Cloud-Backup: Ein praktischer Leitfaden für IT-Teams und MSPs

Mai 3, 2026
George Rouse
Cloud-Sicherung, Cloud-Management

Laut dem „Kaseya State of the MSP Report 2026“ verzeichneten 50 % der MSPs im Vergleich zum Vorjahr ein Umsatzwachstum im Bereich BCDR, was vor allem darauf zurückzuführen ist, dass Kunden erkannt haben, dass Cloud-Plattformen Backups nicht ersetzen können. Dies ist eines der deutlichsten wirtschaftlichen Signale im managed services : Die Nachfrage nach Backups, die auch unter Druck zuverlässig funktionieren, wächst und schrumpft nicht.

Der Begriff „Cloud-Backup“ wird verwendet, um drei grundlegend unterschiedliche Probleme zu beschreiben. Die Sicherung von lokalen Servern in der Cloud stellt eine andere Herausforderung dar als die Sicherung von Workloads, die innerhalb von AWS oder Azure ausgeführt werden, was sich wiederum von der Sicherung von Daten in SaaS-Anwendungen wie Microsoft 365 unterscheidet. Jede dieser Situationen hat ihre eigenen Ausfallarten, Wiederherstellungsanforderungen und geeigneten Lösungen.

Dieser Leitfaden behandelt alle drei Ansätze. Datto, ein Unternehmen der Kaseya-Gruppe, hat weltweit über MSPs mehr als 500.000 Unternehmen geschützt, wodurch wir einen detaillierten Einblick darin haben, wo die einzelnen Ansätze unter realem Wiederherstellungsdruck erfolgreich sind und wo sie versagen.

Sicherung in der Cloud: Schutz lokaler Server

Dies ist der gängigste Anwendungsfall. Lokale Server, virtuelle Maschinen und Endgeräte erstellen Sicherungskopien, die zur Sicherung außerhalb des Standorts in den Cloud-Speicher repliziert werden. Die Cloud ist das Ziel, nicht die Umgebung, die gesichert wird.

Die größte Herausforderung ist das Spannungsfeld zwischen Wiederherstellungsgeschwindigkeit und Kosten. Bei den üblichen Internetgeschwindigkeiten kann die Wiederherstellung von einem Terabyte Daten Stunden oder sogar Tage dauern. Eine reine Cloud-Wiederherstellung reicht für RTO-Anforderungen von weniger als einer Stunde nicht aus. Unternehmen, die diese Einschränkung während eines tatsächlichen Vorfalls feststellen, müssen mit Ausfallzeiten rechnen, die sich eher in Tagen als in Stunden bemessen.

Die Lösung ist das hybride Modell aus Appliance und Cloud. Eine lokale Backup-Appliance wie Datto SIRIS sorgt für die schnelle Wiederherstellung aktueller Daten mit lokaler Netzwerkgeschwindigkeit, einschließlich sofortiger lokaler Virtualisierung, sodass ein ausgefallener Server innerhalb von Minuten wieder betriebsbereit ist. Das gleiche Backup wird gleichzeitig in die Datto Cloud repliziert, um Offsite-Schutz und langfristige Aufbewahrung zu gewährleisten. Sollte der Primärstandort vollständig ausfallen, ermöglicht die Cloud-Virtualisierung das Hochfahren von Workloads in der Datto Cloud, während die physische Umgebung wiederhergestellt wird.

Dies ist die Architektur, die den meisten KMU-Kunden am besten dient: schnelle lokale Wiederherstellung, wenn es auf Geschwindigkeit ankommt, und eine unabhängige, unveränderliche Cloud-Kopie, wenn es auf Ausfallsicherheit ankommt.

Was MSPs hier falsch machen: Sie betrachten die Cloud-Replikation als gesamte Backup-Strategie und verzichten auf die lokale Appliance, um die Anschaffungskosten zu senken. Auf dem Papier sieht das wirtschaftlich besser aus. Bei einem Ransomware-Angriff, der die lokale Umgebung verschlüsselt und eine vollständige Serverwiederherstellung über das Internet erfordert, dauert die Wiederherstellung beim Kunden Tage statt Stunden, und der MSP trägt die Kosten für diese Verzögerung.

Entdecken Sie Datto SIRIS hybride Datensicherung und Notfallwiederherstellung

Sicherung in der Cloud: Schutz von AWS- und Azure-Workloads

Eine Cloud-Infrastruktur sichert sich nicht von selbst. AWS und Azure arbeiten nach einem Modell der geteilten Verantwortung: Der Anbieter ist für die Ausfallsicherheit der Infrastruktur verantwortlich, der Kunde hingegen für die Daten und die darauf ausgeführten Workloads. Eine EC2-Instanz oder Azure-VM, die durch Ransomware verschlüsselt, versehentlich gelöscht oder durch eine fehlerhafte Bereitstellung beschädigt wird, muss vom Kunden wiederhergestellt werden.

Die spezifischen Risiken bei nativem Cloud-Backup:

Native Tools wie AWS Backup und Azure Backup bieten zwar einen gewissen Schutz, sind jedoch an das Ökosystem des jeweiligen Anbieters gebunden. Ein kompromittiertes Cloud-Konto, ein Ransomware-Angriff, bei dem Cloud-Zugangsdaten in die Hände von Angreifern gelangen, oder ein Vorfall auf Anbieterseite kann sowohl die primären Workloads als auch die Backups desselben Kontos gleichzeitig beeinträchtigen. Native Backups erfüllen zudem selten die Unabhängigkeitsanforderungen von Cyberversicherungen, die ortsfremde, unveränderliche Kopien vorschreiben.

Datto Backup for Microsoft Azure dieses Problem, indem es Azure-VMs und Azure Files in die Datto Cloud repliziert – vollständig außerhalb des Azure-Ökosystems –, und zwar mit unveränderlichem Speicher und einer Flatrate, die die Unvorhersehbarkeit der Ausgabekosten bei nativem Azure Backup beseitigt. Die stündliche Replikation ermöglicht ein Wiederherstellungsziel von 60 Minuten. Zu den Wiederherstellungsoptionen gehören die Wiederherstellung auf Dateiebene, die vollständige Wiederherstellung von VMs sowie die Cloud-Virtualisierung direkt in der Datto Cloud.

Was MSPs hier falsch machen: Sie gehen davon aus, dass ein Kunde automatisch geschützt ist, nur weil er „in der Cloud“ ist. AWS und Azure bieten zwar Ausfallsicherheit der Infrastruktur, aber keine Datensicherung. MSPs, die Cloud-Umgebungen verwalten, ohne diese Workloads eigenständig zu sichern, arbeiten mit einer erheblichen Sicherheitslücke.

Sicherung von Cloud-Anwendungen: Datenschutz bei SaaS

SaaS-Anwendungen bilden eine eigene Kategorie, die sich von der Cloud-Infrastruktur unterscheidet. Microsoft 365, Google Workspace und ähnliche Plattformen verwalten die Anwendung und ihre Verfügbarkeit, bieten jedoch keine Datensicherung im Sinne einer sinnvollen Wiederherstellung. Die Standardaufbewahrungsfristen von Microsoft sind auf Compliance-Anforderungen und Szenarien mit versehentlichem Löschen innerhalb kurzer Zeiträume ausgelegt. Sie sind nicht für die zeitpunktgenaue Wiederherstellung nach einem Ransomware-Angriff, einer böswilligen Löschung durch ein kompromittiertes Konto oder einer großflächigen Fehlkonfiguration ausgelegt.

Auch hier gilt das Modell der geteilten Verantwortung. Microsoft ist für die Plattform verantwortlich. Das Unternehmen ist für seine Daten auf dieser Plattform verantwortlich.

Was tatsächlich gefährdet ist: E-Mails, Kalender, Kontakte, SharePoint-Websites, OneDrive-Dateien und Teams-Daten. In den meisten KMU-Umgebungen macht dies den Großteil der Betriebsdaten aus. Ein Ransomware-Angriff, der SharePoint oder OneDrive verschlüsselt, oder ein kompromittiertes Administratorkonto, das Postfächer massenhaft löscht, kann erheblichen Schaden anrichten, den native Aufbewahrungsrichtlinien nicht beheben können.

Datto SaaS Protection Daten SaaS Protection Microsoft 365 und Google Workspace dreimal täglich in einem unabhängigen Datto-Cloud-Speicherort mit unbegrenzter Aufbewahrungsdauer. Die Wiederherstellung erfolgt granular: Einzelne E-Mails, Dateien, Ordner oder ganze Konten können zu jedem beliebigen Zeitpunkt wiederhergestellt werden. SaaS Protection bietet zusätzlich eine integrierte Bedrohungserkennung mit automatisierten Ransomware- und Phishing-Scans in der gesamten Microsoft 365-Umgebung.

Was MSPs hier falsch machen: Sie bieten SaaS-Backups entweder gar nicht an oder nur als optionales Zusatzmodul. Jeder Kunde, der Microsoft 365 oder Google Workspace nutzt, ist mit Datenrisiken konfrontiert, die die Plattform nicht für ihn abfedern kann. SaaS-Backups sollten ein unverzichtbarer Bestandteil jedes managed services sein, der Microsoft 365 umfasst.

Die 3-2-1-Regel und warum sie nach wie vor gilt

Die 3-2-1-Regel stammt aus der Zeit vor dem Cloud-Backup, ist aber nach wie vor das nützlichste Einzelkriterium, um zu beurteilen, ob eine Backup-Architektur solide ist: drei Kopien der Daten auf zwei verschiedenen Medientypen, wobei sich eine Kopie an einem externen Standort befindet.

Ein Cloud-Backup erfüllt die Anforderung der externen Speicherung. Was es jedoch nicht automatisch erfüllt, ist die Anforderung der Unabhängigkeit. Backups, die im selben Cloud-Konto wie die Primärdaten gespeichert sind, sind denselben Bedrohungen ausgesetzt: Ein Ransomware-Angriff oder eine Kompromittierung des Kontos, die Produktionsdaten zerstört, kann ebenso leicht auch die Backups im selben Konto treffen.

Für jeden Kunden mit wesentlichen Wiederherstellungsverpflichtungen muss sich die externe Cloud-Kopie in einer separaten, unabhängig kontrollierten Umgebung mit unveränderlichem Objektspeicher befinden. Dies gilt für alle drei oben genannten Anwendungsfälle. Lokale Backups, die in die Datto Cloud repliziert werden, befinden sich außerhalb der primären Umgebung des Kunden. Azure-Workloads, die bei Datto gesichert werden, befinden sich außerhalb von Azure. SaaS-Daten, die mit Datto SaaS Protection gesichert werden, SaaS Protection außerhalb des Microsoft 365-Mandanten. Genau diese Unabhängigkeit ist der entscheidende Punkt.

Ransomware und das Argument für Unveränderlichkeit

Ransomware-Betreiber haben ihre Taktik dahingehend geändert, dass sie nun gezielt auf Backup-Infrastrukturen abzielen. Der „Data Breach Investigations Report 2025“ von Verizon brachte Ransomware mit 75 % aller Systemeinbrüche in Verbindung. Angreifer, die Backups kompromittieren oder löschen, bevor sie Produktionsdaten verschlüsseln, machen eine Wiederherstellung unmöglich und zwingen die Opfer zur Zahlung.

Eine gegen Ransomware widerstandsfähige Backup-Architektur erfordert drei Eigenschaften, die herkömmliche Backups nicht gewährleisten.

Isolierung. Backups, auf die mit denselben Anmeldedaten oder über dasselbe Netzwerk wie auf die Produktionssysteme zugegriffen werden kann, sind für einen Angreifer erreichbar, der diese Systeme kompromittiert hat. Die externe Kopie muss wirklich isoliert sein.

Unveränderlichkeit. Einmal erstellte Sicherungskopien sollten durch keinen anderen Prozess als den festgelegten Aufbewahrungszeitraum geändert oder gelöscht werden können. Ein unveränderlicher Objektspeicher mit einer festgelegten Sperrfrist verhindert, dass Ransomware oder kompromittierte Administratorkonten Sicherungsdaten zerstören. Die Datto Cloud basiert auf diesem Prinzip und verfügt über einen Schutz vor Löschungen in der Cloud, der unbefugte Änderungen oder Löschungen blockiert, unabhängig davon, was mit der geschützten Umgebung geschieht.

Geprüfte Wiederherstellbarkeit. Laut einer Studie von Sophos konnten 45 % der Ransomware-Opfer, die Backups nutzten, ihre Daten innerhalb einer Woche wiederherstellen. Diejenigen, die sich nicht auf Backups verlassen konnten, mussten in 31 % der Fälle mit Wiederherstellungszeiten von einem bis sechs Monaten rechnen. Der Unterschied liegt fast immer darin, ob die Wiederherstellung vor dem Vorfall getestet worden war. Die KI-gestützte Screenshot-Überprüfung SIRISDatto SIRISbietet eine Genauigkeit von über 99 % und kennzeichnet verdächtige Backup-Aufträge, bevor sie zu Wiederherstellungsfehlern führen. Ein ungetestetes Backup ist kein Backup.

Verwaltung von Cloud-Backups in großem Maßstab als MSP

Für MSPs gehen die betrieblichen Anforderungen an Cloud-Backups über den Schutz einzelner Kunden hinaus. Die Wirtschaftlichkeit von managed services , dass sich das Backup-Management skalieren lässt, ohne dass der Zeitaufwand der Techniker proportional steigt.

Einheitliche Transparenz über alle drei Anwendungsfälle hinweg. Die deutlichste operative Lücke in den meisten Backup-Lösungen von MSPs ist die fragmentierte Transparenz: On-Premises-BCDR in einer Konsole, Backup der Cloud-Infrastruktur in einer anderen, SaaS-Backup in einer dritten. Die einheitliche Backup-Statusseite von Datto fasst SIRIS, Datto Endpoint Backup Disaster Recovery, Datto Backup for Microsoft Azure und SaaS Protection alle Kunden in einer einzigen Ansicht zusammen. Eine Konsole, ein Satz von Warnmeldungen, ein Berichtsworkflow.

Standardisierte Schutzrichtlinien. MSPs, die standardisierte Backup-Richtlinien nach Kundenkategorien festlegen und diese einheitlich im gesamten Portfolio anwenden, weisen weniger Lücken in der Abdeckung, einen geringeren Aufwand für die Fehlerbehebung sowie eine übersichtlichere Berichterstattung für Compliance- und Cyberversicherungszwecke auf. Durch Ad-hoc-Konfigurationen pro Kunde entstehen unbemerkt Lücken.

Automatische Benachrichtigungen und Hero-Berichte. Backup-Ausfälle, die erst von einem Techniker bemerkt werden müssen, sind Ausfälle, die nur darauf warten, zu passieren. Automatische Benachrichtigungen bei Jobfehlern, versäumten Backups und Verifizierungsfehlern, kombiniert mit planmäßigen, kundenorientierten Berichten zum Backup-Status, verwandeln das Backup-Management von einer reaktiven Tätigkeit in einen dokumentierten Service.

Vorhersehbarkeit der Preise. Cloud-Backup-Plattformen mit einer Abrechnung pro GB oder variablen Gebühren für den Datenausgang führen zu unvorhersehbaren Kundenabrechnungen und unvorhersehbaren Margen. Eine Pauschalpreisgestaltung für Speicher, DR-Tests und den Datenausgang macht das Backup zu einem verlässlichen Margenbringer statt zu einer Kostenvariable.

Das Wichtigste in Kürze

  • Der Begriff „Cloud-Backup“ umfasst drei unterschiedliche Bereiche: die Sicherung lokaler Server in der Cloud (Datto SIRIS), die Sicherung von Workloads in Cloud-Infrastrukturen wie AWS und Azure (Datto Backup for Microsoft Azure) sowie die Sicherung von Daten aus SaaS-Anwendungen (Datto SaaS Protection). Jeder dieser Bereiche erfordert eine eigene Lösung.
  • Cloud-Anbieter erstellen keine Sicherungskopien Ihrer Daten. AWS, Azure und Microsoft 365 arbeiten alle nach einem Modell der geteilten Verantwortung, bei dem das Unternehmen selbst für den Schutz seiner Daten verantwortlich ist.
  • Unveränderlichkeit und Isolation sind unverzichtbar. Backups, die im selben Konto oder in derselben Umgebung wie die Produktionsdaten gespeichert sind, gelten nicht als unabhängige Backups und überstehen keinen Ransomware-Angriff, der auf Anmeldedaten abzielt.
  • Für MSPs ist eine einheitliche Übersicht über alle Backup-Arten hinweg von einer einzigen Konsole aus die betriebliche Voraussetzung, die eine skalierbare Backup-Verwaltung ermöglicht. Eine fragmentierte Übersicht über mehrere Tools hinweg führt dazu, dass Lücken in der Abdeckung unentdeckt bleiben.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Cloud-Management: Wie man Multi-Cloud-Umgebungen steuert, ohne die Kontrolle zu verlieren

Die meisten Unternehmen planen keine Multi-Cloud-Umgebungen. Sie entstehen vielmehr dadurch, dass verschiedene Teams unterschiedliche Entscheidungen getroffen haben

Blogbeitrag lesen

Cloud-Erkennung und Reaktion: Leitfaden für MSPs zur Cloud security

Die Nutzung von SaaS-Anwendungen und das Volumen der Cloud-Workloads nehmen rasant zu. Unternehmen verwenden heute etwa 112 SaaS-Anwendungen.

Blogbeitrag lesen

Was ist Cloud Computing? Dienste, Arten, Vorteile und Anwendungsfälle

Mit der Erweiterung des digitalen Horizonts setzen Unternehmen weltweit auf die Cloud und erkennen deren transformative Fähigkeiten bei der Koordinierung von Effizienz, Fortschritt und

Blogbeitrag lesen