Mittelständler sollten ihre Speicherstrategie überdenken

Immer mehr mittelständische Unternehmen lagern ihre Daten in die Cloud aus. Mit dieser wachsenden Abhängigkeit von Daten und Cloud-Infrastrukturen kommt eine neue Schwachstelle ans Licht: die steigenden, oft versteckten Kosten für Datenspeicherung und Wiederherstellung.

Während große Konzerne eigene Cloud-Spezialisten beschäftigen, zahlen viele Mittelständler drauf. Nicht wegen technischer Fehler, sondern wegen eines Systems, das sie bestraft, wenn sie Sicherheit ernst nehmen. Aktuelle Daten von Wasabi Technologies zeigen, dass Cloud-Speicher längst nicht mehr nur eine Frage von Terabytes sind. In einer typischen AWS-Rechnung entfielen im März 2025 über 41 Prozent der Gesamtkosten allein auf API- und Abrufgebühren. Das sind mehr als 4.000 US-Dollar bei 9.758 US-Dollar Monatskosten für 250 Terabyte Daten. Nicht die Datenspeicherung kostet, sondern der Zugriff auf die eigenen Daten. So geben 66 Prozent der deutschen Unternehmen an, dass ihre Cloud-Rechnungen im vergangenen Jahr höher waren, als budgetiert.

Wer Backups regelmäßig testen oder Daten aus Compliance-Gründen überprüfen möchte, zahlt jedes Mal drauf. Für den Mittelstand, der seine IT-Budgets meist jahresweise plant und selten über dedizierte Cloud-Finanzcontrolling-Teams verfügt, ist das ein strukturelles Risiko. In vielen Unternehmen führen steigende Kosten dazu, dass Backups und Tests seltener durchgeführt werden und auf Cold-Storage-Modelle ausgewichen wird. Doch das rächt sich, wenn Systeme ausfallen oder Ransomware-Angriffe die Primärdaten verschlüsseln.

Durch falsche Speicherentscheidungen entstehen Kostenfallen

Große Anbieter bewerben Cloud-Speicher mit günstigen Basispreisen pro Terabyte, doch dieser Preis deckt nur den kleinsten Teil der Gesamtkosten. Zusätzliche Gebühren entstehen bei jeder Aktion: beim Abrufen (Get), Kopieren (Copy), Hochladen (Put) oder bei der Überprüfung von Sicherungen (List). Eine handelsübliche Backup-Software kann monatlich Millionen solcher Anfragen erzeugen, allein um Datenintegrität zu kontrollieren. Was nach Kleinstbeträgen klingt, summiert sich in der Praxis zu fünfstelligen Beträgen pro Jahr.

Besonders betroffen sind Branchen mit strengen Aufbewahrungs- und Nachweispflichten: etwa Medizintechnik, Finanzdienstleister oder Maschinenbauer, die regelmäßig die Wiederherstellbarkeit ihrer Daten prüfen müssen. Wenn Zusatzkosten dazu führen, dass Tests seltener durchgeführt werden, untergräbt das die Cyberresilienz und erhöht gleichzeitig das Risiko regulatorischer Verstöße. Wer an der falschen Stelle spart, zahlt doppelt: erst für Cloud-Gebühren, dann für Ausfallzeiten oder Strafen.

Mit der Umsetzung der europäischen NIS-2-Richtlinie in Deutschland und dem Inkrafttreten des Digital Operational Resilience Act (DORA) verschärfen sich die Anforderungen an IT-Sicherheit und Datenwiderstandsfähigkeit deutlich. Während DORA seit Anfang 2025 bereits unmittelbar für Banken, Versicherer und andere Finanzunternehmen gilt, befindet sich das NIS-2-Umsetzungsgesetz in Deutschland im parlamentarischen Verfahren. Es wird die Pflichten zur Cyberresilienz erstmals branchenübergreifend auch auf mittelständische Unternehmen ausweiten, die als wichtige Einrichtungen gelten. Ergänzend bleiben die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) und die Datenschutz-Grundverordnung (DSGVO) zentrale Rahmenwerke für Datenintegrität und Aufbewahrungspflichten. Die GoBD verlangen eine nachvollziehbare, vollständige und unveränderbare Archivierung geschäftsrelevanter Daten sowie technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.

Unveränderliche Speicherlösungen nach dem Prinzip "Write once, read many" bilden die Grundlage, um diese Pflichten zu erfüllen. Nur wenn Daten während ihrer Aufbewahrungsfrist nicht gelöscht oder überschrieben werden können, sind sie rechtlich belastbar und technisch zuverlässig. Gleichzeitig wird diese technische Grundlage zu einem zentralen Instrument für Compliance und Nachweisführung. Automatisierte Wiederherstellungstests dokumentieren zusätzlich, dass Sicherungen tatsächlich funktionieren. Bei Audits oder Datenschutzprüfungen wird dieser Nachweis immer stärker gefordert.

Im Mittelstand klafft jedoch oft eine Lücke zwischen Anspruch und Umsetzung. Viele Unternehmen arbeiten noch mit lokalen Sicherungen oder sogenannten kalten Cloud-Archiven, deren Wiederherstellung Stunden oder Tage dauert. Im Krisenfall kann eine so lange Ausfallzeit Produktionsstopps, Vertragsverletzungen oder Datenverlust bedeuten. Hier zeigt sich die Schnittstelle zwischen Resilienz und Compliance: Wer technische Wiederanlaufzeiten verkürzt, erfüllt zugleich regulatorische Vorgaben zu Geschäftskontinuität und Nachvollziehbarkeit.

Die regulatorischen Anforderungen an Datenhaltung steigen kontinuierlich. Unternehmen müssen Prüfpfade nachweisen, Datenaufbewahrung garantieren und sicherstellen, dass keine unautorisierten Änderungen erfolgen. Widerstandsfähiger Speicher wird dadurch zum Bindeglied zwischen technischer Sicherheit und rechtlicher Verantwortung. Unveränderliche Backups schaffen manipulationssichere Nachweise für Prüfbehörden. Auditfähige Aufzeichnungen reduzieren den Aufwand bei internen und externen Kontrollen erheblich. Automatisierte Wiederherstellungstests belegen, dass Geschäftsprozesse auch nach einem Zwischenfall aufrechterhalten werden können.

Unveränderliche und nachvollziehbare Aufzeichnungen erleichtern die Berichterstattung gegenüber Aufsichtsbehörden und minimieren das Risiko von Sanktionen. Damit wird Datenspeicherung vom Kostenfaktor zu einem Element aktiver Governance. Unternehmen, die frühzeitig auf resiliente Speicherarchitekturen setzen, erfüllen nicht nur gesetzliche Anforderungen effizient, sondern erhöhen auch ihre operative Stabilität – Resilienz und Compliance greifen hier ineinander und stärken sich gegenseitig.

Unternehmen brauchen vor allem Planungssicherheit

Mittelständische Unternehmen stehen zwischen zwei Extremen: zu komplex für einfache Consumer-Lösungen, zu klein, um eigene Cloud-Ökosysteme zu betreiben. Viele Betriebe benutzen bereits Cloud-Services, doch nur wenige verfügen über eine langfristige Speicherstrategie. Cyberresilienz, Kostenkontrolle und Compliance müssen sich nicht ausschließen. Gebührenfreie und Flatrate-basierte Speicherangebote ermöglichen regelmäßige Backups und Wiederherstellungstests, ohne Budgets zu überlasten. Für viele Mittelständler bedeutet das erstmals Planungssicherheit. Gerade in Branchen mit engen Margen und wachsendem Digitalisierungsdruck ist diese Kombination aus Wirtschaftlichkeit und Rechtssicherheit entscheidend.

Darüber hinaus sind mittelständische Betriebe besonders gefährdet, Opfer von Ransomware-Attacken zu werden, weil sie oft weniger Ressourcen für Sicherheitsüberwachung besitzen. Die sogenannte 3-2-1-1-0-Regel ist dabei entscheidend. Sie besagt, dass drei Kopien auf zwei Medientypen erstellt werden sollten: eine außerhalb des Standorts, eine unveränderlich und null Fehler bei der Wiederherstellung. Dieses Konzept stärkt nicht nur die technische Sicherheit, sondern schützt die wirtschaftliche Existenz, indem Produktionsstillstände oder Datenverluste vermieden werden.

Wie Unternehmen ihre Daten sichern, wird zunehmend zur Frage der Unternehmensführung. Für viele Mittelständler hängt davon ab, ob sie nach einem Angriff in Stunden oder in Tagen wieder arbeitsfähig sind. Cloud-Speicher ist damit nicht nur eine technische, sondern eine betriebswirtschaftliche Entscheidung: Er beeinflusst, wie stabil Produktionsprozesse laufen, wie zuverlässig Kundendaten verfügbar sind und wie gut sich rechtliche Anforderungen erfüllen lassen.

Wer seine Speicherstrategie an klaren Regeln für Sicherheit, Transparenz und Nachvollziehbarkeit ausrichtet, schützt nicht nur Daten, sondern sichert auch die Handlungsfähigkeit des Unternehmens. Die vermeintliche Kostenfalle "Cloud" kann so zum Baustein einer nachhaltigen und überprüfbaren digitalen Infrastruktur werden. Die Voraussetzung dafür ist, dass der Speicher nicht als nachgelagerte IT-Aufgabe verstanden wird, sondern als strategisches Werkzeug.