Inhalt in Kürze
- Redundanz in der IT bedeutet bewusste Mehrfachauslegung kritischer Komponenten — fällt eines aus, übernimmt automatisch ein anderes, ohne dass Ihr Betrieb stillsteht.
- 99,9 % Verfügbarkeit klingt gut — entspricht aber 8,76 Stunden Ausfall pro Jahr. Für 99,99 % („vier Neuner”, 52 Min./Jahr) brauchen Sie echte Redundanz, nicht nur ein Backup.
- Ein Tag Totalausfall in einem 50-MA-Betrieb kostet laut Bitkom-Zahlen schnell 40.000 bis 80.000 € — bei Branchen mit Echtzeit-IT (Logistik, E-Commerce, Produktion) deutlich mehr.
- Seit NIS-2 (Oktober 2024 in deutsches Recht) ist Verfügbarkeits- und Redundanzplanung Chefsache — mit persönlicher Haftung der Geschäftsleitung bei nachweisbarer Vernachlässigung.
- Die vier wichtigsten Redundanzarten im Mittelstand: Hardware (Server, Netzteile, RAID), Netzwerk (zwei Provider, redundante Firewalls), Daten (Replikation + Backup) und Standort (Georedundanz, Cloud-Failover).
Sie denken: „Wir haben doch ein Backup, damit sind wir sicher.” Das ist der teuerste Denkfehler der mittelständischen IT. Ein Backup stellt Daten wieder her — nachdem der Server tot ist, nachdem der Betrieb steht, nachdem Ihre Kunden angerufen haben. Redundanz verhindert, dass es überhaupt so weit kommt.
Wir sehen das bei unseren Kunden in Hamburg täglich. Ein Unternehmen mit 40 Mitarbeitern verliert in zwei Stunden Ausfall mehr Geld als ein komplettes redundantes Setup in fünf Jahren kostet. Trotzdem ist Redundanz oft das Erste, was beim Budget gestrichen wird — weil man sie nicht sieht, solange alles läuft. Dieser Artikel zeigt Ihnen, wie Redundanz im KMU wirklich aussieht, was sie kostet, was ihr Fehlen kostet — und wo Sie den wirtschaftlich sinnvollen Hebel ansetzen.
Was ist Redundanz in der IT?
Redundanz in der IT ist die gezielte Mehrfachauslegung kritischer Komponenten, damit der Ausfall eines Elements nicht zum Stillstand des Gesamtsystems führt. Sie ist keine Verschwendung, sondern Kalkül — jede einzelne Komponente ist ein potenzieller Fehler, also baut man Alternativen ein, bevor der Fehler passiert.
Redundanz Bedeutung — was „redundant” in der IT heißt
Im Alltag bedeutet „redundant” überflüssig oder doppelt. In der IT ist die Bedeutung genau umgekehrt: bewusst doppelt vorhanden, um Ausfälle abzufangen. Ein redundantes System ist ein System, das auch dann weiterläuft, wenn eine Komponente ausfällt — weil eine zweite (oder dritte) bereitsteht. Die Definition stammt aus der Informationstheorie: Redundanz ist zusätzliche Information, die zur Fehlerkorrektur dient.
Konkret heißt das im KMU-Alltag: zwei Internet-Leitungen statt einer, zwei gespiegelte Server statt eines, RAID-Festplatten statt einzelner, ein Failover-Cluster statt eines Single-Servers. Redundante Systeme sind also nicht „überflüssig”, sondern die Voraussetzung für Hochverfügbarkeit — und seit NIS-2 für viele Mittelständler verpflichtend.
Jeder Jumbo-Jet hat vier Triebwerke, nicht weil er sie alle braucht, sondern damit drei Ausfälle nicht zum Absturz führen. Genauso läuft es in einem guten Rechenzentrum.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ordnet Redundanz fest in seine Empfehlungen zur Hochverfügbarkeit ein. Der Kerngedanke: Jede Komponente, von deren Funktion der Geschäftsbetrieb abhängt, braucht mindestens eine Reserve — oft mehrere.
Entscheidend zu verstehen: Verfügbarkeit wird in Neunern gemessen. Je mehr Neuner, desto teurer wird jede weitere. Von 99 % auf 99,9 % ist ein überschaubarer Sprung. Von 99,99 % auf 99,999 % bedeutet oft die Verdopplung der Infrastruktur-Kosten. Welche Klasse Sie brauchen, ist nicht technisch, sondern betriebswirtschaftlich — wie teuer ist eine Stunde Stillstand in Ihrem Unternehmen?
Warum Redundanz 2026 ein Muss ist
Drei Entwicklungen haben aus „nice to have” einen harten Pflichttermin gemacht:
1. Die Bedrohungslage. Ransomware-Angriffe auf den deutschen Mittelstand haben ein neues Niveau erreicht. Das BSI meldet im aktuellen Lagebericht zur IT-Sicherheit in Deutschland, dass KMU das Hauptziel automatisierter Massenangriffe sind. Ein verschlüsselter Primärserver ohne Redundanz bedeutet: keine Arbeit, bis das Backup zurückgespielt ist — im Schnitt 10 bis 21 Tage.
2. Die Abhängigkeit. 2019 konnten die meisten KMU-Mitarbeiter auch mal einen Tag ohne zentrale IT arbeiten. 2026 steht der Betrieb sofort. CRM, ERP, Telefonie, Dokumenten-Ablage — alles cloud-basiert oder abhängig von einem Server, einem Netzzugang, einer Firewall. Die Dominoeffekte sind größer geworden.
3. Die Haftung. Die NIS-2-Richtlinie ist seit Oktober 2024 in deutsches Recht überführt. Sie macht Geschäftsleitungen persönlich haftbar für unzureichende Cybersicherheit — und Verfügbarkeit gehört explizit dazu. Das BSI führt rund 30.000 betroffene Unternehmen, ab etwa 50 Mitarbeitern oder 10 Mio. € Umsatz.
Zitierfähig: Ein Tag Totalausfall bei einem 50-Mitarbeiter-Betrieb kostet nach Bitkom-Zahlen zwischen 40.000 und 80.000 €. Ein redundantes Setup für denselben Betrieb liegt bei 10.000 bis 20.000 € pro Jahr. Die Rechnung geht nach einem halben Ausfalltag auf.
Wenn Sie mehr zur Haftungsseite wissen wollen: Unser Leitfaden zur NIS-2-Beratung in Hamburg erklärt, welche Unternehmen betroffen sind und welche Maßnahmen die Aufsicht im Einzelnen erwartet.
Arten von Redundanz — der Vergleich
In der Praxis existieren vier Redundanz-Level. Welcher für Sie wirtschaftlich ist, hängt davon ab, wie teuer eine Stunde Ausfall im eigenen Betrieb ist.
| Level | Aufbau | Verfügbarkeit | Typische Einsätze | Kosten |
|---|---|---|---|---|
| N (keine Redundanz) | Genau so viele Komponenten wie nötig | ca. 99 % — 3,65 Tage/Jahr Ausfall | Kleinstbetriebe, Test-Umgebungen | Basis |
| N+1 | Eine Komponente mehr als nötig | ca. 99,9 % — 8,76 Std./Jahr | Mittelstand Standard | +15–30 % |
| 2N | Komplett doppelte Infrastruktur | ca. 99,99 % — 52 Min./Jahr | Produktion, E-Commerce, Finanzen | +80–120 % |
| 2N+1 | Vollspiegelung + Reserve | ca. 99,999 % — 5 Min./Jahr | Banken, Krankenhäuser, KRITIS | +150–200 % |
| Georedundant | Zwei Rechenzentren ≥ 200 km | bis 99,9999 % | KRITIS-Pflicht, Cloud-Setups | Variabel |
Die meisten Mittelständler sind mit einem soliden N+1 auf Serverseite und 2N bei Internet und Strom gut versorgt. Georedundanz wird über die Cloud-Providern (Azure, AWS, Google) deutlich günstiger — ein Azure-Failover über zwei europäische Regionen liegt für kleine Workloads im niedrigen dreistelligen Bereich pro Monat.
Für die Tiefe der Verfügbarkeitsklassen bietet das BSI eine ausführliche Handreichung zur Standortwahl georedundanter Rechenzentren — seit 2019 gilt dort der „mindestens 200 km”-Richtwert für echte Georedundanz.
Was passiert ohne Redundanz — drei Praxisfälle aus Hamburg
Wir begleiten als IT-Dienstleister für Unternehmen in Hamburg und Norddeutschland regelmäßig Fälle, in denen fehlende Redundanz Unternehmen ins Schlingern bringt. Drei davon anonymisiert:
Fall 1 — Ausfall der einzigen Internet-Leitung (Mittelständler aus der HafenCity): Ein Logistikunternehmen mit 60 Mitarbeitern hatte eine 1-GBit-Glasfaser-Leitung ohne Failover. Im Februar 2025 wurde bei Bauarbeiten am Großen Grasbrook die Leitung durchtrennt. Drei Werktage lang kein Zugriff auf ERP, Lagerverwaltung und Telefonie. Schaden: 78.000 € an Umsatzausfall plus Vertragsstrafen wegen verspäteter Lieferungen. Eine redundante LTE/5G-Backup-Leitung hätte 80 € monatlich gekostet.
Fall 2 — Server-Ausfall ohne Cluster (Architekturbüro aus Wandsbek): Ein 25-Mitarbeiter-Büro nutzte einen einzelnen on-premises Server für CAD-Daten und Projektakten. Im Sommer 2024 fiel die RAID-Controller-Karte aus, parallel war das Backup vier Tage alt. Datenverlust: 3,5 Projekttage. Wiederherstellungskosten inkl. Forensik: 42.000 €, dazu zwei verlorene Projekte wegen Lieferverzug. Ein redundanter Server-Cluster hätte den Ausfall in 30 Sekunden überbrückt.
Fall 3 — Stromausfall ohne USV (Kanzlei in Rotherbaum): Eine Steuerkanzlei mit 18 Mitarbeitern arbeitete mit einem ungeschützten Serverraum. Bei einem Hamburger Stromnetzausfall im Januar 2025 waren sie fünf Stunden offline — Laufwerkschäden durch abruptes Ausschalten führten zusätzlich zu einem halben Tag Ausfall am Folgetag. Gesamtschaden: 18.000 € an verlorener Arbeitszeit plus 4.500 € Wiederherstellung. Eine USV für 1.200 € einmalig hätte das Problem komplett verhindert.
Unsere Cybersicherheits-Checkliste für KMU — 20 konkrete Punkte inklusive Redundanz-, Backup- und Notfall-Check, die jeder Hamburger Mittelständler sofort prüfen kann. Keine Registrierung, direkter PDF-Download.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Redundanz ist genau dafür da: dass der Ernstfall gar nicht erst weh tut.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Technologien und Konzepte in der Praxis
Redundanz lässt sich nicht an einer Stelle „einbauen” — sie entsteht durch ein Zusammenspiel mehrerer Techniken. Die wichtigsten im Überblick:
RAID (Redundant Array of Independent Disks) — Mehrere Festplatten werden zu einem logischen Laufwerk zusammengefasst. RAID 1 spiegelt jede Information auf zwei Platten, RAID 5 verteilt Parität über mehrere Platten, RAID 6 verträgt zwei gleichzeitige Ausfälle. Wichtig: RAID ersetzt kein Backup — es schützt nur vor Hardware-Defekten, nicht vor Ransomware oder menschlichem Fehler.
Failover-Cluster — Zwei (oder mehr) Server laufen parallel. Fällt der aktive Server aus, übernimmt der zweite innerhalb von Sekunden. Technisch meist über Windows Server Failover Clustering, VMware vSphere HA oder Proxmox Cluster gelöst. Der Nutzer merkt bestenfalls einen kurzen Aussetzer.
Load Balancer — Verteilen Anfragen auf mehrere Server. Fällt einer aus, gehen die Anfragen automatisch an die verbleibenden. Load Balancing und Redundanz ergänzen sich: Ein Load Balancer macht aus redundanten Servern aktiv genutzte Kapazität statt stummem Reservesystem.
Redundante Netzanbindung — Zwei separate Internet-Leitungen über unterschiedliche Provider und möglichst unterschiedliche Technologien (Glasfaser + 5G oder DSL). Ein Router mit SD-WAN-Fähigkeit schaltet automatisch um, wenn eine Leitung ausfällt.
USV und Notstrom — Unterbrechungsfreie Stromversorgung überbrückt Netzausfälle. Im KMU typisch: N+1-Konfiguration bei der USV, optional ein Dieselgenerator für längere Ausfälle. Gehört zur Grundausstattung jedes ernstzunehmenden Serverraums.
Cloud-Redundanz — Public-Cloud-Anbieter bieten Verfügbarkeitszonen („Availability Zones”) innerhalb einer Region und Georedundanz über mehrere Regionen. Microsoft Azure beispielsweise garantiert für Zone-redundant-Speicher eine Verfügbarkeit von 99,9999999999 %. Unsere Cloud Services setzen genau auf solche Konzepte auf.
Mehr Details zu RAID-Level und Failover-Verhalten finden Sie im Microsoft-Learn-Artikel Übersicht über Failoverclustering — eine der besten Einstiege ins Thema.
Redundanz-Audit: Die 8-Punkte-Checkliste
Bevor Sie neu investieren, machen Sie Bestandsaufnahme. Diese acht Punkte decken 95 % der Schwachstellen in typischen KMU-Setups auf:
- Internet-Anbindung. Haben Sie mindestens zwei Leitungen, am besten über verschiedene Provider und Trassen? Automatisches Failover konfiguriert und in den letzten 12 Monaten getestet?
- Stromversorgung. USV im Serverraum, korrekt dimensioniert (mind. 15 Min. Laufzeit), Batterien jünger als 3 Jahre, automatisches Shutdown-Script bei längeren Ausfällen?
- Server-Cluster. Laufen kritische Dienste (AD, File-Server, ERP) auf einem einzelnen Server oder auf einem Cluster? Bei einem Cluster: Wurde das Failover in den letzten 6 Monaten getestet?
- Storage. Alle Produktiv-Daten auf RAID 1, 5, 6 oder 10? Hot-Spare-Disk verfügbar? SMART-Monitoring aktiv mit Alert bei drohenden Defekten?
- Backup getrennt vom Netzwerk. Gibt es neben der Online-Replikation eine Offline-Kopie (Air-Gapped, Tape, Immutable Cloud)? Wann wurde zuletzt ein Restore-Test gemacht?
- Firewall- und Netzwerk-Hardware. Läuft Ihre Firewall als Single-Unit oder als HA-Paar? Zweiter Core-Switch für kritische Abschnitte vorhanden?
- Telefonie. Läuft die VoIP-Anlage in der Cloud oder on-premises? Ausweich-Rufumleitung bei Ausfall konfiguriert?
- Standort-Redundanz. Was passiert, wenn Ihr Serverraum in Flammen steht oder geflutet wird? Gibt es eine zweite Lokation oder eine Cloud-Replikation in einer anderen Region?
Wenn Sie drei oder mehr Punkte nicht klar mit „Ja, und dokumentiert” beantworten können, ist Ihr aktuelles Setup nicht NIS-2-tauglich — unabhängig davon, ob Ihr Unternehmen direkt betroffen ist. Kunden und Versicherer werden zunehmend Nachweise verlangen.
NIS-2 und Hochverfügbarkeit — das Haftungsthema
Seit 17. Oktober 2024 gilt die NIS-2-Richtlinie in Deutschland. Sie macht aus „Redundanz wäre gut” ein „Redundanz ist Pflicht” — für alle betroffenen Unternehmen, und auch indirekt für deren Zulieferer entlang der Lieferkette.
Was NIS-2 konkret fordert (Auszug Art. 21, Abs. 2):
- Maßnahmen zur Sicherstellung der Betriebskontinuität — darunter Backup-Management, Notfallwiederherstellung und Krisenmanagement
- Sicherheit der Lieferkette — Anforderungen werden an Zulieferer weitergegeben
- Maßnahmen zur Aufrechterhaltung und Wiederherstellung der Verfügbarkeit nach Vorfällen
- Nachweispflicht gegenüber Aufsichtsbehörden, in Hamburg: BSI plus Landesbehörde
- Meldepflicht binnen 24 Stunden (Frühwarnung), 72 Stunden (Meldung), 1 Monat (Abschlussbericht)
- Persönliche Haftung der Geschäftsleitung — nicht auf IT-Leiter abwälzbar, nicht versicherbar
Die Bußgelder sind empfindlich: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, der höhere Wert zählt. Die persönliche Haftung bleibt davon unberührt.
Ob Sie betroffen sind, prüft unser Schnellcheck in unter 5 Minuten — anonym und ohne Registrierung:
Wer einen sauberen Einstieg in die NIS-2-Anforderungen sucht, findet in der Dokumentation des Bundesamts für Sicherheit in der Informationstechnik einen verständlichen Überblick über die NIS-2-Pflichten — inkl. Risikomanagement, Berichtspflichten und Sanktionen.
Aus der Praxis — eine Kundenstimme
Die Fallstudie, die wir am häufigsten zitieren, ist kurz und unangenehm klar:
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit und Ausfallsicherheit sind kein Luxus, sondern Überlebensfrage.
Bernd K. hatte ein Backup. Es war nur nicht getrennt vom Netzwerk — die Angreifer haben es gleich mit verschlüsselt. Er hatte einen Server — aber keinen zweiten. Und er hatte eine Internet-Leitung — keinen Ausfallweg. In drei Bereichen kein Plan B, und schon reicht ein einziger Angriff aus.
Seine Firma hat es überlebt, aber knapp. Die Versicherung zahlte einen Teil, Eigenkapital wurde angegriffen, Kunden wanderten ab. Heute läuft sein Setup mit Redundanz auf allen drei Ebenen, Backup-System getrennt, Cloud-Replikation für die wichtigsten Datensätze, zwei Internet-Leitungen. Kosten: rund 9.500 € pro Jahr als Teil seines Managed-IT-Vertrags. Die Rechnung versteht jeder Unternehmer, der einmal drei Monate stillgestanden hat.
Details zum Gegenstück — also zur Wiederherstellung nach einem Ausfall — finden Sie in unserem Leitfaden zum Disaster-Recovery-Plan für Unternehmen. Redundanz und Disaster Recovery sind die zwei Seiten derselben Medaille: Redundanz verhindert den Stillstand, Disaster Recovery bringt Sie zurück, wenn er trotzdem passiert.
Häufige Fehler in der Praxis
Wenn wir bei Neukunden in Hamburg, Bremen, Kiel oder Lübeck eine Redundanz-Analyse machen, finden wir regelmäßig dieselben sieben Muster:
- Backup gilt als Redundanz. Nein. Backup ist Wiederherstellung, Redundanz ist Weiterlaufen. Beides braucht man.
- RAID gilt als Ausfallschutz. RAID schützt vor Hardware-Defekten — nicht vor Ransomware, nicht vor Brand, nicht vor menschlichem Fehler. Ein verschlüsselnder Angreifer verschlüsselt alle Platten im RAID parallel.
- Ein Cluster ohne Test. Wir sehen regelmäßig Failover-Cluster, die nie getestet wurden. Im Ernstfall funktioniert das Failover dann — oft eben auch nicht.
- Zwei Internet-Leitungen über dasselbe Kabel. Beide Provider liegen in derselben Straße im selben Rohr. Bei Bauarbeiten sind beide weg. Echte Redundanz braucht verschiedene Trassen.
- USV nie geprüft. Batterien altern. Eine 5 Jahre alte USV hält vielleicht noch 2 Minuten statt 15. Das merkt man nur beim nächsten Ausfall.
- Single-Point-Firewall. Alle Pakete laufen durch eine Firewall. Fällt die aus, steht der gesamte Internetverkehr — auch der zum Cloud-ERP.
- Keine Dokumentation. Redundanz-Setup steht nur im Kopf des ehemaligen Administrators. Der ist in Rente, die Nachfolge kennt die Hälfte nicht.
„Das ist doch nur was für Konzerne." — Stimmt nicht. Gerade im Mittelstand tut ein Ausfall mehr weh, weil die Rücklagen dünner sind. Ein Konzern kann einen Millionenschaden stemmen. Ein 40-MA-Betrieb nicht unbedingt. Redundanz ist für den Mittelstand wichtiger als für den Konzern, nicht weniger wichtig.
Was Sie heute tun können
Drei konkrete Schritte für diese Woche:
- Single Points of Failure identifizieren: Gehen Sie gedanklich jedes kritische System durch — Server, Internet, Strom, Firewall, Backup, Telefonie. Was hängt an genau einer Komponente? Machen Sie eine Liste. Sie wird länger sein, als Sie denken.
- Ausfallkosten rechnen: Was kostet Sie eine Stunde Stillstand? Mitarbeiter × Stundensatz × Ausfallzeit ist die Untergrenze. Hinzu kommen verlorene Aufträge, Reputation, Vertragsstrafen. Diese Zahl macht die Wirtschaftlichkeit von Redundanz sofort klar.
- Wirtschaftlichkeits-Check machen: Vergleichen Sie diese Stunden-Ausfallkosten mit monatlichen Redundanz-Kosten. Wenn ein redundanter Cluster 400 €/Monat kostet und ein Ausfall 6.000 €/Stunde — rechnen Sie. Ab wann rentiert sich Redundanz? Meist nach dem ersten halben Ausfalltag.
Wer die Rechnung ernsthaft durchgeht, kommt für 90 % aller mittelständischen Betriebe zu demselben Ergebnis: Redundanz ist nicht Luxus, sondern betriebswirtschaftlich zwingend. Die Frage ist nicht „ob”, sondern „welche Tiefe”.
Fazit — Ihr nächster Schritt
Redundanz in der IT ist kein technisches Detail, sondern eine Management-Entscheidung. Sie entscheiden: Wie viele Stunden Stillstand kann mein Unternehmen verkraften? Was kostet mich eine Stunde? Wie viel bin ich bereit zu investieren, um das zu vermeiden?
Für den typischen Hamburger Mittelständler mit 20 bis 80 Mitarbeitern liegt die Antwort meist bei N+1 auf Server- und Storage-Ebene, 2N bei Internet und Strom, Cloud-Replikation für den K-Fall — als Teil eines Managed-IT-Vertrags. Die Gesamtkosten bleiben in einem Rahmen, den jeder Geschäftsführer rechtfertigen kann, sobald er einmal mit spitzer Feder durchgerechnet hat, was das Gegenteil kostet.
Wenn Sie wissen wollen, wo Ihr Unternehmen konkret steht — wir machen einen 15-Minuten-Kurz-Check Ihrer Redundanz-Situation. Ohne Vertriebsdruck, ohne Folgepflicht. Sie bekommen eine ehrliche Einschätzung, welche Lücken geschlossen werden sollten und welche Sie getrost auf die 12-Monate-Liste setzen können.
Als IT-Service zum Festpreis betreuen wir über 150 Unternehmen in Hamburg und Norddeutschland. Redundanz, Monitoring und Ausfallsicherheit sind bei unseren Managed-IT-Verträgen inklusive — keine Extra-Rechnungen, keine Überraschungen im Notfall.
15 Minuten Klarheit zu Ihrer Ausfallsicherheit.
Kostenlos. Ohne Vertriebsdruck. Ehrliche Einschätzung von Geschäftsführer zu Geschäftsführer.
Erstgespräch buchen →Weiterführende Quellen:
