Verwaltetes Backup oder Backup-Plattform:
wie die interne IT wählt

Warum Backup wieder ins Zentrum rückt

Jahrelang galt Backup als Hintergrundaktivität: ein nächtlicher Job, der startet, eine Aufbewahrung, die sich fortschreibt, ein Bericht, den niemand wirklich liest. In den letzten zwei Jahren haben drei Kräfte Backup wieder ins Zentrum der Sicherheitsprioritäten gerückt: eine Welle gezielter Ransomware-Angriffe, die auch Backups verschlüsseln, das Inkrafttreten der NIS2-Richtlinie mit expliziten Anforderungen an Business Continuity und Krisenmanagement (Artikel 21 des italienischen Gesetzesdekrets 138 vom 4. September 2024) und die Weiterentwicklung von ISO/IEC 27001:2022, die Backup zu einer dedizierten Kontrolle erhoben hat — A.8.13 «Information backup» — flankiert von A.5.30 «ICT readiness for business continuity».

In diesem Kontext stehen die internen IT-Abteilungen italienischer Unternehmen vor einer Frage, die bis vor Kurzem zweitrangig war: Wollen wir die Backup-Plattform weiterhin intern betreiben oder den gesamten Service auslagern? Und wenn die Antwort «ein bisschen von beidem» lautet, welches Betriebsmodell soll gelten?

Verwaltetes Backup (SaaS): wer macht was

Im SaaS-Modell liefert der Anbieter Backup als End-to-End-Service. Der Kunde sieht die Konsole nicht, betreibt die Richtlinien nicht, führt die Tests nicht durch: er definiert was geschützt und wie lange aufbewahrt werden soll und erhält periodische Berichte sowie einen dedizierten technischen Ansprechpartner. Es ist das Modell, das der «Null-Aufwand»-Erwartung von Unternehmen ohne strukturierte IT-Abteilung am nächsten kommt.

• ✓Delegierter Betrieb. Jobs, Aufbewahrung, Monitoring, geplante Wiederherstellungstests und Ausnahmebehandlung liegen beim Anbieter. Der Kunde unterzeichnet Richtlinien und erhält Nachweise; er bedient die Plattform nicht.
• ✓Compliance-Dokumentation bereit. Der Anbieter pflegt die Dokumentation, die für ein Audit nach ISO 27001, NIS2 oder DSGVO erforderlich ist: Register der Wiederherstellungstests, Zugriffslogs auf die Plattform, Nachweis der Unveränderlichkeit der Backups.
• ✓Kostentransparenz. Fester oder variabler Tarif pro geschütztes GB / pro geschützten Benutzer. Keine versteckten Infrastrukturkosten, keine intern vorzuhaltenden Sysadmin-Kompetenzen.
• ⚠Weniger operative Kontrolle. Richtlinienänderungen laufen über den Anbieter: Das Unternehmen gewinnt an Ruhe, verliert aber an Granularität gegenüber einer IT-Abteilung, die in Echtzeit eingreifen möchte.

Backup-Plattform (PaaS): was wir bereitstellen

Im PaaS-Modell — Platform as a Service — liefert der Anbieter ausschließlich die Backup-Infrastruktur. Die interne IT-Abteilung des Kunden wird zum Betreiber der Plattform: Sie definiert Jobs, Aufbewahrungsrichtlinien und Zeitpläne, behandelt Alarme und führt Wiederherstellungen aus, wenn nötig. Der Anbieter garantiert die zugrunde liegenden Infrastruktureigenschaften, das Software-Upgrade der Management-Schicht sowie die physische und logische Sicherheit der Rechenzentren.

• ✓Unveränderliche Repositories in der EU. Object-Lock-/WORM-Speicher in europäischen Rechenzentren, Verschlüsselung at rest und in transit, geo-redundante Replikation. Keine Ransomware kann die Backups verschlüsseln oder löschen — auch nicht mit kompromittierten administrativen Anmeldedaten.
• ✓Management-Konsole und Audit-Log. Vollständige, mehrbenutzerfähige Admin-Konsole mit detailliertem Audit-Log über wer was getan hat. Die IT-Abteilung sieht in Echtzeit den Status jedes Jobs, die angewandte Aufbewahrung und die Fehleralarme.
• ✓Vollständige operative Kontrolle. Die IT-Abteilung entscheidet, wann und wie Richtlinien geändert werden, führt Wiederherstellungen eigenständig durch, ohne ein Ticket öffnen zu müssen, und integriert die Plattform mit dem eigenen Ticketing, SIEM und Monitoring.
• ⚠Interne operative Verantwortung. Erstkonfiguration, Wiederherstellungstests, Aufbewahrungsverwaltung, Compliance-Audits, Schulung des Personals: alles bleibt bei der IT-Abteilung des Kunden. Der Wert von PaaS hängt von der operativen Disziplin derjenigen ab, die ihn betreiben.

Fünf Fragen zur Entscheidung

Es gibt kein absolut «bestes» Modell: Es hängt von der Aufstellung und Technologie der Organisation ab. Die fünf Fragen, die wir den Kunden zur Orientierung stellen, sind operativ, nicht akademisch.

• 1Haben Sie eine IT-Abteilung mit dedizierten Sysadmin- und DBA-Kompetenzen? Ohne diese Kompetenzen im Haus ist PaaS ein Risiko: Niemand wird die Konfiguration aktualisieren, wenn sich ein Workload ändert, niemand wird die von NIS2 und ISO 27001 geforderten Wiederherstellungstests durchführen.
• 2Ist Backup nur «etwas, das gemacht werden muss» oder ein strategisches Asset? Ist es ein strategisches Asset — Anbieter kritischer Dienste für Dritte, regulierte Daten, NIS2-Sektoren — kann die direkte Kontrolle über PaaS bei Audits helfen. Ist es ein «soll einfach funktionieren»-Thema, reduziert verwaltetes SaaS den operativen Aufwand drastisch.
• 3Welche Workloads müssen Sie schützen? Server, VMs, Datenbanken, Microsoft 365, Endgeräte, Legacy-Anwendungen: Eine ehrliche Bewertung zeigt fast immer, dass einige Workloads natürlich «verwaltet» sind (Microsoft 365, verteilte Endgeräte) und andere «Plattform» (kritische VMs mit engen SLAs, Datenbanken mit hoher Änderungsrate).
• 4Wie viel sind Sie bereit, in interne Schulung zu investieren? PaaS erfordert kontinuierliche Schulung der IT-Abteilung auf der Plattform, zu neuen Workloads und zu strukturierten Wiederherstellungstests. Sind die Mitarbeiter bereits durch andere Prioritäten ausgelastet, droht die PaaS-Option zu einer unzureichend genutzten Plattform zu werden.
• 5Welche Compliance- und Datenhoheitsvorgaben haben Sie? Regulierte Sektoren mit ausdrücklichen Vorgaben zu Datenresidenz, Zugriff auf Backups und minimalen Aufbewahrungsfristen: Die Plattform muss dokumentierte Konformität nachweisen (EU-Rechenzentren, Zertifizierungen des Anbieters), aber die vertragliche Verantwortungsaufteilung ist noch zu definieren. Operativer Vergleich SaaS / PaaS.

Das Hybridmodell ist die Realität

In der Praxis adoptieren sehr wenige Unternehmen ein «reines» Modell. Die Verteilung, die wir am häufigsten in Projekten sehen — insbesondere bei KMU mit interner IT-Abteilung — ist hybrid. Die IT-Abteilung verwaltet eigenständig das Backup der Workloads, die sie genau kennt (physische Server, VMware- oder Hyper-V-VMs, SQL Server- oder PostgreSQL-Datenbanken) auf der PaaS-Plattform, während sie an AtWorkStudio Workloads delegiert, die spezifische Kompetenzen oder kontinuierlichen operativen Aufwand erfordern (Microsoft 365 Backup, Backup verteilter Endgeräte, orchestriertes Disaster Recovery für kritische Workloads).

Die zugrunde liegende Plattform ist dieselbe: Es ändert sich nur, wer die Konsole bedient und wer den Wiederherstellungsplan für jeden Perimeter unterzeichnet. Aus Sicht des Kunden ist es eine einzige Architektur, eine einzige Datenresidenz, eine einzige Audit-Oberfläche.

Compliance: NIS2, ISO 27001 und DORA

Die relevantesten Compliance-Anforderungen für Backup in italienischen KMU sind drei. Die NIS2-Richtlinie (Artikel 21 des italienischen Gesetzesdekrets 138/2024) fordert ausdrücklich Richtlinien zu Geschäftskontinuität und Krisenmanagement, deren strukturelle Komponente das Backup ist. ISO/IEC 27001:2022 hat Backup zu einer dedizierten Kontrolle A.8.13 «Information backup» erhoben, flankiert von A.5.30 «ICT readiness for business continuity». DORA (EU-Verordnung 2022/2554) verlangt im Finanzsektor dokumentierte Wiederherstellungstests und messbare Wiederanlauffähigkeit in realistischen Ausfallszenarien.

In allen drei Fällen ist das Erbringungsmodell (SaaS oder PaaS) neutral: Beide können Konformität nachweisen. Was sich ändert, ist die dokumentierte Verantwortungsaufteilung im Servicevertrag (SLA, Audit Trail, Zugriff auf Nachweise, Testplan) — eine Spezifikation, die besser vor Unterzeichnung geschrieben wird, nicht nach dem ersten Vorfall.

Wie AtWorkStudio Backup bereitstellt

Bei AtWorkStudio liefern wir Backup und Disaster Recovery in beiden Modellen, auf derselben zugrunde liegenden Plattform mit Datenresidenz in europäischen Rechenzentren, unveränderlichen Repositories, AES-256-Verschlüsselung at rest und in transit, Audit-Log und Multi-Region-Replikation. Wir arbeiten von Piacenza aus, sind zertifiziert nach ISO/IEC 27001, 27017, 27018 und ISO 9001, von der ACN (Italian National Cybersecurity Agency) für den Cloud-SaaS-Dienst Microsoft 365 Backup (SA-7583) qualifiziert, Mitglied bei Clusit (Italian Association for Information Security) und Mitglied bei Confindustria Piacenza im RICT-Cluster (Research, Innovation and Skills in Information Technology).