Wie Sie einen Managed-Backup-Service definieren und strukturieren, hinter dem Sie voll und ganz stehen können
Wenn Sie zehn IT-Dienstleister zu ihrem Managed-Backup-Angebot befragen, werden die meisten vermutlich in etwa so antworten: „Wir überwachen Ihre Backups und kümmern uns um auftretende Probleme.“
Das ist kein Managed Backup, sondern Babysitting für ein Produkt, das Ihnen nicht gehört.
Ein echtes Managed Backup zeichnet sich durch einen klar definierten Service mit dokumentierten Service-Level-Agreements und getesteten Wiederherstellungen aus. Wer seine Dienstleistung entsprechend aufbaut, schafft eine verlässliche Umsatzquelle statt einer endlosen Support-Last.
Der erste Beitrag dieser Serie hat gezeigt, wie Ransomware die Datensicherung zur Chefsache gemacht hat, weshalb Führungskräfte heute Nachweise über erfolgreiche Wiederherstellungen fordern und welche Konsequenzen sich daraus für MSPs ergeben, die sich noch nicht angepasst haben. In unserem zweiten Beitrag haben wir den Business Case für den Wechsel vom Reseller- zum Managed-Service-Modell dargestellt. Dieser Beitrag geht einen Schritt weiter und zeigt, wie der Service in der Praxis tatsächlich aussieht.
Ein Managed-Backup-Service deckt fünf Bereiche ab:
Reines Monitoring reicht nicht aus. Wenn der Server eines Kunden nach einem Ransomware-Angriff nicht wieder hochfährt, ist das Argument "Wir haben es überwacht" nicht hilfreich.
Wenn Sie Managed Backup wie oben beschrieben in Ihrem Servicevertrag definieren, verhindern Sie Scope Creep. „Managed“ hat dann eine konkrete Bedeutung und alles außerhalb dieses Rahmens erfordert ein explizites Gespräch, bevor jemand tätig wird.
Ihren Kunden zu garantieren, dass ihre Systeme im Ernstfall wiederhergestellt werden können, und dies auch belegen zu können, ist die Grundlage für echtes Vertrauen. Und das ist es, was Sie von jemandem unterscheidet, der lediglich eine Lizenz verkauft.
Einer der teuersten Fehler im Managed Backup ist das Überspringen der Discovery-Phase. Bevor Sie verbindliche Aussagen zu Wiederherstellungszeiten machen können, müssen Sie zunächst verstehen, welche Daten Ihr Kunde hat und wie kritisch sie sind. Und das unterscheidet sich von Kunde zu Kunde.
Nehmen Sie sich bei jeder neuen Kundenbeziehung die Zeit für eine einfache Datenklassifizierung:
| Datentyp | Inhalte | Backup-Häufigkeit | Aufbewahrung |
| Kritisch | Datenbanken, ERP, Abrechnungssysteme | Täglich (Minimum) | 90 Tage oder gemäß Compliance-Vorgabe |
| Operativ | E-Mail, gemeinsame Laufwerke, Produktivitätstools | Täglich | 30-90 Tage |
| Geschäftsunterlagen | Finanzdokumente, Verträge, Compliance-Nachweise | Täglich oder wöchentlich | 6–10 Jahre (gesetzliches Minimum in den meisten Ländern) |
| Personenbezogen / reguliert | Mitarbeiter- und Kundendaten: DSGVO, § 75b SGB V, PCI-DSS | Gemäß Vorgabe | Gemäß Vorgabe |
Diese Bestandsaufnahme erfüllt zwei Zwecke. Sie zeigt Ihnen erstens, wie die Backup-Umgebung strukturiert sein muss, zum Beispiel, welche Daten zuerst wiederhergestellt werden müssen und wie lange sie aufbewahrt werden müssen. Zweitens bringt sie Compliance-Pflichten ans Licht, die der Kunde häufig selbst nicht kennt.
Geschäftsunterlagen müssen in den meisten Ländern sechs bis zehn Jahre aufbewahrt werden. Die Sicherung der meisten SaaS-Anwendungen ist in der Standardkonfiguration nicht aktiviert. Solche Details sind den wenigsten Kunden bekannt. Sie sind oft der Erste, der es anspricht. Denn wer versteht, warum seine SQL-Datenbank ein anderes Wiederherstellungsprofil hat als sein Dateiserver, wird im Ernstfall nicht über den Leistungsumfang streiten.
62% der Unternehmen führen keine regelmäßigen Backup- und Wiederherstellungstests durch (Cockroach Labs, State of Resilience 2025).
RPO und RTO zählen zu den Werten im Managed Backup, die am häufigsten falsch gehandhabt werden.
Manche MSPs übernehmen einfach, was ein Mitbewerber kommuniziert. Andere lassen beide Werte offen und überlassen es den Kunden, das Beste zu hoffen. Beides geht auf Kosten Ihrer Kunden.
RPO (Recovery Point Objective) bezeichnet den maximal tolerierbaren Datenverlust. Bei einem RPO von 4 Stunden riskiert der Kunde im schlimmsten Fall den Verlust von 4 Stunden Arbeit. RTO (Recovery Time Objective) bezeichnet die Zeit bis zur vollständigen Wiederherstellung. Mit einer RTO von zwei Stunden verpflichten Sie sich, den Betrieb innerhalb von zwei Stunden nach Beginn der Wiederherstellung wieder zum Laufen zu bringen.
Welche Zusagen Sie machen können, hängt von Ihrer Infrastruktur und der Ihrer Kunden ab. Eine rein cloudbasierte Wiederherstellung über eine Standard-Breitbandverbindung kann zum Beispiel Tage dauern. Wer das nicht berücksichtigt, macht Kunden Versprechen, die er nicht halten kann.
Beispielhafte Ausgangswerte nach Workload-Typ:
| Workload | Architektur | RPO | RTO | Hinweise |
| Dateiserver | Lokal + Cloud-Hybrid | 4 Std. | 2 Std. | - |
| SQL-Datenbank | Lokal + Cloud-(Hybrid) | 1 Std. | 4 Std. | Erfordert konfigurierte stündliche Incremental-Forever-Jobs |
| Virtuelle Maschinen | Lokaler Snapshot + Cloud | 4 Std. | 1-2 Std. | - |
| SaaS (M365, Google Workspace) | Drittanbieter-Backup | 24 Std. | 4-8 Std. | - |
| Endgeräte/Workstations | Cloud Backup | 4-8 Std. | 4-8 Std. | Nur Cloud-Wiederherstellung; keine lokale Kopie |
Hinweis: Die Werte in der Tabelle gehen von einer hybriden Backup-Architektur aus. Bei rein cloudbasiertem Backup fallen Ihre RTOs deutlich länger aus.
Diese Werte dienen Ihnen als Ausgangspunkt. Welche konkreten Zusagen Sie machen, hängt von Ihrem Stack und der Umgebung jedes einzelnen Kunden ab. Entscheidend ist, dass Sie diese Werte schriftlich festhalten. Wenn um zwei Uhr morgens etwas schiefgeht, muss ein Plan zur Wiederherstellung bereits vorliegen, statt erst dann zu diskutieren, wie vorzugehen ist.
Gerne helfen wir Ihnen weiter, wenn Sie darüber sprechen möchten, welche Zusagen Sie Ihren Kunden realistisch geben können. Sprechen Sie mit einem NovaBACKUP-Experten.
Ein häufiger Fehler beim Aufbau von Service-Tiers ist, dass entweder zu viele sich überlappende Optionen erstellt werden, wodurch die Kunden überfordert werden, oder das Angebot zu einheitlich ist, wodurch potenzieller Umsatz verschenkt wird. Die beste Balance erzielen Sie mit zwei Service-Tiers.
Ein drittes Tier brauchen Sie nur, wenn ein Kundensegment das wirklich erfordert, zum Beispiel für Firmen im Gesundheitswesen oder bei Finanzdienstleistern.
Verzichten Sie auf Namen wie Gold, Silber, Bronze. Diese Bezeichnungen sagen dem Kunden nichts darüber, was er bekommt. Namen wie Basis- und Vollschutz, oder Essential und Resilient, machen sofort deutlich, worum es geht. Denn das ist es, was Sie mit Ihrer Managed-Backup-Dienstleistung anbieten.
Die Frage, ob die Infrastruktur vom MSP verwaltet wird oder sich im Besitz des Kunden befindet, ist im Wesentlichen eine Frage der Haftung. Bei einer vom MSP verwalteten Infrastruktur standardisieren Sie den Stack, richten ihn ein und verantworten das Ergebnis. Diese Lösung ist übersichtlicher, bietet weniger Risiken, bessere Kalkulationsmöglichkeiten und einfachere SLA-Garantien.
Wenn sich die Infrastruktur im Besitz des Kunden befindet, verwalten Sie die Umgebung des jeweiligen Kunden. Das bedeutet eine höhere Komplexität, schwerer zu garantierende Ergebnisse und mehr Einschränkungen in Ihrem Dienstleistungsvertrag.
In der Realität arbeiten die meisten MSPs mit einem gemischten Modell: bestehende Kundeninfrastruktur auf der einen Seite, der eigene Stack für neue Kunden auf der anderen. Das ist normal. Aber vor Vertragsunterzeichnung muss schriftlich geklärt sein, wer was besitzt. Wer trägt die Verantwortung für die Hardware? Wer kontrolliert die Software-Zugangsdaten? Was passiert mit den Daten, wenn der Vertrag endet?
Irgendetwas wird irgendwann schiefgehen. Wer das vorher geklärt hat, schützt sich und seinen Kunden. Wer es nicht geklärt hat, führt dieses Gespräch unter den denkbar schlechtesten Bedingungen.
Die eigentliche Konfigurationsarbeit findet beim Onboarding statt. Sie richten die Backup-Jobs jedes Kunden so ein, dass sie zur Datenklassifizierung und den festgelegten RPO/RTO-Werten passen. Was danach zählt ist eine Backup-Lösung, die Ihnen die Verwaltung aller Jobs ermöglicht, ohne sich bei jedem Kunden einzeln einloggen zu müssen.
Die Multi-Tenant-Verwaltungskonsole von NovaBACKUP gibt Ihnen eine einheitliche Übersicht über alle Backup-Jobs Ihrer Kunden. Sie sehen auf einen Blick, was läuft, was fehlgeschlagen ist und wo Handlungsbedarf besteht.
Kundenseitige Berichte übersetzen die RPO/RTO-Werte aus Ihrem Servicevertrag in einen schriftlichen Leistungsnachweis. So können auch nicht fachkundige Beteiligte im nächsten Kundengespräch nachvollziehen, was sie für ihr Geld erhalten.
Mit automatisierten Wiederherstellungstests im Rahmen der Backup-Überprüfung untermauern Sie Ihre Angaben zur Wiederherstellung.
Michael Gustine von MG Technology ist Einzelunternehmer. Nach dem Wechsel zu NovaBACKUP Managed Backup rechnet er bis Jahresende mit einem Kundenwachstum von 17–25%, ohne zusätzliche Mitarbeiter einzustellen. Die Service-Struktur, die dieser Beitrag beschreibt, ist ähnlich der, die er aufgebaut hat. Lesen Sie die vollständige Fallstudie.
FAQ
Ein Managed-Backup-Service umfasst Einrichtung und Konfiguration, laufendes Monitoring, regelmäßige Wiederherstellungstests, kundenseitige Reports und einen definierten Incident-Response-Prozess. Monitoring allein sagt Ihnen, ob ein Job durchgelaufen ist. Ein Managed Service geht weiter: Sie verantworten das Ergebnis, einschließlich der Frage, ob die Daten im Ernstfall tatsächlich wiederhergestellt werden können.
FAQ
RPO (Recovery Point Objective) bezeichnet den maximal tolerierbaren Datenverlust, gemessen als Zeit seit dem letzten funktionierenden Backup. RTO (Recovery Time Objective) bezeichnet die Zeit, innerhalb derer Systeme nach einem Ausfall wieder betriebsbereit sein müssen. Beide Werte müssen dokumentiert sein, bevor etwas passiert.
FAQ
Beginnen Sie mit zwei Tiers: einem Basis-Tier mit täglichen Backups und monatlicher Wiederherstellungsverifikation sowie einem Premium-Tier mit kürzeren RPO/RTO-Werten, unveränderlichen Kopien und Compliance-Dokumentation. Den Aufbau beider Tiers beschreibt der entsprechende Abschnitt weiter oben im Detail. Ein drittes Tier brauchen Sie nur, wenn ein Kundensegment das wirklich erfordert.
FAQ
Ihre Datenklassifizierung legt die Wiederherstellungsarchitektur fest. Ohne sie sind keine realistischen RPO/RTO-Werte möglich, denn nicht alle Daten haben dieselbe Wiederherstellungspriorität. Eine regulierte Datenbank mit personenbezogenen Daten und ein gemeinsam genutztes Laufwerk gehören nicht in denselben Backup-Tier. Wer das ignoriert, setzt sich sowohl technischen Risiken als auch Compliance-Problemen aus.
FAQ
Monitoring sagt Ihnen, ob Jobs ohne Fehler abgeschlossen wurden. Managed Backup bedeutet, dass Sie für das Ergebnis geradestehen. Sie richten die Umgebung ein und testen die Wiederherstellung. So können Sie gegenüber Kunden und Prüfern schriftliche Nachweise erbringen, wenn es darauf ankommt.
Ihre Kunden kaufen keine Backup-Software. Sie kaufen die Gewissheit, dass ihr Unternehmen einen Datenausfall übersteht. Backup-Software ist nur das Mittel zum Zweck. 16% der KMUs sichern ihre Daten überhaupt nicht (Viking Cloud, 2025). Nicht weil ihnen das Thema egal wäre, sondern weil noch niemand die richtige Frage gestellt hat. Sie warten auf einen MSP, der das Problem klar benennt und eine konkrete Lösung bietet.
Datenklassifizierung, RPO/RTO-Werte, Service-Tiers und klare Zuständigkeiten sind das Fundament dieser Gewissheit. Wer seinen Managed-Backup-Service auf diese Weise aufbaut, verkauft keine Lizenzen mehr, sondern eine professionelle Dienstleistung, für die er die Verantwortung übernimmt. Das ist ein anderes Gespräch. Und in den meisten Fällen ein deutlich leichteres.
Möchten Sie sehen, wie das in der Praxis aussieht? Sprechen Sie mit einem NovaBACKUP-Experten und erfahren Sie, wie das Managed Backup-Modell zu Ihrer Service-Struktur passen könnte.
Dieser Beitrag ist Teil des Managed Backup Business Playbook, einer fünfteiligen Serie für MSPs, die einen Managed-Backup-Service auf- oder ausbauen möchten.