Microsoft 365 Backup: Was native Schutzmechanismen leisten und wo Drittanbieter ergänzen müssen - Kigen IT
Microsoft 365 · Backup & Resilienz

Microsoft 365 Backup: Was native Schutzmechanismen leisten und wo Drittanbieter ergänzen müssen

Von Kigen IT · 29. Mai 2026 · 7 Min. Lesezeit

Microsoft 365 hat Backup. Glauben 7 von 10 IT-Leitern. Microsoft selbst sagt etwas anderes. Was als "Backup" wahrgenommen wird, sind native Schutzmechanismen mit klaren Grenzen. Bei NIS2 §30 Bereich 3, DORA Artikel 12 und BSI IT-Grundschutz CON.3 ist das deutlich zu wenig. Dieser Artikel zeigt die 4-Stufen-Backup-Strategie für regulierte Unternehmen.

Was Microsoft tatsächlich abdeckt

In den Microsoft 365 Service-Bedingungen steht klar: Microsoft sichert die Verfügbarkeit der Plattform. Nicht den Schutz Ihrer Daten gegen versehentliche Löschung, Ransomware oder konfigurations-bedingten Datenverlust. Das ist das Shared Responsibility Model: Microsoft verantwortet die Cloud-Infrastruktur, der Kunde verantwortet die Daten in der Cloud.

Was Microsoft hat, sind native Schutzmechanismen. Recycle Bin, Retention Policies, Microsoft 365 Backup als verwalteter Service. Die reichen für manche Szenarien. Für andere nicht. Was bei NIS2 §30 Bereich 3, DORA Artikel 12, BSI IT-Grundschutz CON.3 und vielen branchenspezifischen Aufsichten verlangt wird, geht weit darüber hinaus.

Der pragmatische Ansatz ist eine 4-Stufen-Backup-Strategie. Pro Stufe: was sie kann, was sie nicht kann, welche Compliance-Anforderung sie abdeckt.

Stufe 1

Recycle Bin

SharePoint und OneDrive haben einen zweistufigen Recycle Bin: Stage 1 (User-Recycle Bin) für 93 Tage, Stage 2 (Site-Collection-Recycle Bin) für weitere 93 Tage. Exchange Soft Delete: 14 Tage, Hard Delete weitere 14. Teams-Chats sind nicht in einem Recycle Bin, sie sind nach Löschung praktisch nicht wiederherstellbar.

RTO Minuten, RPO bis 93 Tage. Reicht für: einzelne versehentliche Löschungen durch User. Reicht nicht für: Ransomware-Szenarien, Tenant-weite Kompromittierungen, Audit-Anforderungen über mehrere Quartale.

Wichtig: Der Recycle Bin ist kein Schutz gegen einen kompromittierten Admin. Ein Admin mit erhaltenen Rechten kann Inhalte aus dem Recycle Bin entfernen oder den Recycle Bin selbst leeren.

Aktion: Recycle-Bin-Konfiguration prüfen, Standard-Retention-Zeiten dokumentieren, User über die 93-Tage-Frist informieren.

Stufe 2

Microsoft Purview Retention Policies

Konfigurierbare Retention bis 7 Jahre und mehr. Inhalte werden im sogenannten Preservation Hold beibehalten, auch nach User-Löschung. Pro Workload (Exchange, SharePoint, OneDrive, Teams) lassen sich eigene Retention Policies definieren, mit Pattern-basierter Regelanwendung.

RTO Stunden, RPO bis Retention-Ende. Reicht für: regulatorische Aufbewahrungspflichten, Litigation Hold, eDiscovery. Reicht nicht für: Tenant-weite Kompromittierung. Ein kompromittierter Global Admin kann Retention Policies deaktivieren oder modifizieren.

In E5-Tenants ohne Zusatzkosten konfigurierbar. Die Konfiguration dauert pro Workload eine halbe Stunde. Branchen-spezifische Retention-Anforderungen (Banken: typisch 10 Jahre, Pharma: typisch 25 Jahre) werden über Custom-Policies abgebildet.

Aktion: Retention Policies pro Workload definieren, regulatorische Vorgaben pro Branche dokumentieren, Konfiguration in Compliance-Register ablegen.

Stufe 3

Drittanbieter-Backup

Veeam, AvePoint, Druva, Keepit, Hornetsecurity. Diese Anbieter sichern Microsoft 365 Daten in eine unabhängige Cloud, mit eigener Authentifizierung. Das löst das fundamentale Problem: ein kompromittierter Microsoft-Tenant kann das Drittanbieter-Backup nicht löschen.

RTO 1 bis 4 Stunden. RPO typisch 4 bis 24 Stunden. Reicht für: vollständige Wiederherstellung nach Ransomware-Befall, Tenant-weite Compromise-Szenarien, BR-Forderungen nach unabhängigem Backup.

Wichtig ist die Auswahl-Frage: Was wird gesichert? Mailboxen, SharePoint, OneDrive sind Standard. Teams-Chats sind nicht in jedem Anbieter abgedeckt. Konfigurationen (Conditional Access Policies, Defender Settings) sind nur in wenigen Anbietern abbildbar. Pro Anbieter ist eine Coverage-Matrix zu erstellen.

Aktion: Drittanbieter-Backup evaluieren, Coverage-Matrix erstellen, RTO/RPO-Anforderungen mit Continuity-Plan abgleichen, Beschaffung in 6 bis 8 Wochen.

Stufe 4

Air-Gap mit Immutable Storage

Backup auf logisch getrennte Infrastruktur, mit Schreibsperre für eine definierte Zeit (typisch 30 bis 90 Tage). Nicht löschbar, auch nicht durch kompromittierte Admins, nicht durch Ransomware-Verschlüsselung.

RTO 4 bis 24 Stunden. RPO 24 Stunden. Pflicht für: Banken (BAIT), Versicherungen (VAIT), KRITIS unter NIS2. Bei DORA wird Air-Gap zwar nicht explizit gefordert, aber die Resilienz-Anforderungen führen in der Praxis dazu.

Die Implementierung erfolgt typisch über AWS S3 Object Lock, Azure Immutable Blob Storage oder dedizierte Air-Gap-Appliances. Der Drittanbieter-Backup-Anbieter muss das Ziel unterstützen.

Aktion: Air-Gap-Ziel auswählen (Cloud oder Appliance), Lock-Periode definieren (typisch 30 bis 90 Tage), Wiederherstellungs-Test im Halbjahres-Rhythmus.

Aufsicht

Was die Compliance-Praxis erwartet

Bei einem Ransomware-Szenario, das in den letzten 12 Monaten in Deutschland deutlich zugenommen hat, entscheidet die Backup-Stufe über die Differenz zwischen "betroffen" und "ohne Geschäftsbetrieb". Banken und KRITIS-Betreiber waren in 2025 mehrfach in Situationen, in denen nur Stufe 4 (Air-Gap) den vollständigen Datenverlust verhindert hat.

In Reviews finden wir folgendes Bild: 90 Prozent der Tenants nutzen Stufe 1 (Default). 60 Prozent haben Stufe 2 für E-Mails, weniger als 30 Prozent für SharePoint und OneDrive. Unter 25 Prozent haben Stufe 3 produktiv. Unter 5 Prozent haben Stufe 4 mit echtem Air-Gap.

In regulierten Branchen ist mindestens Stufe 3 die Erwartung. In KRITIS-Sektoren und bei Banken/Versicherungen ist Stufe 4 die zunehmende Audit-Praxis.

Aktion: Aktuelle Backup-Stufe pro Workload bewerten, Soll-Zustand pro Branche definieren, Migrations-Plan in 8 bis 12 Wochen erstellen.

Faustregel: Microsoft sichert die Verfügbarkeit der Plattform. Den Schutz Ihrer Daten verantworten Sie selbst. Wer das nicht weiß, hat noch keinen ernsten Datenverlust erlebt.

Die 4-Stufen-Strategie ist nicht "alles oder nichts". Sie ist eine Eskalationsleiter, die abhängig von Branche, Risikoprofil und Aufsichtsregime auf der richtigen Stufe konfiguriert wird. Standardunternehmen ohne regulatorischen Druck können bei Stufe 2 bleiben. Banken, Versicherungen und KRITIS müssen Stufe 4 erreichen. Die wichtigste Frage in jedem Tenant Review: Wo stehen Sie aktuell, und wo müssen Sie hin?

Microsoft 365 Compliance Check

In 5 Tagen prüfen wir Ihre Backup-Posture: Recycle Bin, Retention, Drittanbieter, Air-Gap. Plus: branchenspezifische Soll-Vorgabe und Migrationsplan in 8 bis 12 Wochen.

Zum Compliance Check