Microsoft 365 Maakt Geen Backup van Jouw Data — Ransomware Bewijst Het
- 15 april, 2026
- 1:00 pm
Een medewerker van de financiële afdeling opent een bijlage op maandagochtend. Tegen de middag zijn bestanden in SharePoint, Teams en Exchange versleuteld of verwijderd. De IT-afdeling belt Microsoft Support in de verwachting dat alles snel wordt teruggezet. Wat ze terugkrijgen, is een pijnlijke les in wat Microsoft 365 eigenlijk garandeert.
Microsoft 365 is een platform met hoge beschikbaarheid — maar beschikbaarheid is niet hetzelfde als backup. Microsoft beschermt zijn eigen infrastructuur tegen storingen. Jouw data, en wat gebruikers of aanvallers daarmee doen, valt buiten die verantwoordelijkheid. Dit onderscheid heeft vergaande consequenties als ransomware of een gecompromitteerd beheerdersaccount jouw data heeft aangetast of verwijderd.
De verwarring is breed. IT-beheerders op fora als r/sysadmin stellen regelmatig de vraag: “heb ik wel een externe backup nodig voor Microsoft 365?” In een ransomware-scenario is het antwoord vrijwel altijd: ja, en je had het al nodig vóór het incident.
Key Takeaways
• De ingebouwde tools van Microsoft 365 zijn beschikbaarheidsfuncties, geen backups — retentiebeleid, versiebeheer en de prullenbak hebben harde limieten die aanvallers kunnen uitputten of omzeilen.
• Ransomware gericht op Microsoft 365 is een groeiende en gedocumenteerde dreiging — volgens het Hornetsecurity Ransomware Impact Report 2025 had 24% van de organisaties in 2025 te maken met een ransomware-aanval, tegenover 18,6% in 2024.
• Externe backupoplossingen bieden de enige betrouwbare weg naar volledig, punt-in-tijdherstel — zeker voor organisaties die moeten voldoen aan NIS2 of ISO 27001.
Wat Beschermt Microsoft Eigenlijk in een 365-tenant?
Microsoft werkt op basis van het Shared Responsibility Model. In SaaS-omgevingen zoals Microsoft 365 is Microsoft verantwoordelijk voor uptime, datacentrumweerbaarheid en infrastructuurbeveiliging. Jouw organisatie blijft verantwoordelijk voor de data zelf — inclusief bescherming tegen verwijdering, versleuteling of beschadiging door gebruikers, beheerders of aanvallers.
Zoals de eigen Shared Responsibility-documentatie van Microsoft duidelijk stelt: in SaaS-omgevingen blijf je als organisatie altijd verantwoordelijk voor je eigen data en identiteiten. De rol van Microsoft is de infrastructuur draaiend houden — niet beschermen wat gebruikers of aanvallers met jouw data doen.
Wat Microsoft van huis uit biedt:
• Prullenbak: Verwijderde items worden 93 dagen bewaard (SharePoint, OneDrive). Daarna zijn ze definitief weg.
• Versiebeheer: Tot 500 versies per bestand in SharePoint. Ransomware die bestanden overschrijft met versleutelde versies, put deze slots snel uit.
• Litigation Hold / Retentiebeleid: Bedoeld voor compliancedoeleinden, niet voor operationeel herstel. Een specifieke bestandsversie terugzetten vanuit een hold is complex en vereist vaak externe tooling.
• Microsoft 365 Backup (preview): Een nieuwere Microsoft-functie voor punt-in-tijdherstel van OneDrive, SharePoint en Exchange — maar beperkt in scope, afhankelijk van licenties en voor de meeste organisaties nog niet voldoende als zelfstandige backupstrategie.
De praktische consequentie: als ransomware toeslaat en versleuteling of verwijdering meer dan een paar uur actief is, kunnen native tools al onvoldoende zijn voor een schoon herstelpunt.
Hoe Richt Ransomware Zich Specifiek op Microsoft 365?
Moderne ransomwaregroepen versleutelen niet alleen lokale schijven. Veel campagnes richten zich tegenwoordig expliciet op cloudomgevingen. Volgens het Microsoft Digital Defense Report 2025, was meer dan 52% van de cyberaanvallen met bekende motieven gericht op afpersing of ransomware. Hetzelfde rapport registreerde een stijging van 275% in door mensen uitgevoerde ransomware-aanvallen op Microsoft-klanten tussen juli 2023 en juni 2024. Dat zijn geen abstracte cijfers — ze beschrijven de omgeving waarin Microsoft 365-tenants dagelijks opereren.
Veelvoorkomende aanvalsvectoren:
• Gecompromitteerde accounts via phishing: Een aanvaller krijgt toegang tot een beheerdersaccount en begint bestanden te verwijderen, versiegeschiedenissen te corrumperen of data te exfiltreren voordat de versleuteling start. Volgens hetzelfde Microsoft-rapport werd 28% van de inbreuken geïnitieerd via phishing of social engineering.
• Misbruik van OAuth-applicaties: Kwaadaardige derde-partij-apps die toegang krijgen tot een tenant kunnen gedurende langere tijd onzichtbaar data manipuleren of stelen.
• Overname van het globale beheerdersaccount: Een gecompromitteerde global admin kan auditlogboeken uitschakelen, retentiebeleid verwijderen en prullenbakken legen voordat iemand het merkt.
Een cruciaal punt dat vaak over het hoofd wordt gezien: bij een ransomware-aanval op Microsoft 365 hangt de hersteltijd direct samen met het bestaan van een onafhankelijke, onveranderlijke backup. Zonder die backup betekent “herstel” vrijwel altijd: puzzelen met de fragmenten die native tools kunnen oppervlakken.
Welke Hersteloptie Bestaat er Echt na een Microsoft 365-incident?
Optie 1: Native Microsoft-tools
Microsoft biedt meerdere ingebouwde herstelpaden:
a. Navigeer naar het SharePoint-beheercentrum en gebruik de prullenbak voor verwijderde site-inhoud.
b. Gebruik de functie “OneDrive herstellen” om terug te gaan naar een punt tot 30 dagen geleden (voor OneDrive for Business).
c. Gebruik versiebeheer per bestand om individuele documenten te herstellen.
d. Gebruik voor Exchange de map Herstelbare items om verwijderde e-mails binnen het retentievenster te openen.
Beperking: Deze tools werken bij accidentele verwijdering binnen korte tijdsvensters. Ze zijn niet ontworpen voor tenant-breed herstel na ransomware en bieden geen dekking voor configuratie-instellingen, rechtenstructuren of Teams-metadata.
Optie 2: Microsoft 365 Backup (Microsofts eigen oplossing)
Microsoft bracht Microsoft 365 Backup uit als premium-add-on. Het ondersteunt:
• Herstellen van SharePoint-sites
• Herstellen van OneDrive-accounts
• Herstellen van Exchange-mailboxen
Herstelvensters zijn instelbaar tot 180 dagen. De oplossing dekt echter niet alle Microsoft 365-workloads, vereist extra licenties en is nog niet in alle regio’s of planvarianten beschikbaar.
Optie 3: Externe backupoplossingen
Externe oplossingen — zoals die geïntegreerd in een Microsoft Cloud Backupstrategie — bieden de breedste herstelmogelijkheden. Belangrijkste voordelen:
• Tenant-brede backup van Exchange, SharePoint, OneDrive, Teams en soms Azure AD / Entra ID
• Onveranderlijke opslag, waardoor aanvallers de backupdata niet kunnen verwijderen, zelfs niet met global admin-toegang
• Granulaire hersteloptie (individuele e-mails, bestanden of volledige sites)
• Air-gapped of offsite kopieën die ransomware niet kan bereiken
Voor organisaties die vallen onder NIS2 of ISO 27001 moet Disaster Recovery planning Microsoft 365-data expliciet omvatten. Een externe oplossing is doorgaans de enige manier om gedocumenteerd, testbaar en reproduceerbaar herstel na een ransomware-aanval aan te tonen.
Hoe Test je een Herstelplan voor Microsoft 365?
Een backup hebben is niet hetzelfde als een getest herstelplan hebben. Het Hornetsecurity Ransomware Impact Report 2025 laat zien dat hoewel 82% van de onderzochte organisaties een Disaster Recovery Plan heeft, slechts 62% gebruik maakt van onveranderlijke backups — en minder dan een derde gelooft snel te kunnen herstellen van zelfs een kleine aanval. De kloof tussen een plan op papier en een werkend plan is significant.
Een praktische testaanpak voor Microsoft 365-herstelvermogen na ransomware:
• Definieer je RTO en RPO: Hoe lang kan de organisatie functioneren zonder e-mail? Zonder SharePoint? Stel realistische doelen.
• Maak een testtenant of sandbox-omgeving: Herstel naar een geïsoleerde locatie om live data niet te overschrijven.
• Simuleer een incident: Verwijder een map, corrumpeer een set bestanden en probeer te herstellen met alleen de beschikbare tools.
• Documenteer de hiaten: Wat kon niet worden hersteld? Wat duurde langer dan verwacht? Pas je incidentresponsplan aan.
• Herhaal per kwartaal: Omgevingen veranderen. Nieuwe Teams-kanalen, nieuwe SharePoint-sites, nieuwe werkprocessen — al deze elementen vereisen backupdekking.
Organisaties die gebruikmaken van Ransomware Protection diensten moeten ervoor zorgen dat Microsoft 365 expliciet in scope is — en niet als vanzelfsprekend veilig wordt beschouwd omdat het op Microsoft-infrastructuur draait.
Wat Verandert er onder NIS2 voor Microsoft 365-backupverplichtingen?
De NIS2-richtlijn, die per oktober 2024 afdwingbaar werd in EU-lidstaten, verplicht aanbieders van essentiële en belangrijke diensten om passende technische en organisatorische maatregelen te treffen voor bedrijfscontinuïteit. Dit omvat:
• Backupbeheer en disaster recovery
• Beveiliging van de toeleveringsketen (inclusief cloudleveranciers)
• Incidentrespons en meldverplichtingen
Microsoft is een cloudleverancier — geen hersteldienst voor jouw data. Onder NIS2 blijft jouw organisatie verantwoordelijk voor het onderhouden van herstelbare kopieën van data die verwerkt wordt in Microsoft 365. Auditors en bevoegde autoriteiten zullen documentatie verwachten van backupbeleid, hersteltests en RTO/RPO-verplichtingen.
Voor organisaties die een Data Security strategie bouwen die Microsoft 365 omvat, is de vraag niet meer “hebben we backup nodig?” maar “kunnen we aantonen dat we getest herstelbaar zijn?”
Conclusie
Microsoft 365 is ontworpen voor productiviteit en beschikbaarheid — niet voor herstel na een ransomware-aanval. Native tools zoals versiebeheer en de prullenbak bieden beperkte bescherming die vastberaden aanvallers kunnen omzeilen of uitputten. Met ransomware die in 2025 al 24% van de organisaties trof en aanvalsvolumes die blijven stijgen, is de aanname dat Microsoft de backup regelt een risico dat organisaties zich niet meer kunnen veroorloven. Een eigen backupstrategie, externe tooling en regelmatige hersteltests zijn de enige betrouwbare manier om een gecompromitteerde Microsoft 365-tenant te herstellen én te voldoen aan de toenemende regelgevingseisen onder NIS2.
Veelgestelde vragen
Kan Microsoft mijn Microsoft 365-data herstellen na een ransomware-aanval? +
Nee, niet op de manier die de meeste organisaties verwachten. Het supportteam van Microsoft kan helpen bij het gebruik van native tools, maar beheert geen organisatiespecifieke backups. Als native herstelfuncties — zoals de prullenbak, versiebeheer of Litigation Hold — geen schone data kunnen aanleveren, kan Microsoft geen volledige restore uitvoeren. Voor uitgebreid tenantherstel na ransomware hebben organisaties een eigen backupoplossing nodig.
Beschermt versiebeheer in Microsoft 365 tegen ransomware? +
Niet betrouwbaar. Versiebeheer bewaart eerdere bestandsversies, maar ransomware die bestanden herhaaldelijk overschrijft, kan de versievensters snel uitputten. Als versleuteling door 500 versies van een bestand heen loopt, zijn de schone eerdere versies verloren. Bovendien dekt versiebeheer geen metadata, rechtenstructuren, Teams-configuraties of gedeelde mailboxen op een manier die tenant-breed herstel ondersteunt.
Is Microsoft 365 Backup voldoende als zelfstandige backupoplossing? +
Voor de meeste organisaties niet. Microsoft 365 Backup is een nuttige aanvulling op de native toolset, maar heeft beperkingen in workloaddekking, vereist extra licenties en is mogelijk niet beschikbaar in alle regio’s of plantypes. Het biedt ook geen onveranderlijke, offsite opslag — wat belangrijk is wanneer aanvallers global admin-toegang hebben. De meeste organisaties met gedocumenteerde herstelvereisten hebben een externe oplossing nodig, naast of in plaats van Microsoft 365 Backup.