Zum Hauptinhalt springen
Security7 min Lesezeit

KMU-Backup-Strategie 2026: Warum 90 Prozent der Backups im Ernstfall versagen, und wie man es richtig macht

90 % der KMU-Backups versagen im Ernstfall. 3-2-1-Regel, Ransomware-Schutz, Restore-Tests, Checkliste und Tool-Empfehlungen nach Unternehmensgröße.

B
Berkan Demir
|

Die kurze Antwort zuerst

Die meisten KMU-Backups versagen im Ernstfall nicht, weil die Technik schlecht ist, sondern weil sie nie getestet wurden und weil sie gegen Ransomware nicht isoliert sind. Die 3-2-1-Regel löst beides. Und sie kostet weniger, als die meisten Geschäftsführer denken.

Der Anruf, den kein Geschäftsführer will

Stellen Sie sich vor: Frühmorgens ein Anruf. Ransomware hat sich über Nacht durch das Netzwerk gefressen. Produktionsdaten, Kundendateien, die komplette Buchhaltung: verschlüsselt.

Die erste Frage: „Haben Sie ein Backup? Die Antwort kommt prompt: „Ja, natürlich. NAS im Serverraum, läuft seit Jahren.

Was dann folgt, ist leider kein Einzelfall, sondern ein Muster, das ich in der Praxis kenne. Das NAS war als Netzlaufwerk eingebunden. Die Ransomware hatte also nicht nur die Server verschlüsselt, sondern auch das Backup. Letzte verwendbare Sicherung: 14 Monate alt.

Das Unternehmen hatte ein Backup. Es hatte trotzdem alles verloren.

Laut BSI-Lagebericht 2025 treffen 80 % aller Ransomware-Angriffe in Deutschland kleine und mittlere Unternehmen, bei gleichzeitig nur 56 % erfüllter IT-Sicherheits-Basisanforderungen. Das ist keine abstrakte Statistik. Das sind Unternehmen wie Ihre Nachbarn in Prenzlauer Berg oder Marzahn.

Das Problem: Backups, die vorhanden sind, aber nicht funktionieren

In meiner Praxis sehe ich bei fast jedem Berliner KMU das Gleiche: irgendetwas, das als Backup bezeichnet wird. Ein NAS im Keller, Windows Server Backup auf einer externen Festplatte, ein Sync-Ordner in OneDrive.

Das Problem ist nicht das Fehlen einer Datensicherung. Das Problem ist das Fehlen einer Backup-Strategie. Der Unterschied ist entscheidend.

Eine Datensicherung kopiert Daten an einen anderen Ort. Eine Backup-Strategie beantwortet diese Fragen:

  • Welche Daten werden gesichert?
  • Wie oft?
  • Wie viele Versionen werden vorgehalten?
  • Wo liegen die Kopien?
  • Sind die Kopien gegen Ransomware geschützt?
  • Wann wurde zuletzt ein Restore-Test durchgeführt?
  • Wie lange dauert die Wiederherstellung im Ernstfall?

Nur wenn alle diese Fragen befriedigend beantwortet sind, haben Sie eine Backup-Strategie.

Die 3-2-1-Regel und warum die meisten KMUs nur 1-0-0 haben

Die 3-2-1-Regel ist der Branchenstandard für Backup-Strategien, älter als Cloud-Computing: 3 Kopien Ihrer Daten auf 2 unterschiedlichen Medientypen, davon 1 extern oder offline.

Was das in der Praxis bedeutet:

  • 3 Kopien: Originaldaten auf dem Produktivsystem + Backup auf lokalem NAS + Backup in der Cloud oder auf Wechselmedium
  • 2 Medientypen: Zum Beispiel internes Laufwerk und NAS, oder NAS und Cloud-Speicher
  • 1 offline oder extern: Mindestens eine Kopie physisch getrennt oder netzwerkisoliert

Was in der Praxis stattdessen häufig vorzufinden ist: Ein NAS, dauerhaft ans Netzwerk angebunden, auf das täglich ein Sync läuft. Das ist 1-1-0, eine Kopie, ein Medientyp, nichts Externes. Und weil der Sync sofort reagiert, ist bei einem Ransomware-Angriff in wenigen Stunden auch das „Backup verschlüsselt.

Die 5 häufigsten Backup-Fehler im Mittelstand

Aus meinen Projekten, zusammengefasst:

  1. Kein Restore-Test: Das Backup läuft seit Jahren, aber niemand hat je geprüft, ob die Wiederherstellung funktioniert. Korrupte Backup-Dateien, volle Festplatten, fehlerhafte Konfigurationen fallen erst im Ernstfall auf. In 3 von 4 meiner Infrastruktur-Audits ist der letzte Restore-Test mehr als ein Jahr her oder hat nie stattgefunden.
  2. NAS als einziges Backup-Ziel: Ein NAS im selben Gebäude schützt nicht vor Feuer, Wasserschaden oder Ransomware. Es ist kein Backup, wenn es am gleichen Netzwerk hängt wie das Original.
  3. Keine Versionierung: Täglicher Sync ohne Versionsverlauf: Wenn heute eine Datei korrumpiert oder von Ransomware verschlüsselt wird, überschreibt das heutige Backup das gestrige. Der Schaden landet sofort im Backup.
  4. Zu seltene Sicherung: Wöchentliche Backups sind für viele Betriebe zu wenig. Im Ernstfall verlieren Sie eine Woche Produktivdaten. Für Unternehmen mit täglich wachsenden Aufträgen, Buchhaltungsdaten oder CRM-Einträgen ist das existenzgefährdend.
  5. Kein Überblick darüber, was gesichert wird: Neue Systeme, neue Server, neue Cloud-Dienste werden eingeführt, ohne zu prüfen, ob sie im Backup-Plan erfasst sind. In meinen Audits finde ich regelmäßig kritische Daten auf Systemen, die nie in einem Backup-Job konfiguriert wurden.

Ransomware-Schutz: Warum ein klassisches Netzwerk-Backup nicht reicht

Ransomware ist 2026 die reale Bedrohung Nummer Eins für KMUs. 80 % aller dokumentierten Angriffe treffen KMU (BSI Lagebericht 2025). Und die Angreifer haben dazugelernt: Moderne Ransomware-Gruppen warten nach dem initialen Zugriff häufig Wochen bis Monate, bevor sie zuschlagen. Ziel ist, sicherzustellen, dass auch ältere Backup-Versionen bereits kompromittiert sind.

Ein Backup, das dauerhaft netzwerkverbunden ist, ist kein sicheres Backup. Sie brauchen mindestens eine Kopie, die nicht über das reguläre Netzwerk erreichbar ist.

Drei Ansätze, die sich für KMUs in meiner Praxis bewährt haben:

  • Unveränderliche Backups: „Write Once, Read Many, einmal geschriebene Backup-Segmente können nicht mehr verändert werden, auch nicht von Ransomware. Veeam, Nakivo und Acronis unterstützen das.
  • Netzwerkisolierte Backups: Wechseldatenträger, rotierende externe Festplatten, die nach der Sicherung physisch vom Netzwerk getrennt werden. Aufwendiger, aber verlässlich.
  • Cloud-Backups mit Versionierung und Aufbewahrungsfrist: Azure Backup, Backblaze B2 oder Veeam Cloud Connect. Sie speichern Versionen und erlauben keine einfache Massenlöschung. Wichtig: Backup-Zugang muss mit Mehr-Faktor-Authentifizierung geschützt und vom Produktivsystem isoliert sein.

Eine praxistaugliche KMU-Backup-Strategie aufbauen

Ein skalierbarer Ansatz, der von 5 bis 200 Mitarbeitern funktioniert:

  1. Bestandsaufnahme: Was muss gesichert werden? Server, Workstations, NAS, Cloud-Dienste, SQL-Datenbanken, E-Mail-Postfächer. Vollständige Liste aller zu schützenden Systeme und Datenpfade. Mehr dazu: Gewachsene IT dokumentieren: Die Schritt-für-Schritt-Anleitung.
  2. RTO und RPO definieren: Recovery Time Objective (wie lange darf das Unternehmen ohne Zugriff auf Daten sein?) und Recovery Point Objective (wie viel Datenverlust ist maximal tolerierbar?). Diese Antworten bestimmen die Backup-Frequenz und die Anforderungen an die Wiederherstellungsgeschwindigkeit.
  3. 3-2-1-Strategie implementieren: Lokales Backup auf NAS oder dediziertem Backup-Server, Cloud-Backup als externe Kopie, mindestens eine Kopie unveränderlich oder netzwerkisoliert.
  4. Backup-Software wählen: Für Windows-Umgebungen bewährt sind Veeam (Community Edition kostenlos, ab 10 VMs lizenzpflichtig), Nakivo oder Acronis Cyber Protect. Alle drei unterstützen unveränderliche Backups.
  5. Überwachung einrichten: Backup-Jobs müssen täglich überwacht werden. E-Mail-Benachrichtigung bei Fehler ist Pflicht.
  6. Dokumentation: Wer hat Zugang zu den Backup-Systemen? Wo liegen die Zugangsdaten? Wie läuft die Wiederherstellung ab? Diese Informationen müssen auch dann verfügbar sein, wenn das IT-System vollständig ausgefallen ist. Bewahren Sie sie auf Papier in einem Safe auf.

Der Restore-Test: der entscheidende Schritt, den fast niemand macht

Ein Backup ohne Restore-Test ist eine Illusion, keine Sicherheit. Aus meinen Projekten empfehle ich folgende Test-Häufigkeit:

  • Monatlich: Stichprobenartiger Datei-Restore. Einzelne Dateien aus dem Backup wiederherstellen und auf Integrität prüfen, Zeitaufwand etwa 30 Minuten.
  • Quartalsweise: System-Restore-Test in einer isolierten Testumgebung. Server aus Backup wiederherstellen und prüfen, ob das System bootfähig und funktionsfähig ist.
  • Jährlich: Vollständiger Notfallwiederherstellungs-Test. Gesamten Betrieb aus Backup wiederherstellen, den Zeitaufwand messen und Lücken identifizieren.

Der Zeitaufwand für einen monatlichen Datei-Restore-Test: 30 Minuten. Der Zeitaufwand für einen Datenverlust ohne funktionierendes Backup: Wochen bis Monate, im schlimmsten Fall die Insolvenz.

Wenn Sie ein KI-Projekt planen: Backups zuerst

Ein Hinweis, der in KI-Gesprächen regelmäßig vergessen wird: Auch KI-Modelle, KI-Konfigurationen und KI-verarbeitete Daten müssen in Ihre Backup-Strategie eingebunden sein. Wer KI einführt, ohne zuerst das Backup zu stabilisieren, verdoppelt das Risiko.

Mehr dazu: KI im Unternehmen einführen, ohne die IT-Basis kaputtzumachen.

Pragmatische Empfehlungen nach Unternehmensgröße

  • Bis 10 Mitarbeiter: Veeam Agent (kostenlos für Workstations), Cloud-Backup über Backblaze B2 oder Azure Backup, externe Festplatten im wöchentlichen Wechsel. Laufende Kosten: ca. 20-50 Euro pro Monat.
  • 10 bis 50 Mitarbeiter: Veeam Backup and Replication Community Edition für virtuelle Maschinen, NAS als lokales Backup-Ziel (Synology mit unveränderlichen Backups), Cloud-Tier als externe Kopie. Laufende Kosten: ca. 100-300 Euro pro Monat.
  • Über 50 Mitarbeiter: Dedizierte Backup-Infrastruktur mit Veeam oder Nakivo, Bandlaufwerk oder externes Rechenzentrum als netzwerkisolierter Speicher, Cloud-Backup mit langen Aufbewahrungsfristen. Kosten: individuell nach Datenvolumen.

Checkliste zum Mitnehmen

Alle kritischen Systeme und Datenpfade sind im Backup-Plan erfasst
3-2-1-Regel ist implementiert: 3 Kopien, 2 Medientypen, 1 extern/offline
Mindestens eine Backup-Kopie ist unveränderlich oder netzwerkisoliert
Backup-Jobs laufen täglich und werden täglich auf Erfolg geprüft
E-Mail-Benachrichtigung bei Backup-Fehler ist konfiguriert
Letzter Datei-Restore-Test ist weniger als 30 Tage alt
Letzter System-Restore-Test ist weniger als 90 Tage alt
Zugangsdaten und Restore-Anleitung sind offline dokumentiert
RTO und RPO sind definiert und kommuniziert
Backup-Zugänge sind mit separaten Zugangsdaten und Mehr-Faktor-Authentifizierung gesichert

Mein Fazit

In meiner Praxis gibt es keine KMUs ohne Backup. Es gibt KMUs ohne getestetes Backup und ohne isoliertes Backup. Das ist der Unterschied zwischen einer Illusion und echter Sicherheit.

Die gute Nachricht: Das ist lösbar. Meistens in einem bis zwei Arbeitstagen, wenn man weiß, was zu tun ist.