| 4. August 2023 · Aktualisiert: 24. April 2026 | 16 Min.

Backup und Wiederherstellung: Leitfaden für IT-Entscheider (2026)

Inhalt in Kürze

Backup und Wiederherstellung sind zwei getrennte Prozesse. Ein Backup ohne getesteten Recovery-Prozess ist keine Sicherung, sondern Hoffnung — in 40 % der Unternehmen kippt genau hier der Ernstfall
Die 3-2-1-1-0-Regel ist der aktuelle Standard: 3 Kopien, 2 Medien, 1 extern, 1 Immutable, 0 Testfehler
RTO und RPO steuern die Kosten: Je kürzer Recovery Time und Recovery Point, desto teurer — aber oft rechnet sich das bereits ab Stunde 1 eines Ausfalls
Microsoft 365 ist nicht automatisch gesichert. Ohne Drittanbieter-Backup verstoßen Sie gegen GoBD, DSGVO und NIS-2
Laut Bitkom-Studie 2025 liegt der durchschnittliche Ransomware-Schaden bei 266.000 Euro — Unternehmen ohne Immutable Backups zahlen das Drei- bis Zehnfache

Sie sind IT-Leiter, Geschäftsführer oder technisch versierter Entscheider. Sie wissen, dass „wir machen jede Nacht ein Backup” kein Konzept ist. Sie brauchen die richtigen Stellschrauben: RPO/RTO-Werte, Immutable-Storage-Architektur, Recovery-Tests, Compliance-Mapping. Genau darum geht es hier — nicht um Basics, sondern um die Entscheidungen, die im Ernstfall über Fortbestand oder Insolvenz bestimmen.

Dieser Leitfaden bündelt Praxiswissen aus 20+ Jahren als IT-Systemhaus Hamburg und über 5.000 Support-Tickets pro Jahr. Wir schreiben hier, was uns in echten Ransomware-Notfällen bei Hamburger KMU wirklich geholfen hat — und was bei Neukunden regelmäßig versagt hat.

Backup und Wiederherstellung: die technische Definition

Backup und Wiederherstellung bezeichnen zwei technisch getrennte Prozesse der Datensicherung. Das Backup erzeugt eine konsistente Kopie produktiver Daten auf einem physisch oder logisch getrennten Medium — idealerweise mit Prüfsummen, Versionierung und Verschlüsselung. Die Wiederherstellung (Recovery) spielt diese Kopie zurück: auf die ursprüngliche Infrastruktur, auf Ersatz-Hardware oder in eine neu aufgebaute Cloud-Umgebung.

Der Unterschied klingt banal, entscheidet aber über alles. Ein Backup, das nie wiederhergestellt wurde, ist kein Backup — es ist ein Log-Eintrag mit dem Wort „success”. Wir sehen jede Woche Neukunden mit Backup-Systemen, die seit Monaten scheinbar laufen, deren Jobs aber seit Wochen korrupt sind. Niemand prüft die Restores. Im Ernstfall: RAW-Dateien, broken Datenbanken, fehlende AD-Objekte.

Wichtig:

Ein modernes Backup-Konzept besteht aus mindestens sechs Komponenten: (1) automatisierte Datenerfassung, (2) verschlüsselte Übertragung, (3) Immutable Storage, (4) Versionierung mit Retention-Policy, (5) Monitoring + Alerting, (6) dokumentierte Recovery-Prozesse mit quartalsweisen Tests. Fehlt auch nur ein Baustein, haben Sie ein Sicherheitsgefühl — keine Sicherung.

Backup vs. Disaster Recovery vs. Business Continuity

IT-Entscheider verwechseln diese drei Begriffe regelmäßig — mit finanziellen Folgen. Hier die klare Abgrenzung, wie wir sie in Cyber-Risikoanalysen mit Geschäftsführern durchgehen:

Ebene	Was es technisch ist	Beispiel-Szenario
Backup	Kopie der Daten auf separatem Medium, zeitpunktbezogen	Tägliche Veeam-Jobs auf Hardened Repository + Cloud-Tier
Recovery	Wiederherstellungsprozess aus dem Backup	File-Restore, VM-Restore, Full-Mount bei Datenbank-Korruption
Disaster Recovery	Plan zur Wiederherstellung der gesamten IT nach Totalausfall	RZ-Brand → Failover zu Azure Site Recovery in 4 Stunden
Business Continuity	Gesamtstrategie zur Aufrechterhaltung des Geschäftsbetriebs	Ausweichbüro, manuelle Notprozesse, Krisenkommunikation

Backup ist der Baustein, Recovery der Prozess, Disaster Recovery der Plan, Business Continuity die Strategie. Als IT-Entscheider müssen Sie alle vier Ebenen dokumentiert haben — spätestens bei NIS-2-Betroffenheit ist das Pflicht.

Die 3-2-1-1-0-Regel: aktueller BSI-Standard

Die 3-2-1-Regel ist seit Jahrzehnten der internationale Goldstandard. Das BSI empfiehlt sie als Mindestanforderung im IT-Grundschutz. Seit rund 2020 hat sich die Regel weiterentwickelt zur 3-2-1-1-0-Regel — und genau die ist heute der Maßstab:

3 Kopien Ihrer Daten. Das Produktivsystem plus zwei unabhängige Sicherungen. Eine einzige Kopie ist keine Sicherung, sondern Verdopplung. Die zweite Kopie fängt Hardware-Ausfälle ab, die dritte fängt logische Fehler und Ransomware ab.
2 unterschiedliche Medientypen. Nicht beide Kopien auf der gleichen Storage-Plattform. Kombinieren Sie z. B. SAN-Snapshot + S3-Object-Storage oder NAS + Tape. Das schützt vor gleichzeitigen Ausfällen durch Hersteller-Bugs, Firmware-Probleme oder logische Fehler in der Storage-Schicht.
1 Kopie extern (off-site). Mindestens eine Sicherung an einem anderen physischen Standort — idealerweise in einer anderen Brandschutzzone. Cloud-Backup erfüllt das automatisch. Schützt vor Brand, Wasser, Einbruch und vor sich ausbreitender Ransomware.
1 Kopie immutable. Eine Version muss für einen definierten Zeitraum (typisch 30–90 Tage) unveränderlich sein. Technisch via WORM-Speicher, S3 Object Lock, Veeam Hardened Repository oder Air-Gapped Tape. Selbst kompromittierte Admin-Accounts können diese Kopie nicht löschen.
0 Fehler beim Recovery-Test. Quartalsweise Test, dokumentiert, mit Verantwortlichen. Null Toleranz für „war zu knapp" oder „hat fast geklappt". Wer nicht testet, hat kein Backup.

IT-Entscheider plant RPO- und RTO-Werte für Backup und Wiederherstellung am Whiteboard — Vor jeder Backup-Strategie steht die RPO/RTO-Definition — pro System schriftlich mit der Geschäftsführung abgestimmt. Das ist nicht Technik, sondern Risiko-Management.

RPO und RTO: die beiden Kennzahlen, die alles steuern

Bevor Sie technisch irgendwas auswählen, brauchen Sie RPO und RTO — schriftlich, pro System, unterschrieben von der Geschäftsführung. Diese beiden Werte steuern Architektur, Tool-Auswahl und Kosten. Wer sie überspringt, kauft am Bedarf vorbei.

RPO

Recovery Point Objective — wie viel Datenverlust ist tolerierbar?

RTO

Recovery Time Objective — wie schnell muss das System wieder laufen?

266.000 €

Durchschnittsschaden pro Ransomware-Angriff (Bitkom 2025)

RPO — der maximal tolerierbare Datenverlust

Der Recovery Point Objective definiert, welche Zeitspanne an Daten Sie verlieren dürfen, ohne dass das Geschäft Schaden nimmt. Das nächtliche Backup um 02:00 Uhr bedeutet bei einem Ausfall am Donnerstag 15:00 Uhr einen RPO von 13 Stunden — Sie verlieren einen kompletten Arbeitstag.

Typische RPO-Werte nach Systemkritikalität:

System-Typ	Empfohlener RPO	Technik
Datenbank ERP/Warenwirtschaft	15 Minuten	Transaktions-Log-Backup, Storage-Snapshots
Fileserver, Microsoft 365	1–4 Stunden	Continuous Data Protection (CDP), Hourly-Snapshots
Entwicklungs-/Testsysteme	24 Stunden	Nightly Backup reicht
Archive, statische Daten	7 Tage	Weekly-Full-Backup

RTO — die maximal tolerierbare Ausfallzeit

Der Recovery Time Objective definiert, wie lange ein System maximal ausfallen darf. Eine Steuerkanzlei in der Abgabephase hat einen RTO von 2 Stunden, eine Werbeagentur vielleicht 24 Stunden. Die Frage „Was kostet uns eine Stunde Stillstand?” beantwortet der Geschäftsführer — nicht die IT.

Unsere Faustregel aus der Praxis: Bei geschäftskritischen Systemen RTO unter 4 Stunden, bei ERP/Warenwirtschaft unter 2 Stunden. Für Hamburger Logistik-Kunden, deren Flotte stündlich neue Aufträge bekommt, haben wir RTOs von unter 30 Minuten aufgesetzt — das ging nur mit Hot-Standby-Infrastruktur in Azure.

Praxis:

Ein Hamburger Spediteur rief uns nach einem Ransomware-Angriff an einem Sonntagabend an. Mit vorab definiertem RTO von 2 h und vorbereiteten Azure-Templates waren die kritischen TMS-Systeme am Montagmorgen wieder produktiv — auf Ersatz-Infrastruktur. Ohne Plan hätten wir 3–5 Tage gebraucht. Das war der Unterschied zwischen „IT-Problem" und „Existenzbedrohung".

Backup-Typen und wann Sie welchen brauchen

Welcher Backup-Typ der richtige ist, hängt von Datenmenge, Änderungsfrequenz, RPO und Retention ab. In der Praxis kombinieren moderne Architekturen mehrere Typen gleichzeitig:

Typ	Technik	Vorteil	Typischer Use Case
Full Backup	Komplette Kopie aller Daten	Einfachste Wiederherstellung	Wöchentliche Vollsicherung
Inkrementell	Nur Änderungen seit letztem Backup (voll oder inkrementell)	Kurze Laufzeit, wenig Storage	Tägliches Delta
Differenziell	Alle Änderungen seit letztem Full-Backup	Schnellere Recovery als inkrementell	Zwischen Wöchentlich und Täglich
Snapshot	Punktgenaue Kopie auf Storage-Ebene (SAN/NAS)	Minutengenau, sehr schnell	ERP, Datenbanken, VMs
CDP	Continuous Data Protection — praktisch Echtzeit	RPO nahe Null	Kritische Datenbanken
Immutable	WORM-Schutz, S3 Object Lock, Hardened Repository	Ransomware-sicher	Compliance-Layer
Air-Gapped	Physisch getrenntes Medium, offline	Maximale Sicherheit	Monatliches Archiv

In der Praxis sieht eine gesunde Backup-Architektur so aus: Tägliche inkrementelle Backups on-prem (schnelle Restores), wöchentliches Full-Backup, stündliche Snapshots für kritische Datenbanken, monatliche Immutable-Kopien in der Cloud (z. B. Azure Blob mit Object Lock), quartalsweise Air-Gapped-Kopien auf Tape. Das klingt aufwändig — mit Tools wie Veeam oder Cove Data Protection ist es ein Konfigurations-Setup, keine tägliche Arbeit.

Cloud vs. On-Prem: die richtige Storage-Architektur

Die Frage „Cloud oder lokal?” ist strategisch falsch gestellt. Die richtige Frage lautet: „Welche Tier-Strategie erfüllt mein RPO/RTO bei welchem Budget?” Das BSI empfiehlt explizit hybride Ansätze — und aus gutem Grund:

Lokale Tier-1-Backups (NAS, SAN-Snapshot) liefern die schnellste Wiederherstellung. Ein 500-GB-Fileserver ist lokal in 1–2 Stunden zurück. Aus der Cloud dauert es 8–12 Stunden — bei 50/100-Mbit-Leitungen deutlich länger.
Cloud-Tier für Off-Site bietet die zweite Kopie ohne eigenes Ausweich-RZ. Typische Lösungen: Veeam Cloud Connect, Azure Backup, AWS Backup, Acronis Cyber Protect. Für Datenmengen unter ~500 GB ist reines Cloud-Backup oft die günstigste Option.
Archive-Tier (Azure Blob Cool/Archive, AWS Glacier) für Langzeit-Aufbewahrung. 90 Tage bis 10 Jahre Retention zu minimalen Kosten — aber mit Wiederherstellungszeiten von Stunden bis Tagen.

Hard-Disk-Drive als Symbol für Immutable Backup und Air-Gapped Storage in der Backup-Architektur — Immutable und Air-Gapped Storage sind die beiden Bausteine, ohne die Backups einen modernen Ransomware-Angriff nicht überleben. Ein klassisches NAS-Backup ohne diese Tiers ist in 90 % der Fälle mit verschlüsselt.

Microsoft 365 — der blinde Fleck vieler IT-Entscheider

Microsoft sichert seine eigene Infrastruktur gegen Hardware-Ausfälle — nicht Ihre Daten gegen versehentliches Löschen, Insider-Angriffe oder Ransomware. Das sogenannte Microsoft Shared Responsibility Model stellt das unmissverständlich klar: Die Datensicherung liegt beim Kunden.

Konkrete Risiken ohne separates M365-Backup:

Gelöschte SharePoint-Bibliotheken sind nach 93 Tagen endgültig weg
Versehentlich gelöschte E-Mail-Ordner sind nach 14–30 Tagen unwiederbringlich
Teams-Chats werden nur mit eingeschränkter Retention gespeichert
Kompromittierte Admin-Accounts können Mailboxen vollständig löschen

Verstoß gegen GoBD (10-Jahres-Aufbewahrung), DSGVO (Verfügbarkeit und Integrität nach Art. 32) und NIS-2 (Backup-Konzept). Tools wie SkyKick Backup, Veeam for Microsoft 365 oder Acronis Cyber Backup schließen diese Lücke — ab ca. 3–5 Euro pro Postfach/Monat.

Die Krypto-Trojaner werden nicht sofort aktiv, die schlummern erstmal. Wenn Sie das Backup von letzter Woche zurückspielen, ist der da auch schon drauf. Deshalb brauchen Sie Immutable Backups mit mindestens 30 Tagen Retention — sonst rollen Sie nur den Angriff zurück.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Ransomware-Resilienz: warum Immutable Storage Pflicht ist

2025 hat Ransomware laut Bitkom-Studie „Wirtschaftsschutz 2025” einen Schaden von 178,6 Milliarden Euro in Deutschland verursacht. Der Durchschnitts-Einzelschaden liegt bei 266.000 Euro. In unserer Praxis sehen wir bei KMU ohne Immutable Backup regelmäßig Schäden zwischen 400.000 und 2 Millionen Euro — weil zu Lösegeld und Ausfallkosten auch forensische Untersuchungen, DSGVO-Meldungen und Reputationsschäden kommen.

Das technische Kernproblem: Moderne Ransomware ist kein Skript, sondern ein geplanter Angriff. Angreifer verbringen durchschnittlich 14 Tage im Netzwerk, bevor sie verschlüsseln. In dieser Zeit werden gezielt Backup-Systeme kompromittiert — Backup-Admin-Accounts übernommen, Repositorys gelöscht oder verschlüsselt, Retention-Policies manipuliert. Klassische Backups auf Netzlaufwerken sind damit in 90 % der Fälle wertlos.

Die Antwort: Immutable Storage. Wir setzen bei Kunden typischerweise drei Schichten ein:

Veeam Hardened Repository auf Linux mit WORM-Schutz auf Dateisystem-Ebene
S3 Object Lock in Azure Blob Storage oder AWS S3 mit Compliance-Mode (selbst Root kann nicht löschen)
Air-Gapped Tape für monatliche Archive — physisch getrennt, nicht netzwerkfähig

Für typische KMU mit 25–100 Arbeitsplätzen bewegen sich die Mehrkosten gegenüber klassischem Backup bei 80–200 Euro pro Monat — ein Bruchteil des durchschnittlichen Schadens. Eine laufende Cybersecurity-Strategie macht das Thema zum festen Bestandteil des Sicherheitsbudgets, nicht zur Sonderausgabe.

NIS-2 und Backup: Pflichten seit Oktober 2024

Die NIS-2-Richtlinie ist in Deutschland seit Oktober 2024 in Kraft. Laut BSI sind rund 30.000 deutsche Unternehmen direkt betroffen — dazu viele weitere als Zulieferer. Für Backup und Wiederherstellung bedeutet NIS-2 konkrete, prüfbare Anforderungen:

Dokumentiertes Backup-Konzept. Schriftlich, versioniert, freigegeben — was wird wann gesichert, wo liegt es, wer ist verantwortlich. Mündliche Regelungen fallen im Audit durch.
Getestete Wiederherstellungsprozesse. Mindestens quartalsweise, protokolliert mit Datum, Datenmenge, Dauer, Ergebnis und Verantwortlichen. Im Audit muss das Protokoll vorliegen.
Definierte RPO/RTO-Werte pro System. Risikobasiert, freigegeben von der Geschäftsführung — nicht aus dem Bauch heraus.
Meldepflicht binnen 24 Stunden. Erhebliche Cybervorfälle müssen dem BSI gemeldet werden — inklusive Auswirkungen auf Backup und Wiederherstellung.
Geschäftsführung haftet persönlich. Bei Verstößen drohen Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes — zusätzlich zur persönlichen Haftung der Organe.

Ob Sie NIS-2-pflichtig sind, klärt unser NIS2-Betroffenheits-Check in 2 Minuten. Ist Compliance nicht automatisch gegeben, greift unsere NIS2-Beratung Hamburg mit Fokus auf die Backup-Architektur.

7 typische Backup-Fehler aus der Praxis

Aus über 5.000 Support-Tickets pro Jahr und unzähligen Neukunden-Übernahmen kennen wir die Muster. Alle folgenden Fälle sind echt, bei Hamburger KMU vorgefunden, Namen natürlich anonymisiert:

Backup-Repository im selben Broadcast-Domain wie die Produktion. RAID auf Fileserver A, „Backup" auf einer zweiten Partition von Server A. Storage-Controller-Ausfall, beides tot. Bei einem Architekturbüro in Eppendorf: 50 GB CAD-Daten weg.
NAS als einzige Sicherung. Synology oder QNAP im Serverraum neben dem Hauptsystem. Feuer, Wasser, Einbruch — oder eine Ransomware, die SMB/NFS-Shares mit verschlüsselt. Alles weg.
Backup-Jobs laufen, aber Recovery nie getestet. Neukunde aus der HafenCity: Veeam-Logs mit „success" seit 8 Monaten. Die Backups waren durchgehend korrupt — kein Recovery möglich. Niemand hatte es geprüft.
Admin-Credentials wiederverwendet. Dasselbe Admin-Passwort auf Produktiv-System, Backup-System und in der Cloud. Hamburger Logistiker: Angreifer bekamen per Phishing das Passwort — und damit sofort Zugriff auf das gesamte Backup-Ökosystem.
Microsoft 365 ohne separates Backup. „Microsoft sichert das doch." Nein. Versehentlich gelöschte SharePoint-Bibliotheken sind nach 93 Tagen weg. Keine Recovery-Option. GoBD-Verstoß.
Monitoring-Mails im Auto-Archiv. Backup-Job-Report-Mails werden an ein nicht gelesenes Postfach geschickt. Wenn Jobs fehlschlagen, merkt es niemand. Im Ernstfall: „Seit wann geht das schon nicht?"
Kein dokumentierter Recovery-Prozess. Im Ernstfall stehen Admins panisch im Serverraum. Wer macht was in welcher Reihenfolge? Welche Credentials? Welche Systeme zuerst? Niemand weiß es. Rücksicherung dauert Tage statt Stunden.

Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.

Bernd Kühn · Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter

Das Wichtigste: Das größte Backup-Risiko ist nicht fehlende Technik — es ist fehlende Disziplin. Monitoring, quartalsweise Tests und saubere Dokumentation entscheiden über den Ausgang des Ernstfalls. Alles andere ist Nebenarbeit.

Entscheider-Checkliste: Backup-Strategie in 10 Punkten

Bevor Sie eine neue Backup-Lösung einführen — oder die bestehende reviewen — arbeiten Sie diese Liste ab. Jeder Punkt muss mit „Ja, schriftlich” beantwortet sein:

RPO/RTO pro System definiert. Geschäftsführung hat unterschrieben, Werte sind im Servicevertrag mit dem Dienstleister hinterlegt.
3-2-1-1-0 implementiert. Alle fünf Kriterien erfüllt — auch das „0 Testfehler". Audit-Trail der letzten 4 Quartals-Tests liegt vor.
Alle kritischen Systeme gesichert. Fileserver, Datenbanken, ERP, CRM, Mail, Microsoft 365, Spezialsoftware (DATEV, RA-MICRO, MediFox, SAP Business One).
Microsoft 365 via Drittanbieter-Backup. Exchange, SharePoint, OneDrive, Teams-Chats. Retention mindestens 7 Jahre für Mail (GoBD).
Immutable-Layer vorhanden. WORM, S3 Object Lock oder Veeam Hardened Repository. Retention 30–90 Tage, mit Compliance-Mode.
Quartalsweiser Recovery-Test. Dokumentiert mit Datum, Datenmenge, Dauer, Verantwortlicher, Ergebnis. Automatische SureBackup-Tests reichen nicht — mindestens ein manueller Full-Restore pro Quartal.
Monitoring mit Eskalation. Fehlerhafte Backup-Jobs werden binnen 24 Stunden erkannt und ticket-gezogen. Kein Ticket ohne Bearbeiter.
Notfallkontakte offline verfügbar. Telefonnummern, Zugangsdaten, Eskalationswege — auf Papier in einem Safe, nicht nur im verschlüsselten SharePoint.
DSGVO- und NIS-2-konforme Dokumentation. Backup-Speicher in der EU, AVV mit dem Dienstleister, Löschkonzept, Auditfähigkeit.
Verantwortlichkeiten schriftlich geregelt. Primär, Vertretung, Eskalation. Inklusive Kontaktkette im Ernstfall bis zur Geschäftsführung.

Tipp:

Wenn Sie bei drei oder mehr Punkten „nein" oder „unklar" sagen müssen, ist ein Backup-Audit überfällig. Wir bieten das als Teil eines kostenlosen 15-Minuten-Erstgesprächs in Hamburg an — technisch, ehrlich, ohne Vertriebsdruck.

Welche Backup-Lösungen wir bei hagel IT einsetzen

Je nach Unternehmensgröße, Branche und Anforderung kombinieren wir unterschiedliche Tools. Unsere Backup-Lösung für Unternehmen bietet Festpreis-Modelle pro Endpoint, VM und Postfach:

Veeam Backup & Replication — Standard für Unternehmen mit VMware/Hyper-V. Hardened Repository, Immutable Cloud-Tier, SureBackup-Tests. Enterprise-grade, bewährt, RPO bis hinunter zu Minuten.
Acronis Cyber Protect — All-in-One für Mischumgebungen (Windows, Mac, Linux, Mobile). Starker Anti-Ransomware-Scanner direkt im Backup-Agent.
Cove Data Protection — cloudbasiert, Multi-Tenant, ideal für verteilte Standorte und M365.
Azure Backup — für Kunden mit bestehender Azure-Umgebung. Native Integration, Immutable Vaults, Site Recovery als Failover-Option.
Synology C2 Backup — günstige Option für kleine Fileserver und Endpoints.
SkyKick Backup — M365-Spezialist für Exchange, SharePoint, OneDrive und Teams.

Kombiniert mit 24/7-Monitoring im Rahmen unserer Managed IT Services, quartalsweisen Recovery-Tests und dokumentierten Wiederherstellungsprozessen ergibt das eine Backup-Infrastruktur, die auch einem gezielten Ransomware-Angriff standhält.

Was Sie als IT-Entscheider jetzt tun sollten

Wenn Sie bis hier gelesen haben, gibt es mindestens einen Punkt in Ihrer Infrastruktur, bei dem Sie nicht hundertprozentig sicher sind. Drei konkrete Schritte für die nächsten 14 Tage:

Backup-Inventur in 30 Minuten. Was wird gesichert? Wohin? Wie oft? Wann wurde zuletzt erfolgreich getestet? Gibt es einen Immutable-Layer? Wenn Sie das nicht binnen 30 Minuten zusammentragen können, fehlt Dokumentation — unabhängig davon, ob das Backup läuft.
Recovery-Test durchführen. Wählen Sie eine zufällige Datei, die vor 45 Tagen gelöscht wurde. Können Sie sie wiederherstellen? In 15 Minuten? Auf einen Testserver? Das ist der einfachste Ernstfall-Test.
Externen Blick einholen. Interne Reviews sind sinnvoll — aber der geübte Blick eines externen Partners findet in 1–2 Stunden die Lücken, die intern seit Jahren übersehen werden.

Backup-Audit mit 20+ Jahren Praxis aus Hamburg?

15 Minuten. Kostenlos. Technisch ehrlich, ohne Vertriebsdruck. Wir schauen uns Ihre Backup-Architektur an und sagen, wo wir Risiken sehen.

Erstgespräch buchen →

Fazit

Backup und Wiederherstellung sind 2026 keine IT-Nebenaufgabe mehr — sie sind Chefsache. Bei NIS-2-Betroffenheit haftet die Geschäftsführung persönlich, bei Ransomware entscheidet die Backup-Strategie über Fortbestand oder Insolvenz. Die 3-2-1-1-0-Regel, Immutable Backups, getestete Recovery-Prozesse und ein separates Microsoft-365-Backup sind heute Standard — nicht Luxus.

Unser Erfahrungswert aus über 200 betreuten Unternehmen in Hamburg und Norddeutschland: Die Technik ist selten das Problem. Die Disziplin ist das Problem. Tools gibt es genug, bezahlbare auch. Aber wer Backups nur einrichtet und dann nie wieder anguckt, hat im Ernstfall keines. Wenn Sie Ihre Backup-Infrastruktur professionell aufsetzen und kontinuierlich monitoren lassen wollen, sprechen Sie uns an — in Hamburg, Bremen, Kiel oder Lübeck.

Weiterführende Quellen:

Jens Hagel

Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Profil ansehen

Inhalt

Alle Kundenstimmen

4,9

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

Backup und Wiederherstellung (englisch Backup and Recovery) beschreiben zwei zusammenhängende Prozesse: Das Backup erzeugt eine Kopie Ihrer Daten auf einem getrennten Medium, die Wiederherstellung (Recovery) spielt diese Kopie im Ernstfall zurück. Als IT-Entscheider brauchen Sie beide Prozesse dokumentiert, automatisiert und regelmäßig getestet — sonst schützen sie im Katastrophenfall nicht.

Die 3-2-1-Regel ist der BSI-empfohlene Goldstandard: 3 Kopien Ihrer Daten, auf 2 unterschiedlichen Medientypen (z. B. NAS + Cloud), wobei 1 Kopie an einem externen Standort liegt. Die moderne Erweiterung 3-2-1-1-0 ergänzt: 1 Kopie unveränderlich (Immutable/Air-Gapped) plus 0 Fehler im Wiederherstellungstest. Für NIS-2-pflichtige Unternehmen ist dieses Schema de facto Pflicht.

RTO (Recovery Time Objective) legt fest, wie schnell ein System nach einem Ausfall wieder laufen muss. RPO (Recovery Point Objective) definiert, wie viel Datenverlust maximal tolerierbar ist. Beispiel: RTO 4 h und RPO 1 h bedeutet, dass das System binnen 4 Stunden wieder produktiv sein muss und maximal die letzte Stunde an Daten verloren gehen darf. Beide Werte bestimmen die Kosten Ihrer Backup-Infrastruktur.

Moderne Ransomware sucht gezielt nach Backup-Systemen und verschlüsselt diese zuerst — klassische NAS-Backups im selben Netzwerk sind in 90 % der Fälle mit verschlüsselt. Sie brauchen zusätzlich Immutable Backups (WORM-Schutz, z. B. Veeam Hardened Repository oder S3 Object Lock) oder Air-Gapped Storage (physisch getrenntes Medium ohne Netzwerkverbindung). Erst damit überlebt Ihre Sicherung einen erfolgreichen Angriff.

Ja — und zwingend. Microsoft sichert nur die eigene Infrastruktur gegen Hardware-Ausfälle. Laut Microsoft Shared Responsibility Model liegt die Datensicherung gegen Löschung, Insider-Angriffe, Ransomware oder Compliance-Anforderungen beim Kunden. Gelöschte SharePoint-Bibliotheken sind nach 93 Tagen unwiederbringlich weg. Für Exchange, SharePoint, OneDrive und Teams-Chats brauchen Sie ein Drittanbieter-Backup (z. B. SkyKick, Veeam for Microsoft 365, Acronis).

Ein Immutable Backup ist eine unveränderliche Datenkopie, die für einen festgelegten Zeitraum (typisch 30–90 Tage) weder überschrieben noch gelöscht werden kann — auch nicht vom Administrator. Technisch umgesetzt über WORM-Speicher, S3 Object Lock oder Veeam Hardened Repository. Sie brauchen Immutable Backups, sobald Sie produktiv geschäftskritische Daten halten — spätestens wenn NIS-2, KRITIS oder Cyberversicherung es fordern.

Mindestens quartalsweise, dokumentiert mit Datum, Datenmenge, Dauer und Ergebnis. Für KRITIS- und NIS-2-pflichtige Unternehmen ist der Recovery-Test Compliance-relevant. Wir empfehlen zusätzlich monatliche Stichprobentests einzelner Dateien, jährliche Full-Restore-Tests kompletter Systeme sowie einen jährlichen Desaster-Drill mit simuliertem Ausfall der gesamten Primär-Infrastruktur.

Für 25 Arbeitsplätze mit Fileserver, ERP, Microsoft 365 und Immutable Cloud-Backup liegen die monatlichen Kosten typischerweise zwischen 200 und 450 Euro — abhängig von Datenmenge, Aufbewahrungsfristen und RPO/RTO-Anforderungen. Bei hagel IT starten Managed Backup-Services ab Festpreis-Modellen inklusive Monitoring, quartalsweiser Recovery-Tests und NIS-2-konformer Dokumentation.