Microsoft betreibt die Plattform. Ihre Datenstrategie bleibt Ihre Aufgabe.
„Daten liegen in der Cloud, also sind sie automatisch gesichert." Dieser Satz fällt regelmässig in Kundengesprächen. Er ist halb richtig, und genau das macht ihn gefährlich.
Microsoft betreibt M365 hochverfügbar, repliziert Daten zwischen Rechenzentren und stellt Recovery-Mechanismen zur Verfügung. Microsoft beschreibt Cloud-Sicherheit und Compliance aber ausdrücklich als geteilte Verantwortung. Plattformverfügbarkeit ist nicht dasselbe wie Backup, und Retention ist nicht dasselbe wie Wiederherstellung im Sinne eines KMU-Notfallplans.
Drei Begriffe, die oft vermischt werden
Verfügbarkeit. Microsoft sorgt dafür, dass M365 läuft, repliziert wird und nicht spurlos verschwindet. Das schützt vor Hardware-Ausfällen, nicht vor Anwenderfehlern oder gezielten Löschungen.
Retention. Über Purview lässt sich definieren, wie lange Mails, Dateien, Teams-Chats und SharePoint-Items aufbewahrt werden. Retention ist eine Compliance-Funktion, kein Backup-Werkzeug. Sie schützt vor Löschung, aber rekonstruiert keinen vollständigen Stand zu einem Zeitpunkt der Wahl.
Microsoft 365 Backup. Microsofts eigenes Backup-Produkt erweitert Recovery-Möglichkeiten für Exchange, OneDrive und SharePoint. Microsoft selbst weist im FAQ darauf hin, dass dies das Modell der geteilten Verantwortung nicht grundsätzlich ändert.
Daraus folgt: Ein KMU darf sich nicht auf eine einzige Schicht verlassen.
Was oft falsch läuft
Kein Restore-Test. Retention ist eingerichtet, aber niemand hat je einen Restore aus Purview oder einem Drittanbieter-Tool durchgespielt. Im Ernstfall kennt niemand den Ablauf.
Keine Retention-Policy. „Alles aufbewahren" ist keine Strategie, sondern Aufschub. Steuerlich relevante Mails brauchen andere Fristen als Teams-Chats.
Keine Exit-Strategie. Wenn der Tenant verloren geht (Account-Takeover, Lizenzverlust, Vertragsende), sind auch Retention-Policies betroffen.
Keine klare Verantwortung. Dienstleister sagt „Microsoft sichert", Microsoft sagt „shared responsibility", Kunde glaubt, jemand sei zuständig.
Entscheidungsmatrix nach Workload
| Workload | Risiko | Empfehlung |
|---|---|---|
| Exchange Online | Phishing, Mailbox-Übernahme | Retention + Drittanbieter-Backup für kritische Postfächer |
| OneDrive | Ransomware auf Endgerät | Versionierung + Backup-Test |
| SharePoint | Versehentliches Löschen, Compliance | Retention-Policy + Restore-Drill |
| Teams (Chats) | Compliance, Beweissicherung | Retention prüfen, juristisch klären |
| Teams (Files) | Wie SharePoint | Wie SharePoint |
| Identity (Entra ID) | Account-Verlust | Break-Glass + dokumentierte Wiederherstellung |
Beispiel aus dem KMU-Alltag
Ein Treuhandbüro löscht versehentlich einen SharePoint-Ordner mit revisionsrelevanten Dokumenten. Im Papierkorb taucht er auf, verschwindet aber nach 93 Tagen automatisch. Niemand bemerkt das, bis ein Mandant nach den Unterlagen fragt. Eine korrekt gesetzte Retention-Policy hätte das verhindert. Ein zusätzliches Backup hätte einen sauberen Wiederherstellungspunkt geliefert, auch wenn die Policy fehlerhaft konfiguriert gewesen wäre.
Konkrete Empfehlung
- Tenant-Audit: Welche Workloads, welche Daten, welche Compliance-Anforderungen?
- Retention-Policy pro Workload festlegen (Exchange, SharePoint, OneDrive, Teams)
- Risikoklasse pro Workload definieren (kritisch / wichtig / normal)
- Backup-Entscheid: Reicht Retention, oder braucht es ein Drittanbieter-Backup?
- Restore-Test mindestens halbjährlich für kritische Workloads
- Dokumentation: Wer darf wiederherstellen, wo liegt der Ablauf?
Für viele KMU ist die Antwort gemischt: Retention reicht für 80 % der Postfächer, kritische Mailboxen (GL, Buchhaltung, Verträge) bekommen zusätzliches Backup.
Wann wir helfen
Wir prüfen den Tenant, modellieren die Retention sauber und führen den Restore-Test durch. Das Ergebnis ist ein dokumentierter Wiederherstellungsablauf, relevant für Cyberversicherung, Audit und Geschäftsleitungs-Sicherheit. Teil unserer Leistung Managed Workplace & Microsoft 365. Siehe auch Backup ist nicht gleich Restore für die übergeordnete Backup-Logik.
Häufige Fragen
Ist M365 automatisch gesichert? Verfügbar ja, gesichert im Sinne eines KMU-Backups nein. Geteilte Verantwortung.
Was ist Retention? Eine Aufbewahrungs-Policy, die verhindert, dass Daten gelöscht oder verändert werden, innerhalb der definierten Frist.
Was ist Microsoft 365 Backup? Ein zusätzliches Microsoft-Produkt, das Recovery-Möglichkeiten für ausgewählte Workloads erweitert. Es ändert nicht grundsätzlich die geteilte Verantwortung.
Brauche ich Drittanbieter-Backup? Nicht für jeden Workload. Für kritische Daten und regulierte Bereiche meistens ja.
Wie teste ich den Restore? Mit echter Datei, echtem Mail, echtem SharePoint-Item, nicht nur theoretisch. Ergebnis dokumentieren.