hagel IT-Services
Termin buchen
hagel IT
Termin buchen 040 284 10 26-0
Kontakt
29. März 2026 6 Min.

Disaster Recovery und Business Continuity: So schützen Sie Ihr Unternehmen vor dem Stillstand

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • 25 Prozent der Unternehmen, die eine größere Katastrophe erleben, schließen dauerhaft
  • Das BSI hat 2025 eigene BCM-Leitfäden speziell für KMU veröffentlicht — der Handlungsdruck steigt
  • RTO und RPO sind die zwei Kennzahlen, die jeder Geschäftsführer kennen muss
  • Cloud-basierte DR-Lösungen machen professionellen Schutz auch für kleine Unternehmen bezahlbar

Freitagabend, 18 Uhr. Ein Blitzschlag trifft die Stromversorgung Ihres Bürogebäudes in Hamburg-Wandsbek. Der Server ist beschädigt, die USV hat nicht gehalten. Am Montagmorgen stehen 25 Mitarbeiter vor dunklen Bildschirmen. Wie lange können Sie so überleben? Einen Tag? Eine Woche? Einen Monat?

Warum jedes Unternehmen einen Notfallplan braucht

Die Statistik ist unbarmherzig: 25 Prozent aller Unternehmen, die eine schwere Betriebsunterbrechung erleben, erholen sich davon nie wieder. Das BSI hat im November 2025 spezielle Broschüren zum Business Continuity Management für KMU veröffentlicht — ein klares Signal, dass auch kleine Unternehmen handeln müssen.

25 %
schließen nach einer Katastrophe dauerhaft
950
Ransomware-Angriffe im BSI-Berichtszeitraum 2025
56 %
der KMU erfüllen nur die Basis-IT-Sicherheit

Und es geht nicht nur um Naturkatastrophen. Die häufigsten Auslöser für IT-Ausfälle:

  1. Ransomware-Angriffe — 950 dokumentierte Fälle im BSI-Berichtszeitraum 2025, die Mehrheit gegen KMU
  2. Hardware-Defekte — Server, Switches, Speichersysteme haben eine begrenzte Lebensdauer
  3. Menschliche Fehler — Falsche Konfiguration, versehentliches Löschen, fehlerhafte Updates
  4. Stromausfälle und Wasserschäden — Besonders in älteren Bürogebäuden ein reales Risiko
  5. Lieferkettenprobleme — Cloud-Anbieter oder ISP-Ausfälle, auf die Sie keinen Einfluss haben

RTO und RPO: Die zwei Zahlen, die Sie kennen müssen

Bevor Sie über Technik sprechen, brauchen Sie Antworten auf zwei Fragen:

RTO — Recovery Time Objective:

Wie lange darf Ihre IT maximal ausfallen? 1 Stunde? 4 Stunden? 24 Stunden? Das ist Ihre RTO.

RPO — Recovery Point Objective:

Wie viele Stunden Datenverlust können Sie verkraften? Null? 1 Stunde? 24 Stunden? Das ist Ihre RPO.

Ein Beispiel: Eine Spedition in der HafenCity hat Aufträge, die stündlich eingehen. Eine RPO von 24 Stunden würde bedeuten, dass ein ganzer Tag Aufträge verloren gehen könnte. Nicht akzeptabel. Die RPO muss bei 1 Stunde oder weniger liegen.

SzenarioRTORPOTypische Lösung
Büro mit 10 MA, geringe Datenänderung8 Std.24 Std.Tägliches Cloud-Backup
Kanzlei mit Mandantenakten4 Std.4 Std.NAS + Cloud-Backup, stündlich
Logistik mit Live-Aufträgen1 Std.1 Std.Failover-System, kontinuierliche Replikation
E-Commerce mit Online-Shop15 Min.0 Std.Hochverfügbarkeits-Cluster

IT-Redundanz: Schwachstellen identifizieren und absichern

Redundanz bedeutet: Jede kritische Komponente existiert doppelt. Fällt eine aus, übernimmt die andere.

  • Internetanbindung. Ein zweiter ISP (z. B. LTE-Failover) für den Fall, dass die Hauptleitung ausfällt.
  • Stromversorgung. USV (unterbrechungsfreie Stromversorgung) für Server und Netzwerk. Überbrückt mindestens 15 Minuten für ein sauberes Herunterfahren.
  • Server und Speicher. RAID-Systeme schützen vor einzelnen Festplattenausfällen. Für echte Redundanz: zweiter Server oder Cloud-Failover.
  • Netzwerk. Redundante Switches und kein Single Point of Failure im Netzwerk-Design.
  • Cloud-Dienste. Microsoft 365 hat eine SLA von 99,9 %. Aber auch hier sollten Sie ein [Backup Ihrer Cloud-Daten](/it-sicherheit/backup-unternehmen-datensicherung-guide) haben.

Wie lange überlebt Ihr Unternehmen ohne IT?

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Termin buchen →

Der Disaster-Recovery-Plan: Was reingehört

Ihr DR-Plan muss keine 50 Seiten haben. Aber er muss die folgenden Fragen beantworten — klar, konkret und so, dass auch ein Nicht-Techniker damit arbeiten kann:

  1. Kontaktliste. Wer wird bei einem Ausfall informiert? IT-Dienstleister, Geschäftsführung, betroffene Mitarbeiter, ggf. Kunden.
  2. Kritische Systeme priorisieren. Was muss zuerst laufen? E-Mail? ERP? Telefonie? Dateizugriff?
  3. Wiederherstellungsschritte. Für jedes kritische System: Wo liegt das Backup? Wie wird es zurückgespielt? Wer macht das?
  4. Kommunikationsplan. Wie erreichen Sie Mitarbeiter, wenn E-Mail und Telefon ausfallen? Private Handynummern? Messenger-Gruppe?
  5. Ausweicharbeitsplätze. Können Mitarbeiter von zu Hause arbeiten? Gibt es Laptops mit VPN-Zugang?
  6. Testplan. Wann wird der Plan das nächste Mal getestet? Wer ist verantwortlich?

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Cloud-basiertes Disaster Recovery: Auch für KMU bezahlbar

Früher war echtes Disaster Recovery nur für Großunternehmen mit eigenem Rechenzentrum bezahlbar. Heute gibt es Cloud-basierte Lösungen, die auch für ein 15-Personen-Unternehmen funktionieren:

  • Azure Site Recovery repliziert Ihre Server in die Microsoft-Cloud. Bei Ausfall schalten Sie innerhalb von Minuten auf die Cloud-Kopien um.
  • Veeam Cloud Connect sichert Ihre virtuellen Maschinen in ein externes Rechenzentrum. Wiederherstellung per Knopfdruck.
  • Managed DR über Ihren IT-Partner: Der Partner übernimmt Planung, Einrichtung, Tests und im Ernstfall die Wiederherstellung.

Die Kosten für eine solide Cloud-DR-Lösung liegen bei 200 bis 500 Euro monatlich für ein typisches KMU — deutlich günstiger als ein einziger Tag Betriebsausfall.

Aus der Praxis: Ransomware um Weihnachten

Ein Kunde berichtet:

„Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage." — Bernd Kühn, Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter

Drei Monate Stillstand. Für ein kleines Unternehmen kann das das Ende bedeuten. Mit einem getesteten DR-Plan und einem sauberen Offline-Backup wäre die Wiederherstellung in Tagen statt Monaten möglich gewesen.

DR-Test: So prüfen Sie, ob Ihr Plan funktioniert

Ein Plan, der in der Schublade liegt, ist wertlos. Testen Sie mindestens einmal pro Jahr:

  1. Tabletop-Übung: Das Team geht ein Szenario theoretisch durch. „Was tun wir, wenn morgen alle Server verschlüsselt sind?” Dauert 2 Stunden, kostet nichts.
  2. Partial Restore: Stellen Sie eine kritische Datenbank oder ein Postfach aus dem Backup wieder her. Funktioniert es? Wie lange dauert es?
  3. Full DR-Test: Simulieren Sie einen Komplettausfall. Alle Systeme aus dem Backup wiederherstellen. Aufwändig, aber der einzige Test, der wirklich zählt.
Das Wichtigste: Disaster Recovery ist keine Frage der Unternehmensgröße, sondern der Existenzsicherung. RTO und RPO definieren, was Sie brauchen. Die 3-2-1-Backup-Regel bildet die Basis. Und ein getesteter Notfallplan stellt sicher, dass Sie im Ernstfall handlungsfähig bleiben.

Ihr nächster Schritt

Sie haben keinen DR-Plan? Oder einen, der seit drei Jahren nicht mehr angeschaut wurde? Wir helfen Ihnen, Ihre kritischen Systeme zu identifizieren und einen pragmatischen Notfallplan aufzusetzen.

Jens Hagel
Jens Hagel
Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2025 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Über uns
Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

Disaster Recovery (DR) fokussiert sich auf die Wiederherstellung der IT-Systeme nach einem Ausfall. Business Continuity (BC) ist breiter und umfasst alle Maßnahmen, damit der gesamte Geschäftsbetrieb weiterläuft — auch nicht-technische Prozesse.

RTO (Recovery Time Objective) ist die maximale Ausfallzeit, die Sie tolerieren können. RPO (Recovery Point Objective) ist der maximale Datenverlust in Stunden. Beispiel: RTO 4 Stunden bedeutet, dass Systeme innerhalb von 4 Stunden wieder laufen müssen.

Ja. Gerade kleine Unternehmen sind verwundbarer, weil ein mehrtägiger IT-Ausfall existenzbedrohend sein kann. Der Plan muss nicht 50 Seiten haben — aber die Kernfragen müssen beantwortet sein: Was tun wir, wenn alles ausfällt?

Ein einfacher DR-Plan mit Cloud-Backup und dokumentiertem Wiederherstellungsprozess kostet ab 500 Euro einmalig plus laufende Backup-Kosten. Eine vollständige DR-Lösung mit Failover-Systemen liegt bei 200-500 Euro monatlich.

Mindestens einmal pro Jahr einen vollständigen DR-Test durchführen. Quartalsweise einzelne Restore-Tests. Nach jeder größeren IT-Änderung den Plan aktualisieren.

Das könnte Sie auch interessieren

IT-Sicherheit

NIS-2 Beratung Hamburg: Was Geschäftsführer jetzt tun müssen
IT-Sicherheit

WatchGuard Firewall vom Gold Partner in Hamburg: Warum der Partnerstatus für Sie zählt
IT-Sicherheit

Backup für Unternehmen: Der Komplett-Guide zu Datensicherung und Wiederherstellung