Einleitung
Am 24. März 2023 griffen Hacker der Play-Ransomware-Gruppe die NZZ an. Systeme waren zeitweise nicht verfügbar, Personaldaten und Projektdokumente wurden gestohlen. Im Mai 2023 veröffentlichte die Gruppe 5 GB gestohlener Daten im Darknet. Die NZZ hatte das Lösegeld verweigert und die Systeme aus Backups wiederhergestellt.
Was die NZZ in diesem Moment gebraucht hatte, war eine klare Antwort auf zwei Fragen: Wie lange können wir uns den Ausfall leisten? Und wie viel Datenverlust ist tragbar? Wer diese Fragen im Voraus beantwortet hat, handelt strukturiert. Wer sie im Ernstfall zum ersten Mal stellt, handelt unter Druck.
Genau das sind die Fragen, die RTO und RPO beantworten. Das Beispiel der NZZ zeigt: Gut definierte Recovery-Ziele und getestete Backups sind kein theoretisches Konzept, sie sind der Unterschied zwischen einer bewältigten Krise und einer existenziellen Bedrohung.
Was ist RTO? (Recovery Time Objective)
RTO: Recovery Time Objective bezeichnet die maximale Zeitspanne, die zwischen einem IT-Ausfall und der vollständigen Wiederherstellung des Betriebs liegen darf.
Einfaches Beispiel: Ein Online-Shop kann sich 2 Stunden Ausfall leisten, bevor Umsatzverlust und Kundenfrust zu gross werden. Das RTO beträgt in diesem Fall 2 Stunden. Die gesamte Backup- und Recovery-Infrastruktur muss so ausgelegt sein, dass dieser Wert eingehalten werden kann.
RTO ist also keine technische Grösse, es ist eine Geschäftsentscheidung. Sie beantwortet die Frage:
"Wie lange können wir warten?"
Was ist RPO? (Recovery Point Objective)
RPO: Recovery Point Objective bezeichnet die maximale Menge an Daten, die nach einem Ausfall verloren gehen darf, ausgedrückt in Zeit.
Einfaches Beispiel: Eine Buchhaltungssoftware wird täglich um Mitternacht gesichert. Fällt das System um 17 Uhr aus, sind bis zu 17 Stunden an Buchungen verloren. Das RPO beträgt in diesem Szenario bis zu 24 Stunden. Ist das akzeptabel? Das hängt vom Unternehmen ab.
Ein RPO von 1 Stunde würde bedeuten: Backups müssen stündlich laufen, und maximal eine Stunde an Daten darf im schlimmsten Fall verloren gehen. RPO beantwortet die Frage:
"Wie viel Datenverlust können wir verkraften?"
RTO vs. RPO: Der Unterschied auf einen Blick
Beide Kennzahlen klingen ähnlich, messen aber unterschiedliche Dinge:
| Kennzahl |
Frage |
Masseinheit |
Beispiel |
| RTO |
Wie lange darf das System ausfallen? |
Zeit bis zur Wiederherstellung |
2 Stunden |
| RPO |
Wie viel Datenverlust ist akzeptabel? |
Zeit seit letztem Backup |
4 Stunden |
Ein Unternehmen kann ein tiefes RTO (schnelle Wiederherstellung) und gleichzeitig ein hohes RPO (viel Datenverlust tolerierbar) haben, oder umgekehrt. Die Kombination ergibt die Anforderungen an das Backup-Konzept.
Wichtig: RTO und RPO sind nicht für alle Systeme gleich. Ein Kernprozesssystem braucht andere Werte als ein internes Archiv.
Warum RTO und RPO für KMU besonders wichtig sind
Jedes Unternehmen wird früher oder später von einem IT-Vorfall betroffen. Laut kmu.admin.ch hatte bereits jedes dritte Schweizer KMU Kontakt mit Cyberbedrohungen. Das Bundesamt für Cybersicherheit (BACS) registrierte 2024 allein 92 Ransomware-Meldungen in der Schweiz, mit stark steigender Tendenz.
Zwei Schweizer Fälle illustrieren, was auf dem Spiel steht. Die NZZ (März 2023) hatte ihre Recovery-Prozesse vorbereitet und konnte deshalb das Lösegeld verweigern. Swissport wurde am 3. Februar 2022 von der BlackCat-Ransomware-Gruppe getroffen: 22 Flüge mussten verzögert werden, doch das Unternehmen war innerhalb von 48 Stunden weitgehend operativ, weil Recovery-Ziele im Voraus definiert und die Prozesse getestet worden waren.
Wer RTO und RPO nicht definiert, riskiert zweierlei: Eine zu teure Backup-Infrastruktur (weil überall auf höchste Verfügbarkeit ausgelegt wird), oder eine zu schwache Infrastruktur (weil kritische Systeme nicht ausreichend geschützt sind).
Downtime kostet, in Form von Umsatzausfall, Produktivitätsverlust, Konventionalstrafen und Reputationsschaden. Wer seine Recovery-Ziele kennt, kann diese Kosten abschätzen und gezielt gegensteuern.
Was Regulatoren fordern
RTO und RPO sind längst nicht mehr nur Best Practice, in mehreren regulatorischen Rahmenwerken sind sie zur Pflicht geworden.
FINMA Kreisschreiben 2023/1: Operationelle Risiken und Resilienz Banken. In Kraft seit 1. Januar 2024. Das Kreisschreiben schreibt Schweizer Finanzinstituten explizit vor, RTO und RPO für kritische Prozesse zu definieren, zu dokumentieren und im Rahmen einer Business Impact Analysis (BIA) zu überprüfen. Keine optionale Empfehlung, regulatorische Pflicht.
DORA: Digital Operational Resilience Act (EU-Verordnung 2022/2554). Gültig seit 17. Januar 2025. DORA gilt für alle EU-Finanzinstitute: Banken, Versicherer, Zahlungsdienstleister. Die Verordnung fordert, dass Wiederherstellungszeiten in Stunden gemessen werden, nicht in Tagen. Schweizer Unternehmen mit EU-Geschäft sind direkt betroffen.
nDSG: Neues Schweizer Datenschutzgesetz. Das nDSG verlangt, Datenverluste "so schnell wie möglich" zu melden. Diese Anforderung setzt implizit voraus, dass ein Unternehmen seinen eigenen Datenstand kennt, und genau das leistet ein dokumentiertes RPO.
Das Fazit: Wer in regulierten Branchen tätig ist oder EU-Kunden bedient, muss RTO und RPO definiert haben. Für alle anderen ist es schlicht die klügste Vorbereitung auf den Ernstfall.
Wie bestimmt man RTO und RPO im eigenen Unternehmen?
Sie brauchen dafür keine teure Beratung. Fünf Schritte reichen für die meisten KMU:
Schritt 1: Systeminventar erstellen
Listen Sie alle IT-Systeme, Applikationen und Datenbereiche auf. ERP, E-Mail, CRM, Dateiserver, Webshop, Produktionssysteme, alles, was relevant ist.
Schritt 2: Kritikalität bewerten
Für jedes System stellen Sie sich die Frage: Was passiert, wenn dieses System 1 Stunde ausfällt? 8 Stunden? 24 Stunden? Unterscheiden Sie zwischen geschäftskritisch, wichtig und nicht dringend.
Schritt 3: Kosten des Ausfalls schätzen
Quantifizieren Sie, was ein Ausfall konkret kostet. Umsatzausfall pro Stunde, Produktivitätsverlust, mögliche Konventionalstrafen, Compliance-Risiken.
Schritt 4: RTO und RPO pro System festlegen
Definieren Sie für jedes System individuell. Hier ein Orientierungsrahmen:
| Systemtyp |
Typisches RTO |
Typisches RPO |
| Kern-ERP, Zahlungssysteme |
Minuten |
Sekunden bis Minuten |
| E-Mail, CRM, wichtige Datenbanken |
Unter 4 Stunden |
1 bis 4 Stunden |
| Archiv, Reporting, interne Tools |
4 bis 24 Stunden |
12 bis 24 Stunden |
Schritt 5: Technische Umsetzung prüfen und testen
Kann Ihre Backup-Lösung die definierten Werte überhaupt einhalten? Testen Sie es. Mindestens einmal jährlich ein vollständiger Restore-Test.
Typische Fehler bei der RTO/RPO-Planung
Viele Unternehmen scheitern nicht an schlechten Absichten, sondern an diesen fünf Fehlern:
- Einheitliche Ziele für alle Systeme: Wer überall dasselbe RTO ansetzt, investiert zu viel in unkritische Systeme und zu wenig in kritische.
- Backup-Häufigkeit mit RPO gleichsetzen: Stündliche Backups bedeuten nicht automatisch RPO 1 Stunde.
- Systemabhängigkeiten ignorieren: System A hat RTO 1 Stunde, hängt aber von System B mit RTO 8 Stunden ab.
- Keine Restore-Tests durchführen: Die häufigste und teuerste Lücke.
- Ransomware-Szenarien vergessen: Zuerst muss sichergestellt sein, dass die Backup-Daten sauber sind.
Fazit
RTO und RPO sind keine abstrakten IT-Begriffe. Sie sind die Übersetzung von Geschäftsanforderungen in konkrete Backup-Ziele. Die NZZ konnte Lösegeld verweigern, weil ihre Recovery-Prozesse funktionierten. Swissport war nach einem Ransomware-Angriff innerhalb von 48 Stunden wieder operativ, weil Recovery-Ziele vorab definiert waren.
Der Aufwand ist überschaubar: Ein halber Tag mit dem Team, um Systeme zu priorisieren und Zielwerte festzulegen, kann im Ernstfall Tausende von Franken sparen.
Ihr nächster Schritt mit Backup ONE
Sie wissen jetzt, was RTO und RPO sind. Aber passt Ihre aktuelle Backup-Strategie wirklich zu Ihren Zielen?
Backup ONE AG ist der Schweizer Cloud-Backup-Spezialist mit Rechenzentren in der Schweiz. Wir helfen Ihnen dabei, Ihre RTO- und RPO-Anforderungen zu definieren und die passende Backup-Lösung umzusetzen, ohne Vendor-Lock-in und ohne unnötige Komplexität.
Jetzt kostenlose Beratung anfordern oder Testaccount starten:
backup.ch/kontakt |
backup.ch/testaccount