Backup-Strategie: So entwerfen Sie eine Strategie, die Ihr Unternehmen wirklich schützt

April 25, 2026
George Rouse
Backup und Recovery, Sicherungsstrategien

Laut dem „Kaseya State of the MSP Report 2026“ verzeichneten 50 % der MSPs im Vergleich zum Vorjahr ein Umsatzwachstum im Bereich BCDR-Dienstleistungen, womit dieser Bereich nach der Cybersicherheit den zweitstärksten Wachstumsbereich darstellt. Laden Sie den vollständigen Bericht hier herunter.

Eine Backup-Software zu installieren und eine Backup-Strategie zu haben, ist nicht dasselbe. Dieser Unterschied ist von enormer Bedeutung, wenn etwas schiefgeht.

Eine Backup-Strategie ist ein festgelegter, dokumentierter Ansatz zum Schutz von Daten, der festlegt, welche Daten gesichert werden, wie oft dies geschieht, wo die Kopien gespeichert werden, wie lange sie aufbewahrt werden und wie schnell eine Wiederherstellung erfolgen muss. Ohne eine solche Strategie wird das Backup zu einer Reihe von Ad-hoc-Entscheidungen, die unabhängig voneinander getroffen werden, einige Systeme abdecken, andere jedoch nicht, einige Wiederherstellungsanforderungen erfüllen, andere jedoch nicht, und eine trügerische Sicherheit vermitteln, die sich erst dann zeigt, wenn unter Druck eine Wiederherstellung versucht wird.

Dieser Leitfaden beschreibt, wie Sie eine Backup-Strategie entwickeln, die umfassend ist, den Anforderungen an die Geschäftskontinuität entspricht und widerstandsfähig gegenüber den spezifischen Bedrohungen ist, die auf die Backup-Infrastruktur abzielen.

Entwickeln Sie eine Backup-Strategie, die für das Zeitalter der Ransomware ausgelegt ist

Datto BCDR unterstützt die 3-2-1-1-0-Architektur, lokale Backup-Appliances, unveränderliche Cloud-Kopien sowie automatisierte Überprüfungen und bietet MSPs und IT-Teams damit einen ausfallsicheren, gegen Ransomware resistenten Wiederherstellungsweg.

Entdecken Sie Datto BCDR

Beginnen Sie mit den Wiederherstellungsanforderungen, nicht mit der Backup-Technologie

Die meisten Unternehmen beginnen Gespräche über Datensicherung mit technischen Aspekten: Welche Software, welches Gerät, welcher Cloud-Dienst? Der richtige Ausgangspunkt ist jedoch die geschäftliche Frage: Wie muss die Wiederherstellung aussehen?

Zwei Kennzahlen bestimmen die Anforderungen an die Wiederherstellung:

Recovery Time Objective (RTO), die maximale Zeit, die ein System oder ein Dienst ausfallen darf, bevor die Auswirkungen inakzeptabel werden. Ein RTO von vier Stunden bedeutet, dass die IT-Abteilung ab dem Zeitpunkt des Ausfalls vier Stunden Zeit hat, um den Dienst wiederherzustellen. RTOs sollten pro System auf der Grundlage der geschäftlichen Auswirkungen von Ausfallzeiten definiert werden und nicht als ein einziger Wert für die gesamte Umgebung.

Recovery Point Objective (RPO), der maximal akzeptable Datenverlust, gemessen in Zeit. Ein RPO von 24 Stunden bedeutet, dass das Unternehmen den Verlust von Daten aus bis zu 24 Stunden akzeptiert. Ein RPO von einer Stunde bedeutet, dass für die betroffenen Systeme mindestens stündlich eine Datensicherung erfolgen muss.

Sobald RTO und RPO für jede Systemebene definiert sind, geht es bei der Auswahl der Backup-Technologie darum, welche Lösungen diese Anforderungen erfüllen können. Ein System mit einem RTO von vier Stunden benötigt eine sofortige oder nahezu sofortige Wiederherstellungsfunktion, ein imagebasiertes Backup mit Virtualisierungswiederherstellung oder eine BCDR-Appliance, die das geschützte System innerhalb weniger Minuten in der Cloud hochfahren kann. Ein System mit einem RTO von 24 Stunden kann ein herkömmliches Dateibackup mit täglichen Vollsicherungen nutzen.

Diese Vorgehensweise verhindert den häufigen Fehler, Backup-Tools allein aufgrund der Kosten oder der Vertrautheit mit ihnen auszuwählen und dann im Ernstfall festzustellen, dass die Wiederherstellung weitaus länger dauert, als es für das Unternehmen tragbar ist.

Klassifizierung von Daten und Systemen nach Wiederherstellungspriorität

Nicht alle Systeme erfordern denselben Aufwand in Bezug auf Backup-Geschwindigkeit, -Häufigkeit und -Aufbewahrungsdauer. Durch eine Einstufung der Systeme nach Wiederherstellungspriorität lassen sich die Investitionen in Backups gezielt einsetzen:

Stufe 1, geschäftskritisch. Systeme, deren Ausfall den Geschäftsbetrieb sofort zum Erliegen bringt: Kerngeschäftsanwendungen, Datenbanken, Domänencontroller, ERP-Systeme, Zahlungsabwicklung. Stufe 1 erfordert die niedrigsten RTO- und RPO-Werte, in der Regel unter einer Stunde. Technologie: Image-basierte Datensicherung mit lokaler Virtualisierung, BCDR-Appliance mit Cloud-Kontinuität und CDP für Datenbanken mit höchster Kritikalität.

Stufe 2, geschäftskritisch. Systeme, deren Ausfall den Betrieb erheblich beeinträchtigt, ihn jedoch nicht sofort zum Erliegen bringt: E-Mail-Server, Dateiserver, sekundäre Geschäftsanwendungen. Für Stufe 2 sind etwas längere RTOs (in der Regel einige Stunden) und RPOs (in der Regel einige Stunden bis zu einem Tag) akzeptabel.

Stufe 3, Standard. Endgeräte, Entwicklungsumgebungen, nicht kritische Anwendungen. Stufe 3 ermöglicht tägliche Backups mit Wiederherstellungszeiten von mehreren Tagen. Technologie: tägliche Datei-/Image-Backups, ausschließlich Cloud-basierte Kopien, Standardaufbewahrungsdauer.

Bei diesem Tiering-Konzept geht es nicht nur um Kostenmanagement, sondern darum, sicherzustellen, dass die kritischsten Systeme über die Wiederherstellungsfähigkeiten verfügen, die das Unternehmen tatsächlich benötigt, und dass Investitionen in teurere Wiederherstellungstechnologien dort konzentriert werden, wo sie den größten Nutzen bringen.

Die Wahl der richtigen Backup-Architektur

Eine Kombination aus lokaler Appliance und Cloud ist die ausfallsicherste Architektur für Unternehmen mit umfangreicher lokaler Infrastruktur. Die Appliance bietet eine lokale Sicherung für die schnelle Wiederherstellung nach gängigen Ausfallszenarien; die Cloud-Kopie dient als externe, isolierte Sicherung, die Ereignisse auf Standortebene sowie Ransomware-Angriffe auf lokale Speichermedien übersteht. Datto SIRIS diese Architektur: eine gehärtete Linux-Appliance mit lokaler Virtualisierungsfunktion für die schnelle Wiederherstellung vor Ort und automatischer Cloud-Replikation für den externen Schutz.

Ein „Cloud-First“-Backup eignet sich für Unternehmen, deren Infrastruktur überwiegend aus Cloud- oder SaaS-Lösungen besteht, oder für solche, die über keine lokalen Rechenzentren verfügen. Die Backups werden direkt in den Cloud-Speicher übertragen, wobei unveränderlicher Objektspeicher Schutz vor Ransomware bietet. Die Wiederherstellung erfolgt entweder von Cloud zu Cloud oder von der Cloud auf lokale Systeme.

Hybride Backups eignen sich für Unternehmen mit mehreren Umgebungen, die sowohl lokale als auch Cloud-Workloads nutzen. In der Regel sind für die verschiedenen Umgebungen unterschiedliche Tools erforderlich: eine appliancebasierte Lösung für lokale Umgebungen, cloud-native Backups für die Cloud-Infrastruktur und SaaS-Backups für SaaS-Anwendungen. Entscheidend ist dabei eine zentralisierte Verwaltung, die von einer einzigen Konsole aus einen Überblick über alle Backup-Umgebungen bietet.

Bei einer auf BCDR ausgerichteten Architektur hat die Wiederherstellungsgeschwindigkeit Vorrang vor der Kosteneffizienz der Datensicherung. BCDR-Appliances können geschützte Systeme innerhalb weniger Minuten nach einem Ausfall lokal virtualisieren und so den Geschäftsbetrieb aufrechterhalten, während die Wiederherstellung auf der primären Hardware im Hintergrund erfolgt. Diese Architektur eignet sich für Tier-1-Systeme mit RTO-Anforderungen von unter vier Stunden.

Aufbewahrungsrichtlinien: Wie lange muss was aufbewahrt werden?

Die Aufbewahrungsrichtlinie ist eine der strategisch wichtigsten Entscheidungen im Bereich der Datensicherung und zugleich eine der am wenigsten sorgfältig durchdachten. Zwei gegensätzliche Faktoren beeinflussen die Aufbewahrungsdauer:

Die Verweildauer von Ransomware spricht für eine längere Aufbewahrungsdauer. Moderne Ransomware-Angriffe gehen häufig mit wochen- oder monatelanger Erkundung einher, bevor die zerstörerische Nutzlast eingesetzt wird. Wenn die Aufbewahrungsdauer für Backups in einem Unternehmen 30 Tage beträgt und der Angreifer bereits 45 Tage vor dem Einsatz der Ransomware Zugriff erlangt hat, könnten alle Backup-Kopien in das Zeitfenster der Kompromittierung fallen und möglicherweise verschlüsselte oder infizierte Dateien enthalten. Unternehmen müssen die Aufbewahrungsdauer deutlich über die erwartete maximale Verweildauer hinaus verlängern, um sicherzustellen, dass saubere Wiederherstellungspunkte verfügbar sind.

Die Speicherkosten sprechen für eine kürzere Aufbewahrungsdauer. Eine längere Aufbewahrungsdauer bedeutet einen höheren Speicherbedarf.

Die Lösung besteht in einer abgestuften Aufbewahrungsrichtlinie:

  • Aktuelle Sicherungen (letzte 7–30 Tage): häufige Intervalle, hohe Granularität, schneller Zugriff
  • Monatliche Backups: werden 12 Monate lang aufbewahrt
  • Jährliche Backups: Aufbewahrungsfrist von 3–7 Jahren (abhängig von den gesetzlichen Vorschriften)

Compliance-Vorschriften bestimmen zudem die Mindestaufbewahrungsfristen. Die HIPAA schreibt die Sicherung betroffener Daten sowie eine angemessene Aufbewahrungsdauer vor. DSGVO Aufbewahrungsfristen DSGVO , die mit den Anforderungen an die Aufbewahrung von Sicherungskopien in Einklang gebracht werden müssen. Branchenspezifische Vorschriften (Finanzdienstleistungen, Gesundheitswesen, öffentliche Verwaltung) legen häufig Mindestaufbewahrungsfristen für Prüfungs- und Rechtssicherungszwecke fest.

Unveränderliche Sicherungskopien, die während ihrer festgelegten Aufbewahrungsfrist weder geändert noch gelöscht werden können, schützen sowohl vor Ransomware als auch vor versehentlichem Löschen und stellen sicher, dass historische Wiederherstellungspunkte unabhängig von den Ereignissen in der Primärumgebung verfügbar bleiben.

Sicherheit bei der Datensicherung: Schutz des Wiederherstellungspfads

Die Backup-Infrastruktur ist zu einem primären Angriffsziel geworden. Über 90 % der Ransomware-Angriffe zielen auf Backups ab. Die Angreifer wissen, dass ein Unternehmen mit intakten Backups kein Lösegeld zahlen muss, weshalb die Ausschaltung der Wiederherstellungsmöglichkeiten Teil der Angriffsstrategie ist.

Für die Sicherheit von Backups ist Folgendes erforderlich:

Trennung vom Produktionsnetzwerk. Backup-Systeme, auf die über standardmäßige SMB-Dateifreigaben oder Domänenanmeldedaten zugegriffen werden kann, sind für Ransomware erreichbar, die Domänenkonten kompromittiert hat. Die Backup-Infrastruktur sollte separate Anmeldedaten, separate Netzwerksegmente und idealerweise appliancebasierten oder rein cloudbasierten Speicher nutzen, der keine Angriffsfläche für Angriffe auf das standardmäßige Windows-Dateisystem bietet.

Unveränderlicher Speicher. Objektspeicher mit WORM-Konfiguration (Write Once Read Many) oder vom Anbieter bereitgestellter Unveränderlichkeit verhindert, dass Sicherungskopien verändert oder gelöscht werden – selbst durch Ransomware mit Administratorrechten.

Verschlüsselung. Sicherungsdaten sollten sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden. Dies schützt vor Datendiebstahl aus Sicherungsspeichern, der neben dem Einsatz von Ransomware zunehmend zu einem sekundären Angriffsziel wird.

Zugriffskontrollen und MFA. Konsolen zur Verwaltung von Backups sollten MFA und rollenbasierten Zugriff erfordern. Die Anmeldedaten für die Verwaltung von Backups sollten sich von den in der Produktionsumgebung verwendeten Anmeldedaten unterscheiden.

Ransomware-Prüfung. Backup-Plattformen, die Backup-Kopien vor der Speicherung auf Malware prüfen, bieten die Gewissheit, dass die Wiederherstellungspunkte virenfrei sind, und verhindern so, dass bei der Wiederherstellung aus dem Backup neben den Daten auch die Ransomware wiederhergestellt wird.

Testen und Verifizieren: Der wichtigste Teil, den niemand macht

Ein Backup, das nie getestet wurde, ist reine Spekulation. Hardware kann ausfallen. Konfigurationen ändern sich. Software-Updates können die Kompatibilität beeinträchtigen. Der Backup-Auftrag, der letzten Monat erfolgreich abgeschlossen wurde, liefert heute möglicherweise kein wiederherstellbares Image mehr.

Die Überprüfung der Datensicherung sollte Folgendes umfassen:

Regelmäßige Wiederherstellungstests. Stellen Sie bestimmte Dateien, Datenbanken oder ganze Systeme nach einem festgelegten Zeitplan aus dem Backup wieder her – monatlich bei kritischen Systemen, vierteljährlich bei anderen. Dokumentieren Sie, was wiederhergestellt wurde, aus welchem Backup und wie lange der Vorgang gedauert hat.

Umfassende DR-Tests. Simulieren Sie mindestens einmal jährlich ein vollständiges Ausfallszenario: Stellen Sie die Produktionsumgebung anhand eines Backups in einer Testumgebung wieder her, überprüfen Sie, ob die Anwendungen ordnungsgemäß funktionieren, und vergleichen Sie die tatsächliche Wiederherstellungszeit (RTO) mit dem Sollwert. Dies ist der einzige Test, der überprüft, ob die Backup-Strategie die vom Unternehmen geforderte Wiederherstellungsleistung erbringt.

Automatische Überprüfung der Backups. Moderne Backup-Plattformen können die Wiederherstellbarkeit nach jedem Backup-Vorgang automatisch testen, indem sie eine virtualisierte Instanz des gesicherten Systems starten und prüfen, ob diese korrekt hochfährt. Dies sorgt für kontinuierliche Sicherheit, ohne dass manueller Testaufwand anfällt. Die Screenshot-Verifizierungsfunktion von Datto tut genau dies: Sie erstellt nach jedem Backup automatisch einen Screenshot des gesicherten Systems, um zu überprüfen, ob es fehlerfrei hochfährt.

Durch regelmäßige Tests lassen sich Probleme häufig aufdecken, bevor sie erst im Ernstfall zutage treten – etwa ein falscher Umfang der Datensicherung, Lücken in der Aufbewahrungsdauer oder Technologien, die die geforderte Wiederherstellungszeit (RTO) nicht einhalten können.

Backup-Strategie für MSPs

Für MSPs steht die Backup-Strategie an der Schnittstelle zwischen Kundenschutz und Dienstleistungserbringung:

Standardisierte Basis mit kundenspezifischer Anpassung. Definieren Sie eine Standard-Backup-Architektur und eine Aufbewahrungsrichtlinie, die standardmäßig für alle Kunden gilt, mit dokumentierten Abweichungen für einzelne Kunden, sofern kundenspezifische Anforderungen abweichen. Dies ist skalierbarer und besser nachprüfbar als die Entwicklung maßgeschneiderter Lösungen für jeden Kunden einzeln.

RTO-/RPO-Dokumentation pro Kunde. In den Kundenverträgen sollten die Wiederherstellungsziele, zu denen sich der MSP verpflichtet, dokumentiert sein, und die Backup-Konfiguration sollte überprüft werden, um diese Verpflichtungen zu gewährleisten. Ein undokumentiertes RTO führt zu einer Haftung, wenn die Wiederherstellung länger dauert als vom Kunden erwartet.

Überwachung und Berichterstellung im Bereich Datensicherung. Der Status von Sicherungsaufträgen in allen Kundenumgebungen sollte überwacht werden, wobei bei Fehlern automatische Benachrichtigungen ausgelöst werden sollten. Kundenorientierte Sicherungsberichte, die den Schutzumfang und die Erfolgsquote der Aufträge aufzeigen, dienen sowohl der Leistungserbringung als auch der Kundenbindung.

Backup als verkaufsfähige Dienstleistung. Viele KMU-Kunden sind unzureichend geschützt und wissen dies entweder nicht oder verstehen nicht, wie ein umfassender Schutz aussieht. MSPs, die den Unterschied zwischen dem, was ein Kunde hat, und dem, was er benötigt, in geschäftlicher Sprache unter Verwendung von RTO/RPO-Begriffen und unter Berücksichtigung der Kosten bei Betriebsausfällen verdeutlichen können, können ihre Backup-Umsätze aus bestehenden Kundenbeziehungen steigern.

Erfahren Sie, warum MSPs gerade jetzt Cyber-Resilienz benötigen

Das Wichtigste in Kürze

  • Beginnen Sie mit den Wiederherstellungsanforderungen (RTO und RPO nach Systemebene) und nicht mit der Technologie; die richtige Backup-Lösung ist diejenige, die diese Anforderungen zu akzeptablen Kosten erfüllt.
  • Durch die Einstufung der Systeme nach Wiederherstellungspriorität werden die Investitionen gezielt auf diejenigen Systeme konzentriert, bei denen eine schnelle Wiederherstellung tatsächlich erforderlich ist, anstatt bei allen Systemen denselben Ansatz anzuwenden.
  • Durch Ransomware ist die Sicherheit von Backups zu einem vorrangigen Anliegen geworden: Unveränderliche, isolierte Backups mit separaten Anmeldedaten sind mittlerweile grundlegende Anforderungen und keine optionale Sicherheitsmaßnahme mehr.
  • Regelmäßige Wiederherstellungstests sind der am häufigsten vernachlässigte und zugleich wichtigste Bestandteil jeder Backup-Strategie; ungetestete Backups vermitteln ein trügerisches Gefühl der Sicherheit, das im schlimmsten Moment versagt.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Holzklotz mit der Aufschrift Business Continuity

Was ist BCDR? Geschäftskontinuität und Notfallwiederherstellung erklärt

Laut dem „Kaseya State of the MSP Report 2026“ bieten 79 % der MSPs Backup und Wiederherstellung als Managed Service anMehr lesen

Blogbeitrag lesen

Cyber-Resilienz für moderne IT neu denken

Entdecken Sie, warum Cyber-Resilienz für moderne Unternehmen unerlässlich ist, um Störungen standzuhalten und eine schnelle, zuverlässige Wiederherstellung zu gewährleisten.

Blogbeitrag lesen

Aufbau einer profitablen Cyber-Resilienz-Strategie: Was jeder MSP wissen muss

Erfahren Sie, wie wachstumsstarke MSPs über Backup hinausgehen und Backup verifizierter recovery Compliance-Bereitschaft ihre Abläufe skalieren, Margen schützen und das Vertrauen ihrer Kunden stärken.

Blogbeitrag lesen