Viele Unternehmen glauben, dass Microsoft die volle Verantwortung für den Schutz der Daten übernimmt. Gespeicherte Daten in Microsoft 365 sind jedoch nicht automatisch sicher. Daher lautet die zentrale Frage für IT-Admins: Ist wirklich alles geschützt, selbst nach Cyberangriffen, Fehlern oder versehentlichem Löschen?
Dieser Beitrag zeigt, warum die native Aufbewahrung in Microsoft 365 kein Backup ersetzt, welche Risiken daraus entstehen und welche Bausteine eine belastbare Backup-Strategie für M365 braucht – inklusive kompakter Checkliste für den Selbsttest.
Shared Responsibility: Wer ist für was verantwortlich?
Microsoft garantiert eine sichere Infrastruktur und einen stabilen Betrieb der Cloud-Dienste. Die Verantwortung für die Sicherung und Wiederherstellung der eigenen Geschäftsdaten liegt aber beim Unternehmen selbst. Nur Sie als Organisation haben uneingeschränkten Zugriff und Kontrolle über Ihre Daten und sind für deren Schutz und Wiederherstellbarkeit verantwortlich. (1)
Warum Retention kein Backup ist
Die Aufbewahrungsrichtlinien von Microsoft 365 (“Retention”) schützen Daten nur begrenzt vor versehentlichem oder böswilligem Löschen:
-
Daten werden nach Ablauf der Frist endgültig gelöscht, eine vollumfängliche Wiederherstellung ist nicht garantiert.
-
Versionierung oder Wiederherstellung aus dem Papierkorb stoßen bei komplexen Szenarien schnell an ihre Grenzen.
-
Compliance-Vorgaben wie DSGVO oder ISO27001 verlangen eine umfassendere, revisionssichere Datensicherung, als Microsoft allein bieten kann.
Aufbewahrung und Backup sind schließlich zwei verschiedene Dinge mit unterschiedlichen Zwecken:
-
Retention sorgt dafür, dass Daten für vorgegebene Fristen innerhalb von Microsoft 365 verfügbar bleiben und Compliance-Anforderungen erfüllen. Dabei verwaltet sie z.B. Aufbewahrungszeiträume, aber löscht Daten am Ende auch endgültig.
-
Backup erstellt hingegen unabhängige, unveränderbare Kopien außerhalb der Primärdaten, die auch bei Manipulation, versehentlichem oder böswilligem Löschen erhalten bleiben und punktgenau wiederherstellbar sind.
„Aufbewahrung ist kein Backup. Und ohne Backup gibt es keine verlässliche Wiederherstellung.“
Risiken unzureichender M365-Sicherung
Mit wachsender Komplexität und zunehmenden Projekten entstehen neue Schwachstellen:
- Informationssilos: Daten lagern an vielen Orten, einheitliche Sicherung ist schwierig.
-
Fehlbedienungen & Automatisierungen: Fehlerhafte Workflows oder Berechtigungen sind Alltag.
-
Sicherheitsrisiken: Phishing, kompromittierte Accounts und Insider erhöhen die Recovery-Anforderungen.
-
Compliance-Lücken: Nachweisbare Archivierung, Export und Wiederherstellung fehlen oft.
- Granulare Wiederherstellungen: Einzelne Mails, Chats oder Dateien lassen sich mit Bordmitteln meist nur schwer und zeitaufwändig wiederherstellen
Studie: Datenschutzverletzungen in SaaS-Diensten kosten Unternehmen durchschnittlich Millionenbeträge. (2)
So sieht eine resiliente Backup-Strategie aus
IT-Admins brauchen Klarheit und Kontrolle: Eine zeitgemäße Backup-Strategie für M365 muss vier Bereiche abdecken:
| Bereich | Was zu sichern ist | Praxisbeispiele |
|---|---|---|
| 1. Abdeckung & Granularität | Alle Workloads (Exchange, OneDrive etc.) | Einzeldateien, komplette Ordnerstände, Chats auf alternative Ziele. |
| 2. Automatisierung | Lebenszyklusrollen, neue User & Sites | Schutzpläne, automatische Einbindung, Richtlinien für Aufbewahrung |
| 3. Sicherheit by Design | Zugriff, Verschlüsselung, Speicherziel | Zertifikat-Token, clientseitige Verschlüsselung, unveränderbare Ziele |
| 4. Governance / Testbarkeit | Rollen, Audit, Restore-Drills | Regelmäßige Tests, SSO/MFA, Audit- und Exportmöglichkeiten |
Szenario: Der lange Weg zur Wiederherstellung ohne Backup
Ein Team räumt sein OneDrive auf. Eine Datei verschwindet, wird erst Tage später bemerkt. Gleichzeitig trifft Phishing ein Postfach, Daten werden manipuliert. Oft bleibt nur mühsame Spurensuche – Daten, Zeit und Nerven stehen auf dem Spiel. Mit einem getrennten Backup ist die Wiederherstellung dagegen schnell, präzise und revisionssicher.
Quick-Check für Admins
-
Sind ALLE Microsoft-365-Dienste gesichert – inkl. Chats und Listen?
-
Gibt es klar geregelte Aufbewahrungsfristen, Offsite-Kopien und Immutability?
-
Werden neue User/Abteilungen automatisch berücksichtigt?
-
Wie sind Restore-Prozesse dokumentiert und getestet (RTO/RPO)?
-
Sind SSO/MFA aktiv, Rollen klar verteilt?
Fazit: Wer keine Backup-Strategie hat, spielt mit dem Risiko
Microsoft 365 ist stark – aber ohne echtes Backup sind IT-Admins im Ernstfall oft machtlos. Wer Abdeckung, Automatisierung, Sicherheit und Governance verbindet, gewinnt Kontrolle und Resilienz.
Wie sieht das konkret in der Praxis aus?