Unternehmens-Backup: Skalierung der Datensicherung für komplexe IT-Umgebungen

Die Datensicherung für einen einzelnen Server in einem kleinen Büro ist ein gelöstes Problem. Die Datensicherung in Unternehmen stellt jedoch eine ganz andere Herausforderung dar. Der Schutz großer, komplexer und geografisch verteilter Umgebungen mit Hunderten oder Tausenden von Systemen, strengen Compliance-Anforderungen und ehrgeizigen Wiederherstellungszielen bringt Probleme mit sich, die in kleinerem Maßstab nicht auftreten.

Das Problem ist nicht einfach nur eine vergrößerte Version der Herausforderungen, mit denen kleine und mittlere Unternehmen (KMU) konfrontiert sind. Es bringt Anforderungen hinsichtlich zentraler Verwaltung, standortübergreifender Koordination, Hybrid-Cloud-Abdeckung, detaillierter Compliance-Kontrollen und Wiederherstellungsgeschwindigkeit mit sich, die in kleinerem Maßstab schlichtweg nicht bestehen. Datto, Teil der Kaseya-Familie, unterstützt MSPs seit über 15 Jahren dabei, die Umgebungen ihrer Kunden vor Ransomware und Datenverlust zu schützen. Diese umfassende praktische Erfahrung im Bereich der Datenwiederherstellung prägt die Herangehensweise dieses Leitfadens an das Problem.

Dieser Leitfaden behandelt die Anforderungen an die Datensicherung in Unternehmen, die häufigsten Schwachstellen bei der Umsetzung sowie die Frage, wie Lösungen anhand der Kriterien bewertet werden können, die tatsächlich darüber entscheiden, ob die Wiederherstellung im Ernstfall funktioniert.

Was unterscheidet Backups in Großunternehmen von Backups in kleinen und mittleren Unternehmen?

Der Umfang und die Heterogenität der Umgebung beeinflussen jeden Aspekt des Backup-Problems. In Unternehmensumgebungen müssen Hunderte bis Tausende von Systemen gesichert werden: physische Server, virtuelle Maschinen, Cloud-Instanzen, NAS-Geräte, Datenbanken und SaaS-Anwendungen, die auf unterschiedlichen Betriebssystemversionen, Hypervisor-Plattformen und Fachanwendungen laufen.

Eine Backup-Lösung, die Windows-Server zwar gut abdeckt, bei VMware oder Linux jedoch nur begrenzte Unterstützung bietet, führt im großen Maßstab zu Lücken, die erst dann auffallen, wenn sie bei einer Wiederherstellung zutage treten. Ein Unternehmen, das physische Server, VMware vSphere, Hyper-V-VMs und Microsoft 365 gleichzeitig einsetzt, benötigt eine Lösung, die all diese Komponenten als gleichwertige Workloads behandelt – und keine Lösung mit starker Kernunterstützung und lückenhaften Zusatzmodulen für alles andere.

Die Komplexität verteilter Standorte verschärft diese Situation noch. Unternehmen mit verteilten Standorten benötigen eine Backup-Lösung, die alle Standorte abdeckt, ohne Bandbreite doppelt zu belegen, Daten effizient in einem zentralen Speicher oder in der Cloud konsolidiert und die Wiederherstellung von jedem beliebigen Standort aus ermöglicht. WAN-effiziente Replikation, globale Deduplizierung und lokaler Cache an Remote-Standorten sind Funktionen, die auf Unternehmensniveau zum Einsatz kommen, da die Netzwerklogistik dies erfordert.

Compliance und Datenverwaltung sind zudem unternehmensspezifische Themen, die für die meisten KMU keine Rolle spielen. Im Gesundheitswesen, im Finanzdienstleistungssektor, im öffentlichen Dienst und in anderen regulierten Branchen gelten Anforderungen hinsichtlich Aufbewahrungsfristen, Datenstandort, Verschlüsselungsstandards, Zugriffskontrollen und Protokollierung von Prüfvorgängen. Eine Unternehmenssicherung muss nicht nur Datensicherheit gewährleisten, sondern auch Nachweise für Prüfer und Aufsichtsbehörden liefern.

Warum die RTO die wichtigste Kennzahl ist

Das Wiederherstellungszeitziel – also die maximal akzeptable Zeit für die Wiederherstellung eines Systems nach einem Ausfall – entscheidet darüber, ob sich die Kosten für ein Unternehmens-Backup lohnen oder nicht. Bei den meisten Kaufentscheidungen für Backup-Lösungen steht die Vollständigkeit der Datensicherung im Vordergrund. Die schwierigere Frage lautet jedoch: Wie schnell lässt sich das System tatsächlich wiederherstellen?

Bei geschäftskritischen Systemen wird die akzeptable Wiederherstellungszeit (RTO) oft in Minuten gemessen. Eine Produktionslinie, eine Handelsplattform oder ein System für Patientenakten, das sechs Stunden lang ausfällt, ist nicht nur lästig. Es bedeutet einen quantifizierbaren finanziellen und betrieblichen Schaden. Der „2026 Kaseya State of the MSP Report“ ergab , dass 50 % der MSPs ein Umsatzwachstum im Bereich BCDR im Vergleich zum Vorjahr verzeichneten, was die wachsende Erkenntnis in Unternehmen widerspiegelt, dass die Kosten von Ausfallzeiten die eigentliche Rechtfertigung für Investitionen in Backups sind.

Um einen strengen RTO in großem Maßstab einzuhalten, müssen drei Faktoren zusammenwirken. Erstens: Wiederherstellungspunkte, die stets in einem bootfähigen Zustand sind – und keine Backup-Ketten, die erst zusammengestellt werden müssen, bevor eine Wiederherstellung beginnen kann. Zweitens: eine Technologie zur sofortigen Virtualisierung, mit der ein geschütztes System lokal auf dem Backup-Gerät oder in der Cloud hochgefahren werden kann, während die physische Wiederherstellung in der Produktionsumgebung im Hintergrund abläuft. Drittens: verifizierte Backups. Wenn ein Wiederherstellungspunkt nie getestet wurde, ist der RTO reine Spekulation.

Das ist der Unterschied zwischen einer Sicherung als abgeschlossener Vorgang und einer Sicherung als nachgewiesene Wiederherstellungsfähigkeit. Viele Unternehmen verfügen über Ersteres. Weitaus weniger verfügen über Letzteres.

Die Backup-Architektur für Unternehmen: So sieht eine gute Lösung aus

Es gibt mehrere architektonische Grundsätze, die Backups auf Unternehmensniveau von Lösungen unterscheiden, die zwar im KMU-Bereich funktionieren, in komplexen Umgebungen jedoch versagen.

Eine einheitliche Verwaltungsebene. Eine zentrale Konsole, die einen Überblick über den Backup-Status, die Abdeckung und die Wiederherstellungsfähigkeit in allen Umgebungen – physisch, virtuell, in der Cloud und als SaaS – bietet, ist eine betriebliche Grundvoraussetzung. Eine fragmentierte Sicht auf mehrere Backup-Tools verursacht sowohl Verwaltungsaufwand als auch Lücken in der Abdeckung. Die Feststellung, dass eine kritische VM bei der Nachbetrachtung eines Vorfalls nicht von der Backup-Richtlinie abgedeckt war, ist ein vermeidbarer Fehler.

Mehrstufige Speicherung mit automatisierter Verlagerung. Unternehmensdaten weisen unterschiedliche Zugriffsmuster auf: Aktuelle Backups benötigen schnellen lokalen Speicher für eine rasche Wiederherstellung; ältere Backups können in kostengünstigeren Cloud-Speicher verlagert werden; Archive für die Langzeitaufbewahrung können in den Cold Storage verlagert werden. Richtlinien für mehrstufige Speicherung, die diese Verlagerung automatisieren, senken die Kosten, ohne die Wiederherstellungsleistung zu beeinträchtigen. Auf Unternehmensebene ist der Kostenunterschied zwischen intelligent mehrstufiger und flacher Speicherung erheblich.

Deduplizierung und Komprimierung. Die globale Deduplizierung, bei der identische Datenblöcke über alle Backups im Repository hinweg und nicht nur innerhalb einzelner Jobs ermittelt werden, erzielt deutlich höhere Reduktionsraten als die Deduplizierung auf Job-Ebene. Im Unternehmensmaßstab ist dieser Unterschied der entscheidende Faktor, der die Speicherkosten und den Bedarf an Netzwerkbandbreite überschaubar hält.

Inverse-Chain-Technologie. Herkömmliche Backup-Ketten führen zu einem Abhängigkeitsproblem: Ist ein Glied der Kette beschädigt, kann kein darauf aufbauender Wiederherstellungspunkt mehr wiederhergestellt werden. Architekturen, bei denen jeder Snapshot als vollständig eigenständiger, bootfähiger Wiederherstellungspunkt gespeichert wird, beseitigen dieses Risiko. Jeder Punkt in der Kette kann unabhängig und ohne erneutes Zusammenfügen wiederhergestellt werden.

Unveränderliche, isolierte Kopien. Ransomware-Betreiber greifen regelmäßig die Backup-Infrastruktur an, bevor sie die Verschlüsselung der Produktionssysteme auslösen. Unternehmensumgebungen mit hochwertigen Daten sind besonders attraktive Ziele. Unveränderliche Cloud-Kopien mit Löschschutz bilden die Ausfallsicherheitsschicht, die den Wiederherstellungsweg auch dann aufrechterhält, wenn Angreifer gezielt Backups ins Visier nehmen.

5 Funktionen, auf die Sie bei der Bewertung von Lösungen achten sollten

Die Marketingpositionierung der meisten Backup-Lösungen für Unternehmen dreht sich um dieselben Versprechen. Der entscheidende Unterschied zeigt sich darin, wie sich diese Funktionen in der Praxis bei großem Umfang bewähren.

1. Sofortige Virtualisierungsleistung. Die meisten Anbieter werben mit „Instant Recovery“, also der Ausführung eines geschützten Systems vom Backup-Speicher aus, während die Wiederherstellung der Produktionsumgebung läuft. Entscheidend ist jedoch, wie sich die Lösung unter Last bei mehreren gleichzeitigen Wiederherstellungen bewährt. Eine Lösung, die zwar einen Server schnell virtualisieren kann, aber deutlich langsamer wird, wenn drei Server gleichzeitig hochgefahren werden müssen, erfüllt die RTO-Anforderungen von Unternehmen nicht.

2. Genauigkeit der Backup-Überprüfung. Die automatisierte Überprüfung per Screenshot, bei der jeder Wiederherstellungspunkt als VM gestartet und überprüft wird, ob er einen fehlerfreien Zustand erreicht, ist ein Grundvoraussetzung. Der entscheidende Unterschied liegt in der Genauigkeit: Sowohl Fehlalarme (als verifiziert markierte Backups, die sich tatsächlich nicht wiederherstellen lassen) als auch Fehlmeldungen (als fehlgeschlagen markierte Backups, die sich wiederherstellen ließen) stellen Fehler dar. Eine KI-gestützte Überprüfung, die den Startzustand mithilfe visueller Analyse genau ermittelt, anstatt einen einfachen Schwellenwert für „bestanden“ oder „nicht bestanden“ anzuwenden, liefert über verschiedene Systemtypen hinweg zuverlässigere Ergebnisse.

3. Granularität der Wiederherstellungspunkte. Wie häufig werden Wiederherstellungspunkte erstellt, und wie weit reichen sie in der Vergangenheit zurück? Ein System mit stündlichen Wiederherstellungspunkten und einer Aufbewahrungsdauer von 12 Monaten ist deutlich besser geschützt als eines mit täglichen Wiederherstellungspunkten und einer Aufbewahrungsdauer von 30 Tagen. Bei geschäftskritischen Systemen bestimmt das Wiederherstellungsziel direkt den schlimmsten denkbaren Datenverlust im Falle eines Ausfalls.

4. Unterstützung verschiedener Umgebungen. Bietet die Lösung von einer einzigen Plattform aus gleichwertige Backup-Funktionen für physische Server, VMware vSphere-VMs, Hyper-V-VMs, Linux-Systeme und SaaS-Daten? Oder erfordert die Abdeckung für jeden Umgebungstyp separate Tools, separate Konsolen und separaten Verwaltungsaufwand? Letzteres führt zu dem oben beschriebenen Problem der fragmentierten Transparenz.

5. Compliance-Berichterstattung. Automatisierte Berichte, die die Backup-Abdeckung, die Einhaltung von Aufbewahrungsfristen, Zugriffsprotokolle und die Ergebnisse von Wiederherstellungstests anzeigen, sollten planbar sein und ohne manuelle Datenzusammenstellung bereitgestellt werden können. Wenn die Erstellung eines Compliance-Berichts erfordert, dass ein Techniker Daten aus mehreren Systemen manuell zusammenstellen muss, entsteht ein betrieblicher Mehraufwand, der sich bei einem großen Kundenportfolio nur schwer skalieren lässt.

Datto SIRIS: speziell für die Anforderungen der Unternehmenswiederherstellung entwickelt

Datto SIRIS die führende appliancebasierte BCDR-Lösung für MSPs und IT-Teams in Unternehmen, die komplexe Umgebungen verwalten. Ihre Architektur erfüllt die oben genannten Anforderungen an die Wiederherstellung in Unternehmen auf jeder Ebene.

Im Mittelpunkt steht die Inverse Chain Technology, die jeden inkrementellen Snapshot als vollständig aufgebauten, bootfähigen Wiederherstellungspunkt speichert. Es gibt keine Kettenabhängigkeiten, die unterbrochen werden könnten, und es ist kein Neuaufbau erforderlich, bevor die Wiederherstellung beginnen kann. Jeder Punkt im Backup-Verlauf ist ein eigenständiges Wiederherstellungsziel.

Die Sofortvirtualisierung läuft lokal auf der SIRIS oder in der Datto Cloud. Ein ausgefallener Server oder eine ausgefallene VM kann innerhalb weniger Minuten wieder betriebsbereit sein: lokal für den sofortigen Zugriff auf den Betrieb, während die Wiederherstellung der Produktion läuft, oder in der Cloud für Failover-Szenarien auf Standortebene. Fast Failback synchronisiert dann die geänderten Daten zurück in das wiederhergestellte Produktionssystem, sobald dieses bereit ist, wodurch das Zeitfenster für den Betrieb in einer DR-Umgebung minimiert wird.

Die Backup-Überprüfung nutzt eine KI-gestützte Screenshot-Technologie, die den Startzustand und die Benutzeroberflächen analysiert, um die Wiederherstellbarkeit zu bestätigen, und dabei eine Überprüfungsgenauigkeit von über 99,9 % erreicht. Laut einer Ankündigung von Kaseya im April 2026 spart diese Genauigkeit den Technikern mehr als acht Stunden pro Monat an manueller Überprüfungsarbeit ein, was etwa 1.200 US-Dollar an nicht abrechnungsfähiger Arbeitszeit pro Techniker entspricht. Die Überprüfung der Skriptausführung geht noch einen Schritt weiter und stellt sicher, dass bestimmte Dienste und Anwendungen in der virtualisierten Umgebung zugänglich sind, und nicht nur, dass das Betriebssystem gebootet wurde.

SIRIS , die aktuelle Generation der Appliance, bietet in all diesen Bereichen eine verbesserte Leistung. Die agentenlose VMware-Sicherung wird vollständig unterstützt, und die Unterstützung für die agentenlose Hyper-V-Sicherung befindet sich derzeit in der Entwicklung und soll 2026 veröffentlicht werden.

Skalierbares Management: die MSP-Dimension

Für MSPs, die Backups für ein ganzes Kundenportfolio verwalten, stellt der Verwaltungsaufwand bei Unternehmensbackups ein Problem für sich dar. Kundenbezogene Konsolen, separate Benachrichtigungssysteme und isolierte Wiederherstellungsabläufe bedeuten, dass die Verwaltung von Backups auf Portfolioebene im Verhältnis mehr Personalzeit erfordert als die Verwaltung für ein einzelnes Unternehmen.

Die mandantenfähige Verwaltungsarchitektur von Kaseya löst dieses Problem auf Portfolioebene. MSPs, die Dutzende von Kunden betreuen, erhalten einen konsolidierten Überblick über den Backup-Zustand, Lücken in der Abdeckung und die Ergebnisse von Wiederherstellungstests für das gesamte Portfolio, mit der Möglichkeit, bei Bedarf auf Kundenebene einzusteigen. Automatische Benachrichtigungen machen Probleme sichtbar, bevor sie zu Fehlern bei der Wiederherstellung führen. Compliance-Berichte können für jeden Kunden ohne manuelle Datenerfassung erstellt werden.

Das „Unified Cyber Resilience Portal“, das auf der Kaseya Connect 2026 vorgestellt wurde, geht noch einen Schritt weiter, indem es die Verwaltung von lokalen Systemen, SaaS-Lösungen, Endgeräten und Cloud-Backups in einer einzigen Oberfläche zusammenfasst. Dadurch entfällt der ständige Wechsel zwischen verschiedenen Tools, der Techniker bisher dazu zwang, den Wiederherstellungsstatus bei verschiedenen, voneinander getrennten Anbietern nachverfolgen zu müssen.

Ein typischer MSP, der 40 Kunden in gemischten physischen, virtuellen und SaaS-Umgebungen betreut, kann jede Woche viel Zeit damit verbringen, lediglich zu überprüfen, ob die Backup-Aufträge in all diesen Umgebungen erfolgreich abgeschlossen wurden. Durch Transparenz auf Portfolioebene und eine intelligente Priorisierung von Warnmeldungen wird diese zeitaufwändige manuelle Überprüfung zu einem auf Ausnahmen basierenden Workflow. Es werden nur die Punkte angezeigt, die Ihre Aufmerksamkeit erfordern und Maßnahmen erfordern.

Einen umfassenderen Überblick darüber, wie sich BCDR in eine ganzheitliche Resilienzstrategie einfügt, finden Sie in unserem Leitfaden zu Geschäftskontinuität und Notfallwiederherstellung.

Compliance, Unveränderlichkeit und Widerstandsfähigkeit gegen Ransomware

Regulierte Branchen unterliegen besonderen Anforderungen an die Datensicherung, die über die reine Wiederherstellungsfähigkeit hinausgehen. Nach dem HIPAA unterliegende Einrichtungen des Gesundheitswesens müssen nachweisen, dass gesicherte Daten geschützt sind, einer Zugriffskontrolle unterliegen und nachprüfbar sind. Finanzdienstleister müssen im Rahmen von SOX und PCI-DSS Anforderungen hinsichtlich der Aufbewahrungsfristen und Zugriffsprotokolle erfüllen. Behörden, die eine FedRAMP-Zulassung anstreben, benötigen eine Backup-Infrastruktur, die diesen Standards entspricht.

Um diese Anforderungen zu erfüllen, reicht es nicht aus, lediglich über die richtigen technischen Fähigkeiten zu verfügen. Es kommt darauf an, entsprechende Nachweise vorlegen zu können. Prüfpfade, Berichte zur Einhaltung der Aufbewahrungsfristen, Verschlüsselungsnachweise und Zugriffsprotokolle müssen ohne manuellen Aufwand erstellt werden und müssen korrekt sein.

Datto SIRIS Widerstandsfähigkeit gegen Ransomware durch mehrere Schutzebenen: unveränderliche Cloud-Backups, die selbst von Administratoren weder gelöscht noch geändert werden können; „Cloud Deletion Defense“, das als Wiederherstellungsfenster für alle aus der Datto Cloud gelöschten Backup-Daten dient; End-to-End-Verschlüsselung; eine patentierte Ransomware-Erkennung, die auf verdächtige Dateiveränderungsmuster achtet und bei Erkennung von Bedrohungen automatisch zusätzliche Snapshots auslöst; sowie eine obligatorische Zwei-Faktor-Authentifizierung für jeden Verwaltungszugriff.

In der Praxis bedeutet dies, dass ein Ransomware-Angriff, der Produktionssysteme vollständig kompromittiert – einschließlich etwaiger Versuche der Angreifer, die Sicherungsdaten zu löschen oder zu verschlüsseln –, den Wiederherstellungsweg nicht zunichte macht. Der saubere Wiederherstellungspunkt befindet sich in der Datto Cloud, ist intakt und nachweislich bootfähig sowie bereit für die Virtualisierung.

Entdecken Sie Datto BCDR für Unternehmens- und MSP-Umgebungen.

Häufige Fehlerursachen bei Unternehmens-Backups

Der Abschluss der Sicherung als Erfolgskennzahl. Ein abgeschlossener Sicherungsauftrag bestätigt, dass die Daten kopiert wurden. Er bestätigt jedoch nicht, dass die Daten wiederherstellbar sind, dass der Wiederherstellungspunkt bootfähig ist oder dass die Wiederherstellungszeit die RTO-Anforderungen erfüllt. Unternehmen, die den Zustand ihrer Sicherungen anhand der Abschlussquoten der Aufträge messen, ohne die Wiederherstellung automatisch zu überprüfen, messen das Falsche.

Lücken in der Absicherung bei Bereitstellungen in mehreren Umgebungen. In Unternehmensumgebungen sammeln sich im Laufe der Zeit immer mehr Systeme an: ein bei einer Servererneuerung hinzugefügter VMware-Cluster, eine Cloud-Migration, bei der einige Workloads in AWS verbleiben, oder die Einführung von SaaS-Lösungen, die in keiner Backup-Richtlinie berücksichtigt wird. Durch regelmäßige Überprüfungen der Absicherung, bei denen sichergestellt wird, dass jedes betroffene System durch ein Backup abgedeckt ist, lassen sich diese Lücken aufdecken, bevor sie bei Wiederherstellungsvorgängen zutage treten.

Nicht getestete RTO-Annahmen. Schätzungen der Wiederherstellungszeit, die auf Produktspezifikationen statt auf getesteten Wiederherstellungsverfahren unter realistischen Lastbedingungen basieren, sind unzuverlässig. Ein nicht getesteter RTO ist ein Ziel, keine Garantie. Regelmäßige Wiederherstellungsübungen, einschließlich Cloud-Virtualisierungstests für Offsite-Failover-Szenarien, sind der einzige Weg, um zu erfahren, wie die tatsächliche Wiederherstellungszeit aussieht.

Unveränderlichkeit als Auswahloption, nicht als Architektur. Unveränderliche Backups sind nur dann sinnvoll, wenn die Unveränderlichkeit auf einer Ebene durchgesetzt wird, die Angreifer nicht umgehen können. Backup-Daten, die in einem herkömmlichen Cloud-Objektspeicher mit Unveränderlichkeit als Konfigurationsflag gespeichert sind, sind weniger widerstandsfähig als eine speziell entwickelte Architektur mit erzwungenem Löschschutz und ohne Möglichkeit zur administrativen Außerkraftsetzung.