten vollautomatische Sicherungspläne. Einmal konfiguriert, laufen die Backups ohne manuellen Eingriff.

Herausforderungen beachten

Bandbreite: Das initiale Voll-Backup großer Datenmengen (mehrere Terabyte) kann Tage oder Wochen dauern, abhängig von Ihrer Internetanbindung. Planen Sie das Initial-Seeding realistisch ein. Einige Anbieter bieten physischen Datenversand per Festplatte als Alternative an.

Laufende Kosten: Cloud Backup ist ein Mietmodell. Die monatlichen Kosten summieren sich über die Jahre. Ab einem bestimmten Datenvolumen kann eine lokale Lösung wirtschaftlicher sein.

Datenschutz und Compliance: Für deutsche KMU ist es essenziell, dass die Daten in einem Rechenzentrum innerhalb der EU (idealerweise in Deutschland) gespeichert werden. Prüfen Sie die DSGVO-Konformität und etwaige branchenspezifische Anforderungen (z. B. für Gesundheitsdaten oder Finanzdaten).

Wiederherstellungszeit: Die Wiederherstellung großer Datenmengen aus der Cloud dauert je nach Bandbreite deutlich länger als von einem lokalen Medium. Für zeitkritische Systeme kann das ein Problem sein.

Praxistipp: Prüfen Sie bei Cloud-Anbietern nicht nur den Speicherpreis, sondern auch die Kosten für den Daten-Egress (Herunterladen). Einige Anbieter berechnen hohe Gebühren für die Datenwiederherstellung – ausgerechnet dann, wenn Sie die Daten am dringendsten brauchen.

Gängige Cloud-Backup-Modelle

Backup-as-a-Service (BaaS): Ein Managed-Service-Anbieter betreibt die gesamte Backup-Infrastruktur. Sie installieren einen Agenten auf Ihren Systemen und definieren Sicherungspläne. Die Verwaltung und Überwachung übernimmt der Dienstleister. Ideal für KMU ohne eigene IT-Abteilung.

Self-Managed Cloud Backup: Sie nutzen Cloud-Speicher (z. B. Azure Blob Storage, AWS S3 oder einen deutschen Anbieter) in Kombination mit einer eigenen Backup-Software. Das bietet mehr Kontrolle, erfordert aber internes Know-how.

Hybrid-Ansatz: Lokale Backup-Appliance plus Cloud-Replikation. Die Daten werden zunächst schnell auf ein lokales Gerät gesichert und anschließend in die Cloud repliziert. Dieser Ansatz vereint schnelle lokale Wiederherstellung mit der Sicherheit einer Offsite-Kopie.

On-Premise-Backup: Lokale Sicherung richtig umsetzen {#on-premise-backup}

Trotz des Cloud-Trends hat die lokale Sicherung ihre Berechtigung. Für viele KMU ist ein On-Premise-Backup der schnellste Weg zu einer zuverlässigen Basissicherung – und ein unverzichtbarer Bestandteil einer vollständigen Strategie.

Typische On-Premise-Lösungen

NAS-Systeme (Network Attached Storage): Ein NAS von Herstellern wie Synology oder QNAP bietet eine kostengünstige und einfach zu verwaltende Lösung. Moderne NAS-Geräte bringen eigene Backup-Software mit, unterstützen RAID-Konfigurationen für Ausfallsicherheit und können als Ziel für die Sicherung von Servern, PCs und virtuellen Maschinen dienen. Für KMU mit bis zu 50 Arbeitsplätzen und moderatem Datenvolumen ist ein NAS oft der ideale Einstieg.

Dedizierte Backup-Server: Für größere Umgebungen mit mehreren Servern und Datenbanken empfiehlt sich ein dedizierter Backup-Server mit professioneller Backup-Software wie Veeam, Acronis oder Commvault. Diese Lösung bietet granulare Steuerung, detailliertes Reporting und Unterstützung für komplexe Backup-Strategien.

Tape-Backup (LTO): Tape-Sicherung gilt als veraltet, ist aber für die Langzeitarchivierung nach wie vor relevant. Die Kosten pro Terabyte sind bei Tape niedriger als bei jedem anderen Medium, und LTO-Bänder halten bei korrekter Lagerung 30 Jahre und länger. Für die Erfüllung gesetzlicher Aufbewahrungsfristen kann Tape eine wirtschaftliche Ergänzung sein.

Backup-Typen verstehen

Vollbackup: Alle Daten werden komplett gesichert. Vorteil: Die Wiederherstellung ist einfach und schnell. Nachteil: Hoher Speicherverbrauch und lange Sicherungsdauer. Typisch: Einmal pro Woche am Wochenende.

Inkrementelles Backup: Es werden nur die Daten gesichert, die sich seit dem letzten Backup (egal ob Voll- oder inkrementell) verändert haben. Vorteil: Sehr schnell und platzsparend. Nachteil: Die Wiederherstellung benötigt das letzte Vollbackup plus alle nachfolgenden inkrementellen Backups. Typisch: Täglich.

Differenzielles Backup: Es werden alle Daten gesichert, die sich seit dem letzten Vollbackup verändert haben. Ein Mittelweg: Schneller als ein Vollbackup, die Wiederherstellung benötigt aber nur das letzte Vollbackup plus das letzte differenzielle Backup.

Praxistipp: Für die meisten KMU hat sich folgendes Schema bewährt: Ein wöchentliches Vollbackup (z. B. Sonntagnacht) plus tägliche inkrementelle Backups an den Werktagen. Das hält die Sicherungsfenster kurz und ermöglicht trotzdem eine Wiederherstellung auf den Stand jedes einzelnen Tages.

Disaster Recovery Plan erstellen {#disaster-recovery-plan-erstellen}

Ein Backup allein reicht nicht. Sie brauchen einen dokumentierten Plan, der beschreibt, wie Ihr Unternehmen nach einem Ausfall den Betrieb wiederherstellt. Ohne einen solchen Disaster-Recovery-Plan (DR-Plan) verlieren Sie im Ernstfall wertvolle Stunden mit improvisierten Entscheidungen.

Zwei Schlüsselkennzahlen definieren

Bevor Sie mit der Planung beginnen, müssen Sie zwei Kennzahlen für jedes geschäftskritische System festlegen:

RTO (Recovery Time Objective): Wie lange darf das System maximal ausfallen? Beispiel: Ihr ERP-System darf maximal 4 Stunden offline sein, bevor die Produktion stillsteht.

RPO (Recovery Point Objective): Wie viel Datenverlust ist akzeptabel? Beispiel: Sie können maximal die Daten der letzten 24 Stunden verlieren, ohne dass ein kritischer Schaden entsteht. Ein RPO von 24 Stunden bedeutet: Eine tägliche Sicherung reicht. Ein RPO von einer Stunde erfordert stündliche Backups oder Echtzeit-Replikation.

Aufbau eines DR-Plans in sechs Schritten

Schritt 1 – Risikobewertung: Identifizieren Sie die relevanten Bedrohungen für Ihren Standort und Ihre IT-Infrastruktur. Dazu gehören Hardwareausfälle, Ransomware-Angriffe, menschliche Fehler (versehentliches Löschen), Stromausfälle, Naturkatastrophen und der Ausfall von Cloud-Diensten.

Schritt 2 – Business Impact Analyse (BIA): Ermitteln Sie für jedes System und jeden Geschäftsprozess die konkreten Auswirkungen eines Ausfalls. Was passiert, wenn das E-Mail-System einen Tag nicht verfügbar ist? Was, wenn das ERP eine Woche ausfällt? Beziffern Sie die Kosten soweit möglich in Euro.

Schritt 3 – RTO und RPO festlegen: Basierend auf der BIA definieren Sie die Recovery-Ziele pro System. Nicht jedes System braucht die gleiche Priorität. Der Webshop hat vermutlich einen kürzeren RTO als das Intranet.

Schritt 4 – Recovery-Prozeduren dokumentieren: Schreiben Sie für jedes kritische System eine konkrete Schritt-für-Schritt-Anleitung zur Wiederherstellung. Diese muss so detailliert sein, dass auch ein externer Dienstleister oder ein weniger erfahrener Mitarbeiter sie umsetzen kann. Dokumentieren Sie Zugangsdaten (sicher hinterlegt), Reihenfolge der Systemwiederherstellung, Konfigurationsdetails und Abhängigkeiten zwischen Systemen.

Schritt 5 – Verantwortlichkeiten zuweisen: Legen Sie fest, wer im Ernstfall welche Entscheidungen trifft und welche Aufgaben übernimmt. Definieren Sie eine klare Kommunikationskette und Eskalationsstufen. Hinterlegen Sie Kontaktdaten aller relevanten Personen – auch Mobilnummern und alternative E-Mail-Adressen.

Schritt 6 – Plan verteilen und aktualisieren: Der DR-Plan muss an mehreren Orten verfügbar sein – nicht nur auf dem Server, der gerade ausgefallen ist. Drucken Sie eine Kopie aus, hinterlegen Sie eine Version in der Cloud und stellen Sie sicher, dass alle verantwortlichen Personen Zugriff haben. Aktualisieren Sie den Plan mindestens halbjährlich und nach jeder wesentlichen Änderung an der IT-Infrastruktur.

Praxistipp: Bewahren Sie eine gedruckte Version des DR-Plans an einem festen, bekannten Ort auf – zum Beispiel im Tresor. Im Ernstfall kann es sein, dass weder E-Mail noch Intranet verfügbar sind. Ein physisches Dokument mit den wichtigsten Schritten und Kontaktdaten ist dann Gold wert.

Testing der Backups: Warum und wie oft {#testing-der-backups}

Ein Backup, das nie getestet wurde, ist eine Hoffnung – keine Strategie. Die Statistik zeigt, dass ein erheblicher Anteil aller Backup-Wiederherstellungen scheitert: korrupte Dateien, fehlende Berechtigungen, unvollständige Sicherungen oder schlicht falsch konfigurierte Jobs.

Warum testen?

• Korrupte Backups erkennen: Medien altern, Dateien können beschädigt werden, Agenten können fehlerhaft arbeiten. Nur durch einen tatsächlichen Restore-Test stellen Sie fest, ob Ihre Sicherung intakt ist.
• Recovery-Zeit realistisch einschätzen: Erst im Test sehen Sie, ob Ihr definierter RTO in der Praxis haltbar ist. Oft dauert die Wiederherstellung länger als angenommen.
• Prozesse einüben: Im Ernstfall muss jeder Handgriff sitzen. Regelmäßiges Testen sorgt dafür, dass die Verantwortlichen die Abläufe kennen und sicher beherrschen.
• Änderungen auffangen: Ihre IT-Umgebung verändert sich laufend – neue Server, neue Applikationen, geänderte Verzeichnisse. Ohne regelmäßige Tests bemerken Sie nicht, wenn ein neuer kritischer Datenbestand nicht im Backup enthalten ist.

Empfohlene Testfrequenz

Testtyp	Frequenz	Aufwand	Empfohlen für
Backup-Job-Monitoring	Täglich (automatisiert)	Minimal	Alle Unternehmen
Stichproben-Restore einzelner Dateien	Monatlich	1-2 Stunden	Alle Unternehmen
Vollständiger Restore eines Servers oder einer Datenbank	Quartalsweise	4-8 Stunden	KMU mit eigenem Server
Kompletter DR-Test (Failover auf Ersatzsystem)	Jährlich	1-2 Tage	KMU mit hohen Verfügbarkeitsanforderungen
Tabletop-Übung (Durchspielen des DR-Plans am Tisch)	Halbjährlich	2-3 Stunden	Alle Unternehmen

Praxistipp: Führen Sie Ihren ersten Restore-Test innerhalb von zwei Wochen nach der Einrichtung Ihres Backups durch. So erkennen Sie Konfigurationsfehler frühzeitig, bevor Sie sich monatelang in falscher Sicherheit wiegen.

Dokumentation der Tests

Protokollieren Sie jeden Backup-Test mit folgenden Angaben: Datum, getestetes System, Art des Tests, Ergebnis (Erfolg/Fehlschlag), benötigte Zeit für die Wiederherstellung und erkannte Probleme. Diese Dokumentation hilft nicht nur bei der kontinuierlichen Verbesserung, sondern kann auch bei Audits und Compliance-Prüfungen relevant sein.

Kosten kalkulieren: Was Backup und DR wirklich kosten {#kosten-kalkulieren}

Eine der häufigsten Fragen von KMU-Entscheidern lautet: Was kostet eine professionelle Backup-Lösung? Die Antwort hängt von mehreren Faktoren ab – Datenvolumen, Anzahl der zu sichernden Systeme, gewünschte Recovery-Zeiten und ob Sie auf Cloud, On-Premise oder einen Hybrid-Ansatz setzen.

Kostenblöcke im Überblick

Hardware (nur On-Premise):

• NAS-System (2-Bay bis 8-Bay): 300 bis 3.000 Euro
• Festplatten (NAS-optimiert, z. B. 4 TB): 100 bis 150 Euro pro Stück
• Backup-Server (dediziert): 2.000 bis 10.000 Euro
• USV (unterbrechungsfreie Stromversorgung): 200 bis 1.000 Euro

Software-Lizenzen:

• Veeam Data Platform Essentials (für KMU): ab ca. 500 Euro pro Sockel/Jahr
• Acronis Cyber Protect: ab ca. 50 Euro pro Workload/Jahr
• Kostenlose Alternativen: Veeam Community Edition (bis 10 Workloads), Duplicati (Open Source)

Cloud-Speicher (monatlich):

• Azure Blob Storage (Cool Tier): ca. 10 Euro pro TB/Monat
• AWS S3 Glacier: ca. 4 Euro pro TB/Monat
• Hetzner Storage Box: ca. 3,50 Euro pro TB/Monat
• Wasabi: ca. 6 Euro pro TB/Monat (kein Egress-Gebühr)

Managed Services:

• Backup-as-a-Service: typisch 5 bis 15 Euro pro Server/Monat plus Speicherkosten
• DR-as-a-Service (DRaaS): typisch 50 bis 200 Euro pro Server/Monat

Interne Personalkosten:

• Einrichtung und Konfiguration: 8 bis 40 Stunden (einmalig)
• Laufende Überwachung und Tests: 2 bis 8 Stunden pro Monat

Rechenbeispiel: KMU mit 10 Arbeitsplätzen und 2 Servern

Kostenposition	Cloud-Lösung	Hybrid-Lösung	On-Premise
Hardware (einmalig)	0 Euro	1.500 Euro (NAS)	3.500 Euro (NAS + Server)
Software/Lizenzen (jährlich)	600 Euro (BaaS)	1.000 Euro (Veeam Essentials)	1.000 Euro (Veeam Essentials)
Cloud-Speicher (jährlich, 2 TB)	480 Euro	240 Euro	0 Euro
Personalaufwand (jährlich)	24 Std. = ca. 1.800 Euro	48 Std. = ca. 3.600 Euro	60 Std. = ca. 4.500 Euro
Gesamtkosten Jahr 1	ca. 2.880 Euro	ca. 6.340 Euro	ca. 9.000 Euro
Gesamtkosten ab Jahr 2	ca. 2.880 Euro	ca. 4.840 Euro	ca. 5.500 Euro

Die reine Cloud-Lösung ist am günstigsten, bietet aber längere Wiederherstellungszeiten. Die Hybrid-Lösung liefert das beste Verhältnis aus Kosten, Geschwindigkeit und Sicherheit.

Praxistipp: Stellen Sie die Kosten Ihrer Backup-Lösung immer den potenziellen Kosten eines Datenverlusts gegenüber. Wenn ein Tag Ausfallzeit Ihr Unternehmen 25.000 Euro kostet, relativiert sich eine jährliche Investition von 5.000 Euro für eine solide Backup-Infrastruktur sehr schnell.

Vergleich: Cloud vs. On-Premise und Tool-Übersicht {#vergleich-cloud-vs-on-premise}

Cloud vs. On-Premise Backup

Kriterium	Cloud Backup	On-Premise Backup
Investitionskosten	Keine (OpEx-Modell)	Mittel bis hoch (CapEx)
Laufende Kosten	Planbar, steigend mit Datenvolumen	Niedrig nach Anschaffung
Wiederherstellungsgeschwindigkeit	Langsam bis mittel (abhängig von Bandbreite)	Schnell (lokaler Zugriff)
Offsite-Schutz	Automatisch gegeben	Erfordert zusätzliche Maßnahmen
Ransomware-Schutz	Gut (Immutable Storage möglich)	Mittel (Netzwerk-Isolation nötig)
Skalierbarkeit	Sehr hoch, sofort verfügbar	Begrenzt durch Hardware
Administrationsaufwand	Niedrig	Mittel bis hoch
Datenschutz/Kontrolle	Abhängig vom Anbieter	Volle Kontrolle
Internetabhängigkeit	Ja	Nein
Ideale Unternehmensgröße	1-50 Mitarbeiter	20-500 Mitarbeiter

Empfehlung für die meisten KMU: Der Hybrid-Ansatz kombiniert die Vorteile beider Welten. Schnelle lokale Wiederherstellung plus sichere Offsite-Kopie in der Cloud. Die meisten professionellen Backup-Lösungen unterstützen dieses Modell nativ.

Tool-Vergleich: Backup-Software für KMU

Tool	Typ	Stärken	Schwächen	Preis (Einstieg)
Veeam Data Platform	On-Prem + Cloud	Marktführer für VMware/Hyper-V, exzellente Restore-Optionen, starke Community	Lizenzmodell komplex, kann für sehr kleine Firmen überdimensioniert sein	Community Edition: kostenlos (bis 10 VMs); Essentials: ab ca. 500 Euro/Jahr
Acronis Cyber Protect	Hybrid	Backup + Security in einer Lösung, einfache Bedienung, guter Cloud-Speicher	Weniger granulare Steuerung als Veeam, Support teils kritisiert	Ab ca. 50 Euro/Workload/Jahr
Synology Active Backup	On-Prem (NAS)	Kostenlos mit Synology NAS, einfache Einrichtung, unterstützt PCs, Server und VMs	Nur mit Synology-Hardware nutzbar	Kostenlos (NAS-Hardware erforderlich)
Duplicati	Cloud/Lokal	Open Source, verschlüsselt, unterstützt viele Cloud-Ziele	Kein professioneller Support, UI wenig intuitiv	Kostenlos (Open Source)
NAKIVO Backup	On-Prem + Cloud	Gutes Preis-Leistungs-Verhältnis, einfache Bedienung, Multi-Plattform	Kleinerer Marktanteil, weniger Community-Ressourcen	Ab ca. 200 Euro/Sockel/Jahr
Microsoft Azure Backup	Cloud	Nahtlose Integration in Microsoft-Umgebungen, Pay-as-you-go	Nur sinnvoll im Microsoft-Ökosystem	Ab ca. 8 Euro/Instanz/Monat

Praxistipp: Nutzen Sie kostenlose Testversionen, bevor Sie sich festlegen. Veeam und Acronis bieten 30-Tage-Trials mit vollem Funktionsumfang. Testen Sie vor allem den Restore-Prozess – nicht nur das Backup.

Checkliste: Backup-Strategie für Ihr Unternehmen {#checkliste-backup-strategie}

Nutzen Sie diese Checkliste, um den aktuellen Stand Ihrer Datensicherung zu prüfen und systematisch zu verbessern.

Bestandsaufnahme

• Alle geschäftskritischen Daten und Systeme sind identifiziert und dokumentiert
• Für jedes System sind RTO und RPO definiert
• Das Gesamtvolumen der zu sichernden Daten ist bekannt
• Gesetzliche Aufbewahrungsfristen sind geprüft (GoBD, DSGVO, branchenspezifisch)

Backup-Konzept

• Die 3-2-1-Regel wird eingehalten (3 Kopien, 2 Medien, 1 Offsite)
• Backup-Zeitpläne sind definiert (Vollbackup wöchentlich, inkrementell täglich)
• Aufbewahrungsfristen für Backups sind festgelegt (z. B. 30 Tage, 12 Monate, 10 Jahre)
• Verschlüsselung der Backups ist aktiviert (in Transit und at Rest)
• Ransomware-Schutz ist berücksichtigt (Immutable Backups oder Air-Gapped-Kopie)

Disaster Recovery

• Ein dokumentierter DR-Plan existiert
• Verantwortlichkeiten und Kommunikationsketten sind definiert
• Der DR-Plan ist an mehreren Orten verfügbar (auch offline)
• Der DR-Plan wird mindestens halbjährlich aktualisiert

Testing und Monitoring

• Backup-Jobs werden täglich automatisiert überwacht
• Stichproben-Restores werden monatlich durchgeführt
• Ein vollständiger Restore-Test findet quartalsweise statt
• Testergebnisse werden dokumentiert

Organisation

• Es gibt einen Backup-Verantwortlichen mit klar definierter Rolle
• Mindestens eine weitere Person kennt die Backup-Prozeduren (Vertretungsregelung)
• Zugangsdaten für Backup-Systeme sind sicher hinterlegt
• Budget für Backup und DR ist eingeplant und genehmigt

Praxisbeispiel: Wie ein KMU den Ernstfall meisterte {#praxisbeispiel}

Ausgangssituation

Die fiktive „Meier Maschinenbau GmbH" mit 35 Mitarbeitern und Sitz in Baden-Württemberg fertigt Spezialkomponenten für die Automobilindustrie. Die IT-Landschaft besteht aus einem ERP-System auf einem lokalen Windows-Server, einem Fileserver mit CAD-Zeichnungen und Projektdaten (ca. 4 TB), einem E-Mail-Server (Exchange) und 30 Arbeitsplatz-PCs.

Die Backup-Situation war typisch für viele KMU dieser Größe: Ein Mitarbeiter der IT sicherte die Server per Windows-eigener Sicherung auf eine externe USB-Festplatte, die am Server angeschlossen blieb. Die Sicherung lief jede Nacht automatisch. Restore-Tests hatte es seit der Einrichtung vor drei Jahren nicht gegeben. Einen DR-Plan gab es nicht.

Der Vorfall

An einem Montagmorgen im Oktober stellten die Mitarbeiter fest, dass weder der ERP-Server noch der Fileserver erreichbar waren. Die Analyse ergab: Am Wochenende hatte Ransomware alle Server verschlüsselt – inklusive der angeschlossenen USB-Backup-Festplatte. Die Angreifer forderten 80.000 Euro in Bitcoin.

Reaktion und Wiederherstellung

Die Geschäftsführung entschied sich nach Rücksprache mit einem IT-Dienstleister und der Polizei gegen die Zahlung des Lösegelds. Der IT-Mitarbeiter erinnerte sich, dass er sechs Monate zuvor einmalig eine manuelle Kopie der ERP-Datenbank auf einem USB-Stick erstellt hatte, der in seinem Schreibtisch lag. Diese Kopie war zwar veraltet, enthielt aber die Grunddaten.

Die Wiederherstellung dauerte insgesamt zwölf Arbeitstage. Die CAD-Daten der letzten sechs Monate waren unwiederbringlich verloren – das bedeutete die erneute Konstruktion von acht Bauteilen. Drei Kundenaufträge konnten nicht termingerecht geliefert werden, was zu Vertragsstrafen und einem beschädigten Ruf führte.

Geschätzter Gesamtschaden: rund 180.000 Euro (Umsatzausfall, Vertragsstrafen, Wiederherstellungskosten, Neugestaltung der IT-Infrastruktur).

Was die Meier GmbH anschließend umsetzte

Nach dem Vorfall investierte das Unternehmen in eine professionelle Backup-Strategie:

1. Veeam Backup & Replication als zentrale Backup-Software für Server und VMs
2. Synology NAS (4-Bay, RAID 5) als lokales Backup-Ziel für schnelle Wiederherstellung
3. Wasabi Cloud Storage als Offsite-Kopie der täglichen Backups (verschlüsselt, Immutable Buckets)
4. Dokumentierter DR-Plan mit definierten RTOs (ERP: 4 Stunden, Fileserver: 8 Stunden)
5. Monatliche Restore-Tests und quartalsweiser vollständiger Server-Restore
6. Awareness-Schulung für alle Mitarbeiter zum Thema Phishing und Ransomware

Investition: rund 8.500 Euro im ersten Jahr (Hardware, Lizenzen, externer Dienstleister für Einrichtung). Laufende Kosten: ca. 3.600 Euro pro Jahr.

Die Geschäftsführerin fasste es so zusammen: „Wir haben 180.000 Euro Lehrgeld bezahlt, um zu verstehen, dass 8.500 Euro für Backup keine Kosten sind, sondern eine Versicherung."

Zusammenfassung und nächste Schritte {#zusammenfassung}

Backup und Disaster Recovery sind keine optionalen IT-Projekte – sie sind eine geschäftskritische Notwendigkeit. Die wichtigsten Erkenntnisse aus diesem Guide:

1. Die 3-2-1-Regel ist der Mindeststandard: Drei Kopien, zwei Medientypen, eine Offsite-Sicherung. Das ist nicht optional, sondern Basis.
2. Cloud und On-Premise ergänzen sich: Der Hybrid-Ansatz bietet für die meisten KMU das beste Verhältnis aus Kosten, Geschwindigkeit und Sicherheit.
3. Ein Backup ohne DR-Plan ist halb: Dokumentieren Sie Wiederherstellungsprozesse, definieren Sie Verantwortlichkeiten und aktualisieren Sie den Plan regelmäßig.
4. Testen, testen, testen: Ein ungetestetes Backup ist eine Wette. Führen Sie regelmäßig Restore-Tests durch.
5. Die Kosten sind überschaubar: Für die meisten KMU liegt eine professionelle Backup-Lösung zwischen 3.000 und 10.000 Euro im Jahr – ein Bruchteil der potenziellen Schadenskosten.

Ihre nächsten drei Schritte

Schritt 1: Machen Sie eine Bestandsaufnahme aller geschäftskritischen Daten und Systeme. Nutzen Sie dafür die Checkliste aus diesem Guide.

Schritt 2: Wählen Sie eine Backup-Lösung, die zu Ihrer Unternehmensgröße passt. Für eine fundierte Entscheidung empfehlen wir unseren Veeam Tool-Check auf Smartkanal.de, in dem wir die Lösung im Detail testen und bewerten.

Schritt 3: Erstellen Sie einen einfachen DR-Plan und führen Sie innerhalb von 30 Tagen Ihren ersten Restore-Test durch.

Weiterführende Guides auf Smartkanal.de

• Cloud vs. On-Premise: Die richtige Infrastruktur für Ihr KMU – Grundsätzliche Entscheidungshilfe zur Cloud-Strategie
• ERP-System für KMU – Wenn Ihr ERP Teil der Backup-Planung ist, lohnt sich ein Blick auf die Systemanforderungen

FAQ {#faq}

Wie oft sollte ein KMU Backups durchführen?

Die ideale Backup-Frequenz hängt davon ab, wie viel Datenverlust Ihr Unternehmen verkraften kann (RPO). Für die meisten KMU hat sich ein wöchentliches Vollbackup in Kombination mit täglichen inkrementellen Backups bewährt. Wenn Sie mit besonders zeitkritischen Daten arbeiten – etwa einem Onlineshop mit ständigen Bestellungen – sollten Sie stündliche oder kontinuierliche Sicherungen in Betracht ziehen. Entscheidend ist: Lieber ein tägliches Backup konsequent durchführen und testen als ein stündliches Backup halbherzig einrichten.

Reicht ein Cloud-Backup allein aus?

Ein reines Cloud-Backup erfüllt die Offsite-Anforderung der 3-2-1-Regel, aber nicht die Anforderung an unterschiedliche Medientypen. Zudem hängt die Wiederherstellungsgeschwindigkeit stark von Ihrer Internetbandbreite ab. Für unkritische Daten und sehr kleine Unternehmen kann ein Cloud-only-Ansatz ausreichen. Für geschäftskritische Systeme empfehlen wir immer einen Hybrid-Ansatz mit lokaler Sicherung plus Cloud-Kopie. So haben Sie bei einem Serverausfall innerhalb von Minuten Zugriff auf das lokale Backup und sind gleichzeitig gegen Standort-Risiken geschützt.

Was kostet Disaster Recovery as a Service (DRaaS)?

DRaaS-Lösungen liegen typischerweise zwischen 50 und 200 Euro pro Server und Monat, abhängig von der benötigten Rechenleistung und dem Speichervolumen. Für ein KMU mit zwei bis drei Servern bedeutet das monatliche Kosten von 150 bis 600 Euro. DRaaS lohnt sich besonders, wenn Sie einen sehr kurzen RTO benötigen (unter einer Stunde) und keinen eigenen Ersatz-Standort betreiben möchten. Der große Vorteil: Im Ernstfall startet Ihre IT-Umgebung automatisch in der Cloud des Anbieters, während Sie die lokale Infrastruktur reparieren.

Wie schütze ich meine Backups vor Ransomware?

Ransomware zielt zunehmend gezielt auf Backup-Systeme, um die Wiederherstellung zu verhindern. Drei Maßnahmen sind besonders wirksam: Erstens, nutzen Sie Immutable Backups – viele Cloud-Anbieter und Backup-Tools bieten die Möglichkeit, Backups für einen definierten Zeitraum unveränderbar zu speichern. Zweitens, halten Sie eine Air-Gapped-Kopie vor, also ein Backup auf einem Medium, das nicht dauerhaft mit dem Netzwerk verbunden ist (z. B. eine externe Festplatte, die nur während des Backups angeschlossen und anschließend sicher verwahrt wird). Drittens, setzen Sie auf getrennte Zugangsdaten für Ihr Backup-System – ein kompromittierter Admin-Account sollte nicht automatisch Zugriff auf die Backups gewähren.

Welche gesetzlichen Anforderungen gelten für die Datensicherung in Deutschland?

In Deutschland gibt es keine einzelne gesetzliche Vorschrift, die „ein Backup" vorschreibt. Allerdings ergeben sich aus mehreren Regelwerken indirekte Pflichten: Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern) verpflichtet Unternehmen, steuerrelevante Daten revisionssicher aufzubewahren – in der Praxis erfordert das eine zuverlässige Datensicherung. Die DSGVO verlangt in Artikel 32, dass Unternehmen die „Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen" gewährleisten. Zusätzlich können branchenspezifische Anforderungen gelten, etwa im Finanz- oder Gesundheitsbereich. Für Unternehmen, die unter die NIS2-Richtlinie fallen, verschärfen sich die Anforderungen an Business Continuity und Disaster Recovery ab 2024 erheblich.