Microsoft 365 Backup: warum die eingebaute Aufbewahrung nicht reicht

Microsoft 365 enthält keine klassische Datensicherung. Was Microsoft anbietet, ist eine Aufbewahrung (Retention) mit zeitlich begrenzten Wiederherstellungsoptionen — gedacht für den Schutz vor versehentlichem Löschen einzelner Elemente, nicht für Ransomware, Account-Übernahmen oder regulatorische Langzeit-Aufbewahrung. Für jeden Mittelständler, der auf Verfügbarkeit seiner E-Mails, SharePoint-Daten, OneDrive-Inhalte und Teams-Konversationen angewiesen ist, ist ein eigenständiges Drittanbieter-Backup praktisch alternativlos.

In Kürze

• Microsoft 365 hat kein Backup im klassischen Sinn, sondern Retention-Mechanismen mit kurzen Fristen (Standard 30–93 Tage je nach Service).
• Ransomware, Tenant-Übernahme oder versehentliche Massenlöschung sind mit Bordmitteln nicht zuverlässig rückgängig zu machen.
• Drittanbieter-Backup für M365 kostet typisch 2–4 € pro Nutzer und Monat und sichert Exchange, SharePoint, OneDrive und Teams.
• Microsoft selbst bestätigt das geteilte Verantwortungsmodell: Microsoft sichert die Plattform, der Kunde ist für Datenverfügbarkeit aus eigener Schuld verantwortlich.
• Pflicht für Mittelständler: tägliche Sicherung, mindestens 7 Jahre Aufbewahrung (handels- und steuerrechtlich), mindestens ein dokumentierter Recovery-Test pro Jahr.

Was Microsoft eingebaut anbietet — und was nicht

Microsoft 365 enthält folgende Mechanismen, die mit “Backup” verwechselt werden:

Recycle Bin und Versionierung

• OneDrive / SharePoint Recycle Bin: 93 Tage Aufbewahrung gelöschter Dateien (Standard), zweistufig.
• Versionierung: bis zu 500 Versionen pro Datei in SharePoint/OneDrive — gut gegen versehentliches Überschreiben, nutzlos gegen Ransomware, die alle Versionen verschlüsselt.

Exchange Retention

• Gelöschte Elemente: 14 Tage (Standard), konfigurierbar bis 30 Tage.
• Recoverable Items: weitere 14 Tage (Standard), bis 30 Tage erweiterbar.
• Litigation Hold: bei E5- oder Einzel-Add-on-Lizenz unbegrenzte Aufbewahrung — aber als Compliance-Werkzeug konzipiert, nicht als Backup. Wiederherstellung ist umständlich.

Retention Policies in Purview

• Definierte Aufbewahrungsregeln für Mail, SharePoint, Teams, OneDrive.
• Schutz vor Löschung durch Nutzer, aber kein Schutz vor Verschlüsselung durch Ransomware und kein granularer Restore in der gewohnten Backup-Logik (Point-in-Time, einzelne Ordner, ganze Sites).

Microsoft 365 Backup (offizielles Produkt seit 2024)

Microsoft hat 2024 ein eigenes Backup-Produkt veröffentlicht, das in Microsoft 365 integriert ist. Es bietet schnellere Wiederherstellung für SharePoint, OneDrive und Exchange. Preis 2026: ca. 0,12 USD pro GB / Monat, plus Speicher pro geschütztem Datentyp. Für 50 Nutzer mit moderaten Datenmengen landet das schnell bei 200–400 € / Monat — vergleichbar mit Drittanbietern, aber ohne Speicherortwahl außerhalb von Microsoft.

Schwächen: Speicherort bleibt im Microsoft-Tenant (kein “off-platform”-Schutz), Compliance- und Reporting-Features sind schmaler als bei etablierten Backup-Anbietern.

Wo die Bordmittel real versagen

Vier Szenarien aus der Praxis, in denen Retention nicht reicht:

1. Ransomware-Verschlüsselung im OneDrive

Ein Mitarbeitender öffnet eine bösartige Datei. Die Schadsoftware verschlüsselt lokale Dateien, die per OneDrive Sync in die Cloud propagiert werden. Versionierung hilft bei Einzeldateien, ist aber bei tausenden gleichzeitig verschlüsselten Dateien manuell nicht aufzuräumen. Bordmittel kennen kein “Stelle den Stand von 02:00 Uhr letzte Nacht wieder her”.

2. Bösartige Admin-Aktion oder Account-Übernahme

Wenn ein Global Admin kompromittiert wird und Daten löscht oder Retention-Policies modifiziert, fehlt die zweite Schutzschicht. Drittanbieter-Backups laufen in einem separaten Trust-Boundary außerhalb des Tenants.

3. Versehentliche Massenlöschung

Ein Mitarbeitender räumt “endlich mal auf” und löscht eine SharePoint-Site. Recycle Bin hilft 93 Tage — wenn der Vorfall früher auffällt. Wird ein gelöschter Mitarbeiter-Account aufgeräumt, ist sein OneDrive nach 30 Tagen (Standard) endgültig weg, wenn keine Retention darauf liegt.

4. Langzeit-Compliance (10 Jahre HGB)

Handels- und steuerrechtlich gelten in Deutschland 6–10 Jahre Aufbewahrungspflichten. Microsofts Retention kann das technisch — aber als laufender Service, nicht als unveränderlicher, manipulationssicherer Archivstand. Drittanbieter bieten dafür spezielle Compliance-Modi (Immutable Storage, WORM).

Was ein gutes Drittanbieter-Backup leistet

Ein produktreifes M365-Backup für den Mittelstand sollte folgende Eigenschaften haben:

• Tägliche, automatische Sicherung von Exchange, SharePoint, OneDrive, Teams (Chats + Tabs + Dateien)
• Speicherort außerhalb des Microsoft-Tenants (idealerweise EU/Deutschland)
• Immutable Storage: Sicherungen sind über einen Zeitraum (z. B. 30 Tage) selbst durch Admins nicht löschbar
• Granulare Wiederherstellung: einzelne Mails, Ordner, Dokumente, Sites, ganze Postfächer
• Point-in-Time-Restore: Stand von vor X Tagen / Stunden
• Cross-User-Restore: Daten eines ausgeschiedenen Mitarbeitenden in das Postfach eines anderen wiederherstellen
• Aufbewahrung passend zu HGB / DSGVO (typisch 7–11 Jahre konfigurierbar)
• Reporting über Backup-Jobs, Fehler, Auslastung
• Dokumentierte Recovery-Test-Funktion

Übliche Anbieter im Mittelstand

• Veeam Backup for Microsoft 365 — Marktführer, breite Integration, gut wenn Veeam für lokale Backups schon im Einsatz ist.
• Acronis Cyber Protect Cloud — Backup + Endpoint-Schutz in einer Konsole, gut für Co-Managed-Szenarien.
• Keepit — reiner SaaS-Backup-Anbieter, EU-Datenresidenz, schlanke Bedienung.
• AvePoint Cloud Backup — stark in SharePoint-/Teams-Tiefe, etwas komplexer in der Verwaltung.
• Microsoft 365 Backup (nativ) — sinnvoll als zusätzliche Schnellwiederherstellung, ersetzt aber keinen Off-Platform-Anbieter, weil die Daten im selben Tenant bleiben.

Preis-Spanne: 2,00–4,00 € pro Nutzer / Monat netto, je nach Anbieter, Speicherbedarf und Aufbewahrungsdauer.

Backup-Strategie: bewährte Bausteine

Für einen typischen Mittelständler 30–500 MA hat sich folgende Struktur bewährt:

1. Drittanbieter-Backup von Tag eins des M365-Setups einsetzen — nicht “wenn wir Zeit haben”.
2. Tägliche Sicherung aller produktiven Postfächer, OneDrives, SharePoint-Sites, Teams.
3. Aufbewahrung 7 Jahre als Default, 11 Jahre für Buchhaltungs-relevante Postfächer.
4. Immutable Storage aktivieren, wo der Anbieter es bietet.
5. Speicherort EU/Deutschland für DSGVO-Sauberkeit.
6. Recovery-Test mindestens jährlich, dokumentiert: ein Postfach, eine Site, ein OneDrive-Ordner — Test-Restore, Stoppuhr, Protokoll.
7. Verantwortlichkeiten klären: Wer überwacht Backup-Reports? Wer hat Wiederherstellungs-Rechte? Vier-Augen-Prinzip bei Massen-Restores.
8. Aufbewahrung nach Mitarbeiter-Austritt: Mindestens 12 Monate, oft länger — gesetzliche und vertragliche Pflichten beachten.

Häufige Missverständnisse

“Wir haben doch Litigation Hold.” Litigation Hold ist ein juristisches Werkzeug für eDiscovery, kein Backup. Wiederherstellung erfolgt über Content Search und ist für den Tagesbetrieb ungeeignet.

“Wir nutzen OneDrive-Versionierung.” Versionierung schützt einzelne Dateien gegen Überschreiben. Sie schützt nicht gegen Massenverschlüsselung mit gleichzeitiger Versionsbereinigung, nicht gegen Account-Übernahmen, nicht gegen das Löschen ganzer Bibliotheken.

“Microsoft hat doch Geo-Redundanz.” Geo-Redundanz schützt vor Rechenzentrums-Ausfall auf Microsoft-Seite. Sie ersetzt kein Backup, weil sie Anwenderfehler, Ransomware und logische Schäden 1:1 in alle Rechenzentren spiegelt.

“Backup ist doch in Business Premium drin.” Nein. Business Premium enthält Defender for Business, Intune und Conditional Access — kein Backup.

FAQ

Brauche ich wirklich ein Backup für Microsoft 365? Ja, in praktisch allen Fällen. Microsoft betreibt die Plattform hochverfügbar, ist aber für Datenverlust durch Anwenderfehler, bösartige Aktionen oder Verschlüsselung nicht zuständig. Das geteilte Verantwortungsmodell ist von Microsoft selbst dokumentiert.

Was kostet ein Microsoft 365 Backup pro Nutzer? Drittanbieter-Backups liegen in Deutschland typischerweise zwischen 2,00 € und 4,00 € pro Nutzer und Monat netto. Microsofts eigenes “Microsoft 365 Backup” rechnet nach Datenmenge ab und kommt bei moderaten Datenmengen auf vergleichbare Größenordnungen.

Reichen die 93 Tage OneDrive-Aufbewahrung nicht aus? Für versehentliches Löschen einzelner Dateien ja. Für Ransomware, Account-Übernahmen, Massenlöschungen oder Langzeit-Compliance (7–10 Jahre) nein.

Sichert das Backup auch Teams-Chats? Bei den meisten Drittanbietern ja, mit Einschränkungen. Persönliche 1:1-Chats sind technisch schwieriger zu sichern als Team-Channels. Die Anbieter haben hier in den letzten zwei Jahren deutlich nachgezogen, eine genaue Prüfung der Datenarten gehört vor die Anbieter-Wahl.

Wo sollten die Backup-Daten gespeichert werden? Ideal: in der EU, vorzugsweise in Deutschland, beim Backup-Anbieter selbst oder in einem vom Kunden gewählten Azure-/AWS-Region außerhalb des produktiven M365-Tenants. Off-platform ist kein Marketing-Detail, sondern Schutzziel.

Wie oft sollten Recovery-Tests stattfinden? Mindestens einmal jährlich, dokumentiert mit Datum, getestetem Datentyp und Wiederherstellungsdauer. Wer NIS2-relevant ist, sollte halbjährlich testen. Für eine erste Einordnung der Cloud-Sicherheits-Reise siehe unseren Leitfaden zur DSGVO-konformen Cloud-Migration oder nehmen Sie Kontakt auf.