7 Min. Lesezeit

---

Der Datenbankserver steht seit 40 Minuten still, die Geschäftsführung fragt zum dritten Mal, wann es weitergeht, und das Backup vom Freitagabend ist der einzige Strohhalm. Wer dieses Szenario kennt, weiß: Die Frage ist nicht ob ein Ausfall kommt, sondern wie schnell das Unternehmen wieder arbeitsfähig wird.

Das Wichtigste in Kürze

• 🔥 Ungeplante Ausfälle kosten Mittelständler im Schnitt 5.600 US-Dollar pro Minute – und die meisten merken erst im Ernstfall, dass ihr Backup-Konzept nicht reicht.
• ☁️ DRaaS verlagert Disaster Recovery in die Cloud und ersetzt eigene DR-Standorte durch managed Failover-Infrastruktur.
• ⚖️ Drei Optionen stehen zur Wahl: Self-managed DR, DRaaS fully managed und Hybrid-DR – jede mit klaren Trade-offs bei Kosten, Kontrolle und Wiederherstellungszeit.
• 🏭 Wie der Maschinenbaür Trumpf seine DR-Strategie mit Zerto auf unter 15 Minuten RPO gebracht hat – ohne zweites Rechenzentrum.
• ✅ Am Ende steht eine 7-Punkte-Checkliste, mit der IT-Teams ihre DR-Reife in 30 Minuten bewerten können.

Laut einer Studie von ITIC (Information Technology Intelligence Consulting, 2024) beziffern 91 Prozent der befragten Unternehmen die Kosten einer einzelnen Stunde Downtime auf mehr als 300.000 US-Dollar. Für den deutschen Mittelstand – oft ohne redundante Rechenzentren und mit schlanken IT-Teams – ist das ein existenzielles Risiko.

Disaster Recovery as a Service (DRaaS) verspricht eine Lösung: Die komplette Wiederherstellungsinfrastruktur wandert in die Cloud. Statt eigene DR-Standorte zu betreiben, replizieren Unternehmen ihre kritischen Workloads zu einem Anbieter, der im Ernstfall den Failover übernimmt. Klingt einfach. In der Praxis ist die Entscheidung komplexer als jeder Anbieter-Pitch vermuten lässt.

Warum klassisches Backup nicht reicht

Die meisten mittelständischen Unternehmen verwechseln Backup mit Disaster Recovery. Beides gehört zusammen, löst aber unterschiedliche Probleme. Ein Backup sichert Daten. Disaster Recovery stellt ganze Systeme, Netzwerke und Applikationen in einem definierten Zeitfenster wieder her.

Der Unterschied wird greifbar, wenn ein Ransomware-Angriff nicht nur einzelne Dateien, sondern das gesamte Active Directory und die virtualisierten Server verschlüsselt. Dann nützt das beste Backup wenig, wenn die Infrastruktur zum Wiederherstellen fehlt.

Wer sich für die finanziellen Dimensionen von Cloud-Kosten interessiert, findet in unserem FinOps-Praxischeck ergänzende Perspektiven zu Kostensteürung in der Cloud.

Drei Wege zur Disaster Recovery: Self-managed, DRaaS und Hybrid

IT-Teams stehen vor drei grundsätzlichen Optionen. Jede hat ihre Berechtigung, jede bringt spezifische Trade-offs mit.

Option 1: Self-managed DR (eigenes zweites Rechenzentrum)

Das klassische Modell: Ein physisch getrennter Standort spiegelt die Produktionsumgebung. Volle Kontrolle, volle Kosten. Die Hardware muss beschafft, betrieben und regelmäßig getestet werden. Für Unternehmen mit Compliance-Anforderungen, die eine physische Datenhaltung in bestimmten Regionen vorschreiben, bleibt dieser Weg manchmal alternativlos.

Pro: Maximale Kontrolle, keine Abhängigkeit von Drittanbietern, volle Datensouveränität.
Contra: Hohe Investitionskosten (CAPEX), permanenter Betriebsaufwand, Testaufwand wird oft unterschätzt. Laut Veeam testen 58 Prozent der Unternehmen ihren DR-Plan seltener als einmal pro Jahr.

Option 2: DRaaS fully managed

Ein Anbieter wie Zerto (HPE), Veeam, Commvault oder Datto übernimmt die komplette DR-Infrastruktur. Workloads werden kontinuierlich repliziert, der Failover läuft automatisiert oder per Knopfdruck. Das IT-Team definiert RPO (Recovery Point Objective) und RTO (Recovery Time Objective), der Anbieter garantiert die Einhaltung.

Pro: Kein eigenes DR-Rechenzentrum nötig, planbare Kosten (OPEX), regelmäßige Tests durch den Anbieter, schnelle Skalierung.
Contra: Abhängigkeit vom Anbieter (Vendor Lock-in), laufende Kosten die mit dem Datenvolumen wachsen, eingeschränkte Kontrolle bei der Failover-Orchestrierung. Nicht jeder Anbieter speichert Daten in deutschen Rechenzentren.

Option 3: Hybrid-DR

Kritische Tier-1-Systeme (ERP, Produktionssteürung) laufen auf dedizierter Infrastruktur, weniger kritische Workloads werden per DRaaS abgesichert. Das kombiniert Kontrolle mit Flexibilität, erhöht aber die Komplexität der Orchestrierung.

Pro: Maßgeschneidert, balanciert Kosten und Kontrolle.
Contra: Höherer Planungsaufwand, zwei Systeme müssen im Ernstfall zusammenspielen, Testszenarien werden komplexer.

Praxisfall Trumpf: DRaaS statt zweites Rechenzentrum

Der Ditzinger Maschinenbaür Trumpf – 18.000 Mitarbeiter, Umsatz über 5 Milliarden Euro – stand 2023 vor einer klassischen Entscheidung: Ein zweites Rechenzentrum für DR bauen oder den Weg über DRaaS gehen. Die IT-Abteilung entschied sich für Zerto (mittlerweile Teil von HPE) als DRaaS-Plattform.

Das Ergebnis nach sechs Monaten Implementierung: Kontinuierliche Replikation mit einem RPO von unter 15 Minuten für geschäftskritische Systeme. Der Failover wurde vierteljährlich getestet, ohne die Produktion zu beeinträchtigen. Die eingesparten Investitionskosten für ein zweites Rechenzentrum bezifferte Trumpf im Rahmen einer HPE-Referenz auf einen siebenstelligen Betrag.

Was selten erwähnt wird: Die größte Herausforderung war nicht die Technologie, sondern die Klassifizierung der Workloads. Welche Systeme brauchen ein RPO von Minuten, welche kommen mit Stunden aus? Diese Frage zwang die IT-Abteilung in einen Dialog mit den Fachabteilungen, der vorher nie systematisch geführt wurde.

Die Gegenposition: Warum DRaaS nicht für jeden taugt

Nicht jeder IT-Berater sieht DRaaS als Königsweg. Thomas Uhlemann, Security Specialist bei ESET, warnt regelmäßig davor, Disaster Recovery komplett an Dritte auszulagern: „Wer die Wiederherstellung seiner Systeme nicht selbst versteht und testen kann, hat kein Disaster Recovery. Er hat ein Versprechen.“ Der Punkt trifft besonders Unternehmen mit regulierten Daten – Gesundheitsbranche, kritische Infrastruktur, Finanzdienstleister.

Auch die Kostenfrage ist differenzierter als DRaaS-Anbieter suggerieren. Bei wachsendem Datenvolumen steigen die monatlichen Kosten linear. Unternehmen mit mehreren Petabyte an Produktionsdaten fahren mit eigener Infrastruktur langfristig günstiger – sofern sie das Personal haben, diese zu betreiben.

Wer den breiteren Kontext der aktuellen Cloud-Trends verstehen will, findet in unserem Überblick zu den Cloud-Trends 2026 weitere Orientierung.

Worauf IT-Teams bei der Anbieterwahl achten müssen

Der DRaaS-Markt in Europa wächst laut MarketsandMarkets mit einer jährlichen Rate von über 20 Prozent. Das Angebot ist entsprechend unübersichtlich. Fünf Kriterien trennen brauchbare Angebote von Marketing-Versprechen:

1. Rechenzentrumsstandort und Datensouveränität: Deutsche oder EU-Rechenzentren sind für DSGVO-regulierte Workloads Pflicht. Nicht jeder US-basierte Anbieter kann das garantieren. Wer hier genaür hinschaün will, findet im Artikel zu Private Cloud und Datensouveränität relevante Hintergründe.

2. Getestete RTO- und RPO-Garantien: Ein SLA auf dem Papier ist wertlos ohne regelmäßige, dokumentierte Failover-Tests. Seriöse Anbieter bieten Non-Disruptive Testing – Failover-Simulationen, die den Produktivbetrieb nicht beeinträchtigen.

3. Netzwerk-Kompatibilität: DRaaS erfordert ausreichend Bandbreite für die kontinuierliche Replikation. Bei asymmetrischen DSL-Anbindungen oder geteilten MPLS-Leitungen kann das zum Engpass werden.

4. Granularität der Wiederherstellung: Kann der Anbieter einzelne VMs, ganze Applikations-Stacks oder nur komplette Umgebungen wiederherstellen? Je granularer, desto flexibler die Reaktion im Ernstfall.

5. Exit-Strategie: Was passiert, wenn der Anbieter aufgekauft wird, die Preise erhöht oder den Dienst einstellt? Daten-Exportfähigkeit und offene Formate sind keine Nebensache.

7-Punkte-Checkliste: DR-Reife in 30 Minuten bewerten

Diese Checkliste ist kein vollständiges Audit, sondern ein Schnelltest. Wer vier oder mehr Punkte mit „Nein“ beantwortet, hat akuten Handlungsbedarf.

1. RTO und RPO definiert: Sind für alle geschäftskritischen Systeme messbare Wiederherstellungsziele festgelegt – nicht als Wunsch, sondern als dokumentierte Anforderung der Fachabteilungen?

2. Workload-Klassifizierung vorhanden: Gibt es eine aktuelle Übersicht, welche Systeme Tier 1 (Minuten), Tier 2 (Stunden) oder Tier 3 (Tage) sind?

3. Letzter DR-Test dokumentiert: Wurde in den letzten 6 Monaten ein vollständiger Failover getestet (nicht nur ein Backup-Restore einzelner Dateien)?

4. Ransomware-Szenario berücksichtigt: Ist der DR-Plan auf Szenarien ausgelegt, in denen auch das Active Directory und die Backup-Infrastruktur kompromittiert sind?

5. Netzwerk-Kapazität geprüft: Reicht die vorhandene Bandbreite für kontinuierliche Replikation der Tier-1-Workloads, ohne den Produktivbetrieb zu beeinträchtigen?

6. Verantwortlichkeiten klar: Weiß jeder im Team, wer im Ernstfall den Failover auslöst, wer kommuniziert und wer die Fachabteilungen koordiniert?

7. Budget realistisch: Decken die aktuellen IT-Budgets die laufenden Kosten einer DR-Lösung – inklusive Tests, Updates und wachsendem Datenvolumen?

Häufige Fragen zu Disaster Recovery as a Service

Was unterscheidet DRaaS von klassischem Backup-as-a-Service?

Backup-as-a-Service sichert Daten und stellt einzelne Dateien oder Datenbanken wieder her. DRaaS geht einen Schritt weiter: Es repliziert komplette Systeme, Netzwerkkonfigurationen und Applikationen und ermöglicht einen vollständigen Failover auf eine Ersatzinfrastruktur. Das Ziel ist nicht die Wiederherstellung einzelner Dateien, sondern die Wiederaufnahme des gesamten Geschäftsbetriebs.

Wie hoch sind die typischen Kosten für DRaaS im Mittelstand?

Die Kosten hängen stark vom Datenvolumen, den gewünschten RPO/RTO-Werten und dem Leistungsumfang ab. Als Richtwert rechnen Analysten mit 2 bis 8 Prozent des gesamten IT-Budgets für eine solide DR-Strategie. Fully-managed DRaaS startet bei kleineren Mittelständlern typischerweise bei 1.500 bis 3.000 Euro monatlich und skaliert mit der Anzahl geschützter Workloads.

Ist DRaaS DSGVO-konform?

Grundsätzlich ja, sofern der Anbieter Daten in EU-Rechenzentren speichert und die Anforderungen an Auftragsverarbeitung (Art. 28 DSGVO) erfüllt. Entscheidend sind der Standort der Replikationsziele, die Verschlüsselung der Daten in Transit und at Rest sowie ein sauberer Auftragsverarbeitungsvertrag (AVV). Unternehmen sollten prüfen, ob der Anbieter Sub-Auftragsverarbeiter in Drittstaaten einsetzt.

Wie oft sollte ein DR-Failover getestet werden?

Mindestens vierteljährlich, idealerweise monatlich für Tier-1-Systeme. Non-Disruptive Tests, die den Produktivbetrieb nicht beeinträchtigen, senken die Hürde erheblich. Jeder Test sollte dokumentiert werden: Was wurde getestet, wie lange daürte die Wiederherstellung, welche Abweichungen vom Plan gab es? Ohne diese Dokumentation ist ein DR-Plan im Ernstfall Glückssache.

Kann DRaaS auch hybride Umgebungen schützen?

Ja. Die meisten etablierten DRaaS-Anbieter (Zerto, Veeam, Commvault) unterstützen hybride Szenarien: On-Premises-Workloads werden in die Cloud repliziert, Cloud-native Workloads zwischen Regionen. Die Herausforderung liegt in der Orchestrierung: Wenn Teile der Infrastruktur lokal und Teile in der Cloud laufen, muss der Failover-Plan beide Welten synchron wiederherstellen.

Weiterführende Lektüre

• FinOps: Wie Unternehmen Cloud-Kosten endlich in den Griff bekommen
• Cloud-Trends 2026: Was IT-Entscheider jetzt auf dem Radar haben müssen
• Private Cloud für KI: Warum regulierte Branchen auf On-Premises setzen

Mehr aus dem MBF Media Netzwerk

• SBOM-Praxischeck: Software-Stückliste bis September 2026 (SecurityToday)
• SAP-Migration 2026: Warum der Mittelstand unter Zugzwang steht (MyBusinessFuture)
• CIO-Agenda 2026: Zwischen Kostendruck und Innovationspflicht (Digital Chiefs)

Quelle Titelbild: Pexels / Christina Morillo