Wer sichert Ihre Microsoft-365-Daten? Nicht Microsoft, das steht sogar im Vertrag
· von IDE Solutions
Es gibt einen Anruf, den kein Unternehmer gern führt. Ein Ordner ist aus SharePoint verschwunden, irgendwann im Frühjahr gelöscht, niemand hat es bemerkt. Darin: unterschriebene Angebote, der Schriftverkehr zu einer Kundenreklamation und Rechnungen, nach denen das Finanzamt gerade fragt. Jemand ruft beim Microsoft-Support an und bekommt eine Antwort, die höflich, korrekt und vollkommen unbrauchbar ist: Die Daten liegen außerhalb des Wiederherstellungsfensters, und eine Wiederherstellung gehört nicht zu Microsofts Leistungen. Beim ersten Mal klingt das empörend. Es steht aber, in aller Deutlichkeit, genau so in dem Vertrag, dem Sie zugestimmt haben.
Wer trägt also beim Microsoft 365 Backup die Verantwortung, wen trifft die Pflicht, die Daten zu sichern? Die kurze Antwort: Sie. Microsoft verspricht, den Dienst am Laufen zu halten; was mit Ihren E-Mails und Dateien darin passiert, ist Ihre Aufgabe. Den meisten Inhaberinnen und Inhabern kleinerer Unternehmen hat das nie jemand direkt gesagt, deshalb ist es einer der ersten Punkte, die wir mit jedem Kunden unseres Microsoft-365-Managed-Service klären. Dieser Beitrag zeigt, was Microsoft verspricht und was nicht, wie lange die eingebauten Sicherheitsnetze wirklich halten, warum die deutschen Aufbewahrungsregeln aus der Lücke ein rechtliches statt ein technisches Problem machen, und was es kostet, sie zu schließen.
Microsoft 365 Backup: Wessen Pflicht ist es laut Vertrag?
Cloud-Dienste funktionieren nach einem Prinzip, das sich Modell der geteilten Verantwortung nennt. Microsofts Seite der Abmachung umfasst die Rechenzentren, die Hardware, das Netzwerk, die Software und deren Verfügbarkeit, abgesichert durch eine Betriebszeitzusage von 99,9 Prozent. Ihre Seite der Abmachung umfasst alles, was Sie hineinlegen. Ihre E-Mails, Dateien, Teams-Nachrichten, Kontakte und Einstellungen sind Ihre Inhalte, und ihr Fortbestand ist Ihre Verantwortung, nicht Microsofts.
Das ist keine Auslegung von Kleingedrucktem. Microsofts eigener Servicevertrag empfiehlt wörtlich, die in Microsofts Diensten gespeicherten Inhalte und Daten regelmäßig zu sichern, mit Anwendungen und Diensten von Drittanbietern. Diesen Satz sollte man zweimal lesen: Der Hersteller des Produkts rät Ihnen offiziell, eine Kopie Ihrer Daten außerhalb des Produkts aufzubewahren.
An dieser Stelle kommt fast immer der Einwand: „Aber Microsoft hat doch sicher Kopien von allem?" Hat es, für die eigenen Zwecke. Ihre Daten werden über Rechenzentren hinweg repliziert, damit eine defekte Festplatte oder selbst ein zerstörtes Gebäude den Dienst nicht lahmlegt. Die Replikation schützt Microsofts Verfügbarkeitsversprechen. Für Ihres tut sie nichts: Löschen Sie eine Datei, wird die Löschung binnen Sekunden überallhin getreulich kopiert. Verschlüsselt Ransomware eine Dokumentbibliothek, werden die verschlüsselten Versionen genauso zuverlässig repliziert. Die perfekte Kopie eines Schadens ist immer noch ein Schaden.
Die eingebauten Sicherheitsnetze, und wann sie reißen
Fairerweise: Alltagspannen fängt Microsoft 365 gut ab. Es gibt mehrere Ebenen kurzfristiger Wiederherstellung, und für die gestern gelöschte Datei funktionieren sie genau wie erhofft. Das Problem: Jede Ebene hat ein Verfallsdatum, und die Uhr läuft schnell:
- Gelöschte Dateien. SharePoint und OneDrive halten Gelöschtes in einem zweistufigen Papierkorb insgesamt rund 93 Tage vor. Danach ist es weg: ein tieferes Archiv, an das man sich wenden könnte, gibt es nicht.
- Gelöschte E-Mails. Eine aus den „Gelöschten Elementen" entfernte Nachricht liegt standardmäßig noch 14 Tage in einem verborgenen Wiederherstellungsbereich (Administratoren können auf 30 Tage erhöhen). Danach wird sie endgültig entfernt.
- Ausgeschiedene Mitarbeiter. Wird das Konto einer ausgeschiedenen Person gelöscht, bleiben Postfach und OneDrive in der Regel etwa 30 Tage erhalten, und werden dann mitsamt allen E-Mails und Dateien entfernt. Zwei Jahre Kundenkorrespondenz können einen unauffälligen Monat nach dem letzten Arbeitstag verdunsten.
- Ältere Dateiversionen. Der Versionsverlauf schützt vor einer misslungenen Bearbeitung, nicht vor dem Löschen der Datei oder der ganzen Bibliothek, und ein Ransomware-Angriff, der Dateien dutzendfach überschreibt, kann die brauchbaren Versionen aus dem Verlauf hinausspülen.
Und Aufbewahrungsrichtlinien? Die Compliance-Funktionen von Microsoft 365 lassen sich so einrichten, dass E-Mails und Dokumente für definierte Zeiträume erhalten bleiben, das ist wirklich nützlich, und wir richten es regelmäßig für Kunden ein. Aber Aufbewahren ist kein Backup. Es gibt keinen einfachen Weg, ein ganzes Postfach oder eine Website auf den Stand von letztem Dienstag zurückzusetzen; Daten herauszuholen ist eine Such- und Exportübung, kein Wiederherstellen-Knopf. Und eine versehentlich, oder von einem Angreifer mit Admin-Rechten, geänderte Richtlinie hört leise auf zu schützen, ohne dass es jemand merkt. Das ehrliche Fazit: Die eingebauten Sicherheitsnetze rechnen in Tagen und Wochen. Ihre Pflichten rechnen, wie der nächste Abschnitt zeigt, in Jahren.
GoBD: Die Aufbewahrungspflicht macht die Lücke zum Rechtsproblem
Wenn Ihr Unternehmen in Deutschland Steuern zahlt, regelt ein Regelwerk namens GoBD, wie digitale Geschäftsunterlagen aufzubewahren sind. Sie müssen es nicht lesen, aber drei Zahlen sollten Sie kennen. Handels- und Geschäftsbriefe, also heute vor allem E-Mails, sind sechs Jahre aufzubewahren. Rechnungen und andere Buchungsbelege acht Jahre (seit Anfang 2025, vorher zehn). Handelsbücher, Jahresabschlüsse und ähnliche Kernunterlagen: zehn Jahre.
Der GoBD ist außerdem wichtig, wie aufbewahrt wird. Unterlagen müssen gegen Veränderung und Verlust geschützt, maschinell auswertbar und über den gesamten Zeitraum abrufbar sein, auch an dem Tag, an dem ein Betriebsprüfer danach fragt. „Das lag im Postfach einer Mitarbeiterin, und das Konto wurde beim Austritt gelöscht" ist keine Antwort, die ein Prüfer gelten lässt.
Und jetzt beide Hälften zusammen: Rechnungen kommen per E-Mail in Postfächer, deren tiefes Wiederherstellungsfenster 14 bis 30 Tage beträgt. Angebote und Verträge liegen in SharePoint-Bibliotheken mit 93 Tagen Papierkorb. Das Gesetz erwartet, dass diese Unterlagen sechs oder acht Jahre später vorgelegt werden können. Nichts in einem Standard-Abonnement von Microsoft 365 überbrückt diese Distanz von allein. Fehlen bei einer Prüfung Unterlagen, sind die Folgen konkret: Das Finanzamt kann Teile Ihrer Buchführung verwerfen und Ihre Umsätze stattdessen schätzen, und solche Schätzungen fallen selten großzügig aus. Genau dort, wo Aufbewahrungspflichten und IT aufeinandertreffen, arbeitet unser Service für IT-Governance und Compliance.
Vier alltägliche Wege, auf denen Daten endgültig verschwinden
Nichts davon ist exotisch. Es sind die vier Muster hinter fast jedem „Die Daten sind weg"-Anruf, den wir bekommen, und kein einziges davon ist ein Microsoft-Ausfall:
- Die späte Entdeckung. Im März räumt jemand eine Team-Website auf. Im September bestreitet ein Kunde eine Rechnung, und der Ordner, der die Sache klären würde, ist seit über 90 Tagen weg. Die Löschung liegt Monate zurück; der Bedarf kommt später. Das ist mit Abstand das häufigste Muster.
- Der Austritt. Eine Mitarbeiterin geht, das Konto wird im routinemäßigen Offboarding gelöscht, und dreißig Tage später wird das Postfach endgültig entfernt: mit den einzigen Kopien von Angeboten, Freigaben und Kundenzusagen, die jetzt niemandem mehr gehören.
- Der verschlüsselte Laptop. Ransomware landet auf einem synchronisierten PC, und OneDrive lädt die verschlüsselten Dateien pflichtbewusst hoch, der Schaden wandert in die Cloud und in gemeinsame Bibliotheken. Wie anfällig Ihre Umgebung genau dafür ist, klärt unter anderem ein Microsoft-365-Sicherheitscheck.
- Der Administratorfehler. Ein Aufräumskript mit dem falschen Filter, eine in die falsche Richtung geänderte Aufbewahrungsrichtlinie, ein gut gemeintes „Das alte Sammelpostfach kann weg". Admin-Rechte machen Fehler effizient, und Microsoft führt Anweisungen exakt so aus, wie sie erteilt wurden.
Es sei wiederholt: In jedem dieser Fälle hat Microsofts Dienst einwandfrei funktioniert. Das Verfügbarkeitsversprechen wurde gehalten. Fällt der Dienst selbst einmal aus, sieht der Vertrag Gutschriften auf die Abogebühr vor: Ihre Dateien bringt er nie zurück.
Wie ein echtes Microsoft-365-Backup aussieht
Ein Backup, das den Namen verdient, hat vier Eigenschaften, die den Bordmitteln fehlen. Erstens: Es ist eine unabhängige Kopie außerhalb Ihrer Microsoft-Umgebung: damit nichts, was innerhalb passiert, sie erreichen kann, auch kein gekapertes Admin-Konto. Zweitens: Die Aufbewahrungsdauer bestimmen Sie, in Jahren, passend zu Ihren gesetzlichen Pflichten, nicht eine Produktvoreinstellung, die in Tagen rechnet. Drittens: Es stellt auf einen Zeitpunkt wieder her: eine einzelne E-Mail, einen Ordner oder eine ganze Website, so wie sie vor dem Vorfall aussah. Viertens: Mindestens eine Kopie ist unveränderbar, einmal geschrieben und versiegelt, sodass selbst Ransomware mit gestohlenen Zugangsdaten sie nicht überschreiben kann.
Dorthin führen zwei Wege, und sie schließen einander nicht aus. Microsoft verkauft inzwischen ein eigenes kostenpflichtiges Zusatzprodukt, Microsoft 365 Backup, dessen Stärke das Tempo ist: Es stellt große SharePoint- und Exchange-Bestände deutlich schneller wieder her als klassische Werkzeuge, in einer Ransomware-Lage zählt das. Seine Grenze ist die Aufbewahrung: Die Sicherungen reichen etwa ein Jahr zurück, was eine sechs- oder achtjährige Pflicht allein nicht erfüllt. Backup-Produkte von Drittanbietern decken die Seite der langen Aufbewahrung und der unabhängigen Kopie ab, oft für wenige Euro pro Nutzer. Viele unserer Kunden fahren eine Kombination: schnelle Wiederherstellung für den Vorfall, Langzeitarchiv für das Gesetz. Welchen Weg Sie auch wählen, eine Gewohnheit ist nicht verhandelbar: Testen Sie zweimal im Jahr eine Wiederherstellung. Ein Backup, aus dem noch nie jemand wiederhergestellt hat, ist eine Hoffnung, kein Plan. Genau das zu konzipieren und zu betreiben ist der Kern unseres Service für Backup und Wiederherstellung.
Was es kostet, und was es verhindert
Die Zahlen machen die Entscheidung leicht überprüfbar. Ein Microsoft-365-Backup von Drittanbietern kostet typischerweise zwei bis fünf Euro pro Nutzer und Monat. Für ein Unternehmen mit 20 Beschäftigten sind das grob 500 bis 1.200 Euro im Jahr: vergleichbar mit einer einzigen Stunde Rechtsberatung in einem Streit, den Sie nicht belegen können, und deutlich weniger, als ein Nachmittag kostet, an dem eine SharePoint-Website aus verstreuten lokalen Kopien mühsam wieder zusammengesetzt wird.
Dagegen stehen: Eine bei der Betriebsprüfung verworfene Buchführung kann in Schätzungen und Nachzahlungen münden, die fünfstellig werden; Branchenzahlen für einen Ransomware-Vorfall in einem kleinen Unternehmen, Stillstand, Wiederanlauf, entgangenes Geschäft, liegen im mittleren fünfstelligen Bereich. Das Backup verhindert den Vorfall nicht, aber es verwandelt „Die Daten sind weg" in „Die Daten sind bis morgen früh wieder da". Die Einrichtung ist ein Tag konzentrierter Arbeit, kein Projekt.
Kurze Antworten
Sichert Microsoft meine Daten nicht ohnehin? Microsoft repliziert Ihre Daten, um den eigenen Dienst verfügbar zu halten. Die Replikation kopiert auch Ihre Löschungen und Ransomware-Schäden. Ein Microsoft-Archiv, das eine vor 94 Tagen verlorene Datei zurückbringt, existiert nicht.
Reichen Aufbewahrungsrichtlinien für die GoBD? Sie adressieren die Aufbewahrungsseite und sind sinnvoll, aber sie sind mühsam wiederherzustellen, können unbemerkt verstellt werden und schützen nicht gegen Schäden an der gesamten Umgebung. Auf Prüfungen und, wichtiger, auf echte Vorfälle antwortet man am besten mit Aufbewahrung und unabhängigem Backup.
Wir sind nur zwölf Leute, betrifft uns das wirklich? Die Aufbewahrungspflichten gelten ab der ersten Rechnung, unabhängig von der Unternehmensgröße. Ein Betriebsprüfer senkt seine Erwartungen für kleine Unternehmen nicht, im Gegenteil: Kleine Unternehmen haben weniger Papier als Rückfallebene.
Ist OneDrive ein Backup für unsere PCs? Es ist Synchronisation, kein Backup: Was auf dem PC passiert, Löschung wie Verschlüsselung, wird binnen Augenblicken in die Cloud gespiegelt. Es schützt vor einem verlorenen Laptop, nicht vor verlorenen Daten.
Wir schließen die Lücke zwischen Microsofts Versprechen und Ihren Pflichten
Wir prüfen, was Ihre Microsoft-365-Umgebung heute tatsächlich wiederherstellen könnte, gleichen das mit den Aufbewahrungsfristen ab, die für Ihre Unterlagen gelten, und konzipieren ein Backup, das zu Größe und Budget passt: unabhängige Kopie, gesetzeskonforme Aufbewahrung, getestete Wiederherstellung.
Und wir betreiben es: Überwachung, regelmäßige Wiederherstellungstests und eine belastbare Antwort für den Tag, an dem ein Kunde, ein Gericht oder ein Betriebsprüfer nach einer Datei von vor fünf Jahren fragt.