Was ist der Unterschied zwischen Recovery Time Objective (RTO) und Recovery Point Objective (RPO)?

Sowohl RTO als auch RPO sind wesentliche Elemente der Geschäftskontinuität und klingen ziemlich ähnlich. Ihr Zweck ist jedoch verschieden.

Was ist RTO?

Was bedeutet RTO? BS 25999-2, eine führende Norm für Betriebskontinuität definiert RTO als “…festgesetzte Sollzeit für die Wiederaufnahme eines Produkts, Services oder Leistungserbringung nach einem Vorfall“.

Das bedeutet faktisch, dass das RTO bei der Implementierung der Betriebskontinuität in einem Unternehmen äußerst wichtig ist – die Kalkulation, wie schnell man eine Wiederherstellung benötigt, wird festlegen, welche Art von Vorbereitungen man benötigt. Wenn zum Beispiel das RTO 2 Stunden beträgt, dann müssen Sie eine ganze Menge Geld in ein Ausfallsrechenzentrum, in die Telekommunikation, in automatisierte Systeme etc. investieren – weil Sie in der Lage sein möchten, eine komplette Wiederherstellung in nur 2 Stunden zu erreichen. Wenn hingegen Ihre RTO 2 Wochen beträgt, werden die erforderlichen Investitionen viel geringer sein, da Sie genug Zeit haben werden, Ressourcen zu beschaffen, nachdem ein Vorfall eingetreten ist.

Das RTO wird während der Geschäftsauswirkungsanalyse (Business Impact Analysis – BIA) festgesetzt und die Vorbereitungen werden in der Betriebskontinuitäts-Strategie festgelegt. Siehe auch Artikel Fünf Tipps für eine erfolgreiche Geschäftsauswirkungsanalyse, um mehr über RTO und BIA zu erfahren.


Was ist RPO?

RPO – Recovery Point Objective ist eine komplett andere Sache – laut Wikipedia ist RPO “…der maximal tolerierbare Zeitraum, in dem Daten verloren gehen können”. Da es ziemlich schwierig ist, das gleich zu begreifen, möchte ich stattdessen dieses Beispiel gebrauchen – fragen Sie sich, wie viele Daten Sie sich erlauben können zu verlieren? Wenn Sie eine Datenbank mit den verschiedensten Arten von Informationen befüllen, ist es tolerierbar, 1 Stunde, 2 Stunden oder gar 2 Tage Arbeit zu verlieren? Wenn Sie ein sehr langes Dokument erstellen, können Sie es sich leisten, 4 Stunden Ihrer Arbeiter oder den ganzen Tag zu verlieren oder könnten Sie es vielleicht ertragen, den Job einer ganzen Woche zu verlieren?

Diese Anzahl von Stunden oder Tagen ist das RPO. Das Recovery Point Objective ist für die Festlegung eines Elements der Betriebskontinuitätsstrategie äußerst wichtig – die Häufigkeit von Backups. Beträgt Ihr RPO 4 Stunden, dann müssen Sie zumindest alle 4 Stunden eine Datensicherung vornehmen; alle 24 Stunden würde Sie in große Gefahr bringen, wenn Sie es aber jede Stunde durchführen, könnte es Sie zu viel kosten.

Was ist also der Unterschied zwischen RTO und RPO?

Der Unterschied liegt im Zweck – das RTO hat einen umfassenderen Zweck, da es die Grenzen für Ihr gesamtes Betriebskontinuität-Management festsetzt, während das RPO ausschließlich auf die Frage der Backup-Häufigkeit fokussiert ist. Sie stehen in keiner direkten Verbindung zueinander – Sie könnten ein RTO von 24 Stunden und ein RPO von 1 Stunde oder ein RTO von 2 Stunden und ein RPO von 12 Stunden haben.

Lassen Sie mich jedoch etwas hervorheben, was sogar noch wichtiger ist: was haben RTO und RPO gemeinsam? Sie sind beide äußerst wichtig für die Geschäftsauswirkungsanalyse und für das Betriebskontinuität-Management. Ohne diese korrekt festzulegen, könnten Sie nur raten – und Raten ist der beste Weg dafür zu sorgen, dass eine Wiederherstellung nach einem Desaster nicht gelingt.

Sie können auch unseren Fragebogen zur Geschäftsauswirkungsanalyse lesen, in dem beschrieben ist, wie man alle notwendigen Informationen für RTO und RPO sammelt.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan: