Die unmessbaren Versprechen

🔍 Was beobachte ich?

In vielen Notfallhandbüchern stehen sie: RTO von vier Stunden, RPO von einer Stunde. Präzise dokumentiert, sorgfältig abgestimmt, nie getestet. Diese Zielwerte entstammen der Business-Impact-Analyse – und dort sind sie geblieben. Ein Versprechen, das niemand einlösen muss, solange kein Ernstfall eintritt.

🎯 Was soll eigentlich erreicht werden?

RTO und RPO sind keine Kennzahlen für das Notfallhandbuch – sie sind operative Zusagen. ISO 22301 versteht sie als messbare Zielwerte, die Strategie, Infrastruktur und regelmäßige Tests voraussetzen.

⚠️ Warum funktioniert das nicht?

Ein dokumentierter RTO ist kein valider RTO. Erst ein Test zeigt, ob Restore-Verfahren, Backup-Integrität und Abläufe tatsächlich zusammenpassen. Doch selbst wenn Tests stattfinden, messen viele Organisationen nur Teilprozesse – nicht den vollständigen Recovery-Ablauf unter realistischen Bedingungen. Das Ergebnis: Der RTO steht im Dokument, die Realität liegt Faktor drei daneben.

💡 Was funktioniert besser?

Recovery-Ziele müssen gegen tatsächliche Wiederherstellungszeiten gemessen werden – RTA (Recovery Time Actual) und RPA (Recovery Point Actual). Wer regelmäßig vollständige DR-Tests durchführt und auswertet, kennt seine reale Wiederherstellungsfähigkeit. Belastbare Aussagen statt Papierversprechen.

📚🔍

• NIST SP 800-34 Rev. 1 – Contingency Planning Guide https://csrc.nist.gov/pubs/sp/800/34/r1/upd1/final
• ISO 22301:2019 – Business Continuity Management Systems https://www.iso.org/standard/75106.html
• PECB – Key Definitions in ISO 22301 and ISO 22313 https://pecb.com/en/article/key-definitions-used-in-iso-22301-and-iso-22313
• Veeam – RTO vs RPO: What They Mean https://www.veeam.com/blog/recovery-time-recovery-point-objectives.html
• CompTIA – 5 IT Disaster Recovery Measurements https://www.comptia.org/en-us/blog/5-it-disaster-recovery-measurements-to-know/