Backup-Konzept für KMU: Was wirklich geschützt sein muss
Ein gutes Backup erkennt man nicht daran, dass irgendwo täglich Daten kopiert werden. Man erkennt es daran, dass ein Unternehmen nach einem Serverausfall, einem Verschlüsselungstrojaner oder einem versehentlich gelöschten Projektordner wieder arbeitsfähig wird. Genau hier liegt bei vielen kleinen und mittleren Unternehmen das Problem: Es gibt zwar irgendeine Datensicherung, aber kein belastbares Backup-Konzept. Ein professionelles Backup Konzept KMU beantwortet nicht nur die Frage, welche Daten gesichert werden. Es legt auch fest, wie oft gesichert wird, wo die Sicherungen liegen, wer sie prüft, wie lange eine Wiederherstellung dauern darf und was im Notfall konkret zu tun ist. Ohne diese Antworten wird aus einem technischen Backup schnell eine trügerische Beruhigung. Dieser Beitrag zeigt, was in KMU wirklich geschützt sein muss, welche typischen Fehler in der Praxis auftreten und wie Sie Schritt für Schritt zu einer tragfähigen Backup- und Notfallplanung kommen.
Warum ein Backup-Konzept für KMU mehr ist als Datensicherung
Viele Unternehmen denken beim Thema Backup zuerst an Dateien: Angebote, Rechnungen, Zeichnungen, Excel-Listen, E-Mails. Das ist verständlich, aber zu kurz gedacht. Im Ernstfall müssen nicht nur Daten vorhanden sein. Auch Systeme, Zugänge, Einstellungen und Abläufe müssen wiederherstellbar sein. Ein Datenverlust entsteht nicht nur durch defekte Festplatten. Häufige Ursachen sind:
- versehentliches Löschen oder Überschreiben von Dateien
- beschädigte Datenbanken oder fehlerhafte Updates
- Ausfall von Servern, NAS-Systemen oder Cloud-Diensten
- Ransomware und andere Schadsoftware
- Diebstahl, Brand, Wasserschaden oder Stromprobleme
- Fehlkonfigurationen durch interne oder externe Änderungen Für ein KMU kann bereits ein Ausfall von wenigen Stunden teuer werden. Mitarbeitende können nicht arbeiten, Kunden erhalten keine Auskünfte, Fertigungsprozesse stehen still, Rechnungen können nicht geschrieben werden. Deshalb gehört ein Backup immer zur Notfallplanung, nicht nur zur IT-Routine. Das BSI beschreibt Datensicherung sinngemäß als Voraussetzung dafür, den IT-Betrieb nach Störungen kurzfristig wieder aufnehmen zu können. Für die Praxis heißt das: Eine Sicherung ist erst dann wertvoll, wenn sie im Wiederanlauf tatsächlich funktioniert.
Welche Daten und Systeme müssen wirklich geschützt werden?
Der erste Schritt ist eine ehrliche Bestandsaufnahme. Nicht alles ist gleich kritisch. Aber viele wichtige Bestandteile werden übersehen, weil sie nicht offensichtlich auf einem Dateiserver liegen.
1. Geschäftskritische Unternehmensdaten
Dazu gehören alle Daten, ohne die Ihr Betrieb nicht sinnvoll weiterlaufen kann:
- Kunden- und Lieferantendaten
- Angebote, Aufträge, Rechnungen und Buchhaltungsdaten
- Projektunterlagen, technische Zeichnungen, Verträge
- Personalunterlagen und Lohnabrechnungsdaten
- Produktions-, Lager- und Warenwirtschaftsdaten
- branchenspezifische Fachanwendungen und deren Datenbanken Besonders wichtig sind Datenbanken. Viele ERP-, CRM-, DMS- oder Branchenlösungen speichern ihre Informationen nicht als einzelne Dateien, sondern in Datenbankdiensten. Ein einfaches Kopieren des Programmordners reicht dann nicht aus. Die Datenbank muss konsistent gesichert werden, idealerweise über eine geeignete Backup-Schnittstelle oder einen abgestimmten Agenten.
2. E-Mail, Kalender und Kontakte
E-Mail ist in vielen Unternehmen das informelle Archiv. Angebote, Freigaben, Termine und technische Absprachen liegen oft im Postfach. Auch bei Microsoft 365 oder anderen Cloud-Lösungen ist ein eigenes Backup sinnvoll. Cloud-Anbieter sorgen in der Regel für hohe Verfügbarkeit ihrer Plattform, ersetzen aber nicht automatisch eine unternehmensspezifische Langzeit- und Wiederherstellungsstrategie. Ein gutes Konzept klärt daher:
- Welche Postfächer werden gesichert?
- Wie lange müssen E-Mails wiederherstellbar sein?
- Können einzelne Nachrichten, Ordner oder komplette Postfächer zurückgespielt werden?
- Wie werden ausgeschiedene Mitarbeitende berücksichtigt?
3. Server, virtuelle Maschinen und zentrale Dienste
Neben Dateien sind komplette Systeme wichtig. Dazu zählen beispielsweise:
- Windows- oder Linux-Server
- virtuelle Maschinen auf Hypervisoren
- Active Directory, Benutzer- und Gruppenstrukturen
- DNS-, DHCP- und Druckdienste
- Datei- und Applikationsserver
- Terminalserver oder Remote-Desktop-Umgebungen Wenn nur einzelne Dateien gesichert werden, kann der Wiederaufbau eines Servers lange dauern. Betriebssystem installieren, Rollen einrichten, Anwendungen konfigurieren, Berechtigungen setzen, Daten zurückspielen, alles testen. Image- oder VM-Backups können die Wiederherstellung deutlich beschleunigen, wenn sie korrekt geplant und getestet sind.
4. Konfigurationen von Netzwerk und Sicherheitssystemen
Dieser Punkt wird oft vergessen. Firewalls, Switches, WLAN-Controller, VPN-Gateways und Telefonanlagen enthalten Konfigurationen, die im Notfall entscheidend sind. Wenn eine Firewall ausfällt und niemand die letzte funktionierende Konfiguration hat, wird aus einem Hardwaretausch schnell ein längerer Stillstand. Sichern Sie daher regelmäßig:
- Firewall- und VPN-Konfigurationen
- Switch- und VLAN-Konfigurationen
- WLAN-Einstellungen
- Telefonanlagenkonfigurationen
- Zertifikate, Lizenzinformationen und wichtige Schlüssel Solche Sicherungen müssen besonders geschützt werden, weil sie sensible Informationen enthalten können.
5. Endgeräte und mobile Arbeit
Nicht jeder Arbeitsplatz muss vollständig als Image gesichert werden. Dennoch sollten Sie prüfen, ob wichtige Daten lokal auf Notebooks oder PCs liegen. Gerade in gewachsenen Umgebungen speichern Mitarbeitende Arbeitsstände auf dem Desktop, im Download-Ordner oder auf lokalen Laufwerken. Die bessere Lösung ist nicht, jedes lokale Chaos einzeln zu sichern. Sinnvoller ist eine klare Datenablage: geschäftliche Daten gehören auf zentrale, gesicherte Speicherorte oder in abgesicherte Cloud-Strukturen. Für Führungskräfte, Außendienst oder Spezialarbeitsplätze kann zusätzlich ein Endpoint-Backup sinnvoll sein.
Die 3-2-1-Regel als solide Grundlage
Für KMU ist die 3-2-1-Regel weiterhin ein praxistauglicher Mindeststandard:
- 3 Kopien der Daten, einschließlich Produktivdaten
- 2 unterschiedliche Speichermedien oder Systeme
- 1 Kopie außerhalb des Standorts In der Praxis kann das beispielsweise bedeuten: Produktivdaten auf dem Server, ein lokales Backup auf einem Backup-System und eine zusätzliche Kopie in ein externes Rechenzentrum oder eine geeignete Cloud. Wichtig ist, dass die externe Kopie nicht dauerhaft ungeschützt mit dem Produktivnetz verbunden ist. Gegen Ransomware reicht ein normales Online-Backup oft nicht aus. Wenn Schadsoftware Zugriff auf Backup-Speicher bekommt, werden Sicherungen im schlimmsten Fall mitverschlüsselt oder gelöscht. Deshalb sollten moderne Konzepte mindestens eine der folgenden Schutzmaßnahmen enthalten:
- immutable Backups, also nachträglich nicht veränderbare Sicherungen
- schreibgeschützte oder zeitweise getrennte Backup-Ziele
- getrennte Zugangsdaten für Backup-Systeme
- Mehrfaktor-Authentifizierung für Backup-Verwaltung
- Protokollierung und Alarmierung bei ungewöhnlichen Lösch- oder Änderungsaktionen Die 3-2-1-Regel ist keine vollständige Notfallplanung, aber ein sehr guter Ausgangspunkt.
RPO und RTO: Zwei Werte, die Sie kennen sollten
Ein Backup-Konzept wird konkret, wenn Sie zwei Fragen beantworten. RPO, Recovery Point Objective: Wie viele Daten dürfen maximal verloren gehen? Wenn Ihre Buchhaltung einmal täglich gesichert wird, können im ungünstigsten Fall die Änderungen eines Arbeitstags fehlen. Für andere Systeme, etwa Warenwirtschaft oder Produktion, kann das zu viel sein. RTO, Recovery Time Objective: Wie lange darf die Wiederherstellung dauern? Ein Archivsystem darf vielleicht einen Tag ausfallen. Die zentrale Auftragsbearbeitung möglicherweise nicht. Diese Werte müssen nicht akademisch kompliziert sein. Für KMU reicht oft eine Einteilung in Klassen:
| Klasse | Beispiel | Maximaler Datenverlust | Wiederanlaufzeit |
|---|---|---|---|
| Kritisch | ERP, Dateiserver, E-Mail | Minuten bis wenige Stunden | wenige Stunden |
| Wichtig | DMS, Projektablage, Fachanwendungen | mehrere Stunden | gleicher Tag |
| Normal | Archiv, selten genutzte Daten | ein Tag oder mehr | nachgelagert |
| Aus dieser Einteilung ergeben sich Backup-Frequenz, Speicherort, Aufbewahrungsdauer und Wiederherstellungsverfahren. |
Typische Fehler in Backup-Konzepten von KMU
In der Praxis sehen IT-Dienstleister immer wieder ähnliche Schwachstellen. Einige davon fallen erst auf, wenn es bereits zu spät ist.
Fehler 1: Es wird gesichert, aber nie zurückgesichert
Ein grünes Häkchen in der Backup-Software ist kein Wiederherstellungstest. Entscheidend ist, ob Dateien, Datenbanken oder ganze Systeme tatsächlich verwendbar zurückkommen. Regelmäßige Restore-Tests gehören fest in den Kalender.
Fehler 2: Backups liegen im gleichen Risiko-Bereich
Wenn Produktivserver und Backup-NAS im gleichen Raum stehen, schützt das nicht gegen Brand, Wasser oder Diebstahl. Wenn beide mit denselben Admin-Zugangsdaten erreichbar sind, schützt es nur begrenzt gegen Angriffe.
Fehler 3: Cloud-Daten werden nicht berücksichtigt
Microsoft 365, Google Workspace, gehostete Telefonanlagen, CRM aus der Cloud: Viele Unternehmen verlassen sich darauf, dass Cloud gleich Backup bedeutet. Das ist riskant. Gelöschte oder manipulierte Daten, fehlerhafte Synchronisationen und Aufbewahrungsfristen müssen separat betrachtet werden.
Fehler 4: Niemand kennt den Notfallablauf
Wer entscheidet, dass ein Restore gestartet wird? Wer informiert Mitarbeitende? Wer priorisiert Systeme? Wer hat Zugang zu Passwörtern, Lizenzen und Dienstleisterkontakten? Ohne geklärte Zuständigkeiten geht im Notfall wertvolle Zeit verloren.
Fehler 5: Das Konzept wächst nicht mit
Neue Anwendungen, neue Standorte, Homeoffice, zusätzliche Cloud-Dienste. IT verändert sich laufend. Wenn das Backup-Konzept nicht regelmäßig überprüft wird, sichert es irgendwann die Vergangenheit statt den aktuellen Betrieb.
So bauen Sie ein tragfähiges Backup-Konzept für Ihr KMU auf
Ein belastbares Konzept muss nicht überdimensioniert sein. Es muss zu Ihrem Unternehmen, Ihren Risiken und Ihren Wiederanlaufzielen passen.
Schritt 1: Daten und Systeme inventarisieren
Erstellen Sie eine Liste aller relevanten Systeme. Dazu gehören Server, Cloud-Dienste, Datenbanken, Fachanwendungen, Netzwerkkomponenten und wichtige Endgeräte. Notieren Sie, wo Daten liegen, wer verantwortlich ist und wie kritisch das System ist.
Schritt 2: Schutzbedarf festlegen
Bewerten Sie für jedes System: Was passiert, wenn es eine Stunde, einen Tag oder mehrere Tage nicht verfügbar ist? Welche gesetzlichen, vertraglichen oder organisatorischen Anforderungen gibt es? Daraus entstehen Prioritäten.
Schritt 3: Backup-Strategie definieren
Legen Sie fest:
- Sicherungsart, etwa Datei-, Image-, VM-, Datenbank- oder Cloud-Backup
- Sicherungsintervall, etwa stündlich, täglich oder wöchentlich
- Aufbewahrungszeiten, etwa Tages-, Wochen-, Monats- und Jahresstände
- Speicherorte, lokal, extern, Cloud oder kombiniert
- Verschlüsselung und Zugriffsschutz
- Schutz gegen nachträgliche Änderung oder Löschung
Schritt 4: Wiederherstellung planen
Beschreiben Sie nicht nur die Sicherung, sondern auch die Rücksicherung. Welche Systeme kommen zuerst? Welche Abhängigkeiten gibt es? Ein ERP-System hilft wenig, wenn der Datenbankserver oder die Benutzeranmeldung fehlt. Dokumentieren Sie die Reihenfolge und die benötigten Zugangsdaten sicher.
Schritt 5: Tests verbindlich einplanen
Mindestens regelmäßig sollten Stichproben erfolgen: einzelne Dateien, einzelne Postfächer, Datenbanken und bei kritischen Systemen komplette Wiederherstellungen in einer Testumgebung. Nach größeren IT-Änderungen ist ein zusätzlicher Test sinnvoll.
Schritt 6: Verantwortlichkeiten dokumentieren
Ein Backup-Konzept braucht klare Rollen. Wer kontrolliert die täglichen Jobs? Wer reagiert auf Fehlermeldungen? Wer darf Backups löschen? Wer führt im Notfall die Kommunikation? Diese Punkte gehören schriftlich festgehalten.
Backup und Notfallplanung gehören zusammen
Ein Backup beantwortet die Frage: Wie kommen Daten und Systeme zurück? Die Notfallplanung beantwortet zusätzlich: Wie bleibt das Unternehmen handlungsfähig, während die IT wiederhergestellt wird? Dazu gehören unter anderem:
- Notfallkontakte für IT, Geschäftsführung, Provider und Softwarehersteller
- alternative Kommunikationswege, falls E-Mail oder Telefonie ausfallen
- Prioritätenliste für Geschäftsprozesse
- Offline-Kopie wichtiger Dokumentationen
- Zugang zu Lizenzen, Verträgen und Wiederherstellungsschlüsseln
- Entscheidungswege für Krisenfälle Gerade bei Ransomware darf nicht improvisiert werden. Systeme vorschnell einzuschalten oder Backups unüberlegt zu verbinden, kann Schäden vergrößern. Ein vorbereiteter Ablauf reduziert Stress und Fehlentscheidungen.
Wann externe IT-Hilfe sinnvoll ist
Ein KMU kann vieles intern vorbereiten: Daten inventarisieren, Verantwortliche benennen, Abläufe dokumentieren. Spätestens bei der technischen Umsetzung lohnt sich jedoch häufig externe Unterstützung. Das gilt besonders, wenn mehrere Server, virtuelle Umgebungen, Microsoft 365, Datenbanken oder branchenspezifische Anwendungen beteiligt sind. Ein erfahrener IT-Dienstleister prüft nicht nur, ob Backups laufen. Er bewertet, ob die Sicherungen zum Risiko passen, ob Ransomware-Schutz vorhanden ist, ob Wiederherstellungszeiten realistisch sind und ob die Dokumentation im Notfall nutzbar ist. IT Service Wagner unterstützt Unternehmen bei Backup und Notfallplanung von der Bestandsaufnahme bis zum getesteten Wiederherstellungskonzept. Sinnvoll ist das vor allem, wenn Sie nicht sicher sagen können, welche Daten im Ernstfall innerhalb welcher Zeit wieder verfügbar wären.
Fazit: Ein Backup-Konzept schützt Arbeitsfähigkeit, nicht nur Dateien
Ein gutes Backup Konzept KMU beginnt mit der Frage, was Ihr Unternehmen zum Arbeiten braucht. Dazu zählen Dateien, Datenbanken, E-Mails, Server, Cloud-Dienste, Netzwerk-Konfigurationen und klare Notfallabläufe. Die 3-2-1-Regel, geschützte Backup-Ziele, regelmäßige Restore-Tests und dokumentierte Verantwortlichkeiten bilden das Fundament. Wer Backups nur technisch betrachtet, übersieht das eigentliche Ziel: den Geschäftsbetrieb nach einem Vorfall schnell, kontrolliert und mit möglichst geringem Datenverlust wieder aufzunehmen. Genau dafür sollte Ihr Backup-Konzept geschrieben, umgesetzt und regelmäßig geprüft werden.