Was hat den Wechsel ausgelöst?
Der Versorger nutzte Microsoft 365 mit OneDrive für Office-Workloads und SAP für ERP. Office-Daten — inklusive technischer Dokumente und Kundendaten — lagen verteilt auf Microsoft-Servern weltweit.
Mit der NIS2-Erweiterung des Anwendungsbereichs zeichnete sich ab, dass der Versorger ab 2026 als „wesentliche Einrichtung” eingestuft werden würde. Datensouveränität war damit nicht mehr nice-to-have, sondern regulatorisch begründet.
Die Backup-Strategie war auf den Microsoft-365-Eigenschutz angewiesen — kein 3rd-Party-Tool, keine Immutable-Schicht, keine eigenständige Wiederherstellbarkeit. Nach einem Ransomware-Vorfall in einem Nachbar-Stadtwerk wurde das im Vorstand zum Top-Risiko.
Sichtbarkeit auf Sicherheitsereignisse: praktisch null. Kein zentrales Logging, kein SIEM, kein Alerting auf Auffälligkeiten.
Was wurde verworfen, was gewählt — und warum?
Verworfene Alternativen
- Microsoft 365 weiterausbauen mit Sentinel-SIEM — verschiebt das Datensouveränitäts-Problem nur nach hinten
- Reine On-Premise-Lösung mit Exchange-Server — Mobile-/Mitarbeiter-UX nicht konkurrenzfähig zu modernen SaaS-Lösungen
- Pure-Cloud bei deutschem Anbieter — kostentechnisch in der gewünschten Größenordnung nicht darstellbar
Gewählte Architektur
- Hybrid-Modell: Nextcloud + Collabora Online auf eigener Infrastruktur für Office, Stalwart-Mailserver für E-Mail mit Active-Sync-Konnektoren für Mobile.
- Backup-Redesign: Veeam Backup for Microsoft 365 für die Übergangsphase, danach Proxmox Backup Server für die migrierten Workloads. Immutable-Schicht mit S3 Object Lock auf eigenem MinIO-Cluster.
- SIEM-Einführung: Wazuh-Cluster mit 80 Endpunkten plus Netzwerk-Sensor an den zentralen OPNsense-Übergängen. Eigenes Detection-Pack für KRITIS-Themen.
- Schulungsprogramm: 80 Mitarbeiter über 6 Wochen, gestaffelt nach Abteilungen, mit echten Use-Case-Schulungen statt generischer Klick-Anleitungen.
Wie ist es gelaufen?
Was hat sich verändert?
| Kennzahl | Vorher | Nachher |
|---|---|---|
| Datenstandort Office-Workloads | Microsoft-Cloud weltweit | 100 % DE-Rechenzentrum |
| Backup-RPO Office-Inhalte | 24 h | 4 h |
| Backup-RTO einzelne Datei | Stunden bis Tage (M365-Restore) | < 5 min (Nextcloud Versions) |
| Immutable-Backup | nicht vorhanden | S3 Object Lock 30 Tage Retention |
| SIEM-Sichtbarkeit | nichts | 47 mittel- und 12 hochschwere Alerts in 6 Monaten — alle bearbeitet |
| NIS2-Maßnahmenumsetzung | 0 % (kein Konzept) | 70 % umgesetzt, dokumentiert für BSI-Registrierung |
| Mitarbeiter-Akzeptanz Nextcloud (interne Umfrage Monat 4) | — | 78 % „equivalent oder besser” |
Was wir das nächste Mal anders machen würden
- Mitarbeiter-Schulung war unterschätzt. Migrations-Wechsel von einem ausgereiften SaaS-Tool zu einer eigenen Plattform ist 60 % Change-Management und 40 % Technik. Die ersten zwei Wellen liefen mit zu wenig Schulungstiefe — Akzeptanz erst ab Welle 3 stabil.
- Mobile-E-Mail-Synchronisation mit ActiveSync auf Stalwart brauchte länger als geplant. Wir haben ein Custom-Plugin für die korrekte Behandlung von Outlook-spezifischen Sondertypen (Gruppen, Verteilerlisten) geschrieben.
- SIEM-Auswertung als positiver Nebeneffekt für die NIS2-Doku. Was als Sicherheits-Investment gestartet wurde, hat den Audit-Pfad für die kommende BSI-Registrierung deutlich vereinfacht.
- Parallel-Betrieb mindestens 3 Monate. Der Vorstand wollte den Cutover schneller — wir haben die längere Übergangsphase durchgesetzt. Die zwei kritischen Findings (siehe ActiveSync) wären in einem zwei-Wochen-Cutover nicht entdeckt worden.
Ähnliches Vorhaben? 30 Minuten reichen für ein erstes Bild.
Wir hören zu, stellen die richtigen Fragen und sagen ehrlich, ob wir der passende Partner sind. Kostenfrei, unverbindlich.