„Wir haben doch ein Backup“ — der häufigste Geschäftsführer-Satz beim ersten Termin mit einem neuen IT-Dienstleister. Bei genauerem Hinsehen entpuppt sich das oft als USB-Festplatte unter dem Schreibtisch, ein Veeam-Job, der seit 14 Monaten nicht mehr getestet wurde, oder ein NAS, das im selben Brandabschnitt wie der Server steht. Backup für Hamburger KMU ist 2026 strategisch wichtiger als je zuvor — Ransomware-Angriffe verschlüsseln auch klassische Backups, NIS2 verlangt dokumentierte Recovery-Workflows, und die Datenmengen wachsen schneller als die Storage-Budgets. Dieser Guide zeigt 5 Backup-Modelle im ehrlichen Vergleich — mit Kosten, Recovery-Zeiten und welches Modell für welches KMU passt. Lohnt der Blick auf Backup-Services aus Hamburg mit dokumentierter 3-2-1-1-0-Strategie und Recovery-Test-Garantie.
Recovery-Erfolg
Ungetestete Backups scheitern in ~30 % der Recovery-Versuche.
Cloud Migrationen zu Azure
Sicher und schnell in die Cloud – zum Festpreis
Ransomware-Realität
2025 wurden 78 % der attackierten KMU auch im Backup-System verschlüsselt.
3-2-1-1-0
Die neue Backup-Regel 2026: 3 Kopien, 2 Medien, 1 offsite, 1 immutable, 0 Fehler bei Test.
Die 5 Backup-Modelle für Hamburger KMU 2026
Klassische 3-2-1-Regel (Basic-Standard)
3 Kopien Ihrer Daten, 2 verschiedene Speichermedien (z.B. Server-Festplatte + NAS), 1 davon offsite (z.B. zweites Büro, Cloud, externe HDD). Marktstandard seit 20 Jahren. Schwachstelle 2026: Ransomware verschlüsselt auch offline-Backups, wenn sie regelmäßig angeschlossen werden. 3-2-1 alleine ist 2026 nicht mehr ausreichend gegen moderne Cyber-Angriffe.
3-2-1-1-0-Regel (Modern-Standard)
Erweiterung: 3 Kopien, 2 Medien, 1 offsite, 1 immutable/air-gapped, 0 Fehler bei Recovery-Verifikation. Die immutable Kopie ist gegen Ransomware geschützt — sie kann nicht verändert oder gelöscht werden, auch nicht von gestohlenen Admin-Credentials. Implementierung: AWS S3 Object Lock, Azure Blob immutable, Wasabi-Cloud mit Object Lock, oder lokale Veeam-Hardened-Repositories. Quartalsweise Recovery-Tests sind Pflicht — ein Backup, das nie getestet wurde, ist kein Backup.
Backup-as-a-Service mit Veeam Cloud Connect
Voll-Managed-Backup über einen MSP-Partner mit Veeam Cloud Connect zu deutschen Rechenzentren (Hetzner, IONOS). Vorteil: Backup-Verantwortung komplett ausgelagert, Recovery-Tests inklusive, immutable Storage Standard. Kosten skalieren mit Datenvolumen (typisch 0,06-0,12 €/GB/Monat plus Mindestpauschale). Für 4 TB Datenmenge realistisch 280-400 €/Monat. Ideal für KMU 20-200 MA ohne dedizierte IT-Stelle.
Hetzner-Cloud-Backup (Selbst-Managed)
Eigenes Backup-Setup mit Hetzner Storage Box oder Hetzner Object Storage als Cloud-Ziel. Vorteil: Sehr günstig (Hetzner Storage Box 10 TB für 26,50 €/Monat), DSGVO-konform (deutsche Rechenzentren). Nachteil: Setup, Monitoring und Recovery-Tests müssen selbst gemacht werden. Geeignet für KMU mit interner IT-Person und entsprechender Backup-Expertise.
Hybrid-Backup (Lokal + Cloud + Tape)
Premium-Setup für Industrie und Healthcare: Lokale schnelle Recovery (Veeam Backup Repository auf NAS), Cloud-Backup für Off-Site (Veeam Cloud Connect mit immutable), zusätzlich LTO-Tape für Langzeit-Archivierung (Jahre, immutable). Vorteil: Mehrstufige Resilienz, Compliance-konform für ISO 27001 und NIS2, sehr schnelle Recovery für kritische Daten. Nachteil: Komplexität, Setup-Aufwand, höhere laufende Kosten.
Vergleichs-Tabelle: Die 5 Backup-Modelle
| Modell | Kosten/Mo (für 4 TB) | Recovery-Zeit | Ransomware-resistent? | Empfohlen für |
|---|---|---|---|---|
| 1. Klassisch 3-2-1 | 80-200 € | 4-12 h | Bedingt | Klein-KMU 5-15 MA |
| 2. 3-2-1-1-0 modern | 150-400 € | 2-8 h | Ja | KMU 15-100 MA |
| 3. Veeam Backup-as-a-Service | 280-400 € | 1-6 h | Ja | KMU 20-200 MA ohne interne IT |
| 4. Hetzner-Cloud DIY | 50-200 € | 4-12 h | Bedingt | KMU mit interner IT-Expertise |
| 5. Hybrid mit Tape | 400-1.200 € | 1-4 h (Tier-1) | Ja | Industrie, Healthcare, NIS2-Pflicht |
Realitätscheck: Die meisten Hamburger Mittelständler fahren 2026 entweder Modell 2 (3-2-1-1-0) oder Modell 3 (Backup-as-a-Service). Modell 1 ist nicht mehr Ransomware-resistent, Modell 5 ist Overkill für die meisten KMU. Modell 4 lohnt sich nur bei interner IT-Expertise und Kostenbewusstsein.
Was eine 3-2-1-1-0-Backup-Strategie wirklich umfasst
- 3 Kopien: Produktivdaten + 2 Backup-Kopien (z.B. lokales NAS + Cloud-Backup)
- 2 Medien: Verschiedene Speichermedien (z.B. SAS-Festplatte + Object Storage)
- 1 offsite: Mindestens eine Kopie an einem anderen Ort (Cloud, anderes Büro, externes Rechenzentrum)
- 1 immutable: Mindestens eine Kopie ist gegen Veränderung geschützt (Object Lock, hardened repository)
- 0 Fehler: Quartalsweise Recovery-Tests mit dokumentierter Erfolgsquote — kein „grünes Backup-Häkchen“ ohne tatsächlichen Restore-Test
Recovery-Zeit-Realität: Was bedeuten RTO und RPO?
Zwei Begriffe entscheiden über Backup-Strategie:
- RTO (Recovery Time Objective): Wie lange dürfen Systeme im Ausfall sein? 1 h für Praxisverwaltungssystem (Patientenversorgung), 4 h für ERP (Buchhaltung), 24 h für E-Mail-Archiv.
- RPO (Recovery Point Objective): Wie viel Datenverlust ist akzeptabel? 15 min für Transaktions-Datenbank, 1 h für E-Mail, 24 h für Dokumenten-Archiv.
Niedrige RTO/RPO-Werte erfordern teurere Backup-Architekturen (lokales schnelles Storage, häufige Snapshots, Continuous Data Protection). Hohe Werte erlauben günstigere Cloud-only-Setups mit längeren Recovery-Zeiten. Die Festlegung von RTO/RPO pro System ist 2026 strategische Geschäftsführer-Entscheidung, keine reine IT-Frage.
NIS2-Anforderungen an Backup 2026
Die NIS2-Richtlinie verlangt für direkt betroffene Unternehmen 2026 dokumentierte Backup-Strategien. Laut BSI-Empfehlungen:
- Backup-Strategie schriftlich dokumentiert mit RTO/RPO pro System
- Mindestens eine immutable Kopie aller kritischen Daten
- Recovery-Tests mindestens quartalsweise mit Protokoll
- Krisen-Wiederherstellungs-Plan mit Verantwortlichkeiten und Eskalationsstufen
- Jährliche Tabletop-Übung zur Disaster-Recovery
Wer als NIS2-direkt-betroffenes Hamburger KMU diese Anforderungen nicht erfüllt, riskiert Bußgelder bis 10 Mio. €.
„Backup ist 2026 das Thema, bei dem Hamburger Geschäftsführer:innen am häufigsten überrascht werden. Wir sehen Mittelständler, die jahrelang ‚grüne Backup-Häkchen‘ hatten — und dann beim ersten echten Recovery feststellen, dass 30 % der Daten korrupt sind. Quartalsweise Recovery-Tests sind kein Luxus, sondern Standard. Wer das nicht hat, hat kein Backup, sondern Hoffnung.“
— Jens Hagel, Gründer und Geschäftsführer der hagel IT-Services GmbH
Backup-Strategie für 3 typische Hamburger KMU-Konstellationen
20-MA-Kreativagentur in Ottensen
Empfehlung: Modell 3 (Veeam Backup-as-a-Service). Datenvolumen ~2 TB (Adobe Creative Files), RTO 8 h, RPO 4 h. Kosten ~180 €/Monat all-in. Recovery-Tests quartalsweise inklusive. Geeignet wegen wenig interner IT-Expertise.
60-MA-Steuerberater-Kanzlei in Winterhude
Empfehlung: Modell 2 (3-2-1-1-0 modern) mit DATEV-spezifischen Backup-Erweiterungen. Datenvolumen ~5 TB (Mandantendaten), RTO 4 h, RPO 1 h. Kosten ~320 €/Monat. Wichtig: revisionssichere Archivierung für GoBD-Konformität.
120-MA-Maschinenbauer in Wilhelmsburg (NIS2-direkt)
Empfehlung: Modell 5 (Hybrid mit Tape). Datenvolumen ~15 TB (CAD, ERP, Produktionsdaten), RTO 1-4 h für Tier-1 (Produktion), RPO 15 min für ERP. Kosten ~890 €/Monat. NIS2-konform mit dokumentierter Recovery-Strategie und jährlicher Tabletop-Übung.
Cloud Migration zum Festpreis
Sicher und planbar in die Azure Cloud wechseln
FAQ — Backup für Hamburger KMU
Was kostet Backup für ein Hamburger Mittelständler 2026?
Realistisch 80-1.200 €/Monat je nach Datenvolumen, Servicelevel und Strategie. Für 20-MA-KMU mit 2 TB Daten typisch 150-250 €/Monat, für 60-MA-KMU mit 5 TB Daten 280-450 €/Monat, für 120-MA-Industrie-KMU mit 15 TB Daten 700-1.200 €/Monat (inkl. Hybrid-Strategie und NIS2-Compliance).
Ist die 3-2-1-Backup-Regel 2026 noch ausreichend?
Nein, nicht mehr ausreichend gegen moderne Ransomware. Die modernen 3-2-1-1-0-Regel (mit immutable Kopie und Recovery-Tests) ist 2026 Standard. Klassische 3-2-1 ohne immutable Schutz wird in 78 % der Ransomware-Angriffe ebenfalls verschlüsselt.
Wie oft sollten Backup-Recovery-Tests durchgeführt werden?
Mindestens quartalsweise, besser monatlich für kritische Systeme. NIS2 verlangt dokumentierte Recovery-Tests mit Protokoll. Ein guter Backup-as-a-Service-Anbieter führt diese Tests automatisch durch und liefert Quartals-Reports.
Sind Cloud-Backups in der EU DSGVO-konform?
Ja, wenn der Cloud-Anbieter EU-Rechenzentren nutzt und einen AVV nach Art. 28 DSGVO abschließt. Hetzner (Falkenstein, Nürnberg), IONOS (Frankfurt), Azure EU North und AWS Frankfurt sind grundsätzlich nutzbar. Für besonders sensible Daten (Patienten, Mandanten) sollten Sie deutsche Anbieter bevorzugen.
Was ist immutable Backup und warum ist es wichtig?
Immutable Backup bedeutet: Die Backup-Daten können nach Erstellung nicht mehr verändert oder gelöscht werden, auch nicht von gestohlenen Admin-Credentials oder Ransomware. Implementierung: Object Lock auf S3/Wasabi/Azure Blob, Veeam Hardened Repositories. Essentiell, weil moderne Ransomware gezielt Backup-Systeme angreift.
Sichert Microsoft meine M365-Daten automatisch?
Nein. Microsoft betreibt die Plattform, die Datensicherung liegt beim Kunden. Gelöschte E-Mails sind 14 Tage rückholbar, SharePoint-Dateien 93 Tage. Sie brauchen ein eigenes M365-Backup-Tool (Veeam, AvePoint, Synology Active Backup) für 4-8 € pro Postfach/Monat.
Fazit: Backup-Strategie 2026 ist Geschäftsführer-Verantwortung
Die 5 Backup-Modelle zeigen klar: Die richtige Wahl hängt von KMU-Größe, IT-Komplexität, RTO/RPO-Anforderungen und Compliance-Pflicht ab. Für die meisten Hamburger Mittelständler 2026 ist die 3-2-1-1-0-Regel mit immutable Storage und quartalsweisen Recovery-Tests der rationale Standard. Für NIS2-direkt-betroffene Industrie-Mittelständler ist Hybrid mit Tape die Premium-Lösung. Wichtig in allen Fällen: Quartalsweise Recovery-Tests sind nicht optional, sondern Pflicht. Wer das vernachlässigt, hat kein Backup, sondern Hoffnung. Für Hamburger KMU lohnt der Blick auf Backup-Services aus Hamburg mit dokumentierter 3-2-1-1-0-Strategie, Microsoft-Top-1-%-Status, NIS2-Plattform und Recovery-Test-Garantie aus einer Hand.
