RTO vs. RPO: Was ist der Unterschied und wie werden sie verwendet?

In den Bereichen Business Continuity und IT Disaster Recovery werden die Begriffe RTO und RPO häufig in Gesprächen über Wiederherstellungsanforderungen verwendet.

Obwohl die Begriffe eng miteinander verwandt sind, haben sie unterschiedliche Bedeutungen und Verwendungen.

In diesem Blog werden RTOs und RPOs definiert und es wird näher darauf eingegangen, wie diese Begriffe in Business Continuity- und IT-Disaster Recovery-Programmen verwendet werden.

Was bedeutet Recovery Time Objective (RTO)?

Gemäß der ISO 22300:2021ist ein Wiederherstellungszeitziel (Recovery Time Objective, RTO) die „Zeitspanne nach einem Vorfall, innerhalb derer ein Produkt oder eine Dienstleistung oder eine Aktivität wiederaufgenommen oder Ressourcen wiederhergestellt werden“.

In Gesprächen über Business Continuity und operative Ausfallsicherheit definiert RTO einen bestimmten Zeitraum und wird im Allgemeinen als eine bestimmte Anzahl von Stunden, Tagen, Wochen usw. angegeben.

Vereinfacht ausgedrückt, beginnt bei einer RTO die Uhr zu ticken, um die Zeitspanne zu markieren, in der Ihr Unternehmen eine Ausfallzeit überstehen und unter Wahrung der Kontinuität zum normalen Betrieb zurückkehren kann. Sie können den Begriff RTO sowohl für Geschäftsfunktionen als auch für Ressourcen verwenden. Dies ist wichtig zu wissen, denn dies ist nicht dasselbe wie bei RPO.

Die RTOs variieren von Unternehmen zu Unternehmen, aber hier sind einige der Faktoren, die Ihre RTO beeinflussen können:

Wie viel Umsatz Ihr Unternehmen für jede Stunde Ausfallzeit verliert

Wie viel Verlust kann Ihr Unternehmen verkraften?

Erforderliche Ressourcen für die Wiederherstellung des normalen Betriebs

Kundentoleranz für Ausfallzeiten

Wenn es um Business Continuity geht, können Ihre Ressourcen eine Reihe von Kategorien umfassen, darunter Anwendungen, Anbieter, Einrichtungen, Mitarbeiter und Geräte. Jede Ressource kann eine eigene RTO haben, die den Zeitraum angibt, in dem eine bestimmte Ressource nach einer Unterbrechung den Betrieb wieder aufnehmen sollte.

Nach Angaben der Federal Emergency Management Agency (FEMA ) öffnen etwa 25 % der Unternehmen nach Katastrophen nicht wieder. Und einem anderen Bericht zufolge kennen etwa 16 % der Führungskräfte kleiner und mittlerer Unternehmen (KMU) die RTOs ihrer Organisation nicht. Ein weiteres Viertel gibt an, dass sie im Falle einer Katastrophe glauben, ihre Daten innerhalb von 10 Minuten oder weniger wiederherstellen zu können, wobei fast 30 % sagen, dass dies in weniger als einer Stunde möglich ist.

Leider ist es nicht ganz einfach, RTOs zu konzipieren und zu identifizieren. Deshalb ist es wichtig, sich den Umfang der RTOs genauer anzusehen, um sicherzustellen, dass Sie stets angemessene RTO-Zeitrahmen für Ihre Ressourcen festlegen – vor allem für diejenigen, die für Ihren Kernbetrieb am wichtigsten sind.

Die Realität ist, dass eine RTO von vielen Faktoren abhängt und in manchen Fällen von Stunden bis zu Wochen/Monaten reichen kann. Um angemessene RTOs für Ihre Geschäftsfunktionen zu ermitteln, sollten Sie die Auswirkungen von Ausfallzeiten berücksichtigen, einschließlich der verschiedenen Arten von Auswirkungen, wie z.B. finanzielle, rechtliche, betriebliche und reputationsbezogene.

Wie erkennen Sie eine RTO?

Um eine RTO zu identifizieren, sollten Sie sich diese beiden Fragen stellen:

Zu welchem Zeitpunkt nach einer Störung würde mein Unternehmen signifikante, negative Auswirkungen erfahren?

Wie würden diese Auswirkungen aussehen?

Die Antworten auf diese Fragen können dabei helfen, die „erheblichen, negativen Auswirkungen“ mit der Risikobereitschaft Ihres Unternehmens in Einklang zu bringen.

Wenn Ihr Führungsteam eine bestimmte Risikotoleranz akzeptiert, sollten Ihre RTOs mit diesen Toleranzwerten übereinstimmen.

Zur weiteren Identifizierung von Ressourcen-RTOs können Sie Ihre Ressourcen auf die Geschäftsfunktionen abstimmen, die sie unterstützen.

Stellen Sie sich das folgendermaßen vor: Wenn eine Geschäftsfunktion für eine bestimmte Zeit ausfallen kann, können auch die Ressourcen, die für die Ausführung dieser Funktion erforderlich sind, für diese Zeit ausfallen. (Natürlich gibt es immer Ausnahmen, wie z.B. Informationssicherheitstools, die immer laufen sollten).

Sie sollten auch alle manuellen Umgehungsmöglichkeiten berücksichtigen, die Ihr Team nutzen kann. Wenn es praktikable manuelle Umgehungsmöglichkeiten gibt, kann die Ressource selbst eine längere RTO haben, da sich die Ausfallzeit nicht so stark auf die betriebliche Ausfallsicherheit auswirken würde.

Was sind einige RTO-Beispiele?

RTOs variieren von Unternehmen zu Unternehmen. Hier sind jedoch einige RTO-Beispiele. Wie würden diese RTOs für Ihr Unternehmen aussehen?

Bewerbung per E-Mail: 4 Stunden

Finanzsysteme und -dienstleistungen: 1-2 Tage

Kundenbeziehungsmanagement-System (CRM): 1 Tag

Was bedeutet Recovery Point Objective (RPO)?

Gemäß der ISO 22300:2021ist ein Wiederherstellungspunkt (Recovery Point Objective, RPO) der „Punkt, bis zu dem die von einer Aktivität verwendeten Informationen wiederhergestellt sind, damit die Aktivität bei der Wiederaufnahme funktionieren kann; kann auch als ‚maximaler Datenverlust‘ bezeichnet werden.“

Der Begriff RPO bezieht sich im Allgemeinen auf ein System oder eine Anwendung, die Daten speichert. RPOs sind Metriken, mit denen Sie bestimmen können, wie viele Daten Sie bereit sind, vom Backup bis zur Wiederherstellung im Notfall zu verlieren (oder wie viele Daten Sie bereit sind, neu einzugeben).

Es gibt verschiedene Möglichkeiten, über Datenverluste nachzudenken. Sie können zum Beispiel ganzheitlich denken – der Verlust einer gesamten Datenbank – oder Sie können den Datenverlust vom Standpunkt der Transaktion aus betrachten – der Verlust der vorherigen [period of time] von Aktualisierungen, Dateien, Transaktionen usw.

Wenn Sie über RPOs sprechen, sollten Sie sich auf Transaktionsdaten statt auf archivierte Daten beziehen. Ein Beispiel: ein Repository für juristische Verträge. Ihr RPO würde für neue oder aktualisierte Dateien gelten, nicht für historische Daten.

Mit anderen Worten, ein RPO von einem Tag oder eine Toleranz für Datenverluste bedeutet, dass Sie den Wert von Updates oder Uploads auf das System für einen Tag verlieren könnten.

Berücksichtigen Sie bei der Festlegung der RPOs alternative Datenquellen, einschließlich der Wiederherstellung verlorener Daten oder Arbeiten. Wenn Sie eine Backup-Quelle für die Daten haben – oder wenn Sie die Daten leicht wiederherstellen können – ist die Toleranz für Datenverluste möglicherweise größer.

Hier sind einige Faktoren, die Ihr RPO beeinflussen können:

Anzahl der kritischen Anwendungen und Systeme

Die Komplexität dieser Anwendungen und Systeme

Datenvolumen

Methoden zur Datensicherung

Wie häufig sich Daten ändern

Häufigkeit der Datensicherung

Datenspeicherung und Zugänglichkeit

Interne Ressourcen

Wenn wir über RPOs sprechen, sollten Sie wissen, dass die Häufigkeit der Backups Ihres Unternehmens den größten Einfluss auf Ihren RPO haben kann, aber die Häufigkeit wird bei der Planung der Ausfallsicherheit manchmal übersehen.

Viele (hoffentlich die meisten) Unternehmen führen zwar routinemäßige Daten- und Systemsicherungen durch, aber diese Sicherungen erfolgen möglicherweise nicht in der Häufigkeit, die ein Unternehmen tatsächlich benötigt, was oft erst nach einer Katastrophe oder erheblichen Störung festgestellt wird.

Wenn diese Backups also so wichtig sind, warum führen Unternehmen sie dann nicht häufiger durch?

In vielen Fällen sind häufige Backups zu kostspielig. Je mehr Daten Ihr Unternehmen hat und je häufiger diese repliziert und gespeichert werden, desto mehr Speicherplatz benötigen Sie, was sich schnell in den Kosten niederschlägt.

Warum ist das wichtig?

Denn im Falle einer Katastrophe oder Störung können Sie die Möglichkeit eines Datenverlusts vorhersehen. Ihr RPO hilft Ihnen dabei, zu bestimmen, wie viele Daten Sie riskieren können, zu verlieren, basierend auf der Zeitspanne ab dem häufigsten Backup bis zur Rückkehr zum Normalzustand.

Unterschiede zwischen RTO und RPO

Obwohl RTOs und RPOs miteinander verwandt sind, gibt es Unterschiede. Während RTOs in die Zukunft blicken (die Zeit, die Ihnen zur Wiederherstellung zur Verfügung steht), blicken RPOs in die Vergangenheit (wann war Ihre letzte Datensicherung und wie lange brauchen Sie, um sie wiederherzustellen?)

Die RPOs reichen von keinem Datenverlust (0 Stunden) bis zu einigen Tagen, abhängig von einer Vielzahl von Faktoren.

RTOs und RPOs sind wichtige Faktoren bei der Disaster Recovery- und Business Continuity-Planung. Wenn Sie Ihre RTO- und RPO-Kennzahlen nicht kennen, könnte der Großteil Ihrer Resilienzplanung umsonst sein – vor allem, wenn Sie unterschätzen, wie lange Ihr Unternehmen Ausfallzeiten überstehen kann oder wie viele Daten Sie verlieren und trotzdem überleben können.

Einige Unternehmen kennen zwar ihre eigenen zeitbezogenen Metriken, aber das Feedback aus der Branche deutet darauf hin, dass wir die RTOs unserer Lieferanten und Zulieferer insgesamt nicht gut erforschen. Die RTOs von Lieferanten und Anbietern können Ihre eigenen Wiederherstellungskennzahlen direkt beeinflussen und verzerren.

Wie werden die Begriffe RTO und RPO in Business Continuity/IT Disaster Recovery-Programmen verwendet?

RTOs und RPOs werden üblicherweise verwendet:

Priorisierung der Geschäftsfunktionen im Falle einer Unterbrechung, damit die Führungskräfte wissen, welche Funktionen wann wiederhergestellt werden sollten

Durchführung einer Lückenanalyse im Vergleich zu den möglichen Wiederherstellungszeiten, um Risiken für die Geschäftskontinuität und die IT-Wiederherstellung zu identifizieren

Auswahl geeigneter Wiederherstellungs- und Sicherungsstrategien für Ressourcen/Daten, einschließlich der Frage, wie viel Ihr Unternehmen für Umgehungslösungen/Alternativen ausgeben wird

RTOs und RPOs: Wie Castellan Ihrem Unternehmen bei der Business Continuity helfen kann

RTOs und RPOs legen die grundlegenden Anforderungen für Ihre Business Continuity- und IT Disaster Recovery-Programme fest. Es ist wichtig, dass Sie diese Begriffe frühzeitig in Ihrem Programm verstehen und definieren und Ihre RTOs und RPOs regelmäßig neu bewerten, wenn sich Ihr Unternehmen weiterentwickelt.

Benötigen Sie Hilfe, um RTOs und RPOs und die Rolle, die sie für die Widerstandsfähigkeit Ihres Unternehmens spielen, besser zu verstehen? Kontaktieren Sie Sie noch heute einen Castellan-Berater und wir helfen Ihnen gerne bei der Klärung all Ihrer Fragen.

Was bedeutet Recovery Time Objective (RTO)?

Wie erkennen Sie eine RTO?

Was sind einige RTO-Beispiele?

Was bedeutet Recovery Point Objective (RPO)?

Unterschiede zwischen RTO und RPO

Wie werden die Begriffe RTO und RPO in Business Continuity/IT Disaster Recovery-Programmen verwendet?

RTOs und RPOs: Wie Castellan Ihrem Unternehmen bei der Business Continuity helfen kann

Ready to Talk?

Work with us.

Connect with us.

RTO vs. RPO: Was ist der Unterschied und wie werden sie verwendet?

Was bedeutet Recovery Time Objective (RTO)?

Wie erkennen Sie eine RTO?

Was sind einige RTO-Beispiele?

Was bedeutet Recovery Point Objective (RPO)?

Unterschiede zwischen RTO und RPO

Wie werden die Begriffe RTO und RPO in Business Continuity/IT Disaster Recovery-Programmen verwendet?

RTOs und RPOs: Wie Castellan Ihrem Unternehmen bei der Business Continuity helfen kann

Share This, Choose Your Platform!

Related Posts

Von Silos zur Synergie: Warum ERM und Unternehmensresilienz sich vereinen müssen

DORA Risikomanagement-Software: Wie Technologie der Schlüssel zur Compliance ist

7 Schritte zur Schaffung einer Kultur des Risikobewusstseins

Ready to Talk?

Work with us.

Connect with us.