Beim Thema Datensicherheit gehen viele KMU davon aus, dass ihre Daten in Microsoft 365 automatisch vollständig gesichert sind. Diese Annahme liegt nahe, weil Microsoft 365 im Alltag stabil läuft, gelöschte Dateien oft noch im Papierkorb liegen und frühere Dateistände in vielen Fällen auffindbar bleiben. Für die eigentliche Geschäftsrealität eines Unternehmens reicht diese Sicht allerdings meist nicht aus. Entscheidend ist, ob ein KMU seine geschäftskritischen Daten innert nützlicher Frist und im passenden Zustand zurückholen kann.
Microsoft 365 bietet mehrere nützliche Sicherheits- und Wiederherstellungsmechanismen als Backup-Lösung an. Dazu gehören Papierkörbe, Versionsverläufe, Aufbewahrungsregeln und in OneDrive auch eine zeitpunktbezogene Rücksetzung. Für viele Alltagsfehler sind diese Funktionen von Microsoft 365 hilfreich. Für eine eigentliche Datensicherung reichen sie jedoch in der Regel nicht aus, weil geschäftskritische Daten, längere Aufbewahrungsfristen und eine Wiederherstellung ausserhalb der Produktivumgebung andere Anforderungen mit sich bringen.
Zielführend ist es deshalb, die eigentliche Datensicherung bewusst über einen externen Backup-Drittanbieter vorzunehmen. Besonders wichtig sind dabei Datenhaltung in der Schweiz und die Sicherung aller Backup-Daten in einem externen, zertifizierten Rechenzentrum ausserhalb der Microsoft-365-Umgebung. Das erleichtert die Einhaltung schweizerischer Datenschutzvorgaben, macht rechtliche Vorgaben besser nachvollziehbar und verringert die Abhängigkeit von der Produktivumgebung.
Für Geschäftsführer und IT-Verantwortliche in KMU stellen sich dabei einige wichtige Fragen:
-
Welche Daten sind für das Tagesgeschäft wirklich kritisch?
-
Wie schnell muss eine Wiederherstellung der Daten gelingen?
-
Welche Lücke entsteht, wenn ein Verlust erst nach Tagen oder Wochen auffällt?
Mit den Antworten auf diese Fragen lässt sich beurteilen, ob die Standardfunktionen genügen oder ob ein zusätzliches Backup sinnvoll ist. Zu beachten ist, dass ohne separate Backup-Lösung gelöschte Daten mit Microsoft 365 nicht automatisch langfristig abgesichert sind. Zudem ist eine Wiederherstellung im Alltag nicht dasselbe wie eine umfassende Recovery bei einem Ernstfall mit weitreichendem Datenverlust. Entscheidend sind Zeit, Genauigkeit und Verfügbarkeit der Daten bei einer benötigten Wiederherstellung. Deshalb sollte ein KMU die zu verwendende Backup-Lösung stets aus Sicht des laufenden Geschäftsbetriebs beurteilen.
Was viele KMU unter «Microsoft 365 Backup» verstehen
Im Gespräch mit KMU zeigt sich oft dasselbe Bild: Sie setzen «Backup» unter M365 einem eigenständigen Datensicherungsdienst gleich. Denn Microsoft 365 bietet rund um die Wiederherstellung von Daten bereits einiges an. Dazu zählen der Papierkorb in SharePoint und OneDrive, die Wiederherstellung gelöschter E-Mails in Exchange Online oder der Versionsverlauf von Dokumenten, um ältere Fassungen abzurufen. Wer eine Datei versehentlich löscht oder ein Dokument überschreibt, kommt damit meist rasch ans Ziel.
Problematisch wird es dann, wenn ein KMU aus diesen Komfortfunktionen auf eine vollwertige Datensicherung schliesst. Denn ein umfassendes Backup verfolgt ein anderes Ziel: Es soll Daten unabhängig von der laufenden Nutzung und vom Standort schützen, über definierte Zeiträume verfügbar halten und im Ernstfall eine gezielte Wiederherstellung ermöglichen. Diese notwendige Unabhängigkeit, Präzision und Planbarkeit stehen bei den Standard-Backupfunktionen von Microsoft 365 nicht im Zentrum. Folgendes gilt es zu unterscheiden:
- Der Papierkorb ist eine Wiederherstellungshilfe.
- Ein Versionsverlauf bedeutet Schutz gegen einzelne Fehlanpassungen einer Datei.
- Korrekte Aufbewahrung von Daten bedeutet auch Governance und Compliance.
- Ein reales Backup ermöglicht planbare Rückholung nach geschäftlichen Anforderungen.
Welche Schutzmechanismen Microsoft 365 bereits mitbringt
Microsoft 365 bringt eine Reihe von Funktionen mit, die kleinere Zwischenfälle in vielen Situationen elegant abfedern. Dies ist oft ein grosser Vorteil, weil sich solche Missgeschicke ohne zusätzlichen Aufwand korrigieren lassen. Dazu gehören vor allem gelöschte Elemente in Exchange Online, Papierkörbe in SharePoint und OneDrive sowie der Versionsverlauf für Dateien. In OneDrive kommt zusätzlich die Funktion «Dateien wiederherstellen» hinzu, mit der sich ein ganzer OneDrive-Bestand auf einen früheren Zeitpunkt zurücksetzen lässt.
Exchange Online: gelöschte E-Mails bleiben eine Zeit lang auffindbar
Wenn Mitarbeitende E-Mails löschen, landen diese zuerst im Ordner «Gelöschte Elemente». Selbst nach einer weiteren Löschung bleiben Nachrichten für eine begrenzte Zeit im Bereich für wiederherstellbare Elemente erhalten. Für viele alltägliche Fehler reicht das aus. Für längere Fristen oder für komplexe Wiederanlaufszenarien genügt diese Logik allerdings nicht, weil sie stark an die mailboxbezogenen Einstellungen und an definierte Zeitfenster gekoppelt ist.
SharePoint und OneDrive: Papierkorb und Versionsverlauf
Dateien aus SharePoint und OneDrive verschwinden nicht sofort endgültig. Auch sie landen zunächst im Papierkorb und lassen sich von dort noch zurückholen. Parallel dazu speichert Microsoft 365 in zahlreichen Bibliotheken und Ordnern frühere Dateiversionen. Das hilft besonders dann, wenn Nutzerinnen und Nutzer Inhalte versehentlich überschrieben, ungewollt verändert oder durch einen fehlerhaften Stand ersetzt haben. Für einzelne Dokumente ist das sehr wertvoll.
OneDrive: Rücksetzung auf einen früheren Zeitpunkt
Bei breiteren Vorfällen wie Massenänderungen, Malware oder Ransomware kann OneDrive zusätzlich den gesamten Bestand eines Benutzers auf einen früheren Zeitpunkt zurücksetzen. Diese Funktion eignet sich für klar umrissene Szenarien und kann viel Aufwand sparen. Sie ersetzt trotzdem kein universelles Backup-Konzept für das gesamte Unternehmen, weil sie weder jeden Dienst noch jede organisatorische Anforderung abdeckt.
Zusammenfassung: M365 Standard-Sicherungsfunktionen stossen an Grenzen
| Bereich | Typische Standardfunktion | Nutzen im Alltag | Typische Grenze |
|---|---|---|---|
| Exchange Online | Gelöschte Elemente und wiederherstellbare Elemente | Einzelne E-Mails lassen sich oft rasch zurückholen | Kurze Fristen und Abhängigkeit von Mailbox-Einstellungen |
| SharePoint | Papierkorb und Versionsverlauf | Gelöschte oder geänderte Dokumente lassen sich oft wiederherstellen | Kein klassischer Sicherungsbestand ausserhalb der Produktivumgebung |
| OneDrive | Papierkorb, Versionsverlauf, Wiederherstellung auf früheren Zeitpunkt | Hilfreich bei Fehlbedienung, Massenänderung oder Malware | Zeitlich begrenzte Rücksetzung und benutzerbezogener Fokus |
| Microsoft Purview | Aufbewahrungsrichtlinien und Compliance-Funktionen | Regulatorische Aufbewahrung und Governance | Kein Ersatz für ein praxisorientiertes Wiederanlaufkonzept |
Weshalb die Standard-Sicherungsfunktionen von Microsoft 365 kein vollwertiges Backup ersetzen
Die eingebauten Standard-Backupfunktionen verfolgen vor allem das Ziel, Daten innerhalb der Microsoft-365-Umgebung nutzbar zu halten und typische Fehler zu entschärfen. Für solche kleineren Vorfälle bietet M365 starke Datensicherungs- und -wiederherstellungswerkzeuge. Ein umfassendes Backup muss jedoch weiter gehen. Es braucht definierte Wiederherstellungspunkte, eine klare Trennung zwischen Produktivdaten und Sicherungskopie, reproduzierbare Prozesse und eine Wiederherstellung, die sich an Geschäftsanforderungen statt an den rein technischen Standardfristen orientiert.
Kein separater Sicherungskontext
Ein wesentliches Risiko liegt in der Abhängigkeit: Papierkörbe, Versionsverläufe und viele weitere Standardfunktionen sind Teil derselben Plattform, auf der die Produktivdaten liegen. Selbst die später von Microsoft eingeführte zusätzliche Backup-Lösung «M365 Backup» speichert die zu sichernden Daten im selben Cloud-Umfeld wie diejenigen Daten, die ein KMU durch den laufenden Geschäftsprozess generiert und ablegt. Auch wenn Microsoft die Backups mit M365 Backup in geografisch verteilten Rechenzentren mit doppelter Sicherung (Redundanz) speichert, so bleiben die Daten dennoch im gleichen Microsoft-Ökosystem. Diese Abhängigkeit stellt ein erhebliches Risiko dar.
Fristen passen nicht immer zur Realität eines KMU
Datenverluste fallen in der Praxis selten sofort auf. Ein falscher Sync-Client, eine irrtümliche Löschung durch einen Projektleiter oder das Entfernen eines Benutzerkontos kommen oft erst später ans Licht. Wenn das KMU ein Problem erst nach mehreren Wochen aufdeckt, helfen die kurzen Aufbewahrungsfristen von M365 nur bedingt. Für ein KMU kann ein solcher Zeitversatz teuer werden, weil Verträge, E-Mail-Absprachen oder Projektdaten dann nicht mehr in der benötigten Form vorliegen.
Wiederherstellungstiefe und Tempo sind nicht in jedem Fall passend
Ein weiteres Thema ist die Granularität. Manche Unternehmen müssen nur eine einzelne Datei zurückholen. Andere benötigen ein ganzes Postfach, ein Projektverzeichnis oder eine frühere Datenablage mehrerer Benutzer. Sobald die Wiederherstellung eine geschäftskritische Dimension annimmt, zählt nicht allein, ob eine Rückholung an sich grundsätzlich möglich ist. Massgeblich ist vor allem auch, wie präzise, wie schnell und durch wen sie erfolgt. Dabei gilt es Folgendes zu berücksichtigen:
- Ein Backup muss sich an den Geschäftsrisiken des Unternehmens orientieren.
- Eine einfache Wiederherstellungsfunktion genügt nicht für ein vollständiges Sicherungskonzept.
- Die kurzen Standardfristen der Standard-Backupfunktionen in M365 passen meist nicht zu den realen Entdeckungszeiten im KMU-Alltag.
- Je verteilter die Datenablage ist, desto wichtiger wird eine planbare Rückholung.
Welche Risiken im KMU-Alltag besonders relevant sind
Die meisten Risiken in Microsoft 365 entstehen nicht zwingend durch spektakuläre Grossereignisse wie Cyberattacken, sondern durch alltägliche Vorgänge. Aus diesem Grund unterschätzen viele KMU das Thema Backup. Die Umgebung läuft zuverlässig, bis ein entscheidendes Detail im falschen Moment fehlt.
Versehentliches Löschen und falsche Synchronisation
Ein Benutzer räumt sein OneDrive auf, ein Teammitglied entfernt einen Ordner aus einer SharePoint-Bibliothek oder ein lokaler Sync-Konflikt überschreibt mehrere Dateien: Solche Vorfälle kommen häufiger vor als echte Katastrophen. Der Schaden fällt unter Umständen oft erst viel später auf, wenn das betroffene Dokument für ein Kundengespräch, eine Revision oder eine laufende Offerte zum Einsatz kommen soll.
Ransomware und Massenänderungen
Microsoft 365 enthält Schutzfunktionen gegen Malware und Ransomware. Gleichzeitig bleibt die Frage offen, wie weit ein Vorfall reicht und wie sauber sich betroffene Daten in den ursprünglichen Zustand zurückführen lassen. Wenn zahlreiche Dateien verändert, verschlüsselt oder synchronisiert wurden, genügt die Standardsicherung von M365 nicht.
Austritte, Rollenwechsel und historische Freigaben
Gerade in kleineren Organisationen sind Daten eng mit dem Know-how einzelner Personen verbunden. Verlässt jemand das Unternehmen, tauchen Fragen zu OneDrive-Inhalten, Postfächern, Teams-Dateien und Projektwissen auf. Dazu kommen Rollenwechsel, externe Partner mit alten Berechtigungen und historische Freigaben, die niemand mehr sauber dokumentiert hat. Ein reines Vertrauen auf Standardfunktionen greift etwa in folgenden Situationen zu kurz:
- Eine Teamleiterin hat einen Projektordner versehentlich gelöscht und der Fehler fällt erst Wochen später auf.
- Ein ehemaliger Mitarbeiter hatte wichtige Daten nur im persönlichen OneDrive gespeichert.
- Mehrere Dateien werden durch eine fehlerhafte Synchronisation überschrieben.
- Ein Kunde verlangt ältere Dokumentenstände oder nachvollziehbare E-Mail-Kommunikation.
Welche Rolle ein externer Backup-Drittanbieter spielt
Um die genannten Risiken zu reduzieren, setzen immer mehr Unternehmen bewusst auf einen externen Backup-Drittanbieter, anstatt die Datensicherung innerhalb des Microsoft-Ökosystems zu belassen. Das ist insbesondere dann sinnvoll, wenn geschäftskritische Daten geschützt, längere Aufbewahrungsfristen abgedeckt und Wiederherstellungen unabhängig von der Produktivumgebung möglich sein sollen.
Für Schweizer KMU ist das vor allem dann sinnvoll, wenn der Anbieter Schweizer Datenhaltung gewährleistet und die Datensicherung in ein anderes Datacenter, also ausserhalb von Microsoft, erfolgt. Genau diese zusätzliche Trennung erhöht die Ausfallsicherheit und reduziert das Risiko, dass Produktivdaten und Sicherung zu stark voneinander abhängen.
Ein Unternehmen sollte deshalb prüfen, welche Daten tatsächlich gesichert sein sollen, wie die Wiederherstellung in der Realität abläuft, welche Aufbewahrungsfristen nötig sind und ob die Datenhaltung sowie das Sicherungsziel den eigenen Anforderungen entsprechen. Für die meisten KMU ist ein spezialisierter Drittanbieter die passendere Antwort als eine rein plattformnahe Lösung innerhalb des Microsoft-Universums. Insbesondere wenn Unabhängigkeit, Schweizer Datenhaltung und ein separates Datacenter im Vordergrund stehen.
| Option | Eignung | Stärke | Prüffrage für KMU |
|---|---|---|---|
| Nur Standardfunktionen | Kleinstunternehmen mit kleinen, überschaubaren Umgebungen und geringem Risiko | Kein Zusatzprodukt und geringer Aufwand | Fallen Datenverluste sehr schnell auf und genügen kurze Fristen? |
| Externer Backup-Drittanbieter | KMU mit erhöhten Anforderungen an Fristen, Datenhaltung und Restore-Szenarien | Unabhängige Sicherung, flexible Wiederherstellung, Schweizer Datenhaltung und Datensicherung in ein anderes Datacenter möglich | Braucht das Unternehmen mehr Tiefe, längere Historie, klare Datensouveränität oder ein separates Datacenter? |
Worauf KMU bei der Entscheidung achten sollten
Bei der eigentlichen Entscheidung für die zielführende Backup-Lösung lautet die relevante Frage: Welche Risiken akzeptiert ein KMU und welche Wiederherstellungsziele muss die IT erfüllen? Daraus ergibt sich, ob die Standardfunktionen genügen oder ob ein externer Backup-Drittanbieter mit Schweizer Datenhaltung und Datensicherung in ein anderes Datacenter besser passt.
Recovery-Ziele zuerst definieren
Ein KMU sollte zuerst festlegen, wie lange ein Ausfall tragbar ist und wie alt der wiederhergestellte Datenstand maximal sein darf (Recovery Time Objective RTO und Recovery Point Objective RPO) . Diese beiden Grössen beeinflussen jede Backup-Strategie. Ohne diese Zielwerte bleibt die Diskussion vage und endet oft bei technischen Einzelfunktionen statt bei geschäftlichen Anforderungen.
Die tatsächlich genutzten Dienste anschauen
Nicht jedes Unternehmen nutzt Microsoft 365 gleich. Manche arbeiten fast ausschliesslich mit Outlook und Teams. Andere lagern ihr ganzes Projektwissen in SharePoint aus. Wieder andere haben sensible Daten in OneDrive verteilt, weil historisch keine saubere Struktur entstanden ist. Eine transparente Bestandsaufnahme zeigt, wo die kritischen Punkte liegen.
Wiederherstellungsprozess prüfen
Ob ein Backup-Konzept für das jeweilige KMU wirklich sinnvoll ist, zeigt sich darin, ob einzelne Dateien, komplette Ordner, Postfächer oder Benutzerkontexte innert realistischer Zeit zurückkommen. Ebenso wichtig ist die Rollenfrage: Wer führt im Ernstfall die Wiederherstellung durch, wer entscheidet über den Zielstand und wer prüft das Resultat? Viele KMU investieren in Technik, ohne zunächst diese operativen Fragen sauber zu beantworten. In diesem Thema ist der Beizug eines qualifizierten IT-Dienstleisters ratsam, um sich für diejenige Backup-Lösung zu entscheiden, die Anforderungen und Bedürfnisse des KMU berücksichtigt.
Datensicherung mit Managed Backup oder Managed M365 Security ergänzen
Selbst ein gut konzipiertes Microsoft-365-Backup ersetzt nicht eine laufende Überwachung, Pflege und Weiterentwicklung der Sicherheits- und Sicherungsstrategie. Wer sich allein auf Produktfunktionen verlässt, trägt das Risiko, dass Richtlinien veralten, neue Dienste ungeschützt bleiben oder Wiederherstellungsprozesse im Ernstfall nicht wie geplant funktionieren. Sinnvoll ist deshalb die Ergänzung durch IT-Dienstleistungen wie Managed Backup und/oder Managed Security: Ein spezialisierter, zertifizierter Managed-Services-IT-Dienstleister analysiert dabei die konkrete Nutzung von Microsoft 365, definiert passende Sicherungs- und Sicherheitsziele, setzt diese technisch sauber um und überwacht sie laufend. KMU profitieren dadurch von klaren Zuständigkeiten, dokumentierten Prozessen, regelmässigen Tests und einer proaktiven Anpassung an neue Bedrohungen – ohne sich selbst tief mit allen technischen Details befassen zu müssen.
Fazit: Reicht die Backup-Standardlösung von Microsoft für KMU aus?
Für einfachste Anforderungen in der Datensicherung bei Kleinstunternehmen kann die Standardlösung von Microsoft 365 unter Umständen ausreichen. Papierkörbe, Versionsverlauf, Wiederherstellung gelöschter Elemente und OneDrive-Rücksetzung decken viele alltägliche Fehler gut ab. Für geschäftskritische Daten, längere Aufbewahrungsbedürfnisse, komplexe Wiederherstellungen und erhöhte Sicherheitsanforderungen genügt das in der Regel nicht. Dann braucht ein KMU ein echtes Backup-Konzept, das sich an Geschäftsrisiken statt an Standardfristen orientiert.
In der Praxis lohnt sich eine strukturierte Prüfung der eigenen Microsoft-365-Umgebung. Dabei zählen die konkreten Szenarien: Welche Daten dürfen nicht verloren gehen, wie spät darf ein Verlust auffallen und wie schnell muss der Betrieb wieder laufen. Genau an dieser Stelle unterstützen spezialisierte IT-Partner wie care4IT mit Erfahrung in Microsoft 365, Cyber Security und Wiederanlaufkonzepten für KMU. Solche Dienstleister gehen diese Themen praxisnah an, indem Sie beratend die Bedürfnisse des Unternehmens identifizieren, Lösungen aufzeigen und gegebenenfalls begleiten können.
Häufige Fragen zu Microsoft 365 Backup
Ist Microsoft 365 automatisch ein vollwertiges Backup?
Nein. Microsoft 365 bringt mehrere Wiederherstellungs- und Aufbewahrungsfunktionen mit. Diese Funktionen helfen im Alltag, ersetzen jedoch nicht in jedem Fall ein eigenständiges Backup mit klar definierten Wiederherstellungszielen.
Welche Standardfunktionen von M365 sind für KMU besonders relevant?
Besonders relevant sind die Wiederherstellung gelöschter E-Mails in Exchange Online, der Papierkorb in SharePoint und OneDrive, der Versionsverlauf für Dokumente sowie die OneDrive-Rücksetzung auf einen früheren Zeitpunkt.
Wann reicht die Standardlösung meist nicht mehr aus?
Sobald ein KMU stark von Microsoft 365 abhängt, sensible Daten bearbeitet, längere Aufbewahrungsfristen benötigt oder präzise Wiederherstellungen innert kurzer Zeit sicherstellen muss, steigt der Bedarf nach einer zusätzlichen Backup-Lösung deutlich.
Was ist der Unterschied zwischen Standard-Sicherungsfunktionen von M365 und einem externen Backup durch einen Drittanbieter?
Die Standardfunktionen gehören zur normalen Microsoft-365-Umgebung. Ein externes Backup durch einen Drittanbieter schafft eine zusätzliche, unabhängige Sicherungsebene. Für viele KMU sind dabei insbesondere Schweizer Datenhaltung und die Datensicherung in ein anderes Datacenter wichtige Vorteile.
Welche Frage sollte ein Geschäftsführer oder eine CEO rund um die Datensicherung intern stellen?
Die wichtigste Frage lautet: Welche Daten sind für den Geschäftsbetrieb so kritisch, dass ein Verlust auch nach Tagen oder Wochen noch sauber und rasch korrigierbar sein muss? Daraus ergibt sich in Abstimmung mit einem qualifizierten IT-Partner die passende Backup-Strategie.
