Was ist der Unterschied zwischen RAID und Backup?

RAID schützt gegen den Ausfall einer einzelnen Festplatte, nicht gegen Datenverlust. Wenn Ransomware Daten verschlüsselt oder jemand Dateien versehentlich löscht, hilft RAID nicht. Ein Backup ist eine separate, versionierte Kopie, die unabhängig vom laufenden System gespeichert wird, idealerweise an einem anderen Ort und zu einem früheren Zeitpunkt.

Wie oft sollte ein Backup durchgeführt werden?

Das hängt davon ab, wie viele Daten ein Betrieb täglich erzeugt und wie viel davon im schlimmsten Fall neu erstellt werden könnte. Viele KMU fahren täglich automatische Backups und bewahren mehrere Versionen auf, zum Beispiel täglich für 14 Tage und wöchentlich für drei Monate. Wichtiger als die Häufigkeit ist, dass das Backup zuverlässig läuft und nicht nach der Einrichtung vergessen wird.

Schützt ein Cloud-Backup vor Ransomware?

Nur bedingt. Viele Cloud-Dienste bieten versionierte Sicherungen, also die Möglichkeit, auf eine ältere Datei-Version vor der Verschlüsselung zurückzugehen. Entscheidend ist die Konfiguration: Ist das Backup-System mit demselben Konto verbunden wie die Produktivdaten, kann Ransomware unter Umständen auch das Cloud-Backup zerstören. Bewährt ist ein dedizierter, isolierter Backup-Account, der für normale Produktionssysteme nicht erreichbar ist.

Was kostet eine Wiederherstellung nach einem Serverausfall wirklich?

Die Hardware-Kosten für einen Ersatz-Server sind oft kleiner als erwartet. Was wirklich kostet: Arbeitszeit für die Wiederherstellung (je nach Backup-Qualität zwischen einem halben Tag und mehreren Wochen), der Produktionsausfall in der Zwischenzeit und die Nacharbeit für Daten, die nicht gesichert waren. Wer diese Rechnung einmal aufgestellt hat, sieht ein verlässliches Backup nicht als Kostenfaktor, sondern als Versicherungsprämie.

Ratgeber · Server, Cloud & Hardware

Datensicherung für KMU: Backup-Konzept, 3-2-1-Regel und was wirklich schützt

Von Luis Waidmann · Stand: Juni 2026 · Lesezeit: ca. 8 Minuten

Kurz gesagt: Die häufigste Fehlannahme: Wer ein NAS oder eine RAID-Konfiguration hat, glaubt, er sei abgesichert. Ein echtes Backup-Konzept folgt der 3-2-1-Regel (drei Kopien, zwei verschiedene Medien, eine davon außerhalb des Gebäudes), läuft automatisch und wird regelmäßig getestet. Das Testen ist der Teil, der in den meisten KMU fehlt. Wer seinen letzten Restore-Test nicht benennen kann, weiß nicht, ob sein Backup funktioniert.

RAID ist kein Backup — und das ist keine Kleinigkeit

RAID (Redundant Array of Independent Disks) schützt gegen den Ausfall einer einzelnen Festplatte. Wenn eine Platte im Verbund stirbt, läuft der Betrieb weiter, und die ausgefallene Platte wird ersetzt. Das ist nützlich. Aber RAID ist kein Backup.

Warum? Weil RAID denselben Datenstand auf mehreren Platten spiegelt — in Echtzeit. Was auf Platte eins geschrieben wird, landet sofort auf Platte zwei. Was auf Platte eins gelöscht oder verschlüsselt wird, ist auf Platte zwei ebenfalls weg. Eine Ransomware-Attacke verschlüsselt alle Dateien, auf die sie Zugriff hat: also alle Netzlaufwerke, alle eingebundenen Festplatten, und ja, auch das NAS, das als Netzlaufwerk eingebunden ist.

Das ist kein Randphänomen. Wir treffen bei Erstbesuchen regelmäßig Betriebe, die seit Jahren ein RAID-System als Datensicherung betreiben, ohne je einen echten Wiederherstellungstest gemacht zu haben. Der Irrtum kostet im Ernstfall alles.

Die 3-2-1-Regel: das Fundament jedes Backup-Konzepts

Die 3-2-1-Regel ist keine Waidmann-Erfindung, sondern eine in der IT-Sicherheit seit Jahrzehnten bewährte Faustregel. Sie lautet:

3 Kopien der Daten — das Original plus mindestens zwei Sicherungen
2 verschiedene Medientypen — zum Beispiel lokales NAS und externe Festplatte oder Cloud-Speicher
1 Kopie außerhalb des Gebäudes — unzugänglich für Ransomware, Feuer, Wasserschaden und physischen Diebstahl

In der Praxis sieht das für einen mittelständischen Betrieb häufig so aus: Produktivdaten laufen auf dem lokalen Server (Kopie 1), täglich wird auf ein lokales Backup-Medium gesichert (Kopie 2), und täglich oder wöchentlich wird eine weitere Kopie in einen Cloud-Backup-Dienst übertragen (Kopie 3). Die Cloud-Kopie ist das eigentliche Sicherheitsnetz — weil sie physisch und logisch von der lokalen Infrastruktur getrennt ist.

Wer bisher nur eine lokale Sicherung hat, erfüllt die 3-2-1-Regel nicht. Das ist kein formales Problem, sondern ein echtes Risiko.

Recovery Time Objective: Wie lange kann Ihr Betrieb ausfallen?

Bevor man über Backup-Technologie redet, muss eine wichtigere Frage beantwortet sein: Wie viele Stunden oder Tage kann der Betrieb im schlimmsten Fall ohne IT arbeiten?

Diese Frage heißt im Fachjargon Recovery Time Objective (RTO) und bestimmt die gesamte Auslegung des Backup-Konzepts. Ein Handwerksbetrieb, der Aufträge auch per Telefon und Papier annehmen kann, hat einen anderen RTO als ein Handelsunternehmen, das ohne ERP keinen einzigen Auftrag ausliefern kann.

Grobe Orientierung, ohne Anspruch auf Vollständigkeit:

RTO unter vier Stunden: Hochverfügbarkeit oder gespiegeltes Ausweichsystem notwendig. Aufwand und Kosten deutlich höher, aber für bestimmte Betriebe unverzichtbar.
RTO ein bis zwei Arbeitstage: Ein klassisches Backup-Konzept mit lokaler und Offsite-Sicherung reicht in den meisten Fällen. Wiederherstellung muss aber geübt sein.
RTO bis eine Woche: Auch ein wöchentliches Offsite-Backup kann ausreichen, wenn bestimmte Daten zur Not manuell rekonstruiert werden können.

Die Antwort auf diese Frage kennt nur der Betrieb selbst. Wer sie nicht kennt, sollte sie vor der nächsten Hardware-Entscheidung klären, denn sie bestimmt, welches Backup-Konzept sinnvoll ist und welches überdimensioniert.

Was ein verlässliches Backup-Konzept kostet

Drei Ebenen, die in der Praxis häufig vorkommen:

Basis für bis zu 25 Mitarbeiter: Lokales Backup auf ein dediziertes Backup-Medium plus Cloud-Backup-Dienst. Kosten für den Cloud-Speicher liegen je nach Datenmenge und Anbieter bei orientierungsweise 30 bis 120 EUR pro Monat. Die Einrichtung ist ein einmaliger Aufwand.
Bare-Metal-Recovery: Hier werden nicht nur Dateien gesichert, sondern vollständige Server-Images. Im Ernstfall kann damit ein ausgefallener Server innerhalb von Stunden auf neuer Hardware wiederhergestellt werden, ohne das Betriebssystem neu aufzusetzen und alle Anwendungen zu installieren. Aufwand und Kosten höher, aber RTO deutlich kürzer.
Hochverfügbarkeit: Redundante Server oder Cloud-Standby-Instanz für Betriebe, die keinen Ausfall tolerieren können. Das ist für die meisten KMU nicht notwendig und auch nicht verhältnismäßig — aber es gibt Branchen und Anwendungsfälle, für die es der richtige Weg ist.

Diese Zahlen sind Orientierungswerte. Was ein Konzept konkret kostet, hängt von Datenmenge, Retentionszeitraum, eingesetzten Systemen und dem Betreuungsaufwand ab. Eine seriöse Aussage gibt es erst nach einer Bestandsaufnahme.

Das vergessene Risiko: das Backup wird nicht getestet

Automatische Backups laufen still im Hintergrund. Man richtet sie ein, sieht gelegentlich eine grüne Status-Meldung und denkt nicht mehr daran. Bis zu dem Tag, an dem das Backup gebraucht wird.

In der Praxis erleben wir drei Szenarien, die regelmäßig auftreten:

Das Backup läuft seit Wochen mit Fehlern, weil ein Pfad umbenannt oder ein Laufwerk nicht mehr eingebunden wurde. Die Fehlermeldung wurde nicht bemerkt oder ignoriert.
Das Backup ist vorhanden, aber die Wiederherstellung dauert drei Tage, weil der Prozess nie geprobt wurde und niemand weiß, wo welche Daten liegen und in welcher Reihenfolge was wiederhergestellt werden muss.
Das Backup-Medium hat einen Hardware-Defekt, der erst beim Restore-Versuch auffällt.

Die Konsequenz: Mindestens einmal pro Quartal sollte ein Restore-Test durchgeführt werden, idealerweise nicht auf dem Produktivsystem, sondern auf einem Testsystem. Wer das nicht selbst macht, sollte es im IT-Betreuungsvertrag fest verankern. Wenn kein Vertrag besteht, der das abdeckt, dann passiert es meistens nicht.

Wann ein Standard-Backup nicht ausreicht

Es wäre unehrlich, nur für Backup zu werben, ohne zu sagen, wann es nicht genug ist:

Kritische ERP-Systeme mit sehr niedrigem RTO: Betriebe, die ohne ERP keinen einzigen Auftrag bearbeiten können, brauchen möglicherweise Hochverfügbarkeit, kein klassisches Backup. Der Unterschied: Backup stellt Daten wieder her; Hochverfügbarkeit verhindert den Ausfall.
Mehrere Standorte: Wenn Daten von mehreren Standorten synchronisiert und zentral gesichert werden müssen, wird das Konzept komplexer. Hier reicht ein NAS am Hauptstandort nicht.
Compliance-Anforderungen: Manche Branchen oder Kundenverträge schreiben konkrete Verfügbarkeitszeiten und Wiederherstellungsfristen vor. Diese Anforderungen müssen im Backup-Konzept explizit abgebildet sein.

Für diese Fälle gibt es Lösungen. Aber sie kosten mehr als ein Standard-Backup und sollten auf Basis echter Anforderungen dimensioniert werden, nicht auf Basis von Worst-Case-Szenarien, die in einem konkreten Betrieb nie eintreten werden.

Was wir in der Praxis einsetzen

Ohne in eine Produktliste zu verfallen: Werkzeuge wie Veeam Backup, Synology Active Backup oder Microsoft Azure Backup sind verbreitete Lösungen für unterschiedliche Anforderungen. Welches passt, hängt davon ab, was gesichert werden muss (reine Dateidaten, Server-Images, Microsoft-365-Postfächer), wie schnell der Restore sein muss und welche Cloud-Infrastruktur bereits vorhanden ist.

Bei COS Waidmann kombinieren wir je nach Betrieb lokales Backup mit Cloud-Sicherung und integrieren das Backup-Monitoring in unsere Managed-Services-Betreuung — damit Fehler im Backup-Job auffallen, bevor der Ernstfall eintritt. Wie die Infrastruktur darum herum aussieht, haben wir im Ratgeber zu Server, NAS und Cloud für KMU beschrieben.

Wer wissen möchte, wie ein konkretes Backup-Konzept für den eigenen Betrieb aussieht, findet die Leistungsdetails unter Server- und Cloud-Infrastruktur. Im Erstgespräch schauen wir uns die aktuelle Situation an und zeigen, wo die größten Lücken sind — ohne Produktverkauf im Vordergrund.

Luis Waidmann

B.Sc. Wirtschaftsinformatik · Digitale Transformation · COS Waidmann Systemhaus, Ravensburg