Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Backup & Datensicherung 02.06.2026 · 9 min Lesezeit

Microsoft 365 Backup: warum es nötig ist und wie es geht

Microsoft sichert deine Microsoft-365-Daten nicht im Sinne eines Backups. Diese Anleitung erklärt das Modell der geteilten Verantwortung, zeigt native Bordmittel samt Grenzen und führt dich Schritt für Schritt zu einer tragfähigen Backup-Strategie.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Symbolbild für Datensicherung von Microsoft 365 in der Cloud mit Servern und Schloss

Ein verbreiteter Irrtum kostet Unternehmen regelmäßig Daten: Microsoft sichert deine Inhalte in der Cloud nicht im Sinne eines klassischen Microsoft 365 Backup. Microsoft sorgt für Infrastruktur und Verfügbarkeit, du als Kunde verantwortest deine Daten. Diese Anleitung räumt mit dem Missverständnis auf, zeigt dir die nativen Bordmittel von Exchange, OneDrive, SharePoint und Teams samt ihren harten Grenzen und führt dich Schritt für Schritt zu einer belastbaren Sicherungsstrategie. Zielgruppe sind Admins und IT-Verantwortliche im Mittelstand.

Voraussetzungen

  • Globaler Administrator oder Exchange-Administrator im Microsoft 365 Tenant.
  • Für Litigation Hold: Exchange Online Plan 2 oder Plan 1 plus Exchange Online Archiving Add-on je Postfach.
  • Für Aufbewahrungsrichtlinien: Zugriff auf Microsoft Purview (Rolle Records Management oder Compliance Administrator).
  • Für Microsoft 365 Backup (Pay-as-you-go): ein verknüpftes Azure-Abonnement für die verbrauchsabhängige Abrechnung; nur die Quell-Lizenzen der Nutzer, keine zusätzliche Backup-Lizenz.
  • Optional für PowerShell-Schritte: Exchange Online Management Modul und das Modul Microsoft.Graph.BackupRestore.
  • Für eine vollständige Strategie: eine anbieterneutrale Drittanbieter-Backup-Lösung mit eigenem Speicherort (DSGVO).

Schritt 1: Geteilte Verantwortung verstehen

Das Modell der geteilten Verantwortung (Shared Responsibility) ist die Grundlage jeder Entscheidung. Microsoft garantiert Verfügbarkeit, Redundanz auf Infrastrukturebene und den Schutz vor Hardware-Ausfällen. Microsoft garantiert nicht, dass versehentlich oder böswillig gelöschte Daten, durch Ransomware verschlüsselte Inhalte oder Daten aus abgelaufenen Konten wiederhergestellt werden können.

Konkret bedeutet das: Wenn ein Mitarbeiter ein Postfach leert, ein Angreifer Dateien verschlüsselt oder ein Konto nach Ablauf gelöscht wird, ist Microsoft nicht dein Sicherungsanbieter. Genau diese Lücke füllst du mit den folgenden Schritten.

BereichMicrosoftDu als Kunde
Rechenzentrum, Hardware, Verfügbarkeitverantwortlich-
Schutz vor versehentlicher Löschungnur kurzfristig (Papierkorb)verantwortlich
Ransomware-Wiederherstellungbegrenztverantwortlich
Langzeit-Aufbewahrung, DSGVO-Speicherort-verantwortlich

Schritt 2: Native Papierkorb-Stufen prüfen und Grenzen kennen

Die erste, kostenlose Schutzstufe sind die Papierkörbe. Sie sind nützlich, aber starr begrenzt. Prüfe sie, damit du weißt, was sie leisten und ab wann du blind bist.

SharePoint und OneDrive: Der Papierkorb läuft über zwei Stufen (Stage 1 und Stage 2) mit insgesamt 93 Tagen. Dieses Fenster ist nicht konfigurierbar; danach sind die Inhalte endgültig gelöscht.

SharePoint: [Website] > Websiteinhalte > Papierkorb (Stufe 1)
           Papierkorb > Papierkorb der zweiten Stufe (Stufe 2)
OneDrive:   [OneDrive] > Papierkorb (gleiche 93-Tage-Logik)

OneDrive Dateien wiederherstellen: Über [OneDrive] > Einstellungen > OneDrive wiederherstellen kannst du einen kompletten Stand der letzten 30 Tage zurückrollen, etwa nach einem Ransomware-Befall.

Exchange Recoverable Items: Gelöschte E-Mails landen im Ordner für wiederherstellbare Elemente. Ohne Hold gilt eine Standard-Aufbewahrung von 14 Tagen, mit Litigation Hold unbegrenzt. Dieser Ordner ist für Endnutzer unsichtbar; für ein Audit brauchst du eDiscovery oder die Inhaltssuche.

Schritt 3: Litigation Hold aktivieren

Mit Litigation Hold verhinderst du, dass E-Mails endgültig gelöscht werden, auch wenn ein Nutzer den Papierkorb leert. Beachte die Lizenzpflicht: Ohne Plan 2 oder Archiving-Add-on schlägt das Feature still fehl.

Portal-Weg:

Microsoft 365 Admin Center (admin.microsoft.com)
  > Benutzer > Aktive Benutzer > [Nutzer] > Reiter E-Mail
  > Manage litigation hold / Aufbewahrung für Rechtsstreitigkeiten verwalten

PowerShell (Exchange Online): Für einzelne Postfächer und für Massen-Aktivierung. Der Wert 2555 entspricht etwa sieben Jahren.

# Einzelnes Postfach, Aufbewahrung 7 Jahre (2555 Tage)
Set-Mailbox user@DEINE-DOMAIN.de -LitigationHoldEnabled $true -LitigationHoldDuration 2555

# Alle Postfaecher mit aktivem Hold auflisten
Get-Mailbox -Filter '{LitigationHoldEnabled -eq $true}'

# Massen-Aktivierung fuer alle Benutzerpostfaecher
Get-Mailbox -ResultSize Unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -LitigationHoldEnabled $true

Wichtig: Litigation Hold ist ein Hold, kein Backup. Er bewahrt Inhalte innerhalb von Microsoft auf, schützt aber nicht vor Mandanten-weiten Vorfällen oder dem DSGVO-Bedarf eines externen Speicherorts.

Schritt 4: Aufbewahrungsrichtlinien in Microsoft Purview einrichten

Aufbewahrungsrichtlinien (Retention Policies) steuern, wie lange Inhalte in Exchange, OneDrive, SharePoint und Teams aufbewahrt oder automatisch gelöscht werden. Sie sind ein Compliance-Werkzeug, kein Backup-Ersatz.

Microsoft Purview (compliance.microsoft.com)
  > Loesungen > Data Lifecycle Management
  > Richtlinien > Aufbewahrungsrichtlinien > Neue Aufbewahrungsrichtlinie

Legacy-Tags: Microsoft Purview > Exchange (legacy) > MRM Retention tags

Plane die Limits pro Tenant ein, damit Richtlinien nicht stillschweigend an Grenzen stoßen:

LimitMaximalwert
Aufbewahrungslabels je Tenant1.000
Richtlinien je Tenant10.000
Exchange-Richtlinien1.800
SharePoint-Sites je Richtlinie100

Hast du mehr als 100 SharePoint-Sites oder sehr viele Postfächer, musst du mehrere Richtlinien anlegen. Beachte außerdem: Aufbewahrungsrichtlinien beeinflussen weder den Papierkorb noch die Aufbewahrung des Microsoft 365 Backup; das sind getrennte Systeme.

Schritt 5: Microsoft 365 Backup (Pay-as-you-go) aktivieren

Microsoft 365 Backup ist Microsofts eigenes, verbrauchsabhängiges Backup für Exchange, OneDrive und SharePoint. Es kostet 0,15 US-Dollar pro GB und Monat und benötigt keine zusätzliche Lizenz, nur die Quell-Lizenzen und ein verknüpftes Azure-Abonnement.

Microsoft 365 Admin Center (admin.microsoft.com)
  > Backup > Schutzrichtlinien (Protection policies)
  > Richtlinie erstellen
  > OneDrive- / SharePoint- / Exchange-Einheiten auswaehlen

Eckdaten dieser Lösung:

  • Aufbewahrung: 1 Jahr.
  • Wiederherstellungspunkte: alle 10 Minuten für 2 Wochen, danach wöchentlich bis zu 52 Wochen.
  • RTO: 30 Minuten bis 4 Stunden je nach Größe und Wiederherstellungstyp.
  • Append-Only Storage: Die Backups sind technisch immun gegen Malware-Überschreibungen.

Das PowerShell-Modul gibt es, ist aber stark eingeschränkt und primär für Backup-Controller-Apps gedacht:

Install-Module Microsoft.Graph.BackupRestore -Scope AllUsers

Entscheidend für die Architektur: Microsoft 365 Backup hält deine Daten in Microsofts Rechenzentren. Damit erfüllt es weder eine geforderte lokale Datenresidenz noch die 3-2-1-Regel im Sinne eines unabhängigen, externen Speicherorts.

Schritt 6: Drittanbieter-Backup anbieterneutral auswählen

Für echte Ausfallsicherheit gegen Ransomware und für DSGVO-konforme Speicherung brauchst du eine unabhängige Sicherung außerhalb von Microsoft. Bewerte Lösungen anhand klarer Kriterien, nicht nach Marketing.

  • Aufbewahrung: frei konfigurierbar, idealerweise unbegrenzt und unabhängig von Microsoft-Fristen.
  • Granularität: Wiederherstellung einzelner E-Mails, Dateien, SharePoint-Listen und Teams-Kanäle, nicht nur ganzer Postfächer.
  • Wiederherstellung: Restore an den Originalort, an einen Alternativort und als Export; schnelle, durchsuchbare Suche.
  • Speicherort und DSGVO: wählbarer Speicherort in der EU oder im eigenen Rechenzentrum, Auftragsverarbeitungsvertrag, Verschlüsselung.
  • Abdeckung: Exchange, OneDrive, SharePoint und Teams in einem Werkzeug.

Ein zweiter, unabhängiger Speicherort ist der Kern der Ransomware-Resilienz: Selbst wenn der Tenant kompromittiert ist, bleibt deine Kopie unangetastet.

Schritt 7: 3-2-1-Strategie für Microsoft 365 festlegen

Übertrage die bewährte 3-2-1-Regel konsequent auf Microsoft 365: 3 Kopien der Daten, auf 2 unterschiedlichen Medientypen, davon 1 Kopie offsite. Für Microsoft 365 heißt das in der Praxis:

  • Kopie 1: die produktiven Daten in Microsoft 365 selbst.
  • Kopie 2: Microsoft 365 Backup und native Funktionen als schnelle, kurzfristige Wiederherstellung.
  • Kopie 3: ein Drittanbieter-Backup an einem unabhängigen, DSGVO-konformen Speicherort, idealerweise mit unveränderbarer (immutabler) Ablage.

Lege außerdem fest, wer die Wiederherstellung testet und in welchem Rhythmus. Ein Backup, das nie getestet wurde, ist kein verlässliches Backup.

Schritt 8: Ransomware- und Konto-Ablauf-Risiken absichern

Rechne die nativen Fenster realistisch durch. Bei Ransomware ergeben sich grob: 93 Tage Nutzer-Wiederherstellung über den Papierkorb plus 14 Tage Microsoft-unterstützte Wiederherstellung, also rund 107 Tage, zusätzlich 30 Tage Dateiwiederherstellung in OneDrive. Bei Angriffen auf Unternehmensebene reicht das oft nicht.

Besonders kritisch sind abgelaufene Konten: Nach 90 bis 120 Tagen ohne Verlängerung werden alle Cloud-Daten gelöscht. Ein Admin kann während der Deaktivierungsphase noch ein Backup starten, doch das Fenster ist eng. Definiere deshalb einen Prozess, der Daten ausscheidender Mitarbeiter vor dem Ablauf in dein Drittanbieter-Backup sichert.

Troubleshooting

  • Problem: Litigation Hold lässt sich nicht aktivieren. Prüfe die Lizenz. Es ist Exchange Online Plan 2 oder Plan 1 plus Archiving-Add-on nötig; mit Plan 1 allein schlägt das Feature fehl.
  • Problem: Gelöschte SharePoint-Datei nach 100 Tagen weg. Der 93-Tage-Papierkorb ist nicht verlängerbar und nicht konfigurierbar. Ohne separates Backup ist die Datei endgültig verloren.
  • Problem: Aufbewahrungsrichtlinie greift, Nutzer löschen trotzdem aus dem Papierkorb. Aufbewahrungsrichtlinien beeinflussen den Papierkorb nicht. Nur unter Hold landen Inhalte im versteckten Ordner für wiederherstellbare Elemente.
  • Problem: PowerShell-Cmdlets aus Microsoft.Graph.BackupRestore funktionieren nicht interaktiv. Viele Cmdlets sind nur für Backup-Controller-Apps vorgesehen und nicht für den interaktiven Einsatz gedacht. Nutze für die Konfiguration das Admin Center.
  • Problem: Richtlinie nimmt nicht alle SharePoint-Sites auf. Pro Richtlinie sind maximal 100 Sites möglich. Verteile die Sites auf mehrere Richtlinien.
  • Problem: Daten eines ausgeschiedenen Mitarbeiters sind weg. Nach 90 bis 120 Tagen werden Daten abgelaufener Konten gelöscht. Sichere Postfach und OneDrive vor der Deaktivierung in ein unabhängiges Backup.

Häufige Fragen

Macht Microsoft nicht automatisch ein Backup meiner Daten?

Nein. Microsoft sorgt im Modell der geteilten Verantwortung für Infrastruktur und Verfügbarkeit. Der Schutz vor versehentlicher oder böswilliger Löschung, Ransomware und Datenverlust durch abgelaufene Konten liegt bei dir als Kunde.

Reicht Microsoft 365 Backup als alleinige Lösung?

Für schnelle, kurzfristige Wiederherstellungen ist es gut, mit 1 Jahr Aufbewahrung und Append-Only-Schutz. Es speichert die Daten aber in Microsofts Rechenzentren und erfüllt damit weder die 3-2-1-Regel im engeren Sinn noch Anforderungen an einen lokalen, DSGVO-konformen Speicherort.

Was muss ich überhaupt sichern?

Die vier Kernbereiche: Exchange Online (E-Mail), OneDrive, SharePoint und Teams. Teams-Daten liegen technisch verteilt in Exchange und SharePoint, weshalb eine durchgängige Abdeckung wichtig ist.

Was kostet Microsoft 365 Backup?

Es wird verbrauchsabhängig mit 0,15 US-Dollar pro GB und Monat abgerechnet. Eine zusätzliche Backup-Lizenz ist nicht nötig, nur die vorhandenen Quell-Lizenzen und ein verknüpftes Azure-Abonnement.

Schützt der 93-Tage-Papierkorb vor Ransomware?

Nur eingeschränkt. Zusammen mit der Microsoft-unterstützten Wiederherstellung ergeben sich rund 107 Tage, plus 30 Tage Dateiwiederherstellung. Bei großflächigen Angriffen ist das oft zu kurz; ein unabhängiges, immutables Backup ist die sicherere Antwort.

Wie wähle ich einen Drittanbieter aus?

Bewerte anbieterneutral nach Aufbewahrung, Granularität der Wiederherstellung, Restore-Optionen, Speicherort und DSGVO sowie der Abdeckung von Exchange, OneDrive, SharePoint und Teams.

Fazit

Microsoft 365 ist hochverfügbar, aber kein Backup. Wer das Modell der geteilten Verantwortung verinnerlicht, native Bordmittel als kurzfristigen Schutz nutzt und ihre harten Grenzen kennt, baut darauf eine saubere Strategie auf: Litigation Hold und Aufbewahrungsrichtlinien für Compliance, Microsoft 365 Backup für schnelle Restores und ein unabhängiges Drittanbieter-Backup für Ransomware-Resilienz und DSGVO. Mit der 3-2-1-Regel und getesteten Wiederherstellungen ist dein Tenant gegen die wahrscheinlichsten Verlustszenarien abgesichert.

Weiterführende Anleitungen und Quellen

Quellen: offizielle Microsoft-Learn-Dokumentation zu Microsoft 365 Backup, Aufbewahrungslimits, Litigation Hold, geteilter Verantwortung, Aufbewahrungsrichtlinien, Ransomware-Schutz und dem Ordner für wiederherstellbare Elemente (Stand: 2026-06-02).

Verwandt

Weiter lesen

Alle Artikel →
Server-Rack mit Festplatten für Backup-Sicherung
02.06.2026 ·9 min

Windows Server Backup einrichten und Wiederherstellung testen

Windows Server Backup als Bordmittel installieren, geplante Sicherungen einrichten und die Wiederherstellung – Dateiebene und Bare-Metal – praxisnah testen.
Zwei leuchtende Daten-Silos in Gold und Magenta, deren Daten durch ein mechanisches Uhrwerk in rotierende Würfel verpackt und in eine Cloud synchronisiert werden, als Symbol für automatisierte Datenbank-Backups.
01.06.2026 ·8 min

MySQL & PostgreSQL Backup automatisieren mit cron: mysqldump, pg_dump, Rotation und rclone-Cloud-Sync

Schritt-für-Schritt: MySQL- und PostgreSQL-Backups mit mysqldump und pg_dump automatisieren - inklusive gzip-Kompression, Retention per find, cron-Job und verschlüsseltem rclone-Upload in die Cloud.
Externe USB-Festplatte und Server als Teil einer 3-2-1-Backup-Strategie
01.06.2026 ·9 min

3-2-1-Backup-Strategie umsetzen: Anleitung mit Restic, USB-Disk und S3-Cloud

So setzt du die 3-2-1-Backup-Strategie praktisch um: lokale Restic-Kopie, externe USB-Festplatte und ein verschlüsseltes Offsite-Backup in der S3-Cloud (Wasabi/Backblaze B2). Mit echten Befehlen, Restore-Test und Automatisierung.