Viele Geschäftsführer gehen davon aus, dass ihre Daten in Microsoft 365 automatisch gesichert sind. Das stimmt nicht: Ein Microsoft 365 Backup ist Ihre Aufgabe, nicht die von Microsoft. Wer das nicht weiß, merkt es im schlimmsten Moment – wenn ein verschlüsseltes oder versehentlich gelöschtes Postfach längst unwiederbringlich weg ist.
Inhalt in Kürze
- Microsoft sichert die Plattform, nicht Ihre Inhalte. Im Modell der geteilten Verantwortung schützt Microsoft Rechenzentren und Verfügbarkeit – für Daten, Konten und Einstellungen sind Sie selbst zuständig.
- Die Aufbewahrungsfristen sind kein Backup. Gelöschte Postfächer sind nach 30 Tagen weg, SharePoint und OneDrive nach 93 Tagen. Danach ist nichts mehr wiederherstellbar.
- Gegen Ransomware und versehentliches Löschen hilft nur ein eigenes, getestetes Backup. Es muss alle vier Dienste abdecken: Exchange, SharePoint, OneDrive und Teams.
- Ein Scheinbackup erkennen Sie daran, dass es nicht alle Dienste sichert, im selben Tenant liegt oder nie zurückgespielt wurde.
Microsoft 365 ist geteilte Verantwortung – und Ihre Daten gehören zu Ihrer Hälfte
Microsoft beschreibt es selbst klar: In der Cloud teilen sich Anbieter und Kunde die Verantwortung. Microsoft sorgt dafür, dass die Rechenzentren laufen, die Software aktuell ist und der Dienst verfügbar bleibt. Für den Schutz Ihrer Daten, Identitäten und Einstellungen bleiben aber laut Modell der geteilten Verantwortung von Microsoft Sie zuständig.
Das ist der Denkfehler, den wir bei Neukunden am häufigsten sehen. Die Daten liegen in der Microsoft-Cloud, also fühlen sie sich sicher an. Aber „verfügbar” heißt nicht „gesichert”. Microsoft schützt Sie nicht davor, dass jemand ein Postfach löscht, dass Ransomware Dateien verschlüsselt oder dass ein Mitarbeiter beim Ausscheiden den falschen Ordner mitnimmt.
Konkret: Microsoft garantiert, dass der Dienst läuft. Microsoft garantiert nicht, dass Ihre E-Mail von vor drei Monaten morgen noch da ist, wenn sie heute gelöscht wird.
30 Tage Postfach, 93 Tage SharePoint: Die Microsoft 365 Aufbewahrung ist kein Backup
Hier wird es für viele unangenehm konkret. Die eingebauten Schonfristen klingen nach Sicherheit, sind aber knapp bemessen und enden hart.
Ein gelöschtes Postfach wird standardmäßig 30 Tage aufbewahrt, danach ist es endgültig weg. Bei Dateien in SharePoint und OneDrive räumt Microsoft eine längere Frist ein: Gelöschte Dokumente durchlaufen Papierkörbe und werden laut den Aufbewahrungsrichtlinien von Microsoft nach insgesamt 93 Tagen unwiderruflich entfernt.
Das Problem dabei: Diese Fristen laufen ab dem Moment der Löschung. Wenn ein Mitarbeiter im Januar versehentlich Dateien löscht und es im Mai auffällt, ist die SharePoint-Frist längst abgelaufen. Bei einem verschlüsselten Postfach merken Sie den Schaden vielleicht innerhalb der 30 Tage – aber dann fehlt Ihnen oft ein sauberer Stand von vor dem Befall.
Ein Backup funktioniert anders. Es hält viele Stände über Wochen, Monate und Jahre vor und lässt Sie gezielt auf einen Zeitpunkt vor dem Schaden zurückspringen. Genau das leisten die Microsoft-Fristen nicht.
Gegen Ransomware hilft kein Papierkorb – sondern ein getrenntes Backup
Es gibt einen verbreiteten Trugschluss: „OneDrive hat doch eine Versionshistorie, da kann ich alles zurückholen.” Bei einer einzelnen versehentlich überschriebenen Datei stimmt das. Bei einem Ransomware-Angriff nicht.
Verschlüsselt Schadsoftware Ihre lokalen Dateien, synchronisiert OneDrive die verschlüsselten Versionen brav in die Cloud. Die Versionshistorie greift nur Datei für Datei und nur, solange der Befall früh entdeckt wird. Bei Tausenden Dateien über alle Postfächer, SharePoint-Seiten und Teams-Kanäle hinweg ist eine saubere Wiederherstellung aus den Bordmitteln praktisch aussichtslos.
Das Bundesamt für Sicherheit in der Informationstechnik bestätigt im aktuellen BSI-Lagebericht zur IT-Sicherheit, dass Ransomware weiterhin zu den größten Bedrohungen für Unternehmen gehört – und dass funktionierende, getrennte Backups die wirksamste Vorsorge sind.
Ein wirksames Backup liegt deshalb außerhalb des Microsoft-Tenants. Wird der Tenant kompromittiert oder ein Konto gekapert, kann der Angreifer die Microsoft-internen Sicherungen mit verschlüsseln oder löschen. Eine Kopie an einem zweiten, unabhängigen Ort kann er nicht erreichen – das ist der ganze Sinn.
Versionshistorie und Papierkorb in OneDrive sind kein Ransomware-Schutz. Werden verschlüsselte Dateien synchronisiert, sichert Microsoft die verschlüsselten Stände mit. Lesen Sie dazu auch unseren Beitrag zur Lizenzierung von Microsoft 365, denn ein passender Plan ist die Grundlage, aber kein Ersatz fürs Backup.
Was ein echtes Microsoft 365 Backup abdecken muss
Microsoft 365 ist mehr als E-Mail. Wer nur das Postfach sichert, übersieht den Großteil seiner Geschäftsdaten. Ein vollwertiges Backup deckt alle vier Kerndienste ab:
- Exchange Online. E-Mails, Kalender, Kontakte und Aufgaben – inklusive freigegebener und Funktionspostfächer.
- SharePoint Online. Dokumentbibliotheken, Listen und die Struktur Ihrer Team- und Projektseiten.
- OneDrive for Business. Die persönlichen Dateien jedes Mitarbeiters, die sonst nach 93 Tagen weg sind.
- Microsoft Teams. Chats, Kanäle und die dahinterliegenden Dateien – der am häufigsten vergessene Bereich.
Neben dem Umfang zählt die Disziplin dahinter. Ein gutes Microsoft 365 Backup läuft mindestens täglich automatisch, liegt getrennt von Microsoft und lässt sich granular wiederherstellen – also auch eine einzelne E-Mail oder ein einzelner Ordner, nicht nur „alles oder nichts”. Und es wird regelmäßig getestet. Ein Backup, das nie zurückgespielt wurde, ist im Grunde nur eine Hoffnung.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft – bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbHWie ein solches Backup technisch sauber aufgesetzt wird, beschreiben wir am Beispiel von Cove Data Protection – einer Lösung, die Microsoft 365 und lokale Systeme gemeinsam absichert. Für die grundsätzliche Strategie lohnt auch der Blick in unseren Beitrag zum Cloud-Backup und der Datensicherung.
Scheinbackup erkennen: In fünf Punkten zur ehrlichen Antwort
Viele Unternehmen glauben, ein Backup zu haben – bis man genauer hinschaut. Prüfen Sie Ihre Situation ehrlich an diesen fünf Punkten:
- Schritt 1 – Umfang: Sichert Ihre Lösung wirklich alle vier Dienste, oder nur die Postfächer? Teams und OneDrive fehlen am häufigsten.
- Schritt 2 – Ort: Liegt die Sicherung außerhalb des Microsoft-Tenants? Eine Kopie im selben Konto fällt mit dem Konto.
- Schritt 3 – Automatik: Läuft das Backup automatisch und täglich, oder hängt es daran, dass jemand daran denkt?
- Schritt 4 – Test: Wann wurde zuletzt eine echte Wiederherstellung durchgeführt? Wenn die Antwort „noch nie" ist, haben Sie kein Backup, sondern ein Versprechen.
- Schritt 5 – Frist: Verlassen Sie sich auf die 30- und 93-Tage-Fristen? Dann haben Sie gar kein Backup, sondern nur eine kurze Schonfrist.
Wer bei einem dieser Punkte ins Stocken gerät, hat eine Lücke. Und Lücken in der Datensicherung fallen erst auf, wenn es zu spät ist.
Backup, Backup, Backup. Ganz wichtig, nicht nur ein Backup vorhalten, sondern mehrere.
Dennis KreftMicrosoft 365 & Cloud-ExperteAuch rechtlich lohnt der zweite Blick. Die DSGVO verlangt in Artikel 32, dass Sie personenbezogene Daten nach einem Zwischenfall rasch wiederherstellen können. Die GoBD fordern die manipulationssichere Aufbewahrung geschäftsrelevanter E-Mails über zehn Jahre. Beides erfüllt Microsoft 365 von Haus aus nicht zuverlässig – ein Grund mehr, das Thema nicht auf die lange Bank zu schieben. Wie Sie Microsoft 365 datenschutzkonform betreiben, vertiefen wir im Beitrag zur Microsoft 365 Sicherheit und DSGVO.
Ist Ihr Microsoft 365 wirklich gesichert?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Backup-Check anfragen →Aus der Praxis
In unseren Erstgesprächen mit Hamburger und Bremer Betrieben ist das Microsoft-365-Backup fast immer ein blinder Fleck. Die Daten liegen in der Cloud, also wirkt alles sicher. Bei einer Infrastrukturanalyse für einen Bremer Handwerksbetrieb fanden wir genau diese Lücke: Microsoft 365 produktiv im Einsatz, Teams und SharePoint voller Projektdaten – und kein einziges echtes Backup. Hätte ein Konto Ransomware abbekommen, wären Monate an Arbeit weg gewesen.
Wie real diese Gefahr ist, zeigt das, was uns Kunden aus ihrer eigenen Geschichte erzählen.
Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.
Auf Glück sollte sich kein Unternehmen verlassen. Was diesen Betrieb gerettet hat, war eine Kopie außerhalb des Systems – genau das Prinzip, das ein professionelles Microsoft 365 Backup automatisiert und testbar macht. Als Ihr IT-Service in Hamburg richten wir das so ein, dass Sie nie wieder auf Glück angewiesen sind.
Ihr nächster Schritt
Microsoft 365 ist eine starke Plattform – aber sie sichert Ihre Daten nicht für Sie. Wer auf die 30- und 93-Tage-Fristen vertraut, hat im Ernstfall nichts in der Hand. Ein eigenes, getrenntes und regelmäßig getestetes Backup über Exchange, SharePoint, OneDrive und Teams ist heute Pflicht, nicht Kür.
Wir richten Microsoft-365-Backups für Unternehmen in Hamburg und Norddeutschland ein – als Teil unserer Managed IT Services oder als eigenständige Backup- und Datensicherungslösung. Im kostenlosen 15-Minuten-Erstgespräch sagen wir Ihnen ehrlich, ob Ihre aktuelle Sicherung im Ernstfall trägt – oder nur ein Scheinbackup ist.
Wie sicher sind Ihre Microsoft-365-Daten wirklich?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Backup-Check anfragen →
