„Die Daten gehören euch“ – und damit auch die Verantwortung: Microsoft betreibt die Plattform, ihr schützt die Inhalte. Wer sich auf Papierkörbe oder Standard-Aufbewahrungen verlässt, riskiert Datenverlust. Ein dediziertes Cloud-Backup für Microsoft 365 ist deshalb Pflicht.
Was bedeutet Shared-Responsibility?
Microsoft ist verantwortlich für …
- Verfügbarkeit und Betrieb der Cloud-Dienste
- Physische Sicherheit & Infrastruktur
- Grundschutz (z. B. DDoS-Abwehr, Plattform-Redundanz)
Ihr seid verantwortlich für …
- Integrität eurer Daten (Mails, Dateien, Chats, Sites)
- Aufbewahrung/Compliance, Wiederherstellbarkeit
- Identitäten, Berechtigungen, Konfigurationen
Warum Backups trotz Cloud?
- Fehlbedienung & versehentliches Löschen – wird oft zu spät bemerkt.
- Maliziöse Aktionen – z. B. nach Account-Übernahme oder Insider-Threat.
- Ransomware & Sync-Ketten – Verschlüsseltes repliziert sich via Clients/Sync.
- Konfig-Fehler – falsch gesetzte Aufbewahrungsregeln oder Berechtigungen.
- Recht & Audit – revisionssichere Aufbewahrung, eDiscovery, Nachweise.
- Betriebsrisiken – Tenant-Fehler, Lizenzabläufe, menschliche Irrtümer.
Merksatz: Papierkörbe und Standard-Aufbewahrungen sind Komfortfunktionen – kein Ersatz für ein echtes Backup mit eigener, abgesicherter Kopie und planbarem Restore.
Welche Workloads sichern?
| Workload | Was sichern? | Worauf achten? |
|---|---|---|
| Exchange Online | Postfächer, Kalender, Archive | Item-Level-Restore, Wiederherstellung in neues/anderes Postfach, Journaling-Szenarien |
| OneDrive | Benutzerdateien, Versionen | Ransomware-Fälle, gelöschte Accounts & Offboarding, Restore in Ordner/Benutzer |
| SharePoint Online | Sites, Dokumentbibliotheken, Berechtigungen | Point-in-Time-Restore, Site-/Library-Restore, Metadaten & Freigaben |
| Microsoft Teams | Chats, Kanäle, Dateien (liegen in SPO/OD) | Abdeckung von Privat-/Gruppen-Chats, Channel-Posts, Struktur & Mitglieder |
| Sonstiges | Planner/Loop/OneNote, Entra-Objekte, Public Folders | Produkt-Support des Backup-Herstellers prüfen; API-Abdeckung & Limits beachten |
Backup-Strategie in 7 Schritten
1) Ziele & Risiken
- Welche Daten sind kritisch? Welche RPO/RTO müssen wir erreichen?
2) Schutzumfang
- Welche Workloads/Benutzer? Komplett-Tenant vs. kritische Bereiche zuerst.
3) Häufigkeit & Retention
- Intervall (z. B. mehrmals täglich) und Aufbewahrung (kurz/langfristig) festlegen.
4) Speicherziel
- Objektspeicher mit Immutability/WORM, Region, Verschlüsselung.
5) Sicherheit & Rollen
- Least-Privilege, MFA, getrennte Admin-Konten, Audit-Logs, 4-Augen-Prinzip.
6) Restore-Tests
- Regelmäßig Item-/Site-/Mailbox-Restores testen, Recovery-Runbook pflegen.
7) Betrieb & Monitoring
- Alarme, Fehlschläge, Kapazität & Kosten im Blick behalten; Wartungsfenster planen.
Restore-Szenarien (was ihr wirklich braucht)
| Szenario | Worauf achten? | Beispiel |
|---|---|---|
| Item-Level | Suchen/Filtern, Vorschau, Wiederherstellung an Original/alternativen Ort | Eine E-Mail/Datei gezielt zurückholen – ohne ganze Mailbox/Site zu überschreiben |
| Point-in-Time | Zeitpunkt wählbar, konsistente Stände, Versionshistorie | SharePoint-Bibliothek auf Zustand vor 3 Tagen zurücksetzen |
| Cross-Restore | Wiederherstellung in anderes Postfach/Team/Site | Gelöschter Mitarbeiter → Dateien in Teamlaufwerk wiederherstellen |
| Bulk-Restore | Massen-Operationen, Deduplizierung, Throttling-Schutz | Nach Ransomware hunderte Dateien gesammelt wiederherstellen |
Sicherheit & Compliance
- Verschlüsselung in Transit & At-Rest; kundenseitige Schlüssel optional.
- Immutability/WORM gegen nachträgliche Manipulation/Löschung.
- Rollen & Rechtemodell (RBAC), getrennte Admin-Wege, Auditierbarkeit.
- Datenresidenz & DSGVO – Region, Vertragstexte, Auftragsverarbeitung.
- API-Limits der Microsoft-Dienste berücksichtigen (Zeitfenster & Drosselung).
Kosten & Lizenzierung – worauf achten?
Transparenz
- Lizenzmodell: pro Benutzer, pro TB oder hybrid?
- Aufbewahrung: enthalten oder Aufpreis?
- Support/Restore-SLA klar geregelt?
Versteckte Faktoren
- API-Durchsatz/Throttling → längere Backups = Betriebsaufwand
- Speicherklasse/Region → Kosten vs. Zugriffsgeschwindigkeit
- Egress/Exports → Gebühren prüfen
10-Min-Quick-Check
Abdeckung
- Sichern wir Exchange, OneDrive, SharePoint, Teams?
- Wie oft? Wie lange?
Restore
- Können wir Item-Level & Point-in-Time?
- Test-Restore in den letzten 90 Tagen?
Sicherheit
- Immutability aktiv? MFA/RBAC?
- Region & Verträge DSGVO-konform?
Service-Baustein: Wir richten ein M365-Backup mit Immutability ein, dokumentieren RPO/RTO und
führen einen Test-Restore durch – inkl. verständlichem Recovery-Runbook.
Stand: September 2025. Hinweise dienen der Information und ersetzen keine Rechtsberatung. Prüfe interne Compliance-Vorgaben und Vertragsunterlagen.
