Zum Hauptinhalt springen
Wissens-Artikel·Hosting & Betrieb · 12 min · Stand 2026-04-24

Backup-Strategie für KMU, zehn Punkte, die wirklich zählen

Die 3-2-1-Regel, praktikable Tool-Optionen, Restore-Drill und typische Fehler. Ohne Marketing-Pitch, mit konkreten Empfehlungen für 10-80-Arbeitsplatz-Firmen.

Veröffentlicht2026-04-24Aktualisiert2026-04-24Lesezeit12 minVerbleibend12 minSGFHosting & BetriebAutorSYSINFRA

Wieso dieser Artikel existiert

„Wir haben Backup" ist ein Satz, den wir zu oft in Incident-Calls hören, kurz bevor klar wird, dass das letzte funktionierende Backup sechs Wochen alt ist, auf dem gleichen Server liegt wie die Produktivdaten oder auf Verschlüsselungs-Ransomware gewartet hat. Dieser Artikel ist das Gegenmittel.

1. Die 3-2-1-Regel

Drei Kopien Ihrer Daten. Zwei unterschiedliche Medien. Eins davon offsite. Das ist kein Buzzword, sondern die einfachste Formel gegen Datenverlust durch Hardware- Fehler, versehentliches Löschen und Ransomware.

  • Produktivdaten auf Produktiv-Storage
  • Backup-Kopie auf Backup-Server / NAS (unterschiedliches Medium, unterschiedlicher Host)
  • Zweite Backup-Kopie an zweitem Standort (Cloud, anderes RZ, Büro des Inhabers)

2. 3-2-1-1: die Ransomware-Variante

Modern: eine zusätzliche Offline-/Immutable-Kopie, die auch ein Domain-Admin nicht löschen kann. Proxmox Backup Server mit Retention-Lock oder S3-/MinIO-Bucket mit Object Lock (WORM). Ransomware verschlüsselt nur was erreichbar ist.

3. RPO + RTO definieren, in Minuten

  • Recovery Point Objective (RPO): Wieviel Daten dürfen wir verlieren? 1 Stunde? 24 Stunden?
  • Recovery Time Objective (RTO): Wie lange darf die Wiederherstellung dauern? 2 Stunden? 1 Tag?

Das sind Business-Entscheidungen, keine Technik-Entscheidungen. Ein Handwerksbetrieb mit Papier-Fallback hat andere Zahlen als ein Online-Shop.

4. Datenquellen inventarisieren

Typische KMU-Quellen:

  • Fileshares (SMB, SharePoint, OneDrive)
  • Datenbanken (SQL Server, PostgreSQL, MySQL/MariaDB)
  • E-Mails (Exchange / M365)
  • ERP / Spezial-Apps
  • Virtuelle Maschinen als Ganzes
  • Endgeräte (Notebooks), wenn Data dort primär liegt

Ohne Inventar keine Backup-Strategie. Was nicht auf einer Liste steht, wird vergessen.

5. Tool-Optionen für KMU

SzenarioToolAnmerkung
On-Prem VMs (Proxmox)Proxmox Backup ServerOpen Source, gratis, deduplizierend, inkrementell. Unser Default.
On-Prem VMs (VMware)etablierte kommerzielle Backup-SuiteLizenzkosten, aber ausgereift, Vendor-Auswahl pro Mandat
M365 (Exchange, SPO, OneDrive)unabhängiges 3rd-Party-Backup-Tool für M365Microsoft stellt Plattformverfügbarkeit, Retention- und Recovery-Funktionen, das ersetzt aber kein unabhängiges, mandantengesteuertes Backup mit eigener Retention, Restore-Test und Exit-Pfad
EndgeräteOneDrive Known Folder Move oder DuplicatiUser-Home auf Cloud, Fokus auf aktuelle Daten
Datenbankenpg_dump / mysqldump + Object-StorageSimple, scripted, audit-fähig

Hinweis Vendor-Namen: Welche kommerzielle Suite wir pro Mandat einsetzen, entscheiden wir basierend auf Bestand, Lizenz-Lage und Hypervisor, die Auswahl steht im Angebot. Aktuell von SYSINFRA produktiv eingesetzt: Proxmox Backup Server (Default für eigene Hetzner-VMs).*

6. Offsite-Kopie, aber realistisch

Second-Standort ist Gold, aber nicht jeder hat zwei Server-Räume. Pragmatische Alternativen:

  • Hetzner Storage Box in anderem RZ (Nürnberg/Falkenstein unterschiedlich)
  • S3-kompatibler Cloud-Storage bei Schweizer Anbieter (Exoscale, Cloudscale)
  • Offline-Disks im Tresor, billig, aber Restore-Aufwand hoch, und Rotations-Disziplin nötig

7. Verschlüsselung, aber Key-Management

Backups sollten at-rest verschlüsselt sein (AES-256). ABER: der Key darf nicht im gleichen System liegen wie das Backup. Passwort-Manager, Break-Glass-Procedure, dokumen- tiert wo zwei unabhängige Personen zugreifen können.

8. Restore-Drill, zweimal jährlich

Ein Backup, das noch nie restored wurde, ist eine Hoffnung, kein Backup. Mindestens halbjährlich:

  • Test-Restore einer VM auf isolierte Proxmox-Instanz
  • File-Restore aus tiefster Retention-Ebene
  • Datenbank-Restore auf Staging
  • Zeit stoppen, liegt sie unter Ihrem RTO?

9. Monitoring + Alerts

Backup-Jobs, die schweigend fehlschlagen, sind ein Klassiker. Minimum-Setup:

  • Backup-Report täglich per E-Mail
  • Alert bei Job-Fail an Pager / Ticket-System
  • Dashboard (Grafana, Checkmk) mit Success-Rate der letzten 7 Tage

10. Dokumentation

  • Welche Systeme werden gesichert? Welche nicht?
  • Wer hat Zugriff auf welche Backup-Ebene?
  • Was ist die Restore-Prozedur, Schritt für Schritt?
  • Wann war der letzte Test?

Am besten im Wiki des Unternehmens oder im Ops-Handbook. Bei Mitarbeiter-Wechsel überlebensnotwendig.

Häufige Fehler aus der Praxis

  • Backup-Server im gleichen VLAN wie Produktion → Ransomware erwischt beides
  • Retention zu kurz → Ransomware, die 60 Tage schlummert, hat kein Backup mehr
  • M365 ohne externes Backup → „Microsoft macht doch Backup" ist Mythos
  • Key-Rotation nie gemacht → Fehlerfall bei altem Key

Live-Demo · Restore-Test-Workflow

So sieht ein typischer monatlicher Restore-Test in unserer NOC-Konsole aus , inklusive RTO/RPO-Messung und automatischem Bericht-Versand an den Mandanten:

live console · read only

Echte Befehle,
echte Outputs.

Drei Beispiele aus dem produktiven Betrieb: EU-Cloud-Umgebung in 6 Minuten via Terraform, M365-Tenant-Audit per PowerShell + Graph, Multi-Site-VPN-Mesh mit 6 Endpoints. Outputs aus realen Sessions, anonymisiert wo Kundenkontext betroffen ist.

sysinfra@noc-01:~ · live-console

Für eine detaillierte Bedarfsanalyse: Gespräch vereinbaren.