---
title: "Die unmessbaren Versprechen"
date: 2026-03-06T07:35:00+01:00
draft: false
image: "2026-03-06_Unmessbare-Versprechen.jpg"
tags: ["Anti-Pattern", "ISMS", "Business Continuity", "Disaster Recovery"]
keywords: ["RTO", "RPO", "Recovery Time Actual", "Recovery Point Actual", "ISO 22301", "Business-Impact-Analyse"]
description: "RTO-Zielwerte, die nie getestet werden, sind Papierlösungen – die Realität liegt Faktor drei daneben."
---

## 🔍 Was beobachte ich?

In vielen Notfallhandbüchern stehen sie: RTO von vier Stunden, RPO von einer Stunde. Präzise dokumentiert, sorgfältig abgestimmt, nie getestet. Diese Zielwerte entstammen der Business-Impact-Analyse – und dort sind sie geblieben. Ein Versprechen, das niemand einlösen muss, solange kein Ernstfall eintritt.

## 🎯 Was soll eigentlich erreicht werden?

RTO und RPO sind keine Kennzahlen für das Notfallhandbuch – sie sind operative Zusagen. ISO 22301 versteht sie als messbare Zielwerte, die Strategie, Infrastruktur und regelmäßige Tests voraussetzen.

## ⚠️ Warum funktioniert das nicht?

Ein dokumentierter RTO ist kein valider RTO. Erst ein Test zeigt, ob Restore-Verfahren, Backup-Integrität und Abläufe tatsächlich zusammenpassen. Doch selbst wenn Tests stattfinden, messen viele Organisationen nur Teilprozesse – nicht den vollständigen Recovery-Ablauf unter realistischen Bedingungen. Das Ergebnis: Der RTO steht im Dokument, die Realität liegt Faktor drei daneben.

## 💡 Was funktioniert besser?

Recovery-Ziele müssen gegen tatsächliche Wiederherstellungszeiten gemessen werden – RTA (Recovery Time Actual) und RPA (Recovery Point Actual). Wer regelmäßig vollständige DR-Tests durchführt und auswertet, kennt seine reale Wiederherstellungsfähigkeit. Belastbare Aussagen statt Papierversprechen.

## 📚🔍

- NIST SP 800-34 Rev. 1 – Contingency Planning Guide [https://csrc.nist.gov/pubs/sp/800/34/r1/upd1/final](https://csrc.nist.gov/pubs/sp/800/34/r1/upd1/final)
- ISO 22301:2019 – Business Continuity Management Systems [https://www.iso.org/standard/75106.html](https://www.iso.org/standard/75106.html)
- PECB – Key Definitions in ISO 22301 and ISO 22313 [https://pecb.com/en/article/key-definitions-used-in-iso-22301-and-iso-22313](https://pecb.com/en/article/key-definitions-used-in-iso-22301-and-iso-22313)
- Veeam – RTO vs RPO: What They Mean [https://www.veeam.com/blog/recovery-time-recovery-point-objectives.html](https://www.veeam.com/blog/recovery-time-recovery-point-objectives.html)
- CompTIA – 5 IT Disaster Recovery Measurements [https://www.comptia.org/en-us/blog/5-it-disaster-recovery-measurements-to-know/](https://www.comptia.org/en-us/blog/5-it-disaster-recovery-measurements-to-know/)