Datensicherung im KMU

von Jörg Apel


Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist

Management Summary

Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.

Für Geschäftsführung und Führungskräfte ist dabei nicht entscheidend, wie viele technische Backup-Jobs im Hintergrund laufen. Entscheidend ist, ob geschäftskritische Daten zuverlässig gesichert, vor Manipulation geschützt und innerhalb definierter Zeiten wiederhergestellt werden können.

Ein gutes Backup-Konzept beantwortet vier zentrale Managementfragen:

  • Welche Daten und Systeme sind für den Geschäftsbetrieb wirklich kritisch?

  • Wie viel Datenverlust ist maximal vertretbar?

  • Wie schnell muss der Betrieb nach einem Ausfall wieder anlaufen?

  • Wie wird regelmäßig nachgewiesen, dass die Wiederherstellung tatsächlich funktioniert?

Die wichtigsten Eckpunkte sind regelmäßige Backups, eine 3-2-1-Backup-Strategie, offline oder unveränderbar gespeicherte Sicherungen, geografische Trennung, Verschlüsselung, Wiederherstellungstests sowie klare Verantwortlichkeiten. Ergänzend braucht es Backup-Richtlinien, Testnachweise, auditierbare Dokumentation und regelmäßige Managementbewertungen.

Die klare Managementbotschaft lautet: Datensicherung ist keine reine IT-Aufgabe. Sie ist ein Bestandteil von Risikomanagement, Business Continuity und Unternehmensresilienz.

1. Warum Datensicherung überhaupt wichtig ist

Business Impuls

In vielen KMU läuft der Geschäftsbetrieb heute vollständig datenabhängig. Angebote, Kundenakten, Produktionsdaten, Buchhaltung, E-Mail-Kommunikation, ERP-Systeme, Warenwirtschaft, Projektunterlagen und Vertragsdokumente liegen digital vor. Sind diese Daten nicht verfügbar, steht häufig nicht nur die IT still, sondern das operative Geschäft.

Datensicherung bedeutet deshalb nicht nur, Dateien zu kopieren. Sie bedeutet, die Handlungsfähigkeit des Unternehmens abzusichern.

Ein Beispiel aus dem KMU-Alltag:

Ein Produktionsunternehmen verliert durch einen Ransomware-Angriff den Zugriff auf Fertigungspläne, Auftragsdaten und Liefertermine. Ohne funktionierende Datensicherung kann weder produziert noch zuverlässig an Kunden kommuniziert werden. Mit getesteten Backups kann das Unternehmen priorisiert wiederherstellen: zuerst ERP und Fertigungsplanung, danach Dateiablagen und Archivsysteme.

Genau an dieser Stelle wird Datensicherung zur Managementaufgabe. Die Geschäftsleitung muss entscheiden, welche Prozesse im Notfall Vorrang haben und welches Restrisiko akzeptiert wird.

Fachbegriff: Backup

Ein Backup ist eine Sicherungskopie von Daten, Systemen oder Anwendungen. Ziel ist es, Informationen nach Verlust, Beschädigung, Manipulation oder Löschung wiederherstellen zu können.

Fachbegriff: Recovery

Recovery bedeutet Wiederherstellung. Entscheidend ist nicht nur, dass Daten gesichert wurden, sondern dass sie im Ernstfall schnell, vollständig und zuverlässig zurückgespielt werden können.

Warum reine Technik nicht ausreicht

Viele Unternehmen haben zwar Backups, aber kein belastbares Backup-Konzept. Typische Schwachstellen sind:

  • Es ist unklar, welche Daten wirklich kritisch sind.

  • Backups laufen zwar regelmäßig, werden aber nicht getestet.

  • Sicherungen liegen im gleichen Netzwerk wie die Originaldaten.

  • Ransomware kann auch die Backups verschlüsseln oder löschen.

  • Wiederherstellungszeiten sind nicht mit den Geschäftsanforderungen abgestimmt.

  • Verantwortlichkeiten sind nicht eindeutig geregelt.

Aus Managementsicht ist das problematisch. Denn ein nicht getestetes Backup ist im Ernstfall nur eine Hoffnung, kein Nachweis.

2. Welche Risiken die Datensicherung reduziert

Risiko

Datensicherung reduziert nicht jedes Cyberrisiko, aber sie begrenzt die Auswirkungen vieler schwerwiegender Vorfälle. Besonders relevant sind Datenverlust, Betriebsunterbrechung, Erpressung durch Ransomware, Manipulation, Hardwareausfall, menschliche Fehler und Schäden durch Brand, Wasser oder Diebstahl.

Für KMU sind diese Risiken besonders kritisch, weil personelle und finanzielle Reserven oft begrenzt sind. Ein mehrtägiger Ausfall kann Kundenbeziehungen, Liquidität und Reputation erheblich belasten.

Risiko 1: Ransomware und Erpressung

Ransomware verschlüsselt Daten und Systeme. Moderne Angriffe zielen häufig zusätzlich auf Backups, um die Wiederherstellung zu verhindern. Deshalb reicht es nicht, Sicherungen nur im gleichen Netzwerk zu speichern.

Wirksame Gegenmaßnahmen sind offline gespeicherte Backups oder sogenannte immutable Backups.

Fachbegriff: Immutable Backup

Ein immutable Backup ist eine unveränderbare Sicherung. Sie kann für einen definierten Zeitraum nicht gelöscht oder verändert werden. Das schützt vor Manipulation, versehentlicher Löschung und Angriffen durch Schadsoftware.

Risiko 2: Bedienfehler und versehentliche Löschung

Nicht jeder Datenverlust entsteht durch Cyberangriffe. Häufig sind einfache Fehler die Ursache: Eine Datei wird überschrieben, ein Ordner gelöscht oder eine falsche Version gespeichert. Ohne Backup kann bereits ein kleiner Fehler erhebliche Folgen haben.

Beispiel:

Ein Handwerksbetrieb löscht versehentlich den Projektordner eines laufenden Großauftrags. Enthalten waren Angebote, technische Zeichnungen, E-Mail-Anhänge und Abnahmeprotokolle. Ein tägliches Backup mit klarer Versionierung ermöglicht die Wiederherstellung des Ordners auf den Stand des Vortags.

Risiko 3: Technischer Ausfall

Festplatten, Server, Speichersysteme und Cloud-Dienste können ausfallen. Auch Softwarefehler oder fehlerhafte Updates können Systeme beschädigen. Backups schaffen hier eine Rückfallebene.

Risiko 4: Standortbezogene Schäden

Brand, Wasser, Einbruch oder Stromschäden können lokale Systeme vollständig unbrauchbar machen. Deshalb sollten Sicherungen geografisch getrennt gespeichert werden. Eine Kopie im gleichen Serverraum hilft nicht, wenn genau dieser Raum betroffen ist.

Risiko 5: Fehlende Nachweisfähigkeit

Bei Audits, Kundenanforderungen oder regulatorischen Prüfungen reicht die Aussage „Wir machen Backups“ nicht aus. Unternehmen müssen zeigen können, dass Datensicherung geplant, geregelt, getestet und dokumentiert ist.

Nachweise sind zum Beispiel:

  • Backup-Richtlinie

  • Backup-Protokolle

  • Wiederherstellungstests

  • Rollen- und Verantwortlichkeitsmatrix

  • Managementbewertung

  • Abweichungen und Verbesserungsmaßnahmen

3. Welche Maßnahmen sofort sinnvoll sind

Maßnahmen

Für KMU muss Datensicherung pragmatisch, bezahlbar und wirksam sein. Es geht nicht darum, sofort eine komplexe Hochverfügbarkeitsarchitektur aufzubauen. Wichtig ist eine klare Priorisierung: zuerst die geschäftskritischen Daten, dann die technische Absicherung, anschließend die Governance und Nachweisfähigkeit.

Maßnahme 1: Geschäftskritische Daten identifizieren

Am Anfang steht keine Backup-Software, sondern eine einfache Bestandsaufnahme:

  • Welche Daten sind für den Geschäftsbetrieb unverzichtbar?

  • Welche Systeme müssen im Notfall zuerst wieder verfügbar sein?

  • Welche Daten dürfen keinesfalls verloren gehen?

  • Welche Daten können notfalls später wiederhergestellt werden?

Typische geschäftskritische Daten in KMU sind:

  • Finanzbuchhaltung und Lohnabrechnung

  • ERP- und Warenwirtschaftsdaten

  • Kundendaten und Vertragsunterlagen

  • Produktions- und Konstruktionsdaten

  • E-Mail-Postfächer

  • Projekt- und Auftragsdokumentation

  • Konfigurationen wichtiger IT-Systeme

Maßnahme 2: RTO und RPO definieren

Zwei Kennzahlen sind für Managemententscheidungen besonders wichtig: RTO und RPO.

Fachbegriff: RTO

Recovery Time Objective beschreibt die maximal tolerierbare Wiederherstellungszeit. Einfach gesagt: Wie lange darf ein System ausfallen?

Beispiel:

Das ERP-System eines Produktionsbetriebs muss innerhalb von 8 Stunden wieder verfügbar sein. Das Archivsystem darf dagegen 3 Tage ausfallen.

Fachbegriff: RPO

Recovery Point Objective beschreibt den maximal tolerierbaren Datenverlust. Einfach gesagt: Wie aktuell müssen Daten im Ernstfall mindestens wiederherstellbar sein?

Beispiel:

Bei der Finanzbuchhaltung ist ein Datenverlust von maximal 24 Stunden akzeptabel. Bei einer Online-Bestellplattform kann bereits ein Verlust von 30 Minuten kritisch sein.

RTO und RPO verbinden Kosten, Risiken und Nutzen. Je kürzer die Wiederherstellungszeit und je geringer der zulässige Datenverlust, desto höher sind in der Regel technische und organisatorische Anforderungen.

Maßnahme 3: 3-2-1-Backup-Strategie umsetzen

Die 3-2-1-Regel ist eine bewährte Grundregel für robuste Datensicherung:

  • 3 Kopien der Daten

  • 2 unterschiedliche Speichermedien oder Speicherorte

  • 1 Kopie außerhalb des Hauptstandorts oder außerhalb des produktiven Netzwerks

Für KMU kann das zum Beispiel bedeuten:

  • Originaldaten auf dem Server oder in der Cloud

  • lokale Backup-Kopie auf einem separaten Speichersystem

  • zusätzliche Kopie in einem externen Rechenzentrum, in einer gesicherten Cloud oder auf einem offline gelagerten Medium

Wichtig ist: Die externe oder offline gespeicherte Kopie darf nicht dauerhaft so angebunden sein, dass Angreifer sie einfach mitverschlüsseln oder löschen können.

Maßnahme 4: Offline- oder immutable Backups einsetzen

Besonders gegen Ransomware sind isolierte oder unveränderbare Sicherungen entscheidend.

Geeignete Ansätze sind:

  • Offline-Backups auf getrennten Medien

  • Immutable Storage mit definierter Aufbewahrungsfrist

  • getrennte Administrationskonten für Backup-Systeme

  • keine dauerhafte Anmeldung des Backup-Speichers im produktiven Netzwerk

  • Schutz der Backup-Konsole durch Mehr-Faktor-Authentifizierung

Maßnahme 5: Verschlüsselung und Zugriffsschutz sicherstellen

Backups enthalten oft besonders schutzwürdige Informationen. Deshalb müssen sie vor unbefugtem Zugriff geschützt werden.

Wichtige Maßnahmen sind:

  • Verschlüsselung der Backup-Daten

  • sichere Verwaltung der Schlüssel

  • Zugriff nur für berechtigte Personen

  • Protokollierung administrativer Tätigkeiten

  • getrennte Berechtigungen für IT-Betrieb und Backup-Administration

Ein Backup, das zwar verfügbar ist, aber bei Verlust unverschlüsselt Kundendaten offenlegt, erzeugt ein neues Risiko.

Maßnahme 6: Wiederherstellung regelmäßig testen

Der wichtigste Praxistest lautet: Können die gesicherten Daten tatsächlich wiederhergestellt werden?

Empfehlenswert sind regelmäßige Tests, zum Beispiel:

  • Wiederherstellung einzelner Dateien

  • Wiederherstellung eines kompletten Ordners

  • Wiederherstellung einer Datenbank

  • Wiederanlauf eines kritischen Systems

  • Notfallübung für ein Ransomware-Szenario

Die Ergebnisse sollten dokumentiert werden. Dazu gehören Datum, Umfang, beteiligte Personen, Ergebnis, Abweichungen und Verbesserungsmaßnahmen.

4. Wie die Umsetzung gelingt

Umsetzung

Eine wirksame Datensicherung entsteht nicht durch ein einzelnes IT-Projekt. Sie entsteht durch ein Zusammenspiel aus Technik, Organisation, Verantwortlichkeit und regelmäßiger Überprüfung.

Für KMU hat sich ein pragmatisches Vorgehen in fünf Schritten bewährt.

Schritt 1: Backup-Richtlinie erstellen

Die Backup-Richtlinie beschreibt verbindlich, wie Datensicherung im Unternehmen geregelt ist.

Sie sollte mindestens festlegen:

  • Zweck und Geltungsbereich

  • zu sichernde Systeme und Daten

  • Sicherungsintervalle

  • Aufbewahrungsfristen

  • Speicherorte

  • Verschlüsselung

  • Schutz vor Manipulation und Löschung

  • Verantwortlichkeiten

  • Testintervalle

  • Dokumentationspflichten

  • Eskalation bei Fehlern

Die Richtlinie muss nicht lang sein. Für ein KMU sind wenige klare Seiten oft wirksamer als ein umfangreiches Dokument, das niemand nutzt.

Schritt 2: Rollen und Verantwortlichkeiten festlegen

Datensicherung braucht klare Zuständigkeiten. Unklare Verantwortung führt im Ernstfall zu Verzögerung.

Typische Rollen sind:

  • Geschäftsleitung: Vorgaben, Risikobereitschaft, Budget, Priorisierung

  • IT-Verantwortliche: technische Umsetzung und Betrieb

  • Fachbereiche: Bewertung geschäftskritischer Daten und Prozesse

  • Informationssicherheitsbeauftragte: Anforderungen, Kontrolle, Nachweise

  • externe IT-Dienstleister: definierte Leistungen, Reaktionszeiten und Berichtspflichten

Gerade bei ausgelagerter IT muss vertraglich eindeutig geregelt sein, wer Backups erstellt, wer sie überwacht, wer Wiederherstellungen durchführt und welche Nachweise bereitgestellt werden.

Schritt 3: Backup-Plan mit Geschäftsprioritäten verbinden

Nicht jedes System ist gleich wichtig. Deshalb sollte der Backup-Plan nach Kritikalität aufgebaut werden.

Beispielhafte Priorisierung:

  • Priorität 1: ERP, Finanzbuchhaltung, Produktionssteuerung, zentrale Kundendaten

  • Priorität 2: Dateiablagen, E-Mail, Projektmanagementsysteme

  • Priorität 3: Archivsysteme, weniger kritische Dokumentationen, Testsysteme

Diese Priorisierung hilft, Kosten gezielt einzusetzen. Hochkritische Systeme benötigen häufig kürzere Sicherungsintervalle und schnellere Wiederherstellung. Weniger kritische Systeme können mit längeren Wiederherstellungszeiten betrieben werden.

Schritt 4: Testnachweise und auditierbare Dokumentation aufbauen

Nachweisfähigkeit ist ein wesentlicher Bestandteil professioneller Informationssicherheit. Sie zeigt Kunden, Auditoren und der Geschäftsleitung, dass Datensicherung nicht nur behauptet, sondern betrieben und überprüft wird.

Auditierbare Dokumentation umfasst:

  • Backup-Konzept

  • Backup-Richtlinie

  • Übersicht der gesicherten Systeme

  • RTO- und RPO-Festlegungen

  • Protokolle erfolgreicher und fehlgeschlagener Sicherungen

  • Testberichte zur Wiederherstellung

  • Maßnahmenverfolgung bei Abweichungen

  • Managementbewertung

Für ISO-27001-orientierte Unternehmen ist diese Dokumentation besonders wertvoll, weil sie die Steuerung von Verfügbarkeit, Integrität, Verantwortlichkeiten und kontinuierlicher Verbesserung unterstützt.

Schritt 5: Regelmäßige Managementbewertung durchführen

Datensicherung muss regelmäßig auf Managementebene bewertet werden. Dabei geht es nicht um technische Detailprotokolle, sondern um steuerungsrelevante Fragen:

  • Sind alle geschäftskritischen Daten angemessen gesichert?

  • Wurden Wiederherstellungstests erfolgreich durchgeführt?

  • Gab es Backup-Fehler oder nicht erreichte Wiederherstellungsziele?

  • Passen RTO und RPO noch zum Geschäft?

  • Haben neue Systeme, Standorte oder Cloud-Dienste das Backup-Konzept verändert?

  • Sind Dienstleisterleistungen ausreichend nachgewiesen?

  • Besteht zusätzlicher Investitionsbedarf?

Diese Bewertung macht Datensicherung zu einem steuerbaren Managementthema. Sie verbindet technische Wirksamkeit mit Geschäftsrisiko und Budgetentscheidung.

Konkretes KMU-Beispiel: Vom Backup zur belastbaren Wiederanlauffähigkeit

Ein mittelständischer Maschinenbauer nutzt ein ERP-System, eine Konstruktionsdatenbank, Microsoft 365, Dateiablagen und mehrere Produktionssysteme.

Die Geschäftsleitung legt gemeinsam mit IT und Fachbereichen fest:

  • ERP: Wiederherstellung innerhalb von 8 Stunden, maximal 4 Stunden Datenverlust

  • Konstruktionsdaten: Wiederherstellung innerhalb von 24 Stunden, maximal 24 Stunden Datenverlust

  • E-Mail: Wiederherstellung innerhalb von 48 Stunden

  • Archivdaten: Wiederherstellung innerhalb von 5 Arbeitstagen

Das Unternehmen setzt anschließend eine 3-2-1-Strategie um. Eine lokale Sicherung ermöglicht schnelle Wiederherstellung kleinerer Vorfälle. Eine externe, verschlüsselte und unveränderbare Sicherung schützt gegen Ransomware und Standortschäden. Vierteljährlich wird eine Wiederherstellung getestet und dokumentiert.

Das Ergebnis: Die IT ist nicht „perfekt“, aber das Unternehmen ist deutlich widerstandsfähiger. Die Geschäftsleitung kann nachvollziehbar entscheiden, welche Risiken akzeptiert und welche gezielt reduziert werden.

Fazit

Datensicherung ist eine der grundlegenden Sicherheitsmaßnahmen für jedes KMU. Ihr Wert zeigt sich nicht im Normalbetrieb, sondern im Ernstfall. Dann entscheidet sie über Ausfallzeit, Datenverlust, Kundenvertrauen und wirtschaftlichen Schaden.

Für Führungskräfte ist die wichtigste Erkenntnis: Ein Backup ist nur dann wirksam, wenn es zur Geschäftskritikalität passt, gegen Manipulation geschützt ist und regelmäßig erfolgreich getestet wird.

Wer Datensicherung professionell steuert, schafft mehr als technische Sicherheit. Er schafft Nachweisfähigkeit, Resilienz und Entscheidungsfähigkeit.

Die zentrale Frage lautet daher nicht: „Haben wir ein Backup?“

Die bessere Frage lautet: „Können wir unsere wichtigsten Geschäftsprozesse nach einem schweren Vorfall innerhalb der definierten Zeit zuverlässig wiederherstellen und dies nachweisen?“

Genau diese Frage sollte jedes KMU regelmäßig beantworten können. 

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »