Microsoft 365 ist in vielen mittelständischen Unternehmen längst so selbstverständlich wie Strom, Internet oder die Kaffeemaschine im Flur. E-Mail läuft darüber, Dateien liegen in OneDrive oder SharePoint, Teams ist zum virtuellen Besprechungsraum geworden und viele Abläufe hängen inzwischen direkt oder indirekt an dieser Plattform. Genau darin liegt aber auch ein Denkfehler, der erstaunlich oft erst auffällt, wenn bereits etwas schiefgelaufen ist: Viele setzen Cloud automatisch mit Backup gleich.
Das klingt auf den ersten Blick plausibel. Die Daten liegen schließlich nicht mehr auf einem einzelnen Server im Keller. Sie werden in einer professionellen Umgebung betrieben, hochverfügbar gespeichert und von Microsoft technisch abgesichert. Das stimmt auch - nur beantwortet das noch nicht die eigentliche Frage, die für Unternehmen entscheidend ist: Können Sie Ihre Daten im Ernstfall schnell, gezielt und vollständig in den Zustand zurückbringen, den Sie wirklich brauchen?
Genau an dieser Stelle trennt sich Hochverfügbarkeit von echter Datensicherung. Die Cloud sorgt in erster Linie dafür, dass Dienste laufen. Ein Backup sorgt dafür, dass Sie nach einem Fehler, einem Angriff, einer Fehlbedienung oder einem Compliance-Vorfall wieder handlungsfähig werden. Das ist nicht dasselbe. Man könnte sagen: Ein modernes Bürogebäude mit Sprinkleranlage, Zutrittskontrolle und Sicherheitsdienst ist gut geschützt. Aber wenn wichtige Vertragsakten versehentlich geschreddert wurden, hilft Ihnen das Gebäude allein nicht weiter. Dann brauchen Sie eine verlässliche Kopie und einen sauberen Wiederherstellungsprozess.
Für Entscheider ist das ein wichtiger Punkt, weil sich daran nicht nur technische Fragen knüpfen, sondern auch organisatorische und wirtschaftliche. Es geht um Betriebsfähigkeit, um Haftungsrisiken, um regulatorische Anforderungen und um die Frage, wie viel Ausfall Sie sich im Zweifel leisten können. Und es geht um Verantwortlichkeiten. Auch in einer Cloud-Umgebung bleibt die Verantwortung für die eigenen Daten nicht einfach beim Anbieter hängen.
In diesem Beitrag schauen wir uns an, warum Microsoft 365 kein automatisches Rundum-Backup mitliefert, welche Risiken in der Praxis tatsächlich relevant sind und wie eine tragfähige Backup-Strategie für mittelständische Unternehmen aussehen kann. Nicht theoretisch, sondern so, dass Sie daraus Entscheidungen ableiten können.
Die Verwechslung hat mehrere Ursachen. Zum einen wird Microsoft 365 als Komplettplattform wahrgenommen. Wer Lizenzen kauft, erwartet intuitiv, dass damit auch alle grundlegenden Schutzmechanismen abgedeckt sind. Zum anderen sind viele Funktionen innerhalb der Plattform durchaus hilfreich: Papierkorbmechanismen, Versionsverläufe, Aufbewahrungsrichtlinien, Wiederherstellungsoptionen und technische Redundanz. Das alles ist wertvoll, aber es ist nicht automatisch ein vollwertiges Backup-Konzept.
Der Unterschied wirkt im Alltag oft unscharf, weil viele Unternehmen jahrelang keinen gravierenden Wiederherstellungsfall erleben. Solange kein nennenswerter Datenverlust auftritt, fühlt sich die Umgebung sicher an. Erst im Ernstfall zeigt sich, ob die vorhandenen Mechanismen für den konkreten Schaden wirklich ausreichen. Und genau dann wird es unangenehm, denn die Frage lautet selten: "Gibt es irgendwo noch etwas?" Sie lautet eher: "Können wir diesen Stand bis heute 8:30 Uhr wiederherstellen, inklusive Berechtigungen, E-Mails, Dateiversionen und betroffenen Teams-Daten?"
Cloud-Plattformen sind in erster Linie auf Verfügbarkeit, Skalierung und Servicebetrieb ausgelegt. Backup-Strategien dagegen orientieren sich an Wiederanlaufzielen, Wiederherstellungszeit, Wiederherstellungstiefe, Aufbewahrungsfristen und Nachvollziehbarkeit. Das klingt technisch, ist aber eigentlich ein betriebswirtschaftliches Thema. Denn am Ende geht es um die Kosten und Folgen eines Datenverlusts.
Hinzu kommt, dass Unternehmen in Microsoft 365 mit mehreren Diensten gleichzeitig arbeiten. Exchange Online, SharePoint, OneDrive, Teams und oft noch Power Platform oder weitere integrierte Anwendungen. Jeder dieser Dienste hat eigene Logiken, Löschpfade, Aufbewahrungsmechanismen und Grenzen. Eine saubere Sicherungsstrategie muss diese Unterschiede kennen. Wer stattdessen pauschal davon ausgeht, "die Cloud wird das schon abfangen", baut auf ein Sicherheitsgefühl, das im Zweifel zu vage bleibt.
Man sollte Microsoft 365 nicht kleinreden. Die Plattform bietet eine hohe technische Resilienz. Dienste sind redundant ausgelegt, Ausfälle einzelner Komponenten werden abgefangen, Daten werden innerhalb der Microsoft-Infrastruktur repliziert und viele typische Infrastrukturprobleme, die früher lokale Systeme belastet haben, sind deutlich besser beherrschbar. Das ist ein großer Fortschritt.
Aber diese Stärken beantworten vor allem die Frage, ob der Dienst verfügbar ist. Sie beantworten nicht automatisch die Frage, ob Ihre individuellen Daten in jeder denkbaren Situation in der von Ihnen benötigten Form wiederherstellbar sind. Das ist ein anderer Blickwinkel.
Ein paar Beispiele machen das greifbar. Wenn ein Anwender eine Datei löscht, ist sie nicht sofort für immer verschwunden. Es gibt Papierkörbe und oft Versionen. Wenn eine E-Mail entfernt wurde, existieren je nach Konfiguration Wiederherstellungsfenster. Wenn Dokumente versehentlich überschrieben werden, helfen mit Glück vorherige Versionen. All das kann im Einzelfall reichen. Aber es ersetzt kein systematisches, unabhängiges Backup mit definierter Aufbewahrung, kontrollierter Wiederherstellung und klaren Verantwortlichkeiten.
Besonders kritisch wird es, wenn mehrere Faktoren zusammenkommen. Ein Benutzer löscht Inhalte. Die Löschung fällt erst Wochen später auf. Eine Richtlinie greift anders als erwartet. Ein Konto wurde bereits entfernt. Oder ein Angriff hat nicht nur Daten verändert, sondern auch Konten und Berechtigungen kompromittiert. In solchen Szenarien wird schnell sichtbar, dass native Schutzfunktionen wertvoll, aber nicht grenzenlos sind.
Man könnte auch sagen: Microsoft 365 schützt die Plattform und bietet Funktionen zur Datenverwaltung. Ein echtes Backup schützt Ihre Handlungsfähigkeit. Dieser Unterschied klingt klein, ist in der Praxis aber fundamental.
Viele Unternehmen denken beim Thema Backup zuerst an einen technischen Komplettausfall. In Microsoft 365 ist das paradoxerweise oft gar nicht das wahrscheinlichste Problem. Die realistischeren Risiken entstehen durch Menschen, Prozesse und Angriffe.
Das ist der Klassiker. Ordner werden verschoben, Teams-Kanäle entfernt, OneDrive-Dateien überschrieben, Postfächer bereinigt oder ganze SharePoint-Strukturen umgebaut. Im Tagesgeschäft fällt so etwas oft erst spät auf. Gerade in Kollaborationsumgebungen ist die Frage nicht nur, ob etwas gelöscht wurde, sondern wann und von wem. Ohne saubere Wiederherstellungsbasis beginnt dann die Suche nach Resten statt die gezielte Rücksicherung.
Auch in Cloud-Umgebungen ist Ransomware kein reines On-Premises-Problem. Wenn kompromittierte Konten Dateien verschlüsseln, verändern oder massenhaft löschen, repliziert die Plattform diese Änderungen unter Umständen zuverlässig. Das ist aus Sicht der Plattform korrekt, aus Sicht des Unternehmens aber fatal. Die Cloud reproduziert dann den Schaden sehr effizient. Genau deshalb braucht man vom produktiven Zustand getrennte Sicherungskopien und einen Wiederherstellungsweg, der nicht am kompromittierten Benutzerkontext hängt.
Nicht jeder Datenverlust ist ein externer Angriff. Manchmal scheiden Mitarbeiter aus, manchmal eskalieren Konflikte, manchmal werden Berechtigungen zu großzügig vergeben. In solchen Fällen geht es nicht nur um Technik, sondern auch um Nachvollziehbarkeit und Beweissicherheit. Ein unabhängiges Backup kann dabei helfen, Zustände wiederherzustellen oder zumindest belastbar zu dokumentieren, was vorhanden war.
Synchronisationsmechanismen sind bequem, aber sie vervielfachen Fehler manchmal schneller als man sie bemerkt. Wird lokal etwas beschädigt, umbenannt oder gelöscht, kann sich dieser Zustand in die Cloud fortpflanzen. Viele Unternehmen erleben genau hier eine unangenehme Überraschung: Synchronisierung ist kein Backup. Sie verteilt nur denselben Datenstand auf mehrere Endpunkte.
Je stärker Microsoft 365 in Prozesse eingebunden ist, desto mehr administrative Eingriffe gibt es. Richtlinien, Berechtigungen, Lifecycle-Regeln, Automationen, Skripte, Migrationen. Kleine Fehler können große Auswirkungen haben. Ein falsch gesetzter Parameter oder eine missverstandene Löschregel kann Inhalte in größerem Umfang betreffen. Ohne unabhängige Sicherung wird aus einem Konfigurationsfehler schnell ein Geschäftsrisiko.
Viele Unternehmen müssen Daten nicht nur aufbewahren, sondern bei Bedarf auch geordnet wiederfinden, nachweisen oder selektiv wiederherstellen können. Das betrifft je nach Branche Verträge, Kommunikation, Projektdokumente, Qualitätsunterlagen oder personenbezogene Informationen. Native Aufbewahrungsfunktionen sind dabei wichtig, lösen aber nicht automatisch alle Anforderungen an Wiederherstellung, Trennung, Nachvollziehbarkeit und betriebliche Verfügbarkeit.
Ein besonders verbreiteter Irrtum ist die Annahme, dass Aufbewahrungsrichtlinien und Versionierung ein Backup überflüssig machen. Der Gedanke dahinter ist nachvollziehbar: Wenn Daten nicht sofort gelöscht werden und ältere Versionen verfügbar sind, warum sollte man dann noch zusätzlich sichern?
Weil diese Funktionen einem anderen Zweck dienen.
Versionierung hilft dabei, Bearbeitungsstände nachzuvollziehen und frühere Zustände einzelner Dateien wiederherzustellen. Papierkörbe helfen bei versehentlichen Löschungen innerhalb eines begrenzten Zeitfensters. Retention-Funktionen unterstützen Governance, Compliance und Aufbewahrung. Ein Backup dagegen stellt sicher, dass Sie Daten unabhängig vom laufenden Produktivsystem, in definierten Intervallen und mit klaren Wiederherstellungsoptionen zurückholen können.
Das ist ein bisschen wie der Unterschied zwischen einem guten Ordnersystem im Archiv und einem extern gelagerten Sicherheitsduplikat. Das Ordnersystem ist nützlich und notwendig. Aber wenn der Inhalt beschädigt wird oder das Archiv unzugänglich ist, hilft Ihnen die Ordnung allein nicht weiter.
Ein weiteres Problem: Native Funktionen sind oft an dieselbe Plattform, dieselben Berechtigungen und denselben administrativen Kontext gebunden, in dem auch der Schaden entstanden ist. Das kann im Krisenfall unvorteilhaft sein. Wer ein kompromittiertes Konto, fehlerhafte Löschrichtlinien oder versehentlich entfernte Workloads wieder einfangen will, möchte nicht ausschließlich auf die Mechanismen vertrauen, die im selben Wirkraum liegen.
Das bedeutet nicht, dass Retention und Versionierung unwichtig wären. Im Gegenteil. Sie sind sinnvolle Bausteine innerhalb einer Gesamtschutzstrategie. Aber Baustein und Gesamtlösung sind eben nicht dasselbe.
Nicht jede Information ist gleich kritisch. Deshalb ist es sinnvoll, vor jeder Backup-Strategie die Schutzbedarfe zu differenzieren. Genau hier scheitern viele Projekte, weil sie zu schnell über Produkte sprechen, bevor überhaupt klar ist, was eigentlich geschützt werden muss.
Für mittelständische Unternehmen sind in der Regel vor allem diese Bereiche relevant:
E-Mails sind weiterhin geschäftskritisch. Sie enthalten Verträge, Freigaben, Absprachen, Anhänge, Nachweise und oft Wissen, das nirgendwo sonst sauber dokumentiert ist. Wer E-Mail nur als Kommunikationskanal betrachtet, unterschätzt ihren Wert als operative und rechtlich relevante Informationsquelle.
Hier liegen häufig individuelle Arbeitsstände, Entwürfe, Auswertungen und operative Dateien. Gerade in Unternehmen mit starkem Projektgeschäft steckt in OneDrive oft überraschend viel wertvolles Wissen, das weder zentral dokumentiert noch ausreichend klassifiziert ist.
SharePoint ist für viele Unternehmen das eigentliche Dokumentenzentrum in Microsoft 365. Prozessdokumente, Vorlagen, Projektakten, Wissenssammlungen, interne Freigabedokumente - all das hat direkte Auswirkungen auf den Betrieb. Ein Verlust oder eine inkonsistente Wiederherstellung kann schnell mehrere Fachbereiche treffen.
Teams ist mehr als Chat. In der Praxis bündelt es Kommunikation, Dateien, Besprechungen, Aufgaben, Zusammenarbeit mit Externen und oft Projektverläufe. Dadurch entsteht ein hoher fachlicher Wert, aber auch eine gewisse Unübersichtlichkeit. Wer Teams absichern will, muss verstehen, welche Daten technisch wo liegen und wie sie wiederhergestellt werden können.
Oft wird bei Backups nur an Inhalte gedacht. Dabei sind Strukturen und Berechtigungen mindestens genauso wichtig. Ein sauber wiederhergestellter Datenbestand hilft wenig, wenn Zugehörigkeiten, Freigaben oder logische Zuordnungen fehlen. In vielen Wiederherstellungsfällen entscheidet gerade dieser Kontext darüber, ob ein Unternehmen nach Stunden oder nach Tagen wieder arbeitsfähig ist.
Eine gute Backup-Strategie beginnt nicht mit einem Tool, sondern mit Zielen. Erst wenn klar ist, welche Ausfälle Sie tolerieren können und welche nicht, lassen sich Sicherungsintervalle, Aufbewahrungszeiträume und Wiederherstellungsmodelle sinnvoll definieren.
Die beiden klassischen Kennzahlen lauten RPO und RTO. Hinter den Abkürzungen steckt nichts Mystisches. Das Recovery Point Objective beschreibt, wie viel Datenverlust zeitlich maximal akzeptabel ist. Das Recovery Time Objective beschreibt, wie schnell ein System oder Datenbestand wieder verfügbar sein muss.
Praktisch gefragt: Können Sie im Notfall mit dem Stand von gestern Abend leben? Oder brauchen Sie den Stand von heute Mittag? Und können Sie drei Tage auf die Wiederherstellung warten, oder wird bereits nach wenigen Stunden der Betrieb kritisch? Diese Fragen sollten nicht allein von der IT beantwortet werden. Sie gehören in die Fachbereiche und letztlich in die Unternehmenssteuerung.
Nicht jedes Team, jede Site und jedes Postfach braucht dieselbe Sicherungsintensität. Manche Inhalte sind hochkritisch, andere eher operativ bequem. Es lohnt sich, zwischen geschäftskritischen, sensiblen und weniger kritischen Daten zu unterscheiden. Dadurch lassen sich Kosten und Aufwand besser steuern, ohne blind an Sicherheit zu sparen.
Viele Unternehmen sichern entweder zu wenig oder zu lange, ohne klaren Zweck. Beides ist problematisch. Zu kurze Fristen führen dazu, dass Vorfälle erst entdeckt werden, wenn die relevante Wiederherstellungsbasis bereits fehlt. Zu lange Fristen können Kosten, Komplexität und Datenschutzfragen unnötig erhöhen. Eine sinnvolle Balance hängt von Geschäftsvorfällen, Vertragslaufzeiten, regulatorischen Anforderungen und internen Prozessen ab.
Im Alltag brauchen Unternehmen selten die komplette Rücksicherung des gesamten Tenants. Häufig geht es um einzelne Postfächer, Ordner, Sites, Dateien oder definierte Objekte. Eine gute Strategie unterstützt daher nicht nur den großen Notfall, sondern auch die kleinen, aber häufigen Wiederherstellungen. Genau dort zeigt sich im Betrieb oft der größte Nutzen.
Ein Backup sollte nicht nur technisch vorhanden sein, sondern auch logisch ausreichend vom produktiven Betrieb getrennt sein. Sonst droht im Schadensfall dieselbe Abhängigkeit, die man eigentlich vermeiden wollte. Je nach Lösung und Architektur ist dieser Punkt unterschiedlich stark ausgeprägt. Er gehört aber unbedingt auf die Prüfliste.
Ein Backup, das nie getestet wurde, ist eher Hoffnung als Sicherheit. Das klingt hart, ist aber in vielen Unternehmen Realität. Restore-Tests zeigen nicht nur, ob Daten technisch lesbar sind. Sie offenbaren auch Prozesslücken, unklare Zuständigkeiten, Berechtigungsprobleme und unrealistische Erwartungen. Gerade für mittelständische Unternehmen ist das wichtig, weil dort oft wenige Personen viele Rollen gleichzeitig wahrnehmen.
Inzwischen ist die Lage differenzierter als noch vor einigen Jahren. Unternehmen können heute grundsätzlich zwischen mehreren Wegen unterscheiden: rein native Bordmittel, das Microsoft-eigene Backup-Angebot beziehungsweise darauf aufbauende Ökosysteme und klassische Drittanbieter-Lösungen. Welche Variante passt, hängt stark von Anforderungen, Betriebsmodell und Risikobild ab.
Sie sind immer der erste Baustein und sollten sinnvoll konfiguriert sein. Dazu gehören Aufbewahrungsfunktionen, Versionierung, Schutz vor versehentlichem Löschen, administrative Kontrollen und sinnvolle Governance. Für einfache Szenarien können diese Mittel im Alltag bereits viel abfangen. Sie ersetzen aber meist kein eigenständiges Backup-Konzept, wenn gezielte Wiederherstellung, längere Aufbewahrung, Unabhängigkeit oder belastbare Betriebsprozesse gefragt sind.
Microsoft hat das Thema Backup inzwischen deutlich konkreter adressiert. Das ist wichtig, weil es zeigt, dass auch aus Herstellersicht zwischen Servicebetrieb und Backup unterschieden wird. Für Unternehmen eröffnet das neue Optionen, insbesondere im Zusammenspiel mit der Plattform. Trotzdem sollte man nicht automatisch davon ausgehen, dass damit jede Anforderung bereits vollständig gelöst ist. Entscheidend bleibt, welche Workloads abgedeckt sind, wie granular Restores ablaufen, welche Aufbewahrungsmodelle unterstützt werden und wie das Ganze organisatorisch betrieben wird.
Sie sind für viele mittelständische Unternehmen weiterhin relevant, weil sie oft sehr ausgereifte Funktionen für Aufbewahrung, Granularität, Reporting, Multi-Tenant-Betrieb, Langzeitarchivierung oder ergänzende Sicherheitsanforderungen mitbringen. Der Markt ist allerdings heterogen. Manche Lösungen sind stark bei E-Mail und Dateien, andere bei Governance, wieder andere bei MSP-Szenarien oder hybriden Landschaften. Hier lohnt sich eine saubere Bewertung jenseits von Marketingfolien.
In der Praxis ist die Entscheidung selten rein technisch. Es geht auch um Betriebsverantwortung, Kostenmodell, Integrationsaufwand, Datenschutz, Mandantenfähigkeit, Rollenverteilung und die Frage, wie stark interne Teams die Lösung selbst betreiben können. Gerade im Mittelstand kann professionelle Unterstützung bei Auswahl, Design und Testphase sinnvoll sein, weil kleine Fehlannahmen später teuer werden. Nicht, weil das Thema unlösbar wäre, sondern weil viele Details erst im Betrieb sichtbar werden.
Wer eine Lösung auswählt, sollte sich nicht zu früh in Featurelisten verlieren. Zuerst geht es um den fachlichen Bedarf. Danach erst um Produkte. Sonst vergleicht man technische Möglichkeiten, ohne die eigentlichen Risiken sauber bewertet zu haben.
Ein guter Einstieg ist die Frage: Welcher Schaden wäre für uns wirklich kritisch? Ist es der Verlust einzelner Postfächer? Sind es Projektdateien? Ist es die Wiederanlauffähigkeit nach einem Ransomware-Vorfall? Oder geht es eher um Nachweise, lange Aufbewahrung und geordnete Wiederherstellung in Auditsituationen? Je klarer diese Antwort ausfällt, desto besser lässt sich die Lösung eingrenzen.
Darauf aufbauend sollten Sie insbesondere folgende Punkte prüfen:
Erstens die Abdeckung der relevanten Workloads. Es genügt nicht, dass "Microsoft 365" auf dem Datenblatt steht. Entscheidend ist, welche Dienste und Objekttypen konkret gesichert und wiederhergestellt werden können.
Zweitens die Granularität. Können einzelne Dateien, E-Mails, Ordner oder Sites gezielt restauriert werden? Oder nur ganze Container? Im Alltag ist das ein riesiger Unterschied.
Drittens die Aufbewahrung und Unveränderbarkeit. Wie lange bleiben Sicherungen erhalten? Wie werden Löschprozesse gesteuert? Wie gut ist die Backup-Datenbasis gegen Manipulation oder Fehlbedienung geschützt?
Viertens die Bedienbarkeit unter Stress. Eine Wiederherstellung findet selten in Ruhe statt. Oberflächen, Suchfunktionen, Rollenmodelle und Restore-Abläufe müssen auch dann funktionieren, wenn Zeitdruck herrscht und Fachbereiche schnelle Antworten erwarten.
Fünftens das Betriebsmodell. Wer überwacht Jobs, wer reagiert auf Fehler, wer testet Restores, wer dokumentiert? Viele Projekte unterschätzen diesen Punkt. Die technisch beste Lösung ist wenig wert, wenn sich im Alltag niemand verantwortlich fühlt.
Ein erstaunlich häufiger Schwachpunkt ist nicht das Produkt, sondern die fehlende Einbettung in Prozesse. Backup wird dann als reine IT-Aufgabe betrachtet und bekommt erst Aufmerksamkeit, wenn etwas ausgefallen ist. Das ist zu spät.
Eine belastbare Strategie braucht klare Regeln: Welche Datenklassen gibt es? Welche Sicherungsziele gelten? Wer entscheidet im Wiederherstellungsfall? Welche Prioritäten gelten bei konkurrierenden Anforderungen? Wie werden Restore-Tests dokumentiert? Welche Fachbereiche müssen eingebunden werden? Wie werden Datenschutz und Löschpflichten berücksichtigt?
Gerade in Microsoft 365 ist Governance besonders wichtig, weil sich Daten über viele Dienste verteilen und Fachbereiche oft direkt mit der Plattform arbeiten. Ohne Regeln entstehen Schattenlogiken: Teams wird wild angelegt, Dateien liegen doppelt, Verantwortlichkeiten verschwimmen, Externe werden eingebunden, Strukturen wachsen historisch. Ein Backup kann das nicht heilen. Es kann nur den Schaden begrenzen. Ordnung in der Umgebung bleibt trotzdem notwendig.
Manchmal hilft hier ein nüchterner Perspektivwechsel. Fragen Sie nicht zuerst: "Wie sichern wir Microsoft 365?" Fragen Sie: "Wie sichern wir unsere geschäftskritische Zusammenarbeit, Kommunikation und Dokumentation in Microsoft 365?" Das führt fast automatisch zu besseren Entscheidungen, weil nicht das Produkt im Mittelpunkt steht, sondern der Unternehmensbetrieb.
Nicht jedes Unternehmen braucht ein Mammutprojekt. Oft reicht ein strukturiertes Vorgehen in überschaubaren Schritten. Wichtig ist nur, dass diese Schritte bewusst gesetzt werden.
Erfassen Sie zunächst, welche Microsoft-365-Dienste aktiv genutzt werden, wo sensible Informationen liegen und welche Abhängigkeiten es zwischen Fachbereichen gibt. Dabei kommen oft überraschende Erkenntnisse zutage. Nicht selten sind kritische Dateien in Bereichen abgelegt, die offiziell kaum jemand auf dem Radar hat.
Ordnen Sie Daten und Workloads nach Kritikalität. Nicht mit akademischer Perfektion, sondern pragmatisch. Was muss innerhalb weniger Stunden wieder da sein? Was darf einen Tag warten? Was ist rechtlich oder vertraglich besonders sensibel?
Leiten Sie daraus Anforderungen an RPO, RTO, Aufbewahrung, Granularität und Verantwortlichkeiten ab. Spätestens hier wird sichtbar, ob native Funktionen ausreichen oder ob eine dedizierte Lösung erforderlich ist.
Erst jetzt vergleichen Sie konkrete Produkte oder Serviceansätze. Dabei sollte nicht nur die Anschaffung betrachtet werden, sondern der spätere Betrieb. Wer Backup nur einkauft, aber nicht organisiert, verschiebt das Problem lediglich.
Führen Sie Testwiederherstellungen mit realistischen Szenarien durch. Etwa: gelöschtes Postfach, beschädigte SharePoint-Bibliothek, versehentlich gelöschte Teams-Dateien oder selektive Wiederherstellung einzelner Benutzerobjekte. Erst dadurch wird aus einem Konzept ein belastbarer Prozess.
Backup ist kein Projekt mit Haken dahinter, sondern eine Betriebsaufgabe. Nutzungsmuster ändern sich, Workloads wachsen, neue Anforderungen entstehen. Deshalb sollten Strategie, Sicherungsumfang und Restore-Prozesse regelmäßig überprüft werden.
Zum Schluss lohnt sich noch ein Blick auf einige typische Fehlannahmen, weil sie in Entscheidungen immer wieder auftauchen.
Der erste Denkfehler lautet: "Wir sind in der Cloud, also ist das Thema erledigt." Nein. Das Infrastrukturthema ist anders geworden, aber die Verantwortung für Datenwiederherstellung bleibt bestehen.
Der zweite Denkfehler lautet: "Unsere IT kann gelöschte Daten doch irgendwie zurückholen." Vielleicht. Aber "irgendwie" ist keine Strategie. Entscheidend ist, ob Wiederherstellung definiert, wiederholbar und zeitlich planbar ist.
Der dritte Denkfehler lautet: "Wir hatten bisher noch nie ein Problem." Das ist kein Beweis für Sicherheit, sondern oft nur ein Zeichen dafür, dass der kritische Fall noch nicht eingetreten oder nicht erkannt worden ist.
Der vierte Denkfehler lautet: "Retention ist doch fast dasselbe wie Backup." Nein. Retention regelt Aufbewahrung. Backup regelt Wiederherstellbarkeit. Beides kann sich ergänzen, ist aber nicht identisch.
Und der fünfte Denkfehler: "Das schauen wir uns an, wenn wir größer sind." Gerade im Mittelstand ist das riskant. Denn dort hängen Wissen, Prozesse und Verantwortlichkeiten oft an wenigen Personen. Fällt etwas aus, spürt man die Auswirkungen meist schneller und direkter als in großen Konzernen mit breiterer Redundanz.
Microsoft 365 wächst in vielen Unternehmen organisch. Was mit E-Mail und Office begann, ist heute häufig zur zentralen Arbeitsplattform geworden. Dadurch steigt der Nutzen - aber eben auch die Abhängigkeit. Und je stärker diese Abhängigkeit wächst, desto weniger sollte man sich mit einem diffusen Sicherheitsgefühl zufriedengeben.
Es geht dabei nicht um Panikmache. Auch nicht darum, jedes theoretische Risiko maximal teuer abzusichern. Es geht um einen nüchternen, unternehmerischen Blick: Welche Daten sind für uns geschäftskritisch, wie schnell müssen wir sie im Ernstfall zurückholen können und welche Schutzmechanismen brauchen wir dafür wirklich?
Viele Unternehmen stellen bei dieser Betrachtung fest, dass sie mit Microsoft 365 bereits eine starke Basis haben, aber beim Thema Backup noch Lücken bestehen. Diese Lücken zu schließen ist meist kein Selbstzweck, sondern eine Investition in Betriebsstabilität, Entscheidungsfähigkeit und Risikokontrolle. Gerade weil Microsoft 365 so tief in den Alltag hineinragt, sollte der Wiederherstellungsfall nicht dem Zufall überlassen werden.
Cloud ist ein wichtiger Baustein moderner IT. Aber Cloud ist nicht automatisch Backup. Wer diesen Unterschied sauber versteht, trifft in der Regel bessere Entscheidungen - technisch, organisatorisch und wirtschaftlich. Und genau darum sollte es am Ende gehen: nicht um Schlagworte, sondern um belastbare Handlungsfähigkeit, wenn es wirklich darauf ankommt.
