Microsoft 365 bietet viele Schutzmechanismen, und das ist gut so. Versionierung, Aufbewahrungsrichtlinien, Wiederherstellung gelöschter Elemente und Compliance-Funktionen sind für den täglichen Betrieb wertvoll. Problematisch wird es dort, wo diese Funktionen fälschlich mit einem vollständigen Backup-Konzept gleichgesetzt werden.
Der Unterschied ist strategisch relevant: Native Funktionen dienen in erster Linie dem Dienstbetrieb und bestimmten Wiederherstellungsszenarien innerhalb des Microsoft-Ökosystems. Ein unternehmensgerechtes Backup muss dagegen an Ihren eigenen Recovery-Zielen, Aufbewahrungsanforderungen, Mandantentrennungen und Governance-Vorgaben ausgerichtet sein.
Warum die Lücke in der Praxis entsteht
Viele Unternehmen gehen davon aus, dass SaaS automatisch auch vollständige Datensicherung bedeutet. Tatsächlich verschiebt SaaS aber die Verantwortlichkeiten. Microsoft betreibt die Plattform hochverfügbar – die Verantwortung für granulare Wiederherstellbarkeit, lange Aufbewahrung, Schutz vor Admin-Fehlern oder tenantweiten Fehlkonfigurationen bleibt dennoch beim Kunden.
Typische Risikoszenarien sind versehentliche Massenlöschungen, kompromittierte Administrationskonten, fehlerhafte Retention-Regeln, Synchronisationsfehler, Insider-Risiken oder der Bedarf, Daten nach einem Security-Vorfall ausserhalb der Primärplattform unabhängig zu analysieren. Genau in diesen Momenten reichen Standardmechanismen oft nicht aus.
Welche Workloads betrachtet werden müssen
- Exchange Online: Mailboxen, Kalender, gelöschte Objekte und zeitpunktgenaue Wiederherstellung.
- SharePoint Online: Dokumentbibliotheken, Berechtigungsstrukturen und Versionschaos nach Massenänderungen.
- OneDrive: Nutzernahe Arbeitsdaten mit hoher Veränderungsfrequenz.
- Teams: Zusammenspiel aus Chats, Dateien, Gruppenobjekten und Abhängigkeiten zu SharePoint und Exchange.
Was ein belastbares M365-Backup leisten sollte
Ein gutes Konzept trennt Backup-Daten logisch und organisatorisch vom Produktiv-Tenant, bietet granulare Wiederherstellung ebenso wie fallweise Point-in-Time-Szenarien und berücksichtigt Rollen, Reporting, Aufbewahrung sowie Nachvollziehbarkeit. Dazu gehört auch die Frage, wer Restore-Rechte erhält und wie Missbrauch verhindert wird.
Für regulierte Unternehmen kommen weitere Anforderungen hinzu: Nachweisbarkeit, definierte Aufbewahrungsfristen, revisionssichere Prozesse und klare Dokumentation. Wer Microsoft 365 geschäftskritisch nutzt, sollte daher nicht nur auf Verfügbarkeit, sondern auf echte Wiederherstellbarkeit und Governance optimieren.
Entscheidend ist der Restore, nicht der Prospekt
Ob eine Lösung geeignet ist, zeigt sich nicht auf dem Datenblatt, sondern in einem realistischen Restore-Test. Kann eine einzelne Mailbox sauber zurückgeholt werden? Lassen sich Dateien eines bestimmten Zeitpunkts wiederherstellen? Ist klar dokumentiert, welche Teams-Artefakte wie gesichert werden? Wer diese Fragen nicht sicher beantworten kann, hat noch keine belastbare M365-Backup-Strategie.