In den meisten kleineren Mittelständlern, die wir bei DATAZONE betreuen, gibt es eine IT-Person — manchmal zwei, oft nur eine. Diese eine Person fährt im Sommer in Urlaub. Gleichzeitig ist die halbe Belegschaft weg, was die operative Last reduziert. Klingt entspannt, ist es meistens auch. Aber: genau in dieser Phase passiert erfahrungsgemäß überproportional viel — Phishing-Wellen mit Reise-Köder, ungeplante Patch-Cycles, Hardware-Defekte, Klima-Ausfälle im Serverraum bei Sommerhitze.
Dieser Artikel ist ein ehrlich-praktischer Ratgeber, kein Marketing-Stück. Er fasst zusammen, was unsere Kunden vor der Urlaubszeit typischerweise abarbeiten sollten — und welche Bereitschaftsmodelle für kleine Teams realistisch sind.
Das Notfall-Playbook — und der Eskalations-Baum
Das Wichtigste vorweg: Wenn die IT-Person weg ist, muss jeder im Unternehmen wissen, wer wann wen anruft. Das ist kein “Document” — das ist eine Postkarte, die im Sekretariat klebt, auf dem Server-Rack hängt und in der Geschäftsführungs-Schublade liegt.
Ein nutzbarer Eskalations-Baum hat drei Stufen:
- Trivial: Drucker druckt nicht, Outlook hängt, Passwort vergessen. Vertretungs-Mitarbeiter im Büro kümmert sich, hat dafür Zugang zum dokumentierten Standardablauf.
- Mittel: Internet weg, Server-Service nicht erreichbar, Backup-Fehlermeldung. DATAZONE oder externer Bereitschafts-Dienstleister wird angerufen — Telefonnummer + Vertrags-Referenz auf der Postkarte.
- Kritisch: Verdacht auf Ransomware, Server-Brand, kompletter Standort-Ausfall. Geschäftsführer + IT-Person (auch im Urlaub) + Externer Dienstleister. Sofort.
Die Regel im Eskalations-Baum: Wer eine Stufe höher eskaliert, hat keine Schuld. Wenn der Vertretungs-Mitarbeiter unsicher ist, ruft er sofort den externen Dienstleister an — nicht erst eine Stunde später, nachdem er versucht hat, das Problem allein zu lösen.
Vertretungs-Briefing — was wirklich übergeben werden muss
Das Vertretungs-Briefing ist nicht “Hier ist die Server-Liste”. Es ist eine Liste der Routine-Tasks, die in der Urlaubszeit zuverlässig erledigt werden müssen — und die Zugriffsmittel, die der Vertreter dafür braucht.
Routine-Tasks, die typischerweise dazugehören:
- Tägliche Sichtkontrolle Backup-Status (welcher Job ist gestern gelaufen, welcher hat gemeckert)
- Wöchentliche Sichtkontrolle Patch-Tuesday-Status (wenn Patches aktiviert)
- Tickets im Helpdesk-System triagieren (auch wenn nur “weiterleiten an externen Dienstleister”)
- Wöchentlicher Status-Report an Geschäftsführung (kurze E-Mail)
Zugang dafür:
- Passwort-Vault-Zugang für die Stellvertretung — als zweiter Vault-User, mit Read-Only-Zugriff auf die “Operational-Routine”-Kategorie. Nicht der Admin-Account, nicht der Master-Vault.
- VPN-Zugang für Notfall-Eskalation (kann aktiviert oder konfiguriert sein, der Vertreter muss aber wissen, wie er ihn benutzt)
- Klare Liste: “Was darfst du, was nicht?” — z.B. “Du darfst Tickets triagieren und externe Dienstleister anrufen. Du darfst keine Server-Änderungen vornehmen, keine Firewall-Regeln ändern, keine Backup-Jobs anpassen.”
Wichtig: Wir empfehlen unseren Kunden, das Vertretungs-Briefing schriftlich zu führen — eine A4-Seite reicht, aber sie liegt im Schreibtisch der Vertretung und ist mit Datum versehen. Mündliche Übergaben sind nach drei Wochen Urlaub eine schlechte Idee.
Alerts duplizieren — nicht nur an die Urlaubs-Adresse
Klassischer Fehler: Monitoring-Mails gehen an it@firma.de, was die Urlaubs-Person als Hauptpostfach hat. Im Urlaub geht das Postfach in Auto-Reply, die Alerts werden nicht gelesen, und nach zwei Wochen ist der Backup-Pool zu 95% voll und niemand hat es gemerkt.
Sinnvolle Setups:
- Verteilerliste statt persönliche Adresse:
it-alerts@firma.demit IT-Person, Stellvertretung und externem Dienstleister - Alert-Routing nach Schweregrad: Kritische Alerts gehen an die IT-Dienstrufnummer (z.B. via Webhook in Slack-Kanal oder per SMS-Gateway), unkritische ins Wochen-Report-Postfach
- Pro-aktive Verifikation vor dem Urlaub: zwei Wochen vor Abreise einen Test-Alert auslösen und prüfen, ob die Stellvertretung wirklich benachrichtigt wird
Bei TrueNAS Halfmoon und neueren OPNsense-Versionen lässt sich das Alert-Routing inzwischen recht granular einstellen — wer noch ältere Setups fährt, sollte das vor der Urlaubszeit prüfen.
Backup-Verifikation vor dem Urlaub
Eine Backup-Strategie ist erst dann wirksam, wenn man weiß, dass der Restore funktioniert. Das ist nicht neu — wir haben dazu einen eigenen Artikel zum Backup-Test-Tag. Aber vor dem Urlaub bekommt das Thema eine zusätzliche Dringlichkeit:
- Letzter erfolgreicher Restore-Test ins Reisegepäck: Vor der Abreise mindestens einen frischen Restore-Test durchführen — eine VM, ein Dataset, ein Dokumenten-Share. Datum und Ergebnis dokumentieren.
- Snapshot-Retention überprüfen: Reicht die aktuelle Retention für die Urlaubszeit aus? Wenn die IT-Person drei Wochen weg ist und ein verschlüsselungsverdächtiger Vorfall am Tag 1 passiert, muss der Snapshot vom Tag 0 noch da sein, wenn jemand das nach Rückkehr aufarbeiten will.
- Offsite-Backup-Verifikation: Stimmt die Replikation zum Offsite-Backup-Ziel? Wann lief der letzte erfolgreiche Sync?
- Air-Gapped / Immutable Layer prüfen: Wenn Immutable Backups im Einsatz sind, jetzt die Immutability-Frist verifizieren — nicht erst nach dem Vorfall.
Ein 30-Minuten-Restore-Test vor dem Urlaub spart im Zweifel das ganze Restorequartal.
Patch-Freeze — ja oder nein?
Das ist die schwierigste Einzelentscheidung. Es gibt zwei Lager:
Pro Patch-Freeze in der Urlaubszeit:
- Wenn ein Patch einen Service zerschießt, ist niemand da, der schnell rollback machen kann
- Vertretung ist nicht qualifiziert für Patch-Troubleshooting
- Mid-Vacation-Outages kosten unverhältnismäßig viel Aufmerksamkeit
Contra Patch-Freeze:
- Sicherheitspatches sind oft zeitkritisch (Exchange, Edge-Devices, OPNsense)
- “Freeze” wird in der Praxis zu “vergessen” — der Patch-Stau im September ist real
- Angreifer machen keinen Urlaub
Pragmatische Linie, die wir Kunden empfehlen:
- Sicherheitspatches mit CVSS ≥ 8 oder bekannten Exploits-in-the-Wild: nie freezen. Wer das nicht zeitnah einspielen kann, lässt es vom externen Dienstleister machen.
- Funktionspatches (Feature-Releases, Major-Updates): ja, in der Urlaubszeit pausieren
- Patch-Tuesday-Routine: nicht komplett aussetzen, aber Bewertung verschärfen — nur was wirklich nötig ist, geht in der Urlaubszeit
Wer Patch-Management an einen Dienstleister abgegeben hat (z.B. via DATAZONE Control), kann den Sommer relaxter angehen — Patch-Sichtung läuft automatisch, Eingriffe nur bei Bedarf.
Phishing-Welle Sommer
Der Sommer hat erkennbare Phishing-Muster. Das ist nichts Geheimes — wir sehen das jedes Jahr und unsere E-Mail-Sicherheits-Maßnahmen sind darauf abgestimmt. Typische Köder:
- “Ihre Buchung wurde storniert / verschoben / verlangt Aktion” — Booking, Airbnb, Lufthansa, Bahn
- “Ihr Paket konnte nicht zugestellt werden” — DHL, Hermes, DPD; Urlaubszeit = viele Lieferungen
- “Reiseversicherung läuft ab” — typisches Phishing-Pattern
- “Geschäftsführer benötigt dringend Überweisung” — CEO-Fraud nutzt Urlaubsabwesenheit aus, weil der Geschäftsführer “schwer erreichbar” ist
- “IT-Support: Passwort läuft heute ab” — Helpdesk-Impersonation, oft mit Logo des echten internen Helpdesks
Vorbereitung:
- Kurzes Phishing-Erinnerungs-Mail an alle vor der Urlaubswelle (eine Seite, drei konkrete Beispiele, ein Telefon-Kontakt für Verdachtsfälle)
- CEO-Fraud-Schutz: feste Regel im Unternehmen, dass Überweisungen über X Euro nie per Mail freigegeben werden — immer Rückruf an die bekannte Festnetznummer
- Helpdesk-Impersonation: interne IT macht niemals Passwort-Resets per Mail-Klicklink — wenn so eine Mail kommt, ist sie Phishing
Bereitschaftsmodelle
Wenn das interne Team klein ist, braucht es ein Bereitschaftsmodell. Drei Optionen, die wir aus Beratungspraxis kennen:
1. Interne Rufbereitschaft
Die IT-Person ist im Urlaub erreichbar — handy-pflichtig, mit definierten Eskalationsregeln. Funktioniert nur, wenn:
- Es klar abgegrenzt ist (z.B. “Anrufe nur bei Stufe 3 des Eskalations-Baums”)
- Es vertraglich/zeitlich kompensiert wird
- Die IT-Person das auch wirklich will — Zwang funktioniert nicht
Realistisch für sehr kleine Setups. Schlecht skalierbar.
2. Externe Bereitschaft (DATAZONE-Bereitschaftsvertrag oder ähnlich)
Externer Dienstleister übernimmt definierten Bereitschaftsumfang während der Urlaubszeit. Vor der Urlaubsphase:
- Inventar-Übergabe (was läuft wo, wer hat welche Verträge)
- Monitoring-Zugang (read-only auf zentrale Systeme)
- Eskalations-Vereinbarung (welcher Vorfall löst welche Reaktion)
Verträge dazu gibt es in vielen Ausprägungen — von einer 8x5-Standard-Geschäftszeit-Bereitschaft bis zur 24/7-Rufbereitschaft. Für die meisten KMU reicht 8x5 plus on-call für kritische Vorfälle.
3. Hybrid: Vertretung intern + externer Dienstleister als Backup
Die häufigste Lösung in unserer Beratungspraxis. Routine-Tasks macht die interne Vertretung, alles über Stufe-2-Eskalation hinaus geht an den externen Dienstleister. Vorteile:
- Interne Mitarbeiter bauen IT-Verständnis auf (gut für Bus-Faktor)
- Externer Dienstleister wird nur bei echten Vorfällen geweckt (bezahlbar)
- Vertretung weiß, wann sie nicht weitermachen soll (klare Eskalation)
Checkliste vor dem Urlaub
Eine pragmatische 30-Minuten-Checkliste, die jeder IT-Verantwortliche vor dem Urlaub abarbeiten sollte:
- Notfall-Postkarte mit Eskalations-Baum hängt sichtbar (Sekretariat, Serverraum, GF-Büro)
- Vertretungs-Briefing schriftlich, mit Datum, unterschrieben übergeben
- Passwort-Vault-Zugang Stellvertretung verifiziert
- Monitoring-Alerts auf Verteilerliste mit mindestens zwei Empfängern
- Test-Alert ausgelöst und Empfang bestätigt
- Letzter Restore-Test dokumentiert und erfolgreich
- Snapshot-Retention reicht für Urlaubsdauer + Puffer
- Patch-Freeze-Strategie definiert und kommuniziert
- Phishing-Erinnerungs-Mail an Belegschaft raus
- CEO-Fraud-Schutzregel an Buchhaltung erinnert
- Externer Bereitschaftsdienst aktiv und informiert
- Urlaubs-Erreichbarkeit definiert (Handy ja/nein, welche Stufen)
DATAZONE-Empfehlung
Die Urlaubszeit ist keine Bedrohung — sie ist eine planbare Phase mit erhöhtem Risikoprofil. Wer drei bis vier Wochen vor Abreise die obigen Punkte abarbeitet, fährt mit einem ruhigen Gewissen.
Wir bei DATAZONE bieten Bereitschaftsmodelle in unterschiedlichen Ausprägungen an — von der reinen “Wir sind erreichbar, wenn ihr nicht weiterkommt”-Bereitschaft bis zur aktiven Monitoring-Übernahme. Für die meisten KMU ist die hybride Lösung (interne Vertretung + externe Eskalation) der beste Kompromiss aus Kosten, Verständnis und Wirksamkeit.
Vor allem aber: Lassen Sie die Urlaubszeit nicht zur Eskalation werden. Eine schlechte Vorbereitung am Abreisetag bedeutet eine schlechte Erholung — und im Zweifel einen Anruf vom Strand, den niemand will.
Quellen und weiterführende Artikel
- Backup-Test-Tag: Restore in 30 Minuten — wie ein vernünftiger Restore-Test aussieht
- IT-Sicherheit Checkliste für KMU — Grundlagen-Hygiene, die das ganze Jahr läuft
- Disaster Recovery für KMU — DR-Planung mit RTO/RPO
- Immutable Backups gegen Ransomware — WORM-Schutz im Sommer
- E-Mail-Sicherheit SPF/DKIM/DMARC — Phishing-Schutz auf Mail-Ebene
- DATAZONE Control: Monitoring + Patch Management — automatisierte Routine-Übernahme
Wer für die kommende Urlaubsphase noch Bereitschaft braucht: gerne Kontakt aufnehmen — wir besprechen den Umfang ohne langen Vertrieb.
Weitere Artikel
Linux-Server-Härtung: 15-Minuten-Checkliste
Zehn konkrete Härtungsschritte für einen frisch installierten Debian-, Ubuntu- oder Rocky-Linux-Server — SSH, Updates, Firewall, Auditing, Sudo, Limits, Services, NTP, Logging, Kernel-Sysctl. Mit Befehlen, in Viertelstunde umsetzbar.
Cyberversicherung 2026: Was Versicherer von KMU fordern
Versicherer verlangen 2026 immer detailliertere Mindeststandards — MFA überall, dokumentiertes Patch-Management, EDR, Immutable-Backups, Schulungen, Incident-Response-Plan, Segmentierung. Was im Fragebogen vor Abschluss steht und worauf im Schadensfall geprüft wird.
Backup-Verschlüsselung: Schlüsselverwaltung richtig
Verschlüsselte Backups sind nutzlos, wenn die Schlüsselverwaltung nicht stimmt. Symmetrisch vs. asymmetrisch, Tresor-Optionen, Rotation, Recovery-Szenarien und die Tool-Praxis bei PBS, Restic und TrueNAS.