Recovery Time Objective

Recovery Time Objective (RTO) definiert die maximale Zeitspanne, die zwischen dem Ausfall eines Systems und dessen vollständiger Wiederherstellung vergehen darf. Eng damit verbunden ist das Recovery Point Objective (RPO) — die maximal akzeptable Datenverlustspanne, gemessen als Zeitraum zwischen dem letzten verwertbaren Backup und dem Zeitpunkt des Vorfalls. Beide Kennzahlen bilden zusammen das Fundament jeder Backup- und Wiederherstellungsstrategie.

RTO und RPO im Zusammenspiel

RTO beantwortet die Frage: Wie lange darf ein System ausfallen? RPO beantwortet: Wie viel Datenverlust ist tragbar? Ein RTO von vier Stunden bedeutet, dass der betroffene Geschäftsprozess spätestens vier Stunden nach dem Vorfall wieder funktionsfähig sein muss. Ein RPO von einer Stunde bedeutet, dass maximal eine Stunde an Daten verloren gehen darf — was mindestens stündliche Backups oder kontinuierliche Replikation erfordert.

Je niedriger RTO und RPO, desto höher die Anforderungen an Infrastruktur und Kosten. Ein RTO von null erfordert aktive Hochverfügbarkeit mit automatischem Failover — ein RTO von 24 Stunden lässt sich oft mit einfacheren Backup-Restore-Verfahren erreichen.

Business Impact Analysis als Ausgangspunkt

RTO und RPO werden nicht willkürlich festgelegt, sondern ergeben sich aus einer Business Impact Analysis (BIA). Die BIA bewertet für jeden Geschäftsprozess, welche finanziellen, operativen und regulatorischen Folgen ein Ausfall nach sich zieht — und ab welcher Dauer der Schaden kritisch wird. Ohne diese systematische Bewertung basieren RTO-Werte auf Annahmen statt auf geschäftlichen Realitäten.

Anforderungen aus ISO 27001 und BSI IT-Grundschutz

ISO 27001 fordert im Rahmen des Business Continuity Managements dokumentierte Wiederherstellungsziele und regelmäßige Tests der Wiederherstellungsverfahren. Der BSI IT-Grundschutz adressiert RTO und RPO insbesondere in den Bausteinen CON.3 (Datensicherungskonzept) und DER.4 (Notfallmanagement). Beide Standards verlangen, dass Wiederherstellungsziele nicht nur definiert, sondern regelmäßig in realistischen Szenarien überprüft werden.

Der häufigste Fehler: RTO ohne Test

In der Praxis finden wir regelmäßig dokumentierte RTO-Werte, die nie unter realen Bedingungen getestet wurden. Ein RTO von vier Stunden auf dem Papier nützt nichts, wenn die tatsächliche Wiederherstellung zwölf Stunden dauert — sei es durch fehlende Dokumentation, nicht verfügbare Ansprechpartner oder inkompatible Backup-Medien. Regelmäßige Recovery-Tests unter realistischen Bedingungen sind die einzige Möglichkeit, die tatsächliche Wiederherstellungszeit zu validieren.

Warum RTO heute wichtiger ist denn je

Die zunehmende Häufigkeit KI-gestützter Angriffe erhöht den Druck auf Wiederherstellungszeiten erheblich. Wenn Ransomware ganze Infrastrukturen innerhalb von Minuten verschlüsselt und automatisierte Angriffsketten schneller zuschlagen als manuelle Incident-Response-Prozesse reagieren können, entscheidet ein realistisch geplantes und getestetes RTO über den Unterschied zwischen einem kontrollierten Vorfall und einer existenzbedrohenden Betriebsunterbrechung.

Relevanz für KMUs

Für mittelständische Unternehmen sind RTO und RPO besonders geschäftskritisch, weil längere Ausfallzeiten oft nicht durch Redundanz oder große Reserven abgefangen werden können. Der pragmatische Einstieg: jeden kritischen Geschäftsprozess identifizieren, realistische RTO- und RPO-Werte ableiten und die Backup-Strategie entsprechend ausrichten. Halbjährliche Recovery-Tests — auch im kleinen Rahmen — decken Schwachstellen auf, bevor der Ernstfall eintritt. Wer RTO und RPO ernst nimmt und regelmäßig testet, gewinnt im Ernstfall die entscheidenden Stunden, die über Fortbestand oder Stillstand des Geschäftsbetriebs entscheiden.