Datenverlust trifft kleine Unternehmen härter als Konzerne: kein dediziertes Recovery-Team, kein Rechenzentrum im Rücken, oft kein Bewusstsein dafür, wie viele Arbeitsstunden in einer einzigen Datenbank stecken. Eine durchdachte Backup-Strategie ist deshalb keine Kür, sondern Betriebsgrundlage. Dieser Artikel beschreibt einen praxistauglichen Aufbau aus lokaler Sicherung, Cloud-Replikation und automatisierten Prüfroutinen — ohne unnötigen Overhead.

Das 3-2-1-Prinzip als Ausgangspunkt

Die bewährteste Faustregel im Backup-Bereich lautet: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine außerhalb des Betriebsgeländes. Für ein kleines Unternehmen bedeutet das konkret:

• Kopie 1: Originaldaten auf dem Produktivsystem (Arbeitsplatz, Server, NAS)
• Kopie 2: Lokales Backup auf einem NAS im selben Gebäude
• Kopie 3: Verschlüsselte Replikation in einen Cloud-Speicher

Wer Ransomware-Szenarien ernst nimmt, ergänzt das Prinzip zum 3-2-1-1: eine der Kopien ist offline oder unveränderlich (immutable). Moderne NAS-Systeme und Cloud-Dienste unterstützen unveränderliche Snapshots nativ.

NAS: Auswahl und Grundkonfiguration

Ein Network Attached Storage (NAS) ist für die meisten KMU das Rückgrat der lokalen Datensicherung. Beim Kauf entscheidend: RAID-Unterstützung, Snapshot-Funktion, Active-Directory-Anbindung und — besonders wichtig — die Qualität der Verwaltungsoberfläche und des Ökosystems.

Bewährte Plattformen im KMU-Umfeld sind Synology DSM und QNAP QTS. Beide bieten integrierte Backup-Anwendungen, Hyper-V- und VMware-Kompatibilität sowie fertige Pakete für Cloud-Replikation.

Ein typisches Setup für ein 10-Personen-Büro:

• 2-Bay oder 4-Bay NAS mit RAID 1 oder RAID 5
• Festplatten aus der NAS-/Enterprise-Klasse (z. B. Seagate IronWolf, WD Red Pro)
• Snapshot-Intervall: stündlich, Aufbewahrung 7 Tage
• Nachtbackup aller Clients per SMB oder rsync

RAID ersetzt kein Backup — es schützt vor Festplattenausfall, nicht vor versehentlichem Löschen, Ransomware oder Diebstahl. Snapshots und externe Replikation sind zwingend zusätzlich nötig.

Backup-Software auf den Clients

Für Windows-Arbeitsplätze hat sich Veeam Agent for Microsoft Windows (Free Edition) in kleineren Umgebungen bewährt: vollständige Image-Backups, inkrementelle Folgesicherungen, granulare Dateiwiederherstellung. Die freie Version unterstützt einen Backup-Job pro Maschine, was für den typischen KMU-Einsatz ausreicht.

Unter macOS übernimmt Time Machine die Sicherung auf ein NAS-Share (AFP oder SMB). Für Linux-Clients bietet sich Borg Backup an: deduplizierend, verschlüsselt, skriptfreundlich.

Für datenbankbasierte Anwendungen — ERP, CRM, Buchhaltung — reicht ein Datei-Backup allein oft nicht aus. Hier sind applikationskonsistente Sicherungen notwendig: Der Dienst wird kurz in einen konsistenten Zustand versetzt, oder es wird ein natives Datenbank-Dump erzeugt, bevor das Backup greift.

Automatisierte Datenbank-Dumps

Ein einfaches Beispiel für einen nächtlichen PostgreSQL-Dump, der dann vom NAS-Backup erfasst wird:

#!/bin/bash
# /usr/local/bin/pg_nightly_dump.sh

BACKUP_DIR="/mnt/nas/backups/postgres"
DATE=$(date +%Y-%m-%d)
DB_NAME="firma_erp"
RETENTION_DAYS=14

mkdir -p "$BACKUP_DIR"

pg_dump -U postgres -Fc "$DB_NAME" \
  | gzip > "$BACKUP_DIR/${DB_NAME}_${DATE}.dump.gz"

# Alte Dumps bereinigen
find "$BACKUP_DIR" -name "*.dump.gz" \
  -mtime +$RETENTION_DAYS -delete

Das Skript wird per Cron täglich um 02:00 Uhr ausgeführt. Die erzeugten Dump-Dateien liegen im NAS-Pfad und werden von dort in die Cloud repliziert. Wichtig: Den Restore-Prozess einmal im Monat testen — ein Dump, der sich nicht wiederherstellen lässt, ist wertlos.

Cloud-Replikation: Anbieter und Konfiguration

Für die externe Replikation eignen sich Dienste wie Backblaze B2, Hetzner Storage Box oder Azure Blob Storage (Cool Tier). Entscheidend sind: Datenverschlüsselung vor dem Upload (Client-Side Encryption), nachvollziehbare Speicherorte innerhalb der EU (DSGVO) und kalkulierbare Egress-Kosten.

Synology bietet mit Hyper Backup eine direkte Integration zu mehreren Cloud-Backends. Die Daten werden lokal verschlüsselt, bevor sie den eigenen Server verlassen. Der Schlüssel verbleibt beim Unternehmen — der Cloud-Anbieter sieht nur verschlüsselte Blöcke.

Wer lieber werkzeugbasiert arbeitet, setzt auf rclone: ein quelloffenes Kommandozeilenwerkzeug, das über 40 Cloud-Backends unterstützt, Verschlüsselung mitbringt und sich leicht in Skripte und Cron-Jobs einbetten lässt.

# rclone-Konfigurationsausschnitt für verschlüsselten B2-Upload
# ~/.config/rclone/rclone.conf

[b2-remote]
type = b2
account = XXXXXXXXXXXXXXXXXXXXXXX
key = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

[b2-crypt]
type = crypt
remote = b2-remote:firma-backup-bucket
filename_encryption = standard
directory_name_encryption = true
password = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Der tatsächliche Upload-Befehl lautet dann:

rclone sync /mnt/nas/backups b2-crypt: \
  --transfers 4 \
  --log-file /var/log/rclone-backup.log \
  --log-level INFO

Automatisierung und Monitoring

Ein Backup, das läuft aber nicht überwacht wird, ist eine trügerische Sicherheit. Fehler beim nächtlichen Job — volles Laufwerk, abgelaufene API-Credentials, Netzwerktimeout — bleiben sonst wochenlang unbemerkt.

Minimalanforderungen an das Monitoring:

• E-Mail-Benachrichtigung bei Fehlschlag des Backup-Jobs (in Veeam, Hyper Backup und den meisten NAS-Betriebssystemen nativ einstellbar)
• Wöchentliche Zusammenfassung der erfolgreichen Sicherungen
• Alerting bei überschrittenem Speicherplatz (z. B. > 80 % des NAS-Volumes belegt)

Für eine einfache Dead-Man's-Switch-Überwachung eignet sich Healthchecks.io (selbst hostbar): Der Backup-Job pingt nach Abschluss eine URL an. Bleibt der Ping aus, kommt eine Benachrichtigung. Das funktioniert ohne eigene Infrastruktur und lässt sich in jeden Skriptaufruf integrieren.

Recovery-Zeitplanung: RTO und RPO definieren

Zwei Kennzahlen strukturieren jede Backup-Strategie:

• RPO (Recovery Point Objective): Wie viele Datenverlust ist maximal tolerierbar? Bei stündlichen Snapshots beträgt der maximale Verlust eine Stunde Arbeit.
• RTO (Recovery Time Objective): Wie lange darf die Wiederherstellung dauern? Ein Image-Restore von einem lokalen NAS dauert Stunden; ein selektiver Datei-Restore Minuten.

Für ein typisches KMU-Szenario — Buchhaltung, CRM, Freigegebene Dokumente — ist ein RPO von 4 Stunden und ein RTO von 8 Stunden ein realistisches, erreichbares Ziel. Kritischere Systeme erfordern kürzere Intervalle und vorgehaltene Spare-Hardware oder Cloud-VMs.

Restore-Tests: Der einzige Beweis, dass Backups funktionieren

Backups ohne regelmäßige Restore-Tests sind Wunschdenken. In der Praxis empfiehlt sich folgender Rhythmus:

• Monatlich: Einzelne Datei aus dem NAS-Backup wiederherstellen und auf Integrität prüfen
• Quartalsweise: Vollständigen Datenbank-Dump in eine Testumgebung einspielen und Anwendung starten
• Jährlich: Image-Restore eines Clients auf Ersatzhardware oder virtuelle Maschine durchführen

Protokolle über durchgeführte Tests gehören in eine einfache Tabelle: Datum, getestetes System, Ergebnis, Dauer. Dieser Nachweis ist auch bei Versicherungsschäden oder Betriebsprüfungen relevant.

Dokumentation und Notfallplan

Technisch perfekte Backups helfen wenig, wenn im Ernstfall niemand weiß, wo die Zugangsdaten liegen oder wie der Restore-Prozess angestoßen wird. Eine knappe Notfalldokumentation — idealerweise ausgedruckt und im Tresor verwahrt sowie digital verschlüsselt abgelegt — sollte mindestens enthalten:

• Standorte aller Backup-Ziele (NAS-IP, Cloud-Bucket-Name, Pfade)
• Zugangsdaten und Schlüssel (verschlüsselt, z. B. in KeePass oder Vaultwarden)
• Schritt-für-Schritt-Anleitung für die häufigsten Restore-Szenarien
• Kontakt zur externen IT-Betreuung mit Notfallnummer

Die Dokumentation muss bei jeder Änderung am System aktualisiert werden. Eine Backup-Strategie, die nur im Kopf einer einzelnen Person existiert, ist ein Klumpenrisiko.

Fazit

Eine funktionierende Backup-Strategie für ein kleines Unternehmen ist keine Frage des Budgets, sondern der Konsequenz. Die Kombination aus lokalem NAS mit Snapshot-Funktion, verschlüsselter Cloud-Replikation und automatisierten Monitoring-Checks deckt die häufigsten Ausfallszenarien zuverlässig ab. Der entscheidende Schritt bleibt der, der am häufigsten übersprungen wird: der regelmäßige, dokumentierte Restore-Test. Erst dann ist eine Backup-Strategie eine echte Absicherung — und nicht nur eine beruhigende Annahme.