What does a managed backup service include?

A managed backup service covers deployment and configuration, ongoing monitoring, regular restore testing, client-facing reporting, and a defined incident response process. Monitoring alone tells you whether a job ran. A managed service means you own what happens next, including whether the backup can be recovered when it counts.

What is the difference between RPO and RTO in backup?

RPO (Recovery Point Objective) is how much data a client can afford to lose, measured as the time since the last good backup. RTO (Recovery Time Objective) is how quickly systems must be back online after a failure. Both need to be documented before an incident. Trying to establish them during a recovery is a conversation nobody wants to have.

How do I build service tiers for managed backup?

Start with two tiers: a base tier covering essential daily backups and monthly restore verification, and a premium tier with shorter RPO/RTO commitments, immutable copies, and compliance-ready documentation. Add a third tier only when a client segment genuinely requires it.

Why does data classification matter for backup?

Your data classification determines your recovery architecture. Without it, you can't set realistic RPO/RTO commitments, because not all data has the same recovery priority. A regulated PII database and a shared file drive do not belong in the same backup tier, and treating them the same way creates both technical risk and compliance exposure.

How is managed backup different from just monitoring backups?

Monitoring tells you whether backup jobs ran without an error code. Managing backup means you own the outcome. You configure the environment, you test that recovery works, and you can produce documented proof when a client or auditor asks for it.

So sieht Managed Backup in der Praxis aus

von Josefine.Fouarge am 07.04.2026 05:30:00

Wie Sie einen Managed-Backup-Service definieren und strukturieren, hinter dem Sie voll und ganz stehen können

Wenn Sie zehn IT-Dienstleister zu ihrem Managed-Backup-Angebot befragen, werden die meisten vermutlich in etwa so antworten: „Wir überwachen Ihre Backups und kümmern uns um auftretende Probleme.“

Das ist kein Managed Backup, sondern Babysitting für ein Produkt, das Ihnen nicht gehört.

Ein echtes Managed Backup zeichnet sich durch einen klar definierten Service mit dokumentierten Service-Level-Agreements und getesteten Wiederherstellungen aus. Wer seine Dienstleistung entsprechend aufbaut, schafft eine verlässliche Umsatzquelle statt einer endlosen Support-Last.

Der erste Beitrag dieser Serie hat gezeigt, wie Ransomware die Datensicherung zur Chefsache gemacht hat, weshalb Führungskräfte heute Nachweise über erfolgreiche Wiederherstellungen fordern und welche Konsequenzen sich daraus für MSPs ergeben, die sich noch nicht angepasst haben. In unserem zweiten Beitrag haben wir den Business Case für den Wechsel vom Reseller- zum Managed-Service-Modell dargestellt. Dieser Beitrag geht einen Schritt weiter und zeigt, wie der Service in der Praxis tatsächlich aussieht.

Inhaltsverzeichnis

Was genau ist Managed Backup?
Daten klassifizieren, bevor Sie Versprechen machen
RPO und RTO: Realistische Werte, die Sie im Ernstfall vertreten können
Unkomplizierte Service-Tiers
Wer besitzt was? Das müssen Sie vor Vertragsabschluss klären
Die richtige Plattform für Ihre Service-Struktur
Häufig gestellte Fragen
Vom Produkt zur Dienstleistung: Was professionelle MSPs unterscheidet

Was genau ist Managed Backup?

Ein Managed-Backup-Service deckt fünf Bereiche ab:

Einrichtung und Konfiguration nach Ihren Vorgaben.
Laufendes Monitoring, das Fehler erkennt, bevor Kunden sie bemerken.
Regelmäßige Wiederherstellungstests, die nicht nur prüfen, ob Jobs fehlerfrei liefen, sondern auch die echte Wiederherstellbarkeit gewährleisten.
Kundenseitige Reports, die den Schutz lückenlos dokumentieren.
Ein definierter Incident-Response-Prozess für den Ernstfall.

Reines Monitoring reicht nicht aus. Wenn der Server eines Kunden nach einem Ransomware-Angriff nicht wieder hochfährt, ist das Argument "Wir haben es überwacht" nicht hilfreich.

Wenn Sie Managed Backup wie oben beschrieben in Ihrem Servicevertrag definieren, verhindern Sie Scope Creep. „Managed“ hat dann eine konkrete Bedeutung und alles außerhalb dieses Rahmens erfordert ein explizites Gespräch, bevor jemand tätig wird.

Ihren Kunden zu garantieren, dass ihre Systeme im Ernstfall wiederhergestellt werden können, und dies auch belegen zu können, ist die Grundlage für echtes Vertrauen. Und das ist es, was Sie von jemandem unterscheidet, der lediglich eine Lizenz verkauft.

Daten klassifizieren, bevor Sie Versprechen machen

Einer der teuersten Fehler im Managed Backup ist das Überspringen der Discovery-Phase. Bevor Sie verbindliche Aussagen zu Wiederherstellungszeiten machen können, müssen Sie zunächst verstehen, welche Daten Ihr Kunde hat und wie kritisch sie sind. Und das unterscheidet sich von Kunde zu Kunde.

Nehmen Sie sich bei jeder neuen Kundenbeziehung die Zeit für eine einfache Datenklassifizierung:

Datentyp	Inhalte	Backup-Häufigkeit	Aufbewahrung
Kritisch	Datenbanken, ERP, Abrechnungssysteme	Täglich (Minimum)	90 Tage oder gemäß Compliance-Vorgabe
Operativ	E-Mail, gemeinsame Laufwerke, Produktivitätstools	Täglich	30-90 Tage
Geschäftsunterlagen	Finanzdokumente, Verträge, Compliance-Nachweise	Täglich oder wöchentlich	6–10 Jahre (gesetzliches Minimum in den meisten Ländern)
Personenbezogen / reguliert	Mitarbeiter- und Kundendaten: DSGVO, § 75b SGB V, PCI-DSS	Gemäß Vorgabe	Gemäß Vorgabe

Diese Bestandsaufnahme erfüllt zwei Zwecke. Sie zeigt Ihnen erstens, wie die Backup-Umgebung strukturiert sein muss, zum Beispiel, welche Daten zuerst wiederhergestellt werden müssen und wie lange sie aufbewahrt werden müssen. Zweitens bringt sie Compliance-Pflichten ans Licht, die der Kunde häufig selbst nicht kennt.

Geschäftsunterlagen müssen in den meisten Ländern sechs bis zehn Jahre aufbewahrt werden. Die Sicherung der meisten SaaS-Anwendungen ist in der Standardkonfiguration nicht aktiviert. Solche Details sind den wenigsten Kunden bekannt. Sie sind oft der Erste, der es anspricht. Denn wer versteht, warum seine SQL-Datenbank ein anderes Wiederherstellungsprofil hat als sein Dateiserver, wird im Ernstfall nicht über den Leistungsumfang streiten.

62% der Unternehmen führen keine regelmäßigen Backup- und Wiederherstellungstests durch (Cockroach Labs, State of Resilience 2025).

RPO und RTO: Realistische Werte, die Sie im Ernstfall vertreten können

RPO und RTO zählen zu den Werten im Managed Backup, die am häufigsten falsch gehandhabt werden.

Manche MSPs übernehmen einfach, was ein Mitbewerber kommuniziert. Andere lassen beide Werte offen und überlassen es den Kunden, das Beste zu hoffen. Beides geht auf Kosten Ihrer Kunden.

RPO (Recovery Point Objective) bezeichnet den maximal tolerierbaren Datenverlust. Bei einem RPO von 4 Stunden riskiert der Kunde im schlimmsten Fall den Verlust von 4 Stunden Arbeit. RTO (Recovery Time Objective) bezeichnet die Zeit bis zur vollständigen Wiederherstellung. Mit einer RTO von zwei Stunden verpflichten Sie sich, den Betrieb innerhalb von zwei Stunden nach Beginn der Wiederherstellung wieder zum Laufen zu bringen.

Welche Zusagen Sie machen können, hängt von Ihrer Infrastruktur und der Ihrer Kunden ab. Eine rein cloudbasierte Wiederherstellung über eine Standard-Breitbandverbindung kann zum Beispiel Tage dauern. Wer das nicht berücksichtigt, macht Kunden Versprechen, die er nicht halten kann.

Beispielhafte Ausgangswerte nach Workload-Typ:

Workload	Architektur	RPO	RTO	Hinweise
Dateiserver	Lokal + Cloud-Hybrid	4 Std.	2 Std.	-
SQL-Datenbank	Lokal + Cloud-(Hybrid)	1 Std.	4 Std.	Erfordert konfigurierte stündliche Incremental-Forever-Jobs
Virtuelle Maschinen	Lokaler Snapshot + Cloud	4 Std.	1-2 Std.	-
SaaS (M365, Google Workspace)	Drittanbieter-Backup	24 Std.	4-8 Std.	-
Endgeräte/Workstations	Cloud Backup	4-8 Std.	4-8 Std.	Nur Cloud-Wiederherstellung; keine lokale Kopie

Hinweis: Die Werte in der Tabelle gehen von einer hybriden Backup-Architektur aus. Bei rein cloudbasiertem Backup fallen Ihre RTOs deutlich länger aus.

Diese Werte dienen Ihnen als Ausgangspunkt. Welche konkreten Zusagen Sie machen, hängt von Ihrem Stack und der Umgebung jedes einzelnen Kunden ab. Entscheidend ist, dass Sie diese Werte schriftlich festhalten. Wenn um zwei Uhr morgens etwas schiefgeht, muss ein Plan zur Wiederherstellung bereits vorliegen, statt erst dann zu diskutieren, wie vorzugehen ist.

Gerne helfen wir Ihnen weiter, wenn Sie darüber sprechen möchten, welche Zusagen Sie Ihren Kunden realistisch geben können. Sprechen Sie mit einem NovaBACKUP-Experten.

Unkomplizierte Service-Tiers

Ein häufiger Fehler beim Aufbau von Service-Tiers ist, dass entweder zu viele sich überlappende Optionen erstellt werden, wodurch die Kunden überfordert werden, oder das Angebot zu einheitlich ist, wodurch potenzieller Umsatz verschenkt wird. Die beste Balance erzielen Sie mit zwei Service-Tiers.

Basis: Grundlegender Schutz

Geschäftskritische Daten: tägliche Backups, 30 Tage lokale Aufbewahrung, 90 Tage in der Cloud
Reguläre Daten: wöchentliche Backups, 30 Tage lokale und Cloud-Aufbewahrung
Monatliches vollständiges Desaster-Recovery-Backup
Monatliche Wiederherstellungsverifikation mit Dokumentation

Premium: Erweiterte Wiederherstellung und Compliance

Kürzere RPO/RTO-Werte für kritische Systeme
Unveränderliche oder air-gapped Backup-Kopien
Zusätzlich zur monatlichen Verifikation, vierteljährliche Desaster-Recovery-Tests mit schriftlich festgehaltenen Ergebnissen
Compliance-Dokumentation für DSGVO, § 75b SGB V und Cyberversicherungsanforderungen

Ein drittes Tier brauchen Sie nur, wenn ein Kundensegment das wirklich erfordert, zum Beispiel für Firmen im Gesundheitswesen oder bei Finanzdienstleistern.

Verzichten Sie auf Namen wie Gold, Silber, Bronze. Diese Bezeichnungen sagen dem Kunden nichts darüber, was er bekommt. Namen wie Basis- und Vollschutz, oder Essential und Resilient, machen sofort deutlich, worum es geht. Denn das ist es, was Sie mit Ihrer Managed-Backup-Dienstleistung anbieten.

Wer besitzt was? Das müssen Sie vor Vertragsabschluss klären

Die Frage, ob die Infrastruktur vom MSP verwaltet wird oder sich im Besitz des Kunden befindet, ist im Wesentlichen eine Frage der Haftung. Bei einer vom MSP verwalteten Infrastruktur standardisieren Sie den Stack, richten ihn ein und verantworten das Ergebnis. Diese Lösung ist übersichtlicher, bietet weniger Risiken, bessere Kalkulationsmöglichkeiten und einfachere SLA-Garantien.

Wenn sich die Infrastruktur im Besitz des Kunden befindet, verwalten Sie die Umgebung des jeweiligen Kunden. Das bedeutet eine höhere Komplexität, schwerer zu garantierende Ergebnisse und mehr Einschränkungen in Ihrem Dienstleistungsvertrag.

In der Realität arbeiten die meisten MSPs mit einem gemischten Modell: bestehende Kundeninfrastruktur auf der einen Seite, der eigene Stack für neue Kunden auf der anderen. Das ist normal. Aber vor Vertragsunterzeichnung muss schriftlich geklärt sein, wer was besitzt. Wer trägt die Verantwortung für die Hardware? Wer kontrolliert die Software-Zugangsdaten? Was passiert mit den Daten, wenn der Vertrag endet?

Irgendetwas wird irgendwann schiefgehen. Wer das vorher geklärt hat, schützt sich und seinen Kunden. Wer es nicht geklärt hat, führt dieses Gespräch unter den denkbar schlechtesten Bedingungen.

Choosing-a-Platform-That-Supports-Your-Service-Structure-Novabackup

Die richtige Plattform für Ihre Service-Struktur

Die eigentliche Konfigurationsarbeit findet beim Onboarding statt. Sie richten die Backup-Jobs jedes Kunden so ein, dass sie zur Datenklassifizierung und den festgelegten RPO/RTO-Werten passen. Was danach zählt ist eine Backup-Lösung, die Ihnen die Verwaltung aller Jobs ermöglicht, ohne sich bei jedem Kunden einzeln einloggen zu müssen.

Die Multi-Tenant-Verwaltungskonsole von NovaBACKUP gibt Ihnen eine einheitliche Übersicht über alle Backup-Jobs Ihrer Kunden. Sie sehen auf einen Blick, was läuft, was fehlgeschlagen ist und wo Handlungsbedarf besteht.

Kundenseitige Berichte übersetzen die RPO/RTO-Werte aus Ihrem Servicevertrag in einen schriftlichen Leistungsnachweis. So können auch nicht fachkundige Beteiligte im nächsten Kundengespräch nachvollziehen, was sie für ihr Geld erhalten.

Mit automatisierten Wiederherstellungstests im Rahmen der Backup-Überprüfung untermauern Sie Ihre Angaben zur Wiederherstellung.

Michael Gustine von MG Technology ist Einzelunternehmer. Nach dem Wechsel zu NovaBACKUP Managed Backup rechnet er bis Jahresende mit einem Kundenwachstum von 17–25%, ohne zusätzliche Mitarbeiter einzustellen. Die Service-Struktur, die dieser Beitrag beschreibt, ist ähnlich der, die er aufgebaut hat. Lesen Sie die vollständige Fallstudie.

Häufig gestellte Fragen

FAQ

Was gehört zu einem Managed-Backup-Service?

Ein Managed-Backup-Service umfasst Einrichtung und Konfiguration, laufendes Monitoring, regelmäßige Wiederherstellungstests, kundenseitige Reports und einen definierten Incident-Response-Prozess. Monitoring allein sagt Ihnen, ob ein Job durchgelaufen ist. Ein Managed Service geht weiter: Sie verantworten das Ergebnis, einschließlich der Frage, ob die Daten im Ernstfall tatsächlich wiederhergestellt werden können.

FAQ

Was ist der Unterschied zwischen RPO und RTO?

RPO (Recovery Point Objective) bezeichnet den maximal tolerierbaren Datenverlust, gemessen als Zeit seit dem letzten funktionierenden Backup. RTO (Recovery Time Objective) bezeichnet die Zeit, innerhalb derer Systeme nach einem Ausfall wieder betriebsbereit sein müssen. Beide Werte müssen dokumentiert sein, bevor etwas passiert.

FAQ

Wie baue ich Service-Tiers für Managed Backup auf?

Beginnen Sie mit zwei Tiers: einem Basis-Tier mit täglichen Backups und monatlicher Wiederherstellungsverifikation sowie einem Premium-Tier mit kürzeren RPO/RTO-Werten, unveränderlichen Kopien und Compliance-Dokumentation. Den Aufbau beider Tiers beschreibt der entsprechende Abschnitt weiter oben im Detail. Ein drittes Tier brauchen Sie nur, wenn ein Kundensegment das wirklich erfordert.

FAQ

Warum ist Datenklassifizierung für Backup so wichtig?

Ihre Datenklassifizierung legt die Wiederherstellungsarchitektur fest. Ohne sie sind keine realistischen RPO/RTO-Werte möglich, denn nicht alle Daten haben dieselbe Wiederherstellungspriorität. Eine regulierte Datenbank mit personenbezogenen Daten und ein gemeinsam genutztes Laufwerk gehören nicht in denselben Backup-Tier. Wer das ignoriert, setzt sich sowohl technischen Risiken als auch Compliance-Problemen aus.

FAQ

Was unterscheidet Managed Backup vom reinen Backup-Monitoring?

Monitoring sagt Ihnen, ob Jobs ohne Fehler abgeschlossen wurden. Managed Backup bedeutet, dass Sie für das Ergebnis geradestehen. Sie richten die Umgebung ein und testen die Wiederherstellung. So können Sie gegenüber Kunden und Prüfern schriftliche Nachweise erbringen, wenn es darauf ankommt.

Vom Produkt zur Dienstleistung: Was professionelle MSPs unterscheidet

Ihre Kunden kaufen keine Backup-Software. Sie kaufen die Gewissheit, dass ihr Unternehmen einen Datenausfall übersteht. Backup-Software ist nur das Mittel zum Zweck. 16% der KMUs sichern ihre Daten überhaupt nicht (Viking Cloud, 2025). Nicht weil ihnen das Thema egal wäre, sondern weil noch niemand die richtige Frage gestellt hat. Sie warten auf einen MSP, der das Problem klar benennt und eine konkrete Lösung bietet.

Datenklassifizierung, RPO/RTO-Werte, Service-Tiers und klare Zuständigkeiten sind das Fundament dieser Gewissheit. Wer seinen Managed-Backup-Service auf diese Weise aufbaut, verkauft keine Lizenzen mehr, sondern eine professionelle Dienstleistung, für die er die Verantwortung übernimmt. Das ist ein anderes Gespräch. Und in den meisten Fällen ein deutlich leichteres.

Möchten Sie sehen, wie das in der Praxis aussieht? Sprechen Sie mit einem NovaBACKUP-Experten und erfahren Sie, wie das Managed Backup-Modell zu Ihrer Service-Struktur passen könnte.

Über diese Serie

Dieser Beitrag ist Teil des Managed Backup Business Playbook, einer fünfteiligen Serie für MSPs, die einen Managed-Backup-Service auf- oder ausbauen möchten.

Beitrag 1: Das MSP-Backup-Geschäft im Wandel
Beitrag 2: Der Business Case für Managed Backup
Beitrag 3: So sieht Managed Backup in der Praxis aus (dieser Beitrag)
Beitrag 4: Aufbau und Betrieb Ihres Managed-Backup-Services
Beitrag 5: Preisgestaltung, Positionierung und Neukundengewinnung

Quellen:

Cockroach Labs & Wakefield Research. (2025). Der Stand der Resilienz 2025: Konfrontation mit Ausfällen, Ausfallzeiten und organisatorischer Bereitschaft.
VikingCloud. (2025). Der Bericht über die Bedrohungslandschaft 2025 für kleine und mittlere Unternehmen: Kleine und mittlere Unternehmen, große Cybersecurity-Risiken.

Lesenswert

Reseller / MSP