Veeam Backup & Replication: Der praktische Leitfaden für IT-Leiter (2026)

Inhalt in Kürze

• Veeam Backup & Replication ist die führende Enterprise-Backup-Software für virtuelle, physische und Cloud-Workloads — seit Herbst 2024 Teil von Kaseya, technisch aber eigenständig.
• Die 3-2-1-1-0-Regel ist der heutige Standard: 3 Kopien, 2 Medien, 1 Offsite, 1 Immutable, 0 Restore-Fehler. Wer nur 3-2-1 macht, ist gegen moderne Ransomware nicht geschützt.
• Microsoft 365 muss separat gesichert werden — Veeam Backup for Microsoft 365 (VBO) ist ein eigenes Produkt. 76 % der deutschen Unternehmen glauben fälschlich, Microsoft sichere ihre M365-Daten.
• Immutable Backups gegen Ransomware sind Pflicht: Laut Veeam Ransomware Trends Report 2025 zielen 93 % aller Angriffe explizit auf Backup-Repositories — ohne Immutability sind Sie aufgeschmissen.

Backup klingt gelöst. Ist es fast nie. Bei jedem zweiten Neukunden bei hagel IT in Hamburg finden wir Backup-Setups, die im Ernstfall nicht tragen: Microsoft 365 ungeschützt, Offsite-Kopie am selben Switch, Immutability ein Fremdwort. Dieser Leitfaden zeigt, wie Sie Veeam Backup & Replication in einem KMU richtig einsetzen — ohne Enterprise-Fluff, mit konkreten Praxisregeln.

Was kann Veeam Backup & Replication?

Veeam Backup & Replication (kurz: VBR) ist eine Software-Plattform für die zentrale Sicherung und Wiederherstellung aller Workloads eines Unternehmens. Sie sichert VMware vSphere, Microsoft Hyper-V, Nutanix AHV und Proxmox auf VM-Ebene, physische Windows- und Linux-Server über einen Agenten, NAS-Systeme per CIFS/NFS-Scan sowie Cloud-Workloads in Azure, AWS und Google Cloud. Die Software läuft On-Prem auf einem Windows-Server, nutzt SQL Server als Konfigurations-Datenbank und steuert Backup-Repositories (Dateispeicher, Tape, Object Storage, Cloud).

Kernfunktionen für den Mittelstand:

• Image-basierte Backups mit Change-Block-Tracking (nur geänderte Blöcke werden gesichert)
• Instant VM Recovery — eine VM startet in Minuten direkt aus dem Backup
• Replikation einer VM auf eine zweite Site für Disaster Recovery
• Immutable Repositories (Linux Hardened Repo, S3 Object Lock) gegen Ransomware
• SureBackup — automatische Restore-Tests in isolierter Sandbox
• Granular Recovery für Exchange, SQL Server, SharePoint, Active Directory, Oracle

Was Veeam besonders macht: Die Software ist hypervisor-agnostisch. Wenn Sie heute VMware nutzen und morgen auf Proxmox oder Hyper-V wechseln (Stichwort: Broadcom-VMware-Lizenzkosten), läuft Veeam ohne Neuinstallation weiter. Das ist 2026 ein massiver Vorteil.

Veeam-Produktlinien im Überblick

Viele Geschäftsführer denken, „Veeam = Backup-Software”. Das stimmt — aber Veeam ist inzwischen eine ganze Produktfamilie. Wer alles braucht, braucht meistens mehrere Produkte:

Die wichtigste Abgrenzung: VBR sichert keine Microsoft-365-Daten. Für Exchange Online, OneDrive, SharePoint Online und Teams brauchen Sie zwingend VBO (aktuelle Version: 8). Das vergessen 76 % der Unternehmen — Microsoft übernimmt laut eigenem Shared-Responsibility-Modell nur die Infrastruktur-Verfügbarkeit, nicht Ihre Daten.

Kaseya-Übernahme 2024 — was ändert sich? Veeam wurde im Oktober 2024 von Kaseya für ca. 8,5 Milliarden USD übernommen. Technisch bleibt die Software eigenständig, das Produkt-Team in Prag arbeitet weiter. Für KMU-Kunden spürbar: Bundle-Angebote mit Kaseya-Produkten (Datto, IT Glue), engere Integration in MSP-Plattformen. Reine Veeam-Lizenzen bleiben über den Fachhandel verfügbar — wer nur die Software will, bekommt sie weiterhin separat.

Die 3-2-1-1-0-Regel mit Veeam umsetzen

Die alte 3-2-1-Regel (3 Kopien, 2 Medien, 1 Offsite) ist gegen moderne Ransomware nicht mehr ausreichend. Das BSI empfiehlt in seinen Backup-Handlungsempfehlungen die erweiterte 3-2-1-1-0-Regel:

1. 3 Kopien der Daten: Original plus 2 Backups. Nicht nur das primäre Backup zählt — die Kopien müssen technisch unabhängig sein.
2. 2 unterschiedliche Medien: Disk + Tape, Disk + Cloud, Disk + NAS mit anderem Dateisystem. Gleiche Hardware = gleiches Ausfallrisiko.
3. 1 Kopie Offsite: Räumlich getrennt. Veeam löst das mit „Backup Copy Jobs" auf ein zweites Repository, Tape im Bankschließfach oder Object Storage in einer anderen Region.
4. 1 Kopie offline oder Immutable: Ransomware-sicher. Tape erfüllt das automatisch (air-gapped). Für Disk: Linux Hardened Repository oder S3 Object Lock.
5. 0 Fehler im Restore-Test: Ungetestete Backups sind keine Backups. Veeam SureBackup automatisiert den Test in einer Sandbox.

Für einen Hamburger Mittelständler mit 50 Mitarbeitern sieht eine saubere 3-2-1-1-0-Umsetzung typischerweise so aus: Primary-Backup auf einer NAS im Serverraum, Secondary-Copy auf ein Linux Hardened Repository im Nebengebäude (Immutable), Tertiary-Copy wöchentlich in ein verschlüsseltes S3-Bucket bei einem deutschen Cloud-Provider (Immutable via Object Lock). Plus SureBackup-Tests jeden Montagabend. Kosten: je nach Datenvolumen 4.000–15.000 € Einmalinvest, danach ca. 200–400 € monatlich für Cloud-Storage und Wartung.

Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Veeam für Microsoft 365: Exchange, OneDrive, SharePoint, Teams

Die größte Backup-Lücke in deutschen KMU heißt Microsoft 365. Fast jeder Geschäftsführer glaubt, Microsoft sichere die Daten — tut Microsoft aber nicht. Im Microsoft Services Agreement steht explizit: Verfügbarkeit ist Microsofts Job, Datensicherung ist Ihr Job. Das gilt für:

• Exchange Online — gelöschte Mails, Postfächer von Ex-Mitarbeitern (30 Tage Recycle, dann weg)
• OneDrive for Business — versehentlich überschriebene Dateien, Ransomware-Verschlüsselung
• SharePoint Online — gelöschte Sites, Versionshistorie-Lücken, Teams-Channel-Chaos
• Teams — Chat-Verläufe, die nach 30 Tagen endgültig weg sind, geteilte Dateien
• OneNote, Planner, Tasks — von Microsoft-nativer Aufbewahrung oft nicht gedeckt

Veeam Backup for Microsoft 365 (VBO) sichert alle diese Workloads in eigenes Storage — On-Prem, in die Private Cloud oder in S3-kompatibles Object Storage. Version 8 bringt Self-Service-Restore für Endnutzer, delta-basierte Backups (deutlich weniger Traffic) und Integration mit Microsoft Entra ID für Multi-Faktor-Auth.

Wir setzen VBO bei unseren Hamburger Kunden meist als Managed-Service auf: Storage bei einem deutschen Anbieter, Backup-Server bei uns, Wartung und Monitoring komplett übernommen. Kostenpunkt: ab ca. 3,50 € pro Postfach und Monat — deutlich günstiger als die Kosten eines einzelnen Datenverlusts.

Mehr zur sicheren M365-Betreuung finden Sie auf unserer Seite Microsoft 365 Management und im Praxisguide Managed Microsoft 365.

Immutable Backup gegen Ransomware

Ransomware-Banden 2026 sind Profis. Sie dringen ins Netz ein, bleiben wochenlang unentdeckt, identifizieren das Backup-System — und löschen es als Erstes, bevor sie die Produktivumgebung verschlüsseln. Laut Veeam Ransomware Trends Report 2025 zielen 93 % aller Angriffe explizit auf Backup-Repositories. Ohne Immutability haben Sie keine Chance.

Drei Wege, Veeam-Backups unveränderbar zu machen:

• Linux Hardened Repository. Ein dedizierter Linux-Server mit XFS-Dateisystem und Veeam-Hardened-Konfiguration. Selbst root kann die Backups während der Retention-Periode nicht löschen. Kosten: ca. 3.000–6.000 € Hardware plus Einrichtung.
• S3 Object Storage mit Object Lock. Bei AWS S3, Wasabi, MinIO oder deutschen Anbietern wie IONOS oder Hetzner. Immutability wird auf Storage-Ebene erzwungen. Kostet in der Regel ca. 5–8 €/TB/Monat.
• Tape. Klassisches LTO-Tape ist physisch air-gapped, sobald es im Tresor liegt. Keine Netzwerk-Angriffsfläche, dafür aufwändige Handhabung. Sinnvoll ab ca. 20 TB Sicherungsvolumen.

Wichtig: Immutability allein reicht nicht. Dazu gehören getrennte Admin-Credentials (Backup-Admin ≠ Domain-Admin), MFA auf der Veeam-Konsole, Monitoring auf ungewöhnliche Löschversuche und eine dokumentierte Reaktionskette. Unsere Empfehlung an Hamburger KMU: Härten Sie das Backup genauso wie Sie den Produktivserver härten — und lesen Sie unseren Leitfaden Ransomware-Angriff: was Sie tun können, anstatt Lösegeld zu zahlen. Ein tieferer Technik-Einstieg steht in Backup-Virtualisierung gegen Cyber-Angriffe.

Veeam vs. Acronis vs. Azure Backup vs. Synology ABB

„Müssen wir unbedingt Veeam nehmen?” — Die ehrliche Antwort: Nein. Für kleinere Umgebungen gibt es sinnvolle Alternativen. Hier der Überblick, den wir regelmäßig mit Hamburger Geschäftsführern durchgehen:

Unsere Faustregel für KMU in Hamburg und Norddeutschland:

• Unter 10 Arbeitsplätze, einfache Struktur: Synology ABB auf einer NAS + Offsite-Kopie in C2 Cloud. Fertig.
• 10–50 Arbeitsplätze, wenig IT-Personal, Fokus auf Komplett-Schutz: Acronis Cyber Protect — Backup und Endpoint-Security aus einer Hand spart Verwaltungsaufwand.
• Ab 50 Arbeitsplätzen oder komplexe VM-Landschaft: Veeam. Die Skalierbarkeit und Hypervisor-Flexibilität rechtfertigt den Aufwand.
• Azure-only Infrastruktur, keine On-Prem-Server: Azure Backup plus VBO für M365.

Für die meisten unserer Hamburger Bestandskunden fahren wir heute Veeam oder Acronis — je nachdem, wie stark der Security-Fokus ist. Unsere Empfehlung ist nie „Produkt X ist immer richtig”, sondern ergibt sich aus einem Gespräch. Buchen Sie dafür gerne ein kostenloses 15-Minuten-Erstgespräch — ohne Vertriebsdruck, mit konkreter Orientierung.

Die 7 häufigsten Backup-Fehler bei deutschen KMU

Nach über 20 Jahren IT-Betreuung in Hamburg und 5.000+ Support-Tickets pro Jahr sehen wir dieselben Backup-Fehler immer wieder. Prüfen Sie, ob Ihr Setup einen dieser Fehler enthält:

• Fehler 1: Backups werden nie getestet. Der Klassiker. „Das Backup läuft doch grün" — bedeutet nichts. Nur ein echter Restore-Test beweist, dass die Daten wiederherstellbar sind. Veeam SureBackup automatisiert das.
• Fehler 2: Microsoft 365 ist nicht separat gesichert. 76 % der Unternehmen glauben, Microsoft mache das. Microsoft macht das nicht. Ohne VBO sind M365-Daten bei Löschung, Ransomware oder Kompromittierung weg.
• Fehler 3: Offsite-Kopie hängt am selben Netz. Die „zweite NAS" im Nachbarraum ist kein Offsite. Beim Ransomware-Befall sind beide gleichzeitig weg.
• Fehler 4: Keine Immutability. Backups liegen auf normalem SMB-Share. Ein kompromittiertes Admin-Konto reicht, um alles zu löschen. Pflicht: Linux Hardened Repo oder S3 Object Lock.
• Fehler 5: Backup-Admin = Domain-Admin. Wenn die Zugangsdaten identisch sind, hat jeder Angreifer mit Domain-Admin sofort Zugriff auf das Backup. Pflicht: separate Credentials, eigener Admin-Account.
• Fehler 6: Aufbewahrung zu kurz. 14 Tage sind zu wenig. Moderne Ransomware schlummert oft 30–60 Tage im System, bevor sie zuschlägt. Dann enthalten alle Backups bereits den Trojaner. Mindestens 90 Tage Vollsicherung auf Immutable Storage.
• Fehler 7: Nur eine Person kennt die Zugänge. Wenn „der Peter" im Urlaub ist und die Veeam-Konsole zickt, bricht alles zusammen. Dokumentieren Sie die Prozesse, nutzen Sie ein Passwort-Tool, teilen Sie die Verantwortung.

Ergänzend: Veeam Best Practices für IT-Leiter und unser Disaster-Recovery-Plan-Leitfaden zeigen, wie Sie diese Fehler systematisch abstellen.

Checkliste: Ihr Veeam-Setup in 10 Punkten auditieren

Gehen Sie diese Liste einmal mit Ihrem IT-Verantwortlichen durch. Jeder Punkt sollte ein klares Ja sein:

• 1. Veeam-Server ist nicht in der Produktiv-Domäne. Eigene Admin-Credentials, eigene Domäne oder Workgroup.
• 2. Primary-Backup liegt auf anderem Storage als die Produktivdaten. Nicht auf dem Hypervisor selbst.
• 3. Es gibt eine echte Offsite-Kopie. Anderes Gebäude, andere Stromversorgung, anderes Netz.
• 4. Mindestens eine Kopie ist Immutable. Linux Hardened Repo, S3 Object Lock oder Tape.
• 5. Microsoft 365 ist separat gesichert — mit Veeam Backup for Microsoft 365 oder einer Alternative.
• 6. SureBackup (oder manuelle Restore-Tests) laufen mindestens monatlich. Logs werden archiviert.
• 7. MFA auf Veeam-Konsole und Backup-Admin-Accounts. Kein direkter Zugriff ohne zweiten Faktor.
• 8. Aufbewahrungszeit mindestens 90 Tage für Vollsicherungen auf Immutable Storage.
• 9. Notfallprozess ist dokumentiert. Wer ruft wen an? Welche Restore-Reihenfolge? Wo liegen die Zugangsdaten?
• 10. Monatlicher Management-Report. Erfolgsrate, Restore-Tests, Storage-Füllstand — einmal im Monat auf den Tisch.

Wenn mehr als drei Punkte nicht erfüllt sind, hat Ihr Backup im Ernstfall ein Problem. Dann lohnt sich ein externer Blick — siehe auch unsere Services für Cybersecurity in Hamburg und Hamburger Unternehmen, die bereits bei hagel IT sind.

Was Sie heute tun können

Drei konkrete Schritte, die Sie diese Woche anstoßen können — unabhängig davon, ob Sie Veeam bereits einsetzen oder noch mit Synology, Acronis oder hand-gestrickten Skripten arbeiten:

1. Restore-Test dokumentieren. Lassen Sie Ihr IT-Team heute eine VM oder ein Postfach aus dem Backup wiederherstellen. Wenn das nicht klappt — wichtiger Moment. Dann ist der Rest nebensächlich.
2. Microsoft 365 prüfen. Wird Ihr M365 aktiv gesichert? Wenn nein: Das ist Ihre größte Lücke. VBO kostet ab ca. 3,50 € pro User und Monat — Versicherungs-Niveau.
3. Immutable-Strategie festlegen. Mindestens eine Kopie muss unveränderbar sein. Linux Hardened Repository ist die günstigste Variante und in 1–2 Tagen einsatzbereit.

Wenn Sie bei einem dieser Punkte unsicher sind, sprechen Sie mit einem IT-Systemhaus in Hamburg — kostenlos und ohne Vertriebsdruck. Oder starten Sie mit unserer Cybersicherheits-Checkliste für KMU: 20 Punkte zum Abhaken, inklusive Backup-Härtung.

Mehr Hintergrund zu den Grundlagen finden Sie in Was ist Backup und Wiederherstellung, und wenn Sie eine fertige Komplettlösung suchen: hagel one backup.

Fazit: Veeam ist mächtig — richtig nutzen muss man es trotzdem

Veeam Backup & Replication ist die beste Enterprise-Backup-Software auf dem deutschen Markt, wenn Sie eine komplexe oder wachsende IT-Landschaft betreiben. Die 3-2-1-1-0-Regel, Immutable Repositories, getrennte Admin-Credentials und ein separates Microsoft-365-Backup sind 2026 keine Kür mehr — das sind die Basisanforderungen gegen moderne Ransomware. Wer glaubt, mit „das Backup läuft grün” durchzukommen, unterschätzt die Bedrohungslage.