hagel IT-Services
Festpreis-Angebot
8 Min.

IT-Sicherheit für kleine Unternehmen: Backup & Disaster Recovery

Jens Hagel
Jens Hagel in IT-Insights

Inhalt in Kürze

  • Backup ohne getesteten Disaster-Recovery-Plan ist Selbstbetrug. Wir sehen jede Woche Sicherungen, die seit Monaten niemand geprüft hat.
  • Die Bitkom-Wirtschaftsschutzstudie 2025 beziffert den jährlichen Schaden durch Cyberangriffe auf rund 289 Milliarden Euro — Ransomware ist die größte Einzelbedrohung.
  • Seit dem NIS2-Umsetzungsgesetz (5. Dezember 2025) sind unveränderbare Backups, klare Wiederanlaufzeiten und dokumentierte Meldeketten für rund 30.000 deutsche Unternehmen Pflicht.
  • Mit der 3-2-1-Regel, definierten RTO/RPO-Werten und einem jährlichen Restore-Test deckt ein KMU 80 Prozent des Risikos ab.
  • hagel IT betreut über 200 Unternehmen in Hamburg und Norddeutschland und richtet einen pragmatischen Disaster-Recovery-Plan in vier Wochen ein — als Festpreis im Managed-IT-Vertrag.

Drei Monate kein E-Mail-Versand. Keine Rechnungen, keine Aufträge, keine Lohnabrechnung. Genau das hat ein Hamburger Sanitärbetrieb mit 20 bis 25 Mitarbeitern erlebt — Ransomware, alles verschlüsselt, das vermeintliche Backup ebenfalls. Solche Fälle sehen wir bei kleinen Unternehmen regelmäßig. IT-Sicherheit für kleine Unternehmen entscheidet sich nicht an der Firewall, sondern an Backup und Disaster Recovery.

Dieser Artikel zeigt Ihnen, was 2026 wirklich zählt: nüchterne Werte, die 3-2-1-Regel, die NIS2-Vorgaben und ein 4-Wochen-Plan, mit dem Sie aus dem Risiko-Nebel rauskommen.

Warum kleine Unternehmen besonders gefährdet sind

Cyberkriminelle wählen ihre Opfer längst nicht mehr handverlesen. Sie scannen das Internet automatisiert nach Schwachstellen — egal, ob dahinter ein Logistiker mit acht Mitarbeitern oder ein Konzern mit 8.000 steht. Die Bitkom-Wirtschaftsschutzstudie 2025 nennt 289 Milliarden Euro Schaden pro Jahr, davon entfällt der größte Teil auf Ransomware. 34 Prozent der befragten Unternehmen waren betroffen.

289 Mrd. €
Schaden pro Jahr (Bitkom 2025)
34 %
der Firmen Ransomware-Opfer
3 Monate
Totalausfall im realen Praxisfall

Kleine Unternehmen trifft es härter. Eine fehlende Datensicherung ruiniert keinen Konzern — den Sanitärbetrieb mit 22 Mitarbeitern aber schon. Genau deshalb ist Backup für KMU keine Versicherungs-Police, sondern Überlebensfrage.

Verbreiteter Trugschluss:

„Wir sind zu klein, das interessiert keinen Hacker." Falsch. Massenangriffe per KI scannen automatisch nach offenen Ports, ungepatchten Firewalls und schwachen Passwörtern. Sie verschlüsseln dann, was sie finden. Die Frage ist nicht ob, sondern wann.

Backup vs. Disaster Recovery: Der entscheidende Unterschied

Viele Geschäftsführer benutzen die Begriffe synonym. Das ist gefährlich.

  • Backup ist die Datenkopie. Sie sichert Dateien, Datenbanken, E-Mails. Punkt.
  • Disaster Recovery ist der dokumentierte Prozess, mit dem Sie nach einem Ausfall wieder arbeitsfähig werden — inklusive Hardware, Cloud-Diensten, Telefonie, Lieferantenkontakten und klaren Zuständigkeiten.

Ohne Disaster-Recovery-Plan nützt das beste Backup wenig. Wir hatten Neukunden, bei denen die Sicherung lief — aber nach dem Ausfall niemand wusste, wo die Lizenzschlüssel liegen, welcher Dienstleister den Server tauscht oder wie die Telefonie wieder ans Laufen kommt. Tagelange Verzögerung, obwohl die Daten an sich da waren.

Disaster Recovery für KMU: Techniker prüft Server-Verkabelung im Rechenzentrum
Im Ernstfall zählt nicht nur die Datenkopie, sondern der dokumentierte Wiederanlauf — vom Hardware-Tausch bis zur Telefonie.

Die 3-2-1-Regel: Der Mindeststandard 2026

Die 3-2-1-Regel ist über 20 Jahre alt — und immer noch die solideste Daumenregel für Backup-Strategien:

  • 3 Kopien Ihrer Daten — ein Original plus zwei Sicherungen.
  • 2 verschiedene Medientypen — etwa lokales NAS und Cloud-Storage, damit ein Defekt nicht beide trifft.
  • 1 Kopie offsite oder offline — räumlich getrennt oder netzgetrennt, damit Ransomware sie nicht erreicht.

Seit Ransomware gezielt Backup-Systeme angreift, hat sich die Branche auf 3-2-1-1-0 weiterentwickelt: zusätzlich eine unveränderbare („immutable”) Kopie und null Fehler bei Restore-Tests. Genau das verlangt die NIS2-Richtlinie jetzt auch von wichtigen und besonders wichtigen Einrichtungen.

Praxis-Tipp:

Mit Microsoft 365 sichern Sie nicht alle Microsoft-365-Daten automatisch — Microsoft schützt seine Infrastruktur, nicht Ihre Mail-Postfächer und SharePoint-Inhalte gegen Ransomware oder versehentliches Löschen. Ein zusätzliches Cloud-Backup ist Pflicht. Details im Leitfaden zum Managed Microsoft 365.

RTO und RPO: Was die zwei Kennzahlen wirklich bedeuten

Ein Disaster-Recovery-Plan steht und fällt mit zwei Kennzahlen, die Sie als Geschäftsführung definieren — nicht die IT.

  • RTO (Recovery Time Objective): Wie lange darf der Betrieb maximal stehen? Vier Stunden? Ein Tag? Eine Woche?
  • RPO (Recovery Point Objective): Wie viel Datenverlust ist tolerierbar? 15 Minuten? Vier Stunden? Ein Tag?

Beide Werte hängen am Geschäftsmodell. Eine Steuerkanzlei zur Abgabefrist verträgt 4 Stunden Stillstand, ein Online-Shop am Black Friday verträgt 4 Minuten. Ein Architekturbüro verliert mit einem Tag Datenstand vielleicht eine halbe Tagesarbeit — ein Logistiker verliert ganze Tourenpläne.

Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

NIS2 verschärft die Regeln seit Dezember 2025

Seit dem 5. Dezember 2025 gilt das NIS2-Umsetzungsgesetz ohne Übergangsfrist. Rund 30.000 Unternehmen in Deutschland sind direkt betroffen, viele Zulieferer indirekt. Das BSI verlangt unter anderem:

  1. Unveränderbare Backups — Ransomware darf die Sicherung nicht überschreiben können.
  2. Dokumentierte Wiederanlaufzeiten — RTO und RPO pro Geschäftsprozess.
  3. Getestete Restore-Prozesse — mindestens jährlich, dokumentiert.
  4. 24-Stunden-Meldepflicht nach erkanntem Sicherheitsvorfall.
  5. Persönliche Haftung der Geschäftsleitung bei grober Fahrlässigkeit.

Bußgelder: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wer prüfen will, ob er betroffen ist, nutzt unseren NIS2-Check:

Aus der Praxis: Was wir bei Neukunden vorfinden

In den letzten zwölf Monaten haben wir bei rund einem Dutzend Hamburger KMU die Backup-Lage als Erstanalyse geprüft. Was wir typischerweise sehen:

  • Manuelle Sicherungen auf Blu-ray ohne Verschlüsselung — Stand: Freitagabend.
  • Backup-Festplatte permanent angeschlossen — Ransomware hätte sie mitverschlüsselt.
  • NAS im selben Brandabschnitt wie der Server — Brand vernichtet beides.
  • Microsoft 365 ohne Drittanbieter-Backup — Postfach gelöscht, alles weg.
  • Restore-Test nie gemacht — niemand weiß, ob der Wiederanlauf funktioniert.

Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.

Klaus Bergmann · Geschäftsführer, Maschinen- und Anlagenbau

Glück ist keine Strategie. Genau deshalb gehört Backup ins Managed-IT-Konzept — nicht in die Hände einer einzelnen Person, die im Urlaub ist, wenn es brennt.

Der pragmatische 4-Wochen-Plan

So gehen wir bei hagel IT mit kleinen Unternehmen vor — kein Folienschlacht-Projekt, sondern handfeste Umsetzung.

Woche 1 — Bestandsaufnahme

Wir prüfen gemeinsam mit Geschäftsführung und IT-Verantwortlichem: Welche Daten sind wirklich kritisch? Wo liegen sie? Welche RTO/RPO-Werte braucht das Geschäftsmodell? Ergebnis: priorisierte Risikoliste.

Woche 2 — Backup-Architektur umsetzen

3-2-1-1-0-Strategie aufsetzen: lokales NAS für schnellen Restore, Cloud-Kopie für Offsite, unveränderbare Kopie gegen Ransomware. Microsoft-365-Backup separat einrichten. Verschlüsselung und Zugriffstrennung dokumentieren.

Woche 3 — Disaster-Recovery-Plan schreiben

Wir nutzen pragmatische Templates statt 200-Seiten-Konzepten. Drin steht: Wer ruft wen an? Welche Hardware wird getauscht? Welche Cloud-Dienste laufen weiter? Wie kommunizieren wir mit Kunden ohne E-Mail? Maximal 15 Seiten — nutzbar im Stress.

Woche 4 — Restore-Test und laufender Betrieb

Echter Wiederherstellungs-Test mit der Geschäftsführung als Beobachter. Was klappt, was hakt? Plan anpassen. Quartalsweise Reviews einplanen. Ab hier läuft Backup und DR als Teil des regulären Managed-IT-Service.

Praxis-Hinweis:

Bei den meisten Hamburger KMU haben wir mit diesem Plan innerhalb von vier Wochen die NIS2-Backup-Pflichten erfüllt — als Teil des laufenden Managed-IT-Vertrags, ohne Sonderprojekt. Vertiefend dazu der Disaster Recovery Plan erstellen.

Was zur Backup-Pflicht dazugehört

Backup ist die Basis. Damit IT-Sicherheit für kleine Unternehmen wirklich trägt, gehört noch dazu:

  • Multi-Faktor-Authentifizierung für alle Admin-Konten und Cloud-Dienste — laut BSI macht MFA 99 Prozent der Ransomware-Angriffe wirkungslos.
  • Patch-Management für Server, Clients und Firewalls — ungepatchte Geräte sind das Einfallstor Nummer eins.
  • Endpoint Detection and Response (EDR) statt klassischem Antivirus — siehe Cybersecurity-Strategie.
  • Mitarbeiter-Schulungen — Phishing-Simulationen plus jährliche Awareness-Trainings.
  • Klare Verantwortlichkeiten — wer meldet einen Vorfall? Wer entscheidet über Lösegeld? Beides gehört in den Plan.

Warum lokal in Hamburg ein Vorteil ist

Wenn um 3 Uhr nachts die Ransomware zuschlägt, brauchen Sie einen Partner, der nicht erst Flüge bucht. Wir sind 32 Spezialisten am Standort Hamburg, kennen die Hamburger KMU-Landschaft seit über 20 Jahren und sind im Ernstfall in unter einer Stunde vor Ort. Telefon: 040 284 10 26-0. Für Unternehmen in und um Bremen haben wir den Ablauf der ersten 72 Stunden als eigenen Praxis-Fahrplan dokumentiert: IT-Notfall Bremen — inkl. Meldekette, Lösegeld-Falle und Wiederanlauf-Sequenz.

Das Wichtigste: Backup ohne Disaster-Recovery-Plan ist Selbstbetrug. Mit der 3-2-1-1-0-Regel, definierten RTO/RPO-Werten, einem getesteten Restore-Prozess und unveränderbaren Kopien decken Sie 80 Prozent des Risikos ab — und erfüllen die NIS2-Pflichten. Schritt eins ist immer ein ehrlicher Restore-Test.

Wann haben Sie zuletzt einen Restore-Test gemacht?

15 Minuten Erstgespräch. Kostenlos. Wir sagen Ihnen ehrlich, wo Ihre Backup-Strategie steht.

Erstgespräch buchen →
Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Gesundheit
Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Geschäftskritische Daten gehören mindestens einmal täglich gesichert, bei häufigen Änderungen alle paar Stunden. Für reine Archive reicht eine wöchentliche Sicherung. Wichtiger als die Frequenz ist die 3-2-1-Regel: drei Kopien, zwei Medien, eine Kopie offsite oder offline.

Ein pragmatischer Disaster-Recovery-Plan kostet als einmaliges Projekt zwischen 2.500 und 6.000 Euro, je nach Komplexität. Im Managed-IT-Vertrag bei hagel IT ist die laufende Pflege ab rund 50 Euro pro Arbeitsplatz und Monat enthalten — inklusive Restore-Tests.

Backup ist die Datenkopie. Disaster Recovery ist der dokumentierte Prozess, mit dem Sie nach einem Ausfall wieder arbeitsfähig werden — inklusive Hardware, Cloud-Diensten, Telefonie und klaren Verantwortlichkeiten. Ohne DR-Plan nützt das beste Backup wenig.

RTO (Recovery Time Objective) legt fest, wie lange Ihr Betrieb maximal stehen darf — etwa vier Stunden. RPO (Recovery Point Objective) legt fest, wie viel Datenverlust akzeptabel ist — etwa 15 Minuten. Beide Werte definieren Sie vor dem Plan, nicht währenddessen.

Nein. Microsoft sichert die eigene Infrastruktur, aber nicht Ihre Daten gegen Löschung, Ransomware oder Mitarbeiterfehler. Ein zusätzliches Microsoft-365-Backup mit unveränderbaren Kopien ist seit NIS2 für viele Unternehmen Pflicht.

Wer als wichtige Einrichtung unter NIS2 fällt, muss laut BSI unveränderbare Backups, einen getesteten Wiederanlaufplan und dokumentierte Meldeketten nachweisen. Auch viele Zulieferer kleiner Branchen geraten so indirekt in die Pflicht.

Mindestens einmal pro Jahr mit einem realen Wiederherstellungs-Szenario: Server fällt aus, Geschäftsführung simuliert den Ernstfall, IT spielt das Backup zurück. Wer nur die Sicherungs-Logfiles prüft, hat den Test nicht gemacht.

Drei Kopien Ihrer Daten, auf zwei verschiedenen Medientypen, davon eine Kopie an einem anderen Ort oder offline. Diese Regel schützt zuverlässig vor Hardware-Defekten, Diebstahl, Brand und Ransomware gleichzeitig.

Das könnte Sie auch interessieren

IT-Insights

Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
IT-Insights

Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
IT-Insights

n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU