Was ist der Unterschied zwischen RPO und RTO?

Das Recovery Point Objective (RPO) bezieht sich im Allgemeinen auf die Berechnung der Menge an Datenverlusten, die ein Unternehmen innerhalb eines für sein Geschäft relevanten Zeitraums erleiden kann, bevor ein signifikanter Schaden entsteht, und zwar vom Zeitpunkt eines Störungsereignisses bis zur letzten Datensicherung.

Mit Hilfe des RPO wird ermittelt, wie viele Daten ein Unternehmen bei einem unvorhergesehenen Ereignis verlieren kann.

Ziel des Wiederherstellungspunkts (Recovery Point Objective)

Die Wiederherstellungszeit (Recovery Time Objective, RTO) bezieht sich häufig auf die Zeit, die eine Anwendung, ein System oder ein Prozess ausfallen kann, ohne dass ein erheblicher Schaden für das Unternehmen entsteht, sowie auf die Zeit, die für die Wiederherstellung der Anwendung und ihrer Daten benötigt wird, um den normalen Geschäftsbetrieb nach einem schwerwiegenden Vorfall wieder aufzunehmen.

Die Berechnung der Wiederherstellungszeit (Recovery Time Objective, RTO) für Ihr Unternehmen ist für Ihren Notfallwiederherstellungsplan entscheidend.

Recovery Time Objective (Ziel der Wiederherstellungszeit)

Obwohl beide Wiederherstellungsziele in Bezug auf die Messgrößen ähnlich sind, unterscheiden sich ihre Schwerpunkte je nach Anwendung und Datenpriorität:

Das Wiederherstellungspunktziel (Recovery Point Objective, RPO) befasst sich mit dem maximalen Ausmaß des Datenverlusts und dient als Grundlage für die Entwicklung einer Sicherungsstrategie. Das Recovery Time Objective (RTO) befasst sich mit der Zeit bis zur Wiederherstellung und hilft bei der Entwicklung einer Disaster-Recovery-Strategie.

Während sich die RTOs auf die Wiederherstellung von Anwendungen und Systemen konzentrieren, um die Wiederaufnahme des normalen Betriebs zu ermöglichen, geht es bei den RPOs ausschließlich um den Umfang des Datenverlusts nach einem Ausfallereignis. Bei den RPOs werden jedoch nicht nur die verlorenen Daten berücksichtigt, sondern auch das Risiko und die Auswirkungen auf die gesamten Kundentransaktionen und nicht nur die Ausfallzeiten des Geschäftsbetriebs berechnet.

Auch die Kosten schwanken zwischen den beiden Zielen. Die Kosten, die mit der Aufrechterhaltung einer anspruchsvollen RTO verbunden sind, können höher sein als die einer granularen RPO, da die RTO den Zeitrahmen für die Wiederherstellung der gesamten Unternehmensinfrastruktur und nicht nur der Daten berechnet.

Da RPOs eine planmäßige Sicherung in den richtigen Intervallen erfordern, können Datensicherungen leicht automatisiert und implementiert werden. Bei RTOs ist dies jedoch praktisch unmöglich, da sie alle IT-Vorgänge in den Wiederherstellungsprozess einbeziehen.

RPOs, die auf der geringsten Anzahl von Variablen basieren, lassen sich aufgrund der Konsistenz der Datennutzung leichter berechnen. Die Berechnung der RTO ist in der Regel etwas komplizierter, da die Wiederherstellungszeiten von mehreren Faktoren abhängen, darunter analoge Zeitrahmen und der Tag des Ereignisses. Ein kürzeres RPO bedeutet weniger Datenverlust, erfordert aber mehr Backups, mehr Speicherkapazität und mehr Computer- und Netzwerkressourcen für die Ausführung der Backups. Ein längerer RPO ist kostengünstiger, bedeutet aber auch mehr Datenverluste.

Die Berechnungsvariablen können sich auch je nach der Klassifizierung der Daten unterscheiden. Eine gute Praxis für jedes Unternehmen ist es, Daten in kritische und unkritische Ebenen zu unterteilen und die RPOS und RTOs in der Reihenfolge ihrer Priorität festzulegen.

Um den Unterschied zwischen RTOs und RPOs zu erklären, nehmen wir das Beispiel einer Bank, aber mit zwei verschiedenen Szenarien:

Um 9 Uhr morgens wurde eine Anwendung auf dem Hauptserver der Bank gestört, wodurch die Dienste lokal und online für 5 Minuten zum Stillstand kamen. Das RPO der Bank rechnete mit einem Datenverlust von 15 Minuten und das RTO mit einer Wiederherstellungszeit von 10 Minuten für die Wiederherstellung der Systeme und Anwendungen. Damit lag die Bank innerhalb der Parameter beider Ziele.

Um 3 Uhr morgens mussten die Systeme derselben Bank für eine Stunde abgeschaltet werden. Da das RPO nur 15 Minuten Datenverlust und das Recovery Time Objective nur 10 Minuten Ausfallzeit berücksichtigte, blieben 50 Minuten der Ausfallzeit unberücksichtigt. Aufgrund des Zeitpunkts der Abschaltung war der Datenverlust jedoch nicht exponentiell, da der Wiederherstellungsprozess in einer Zeit mit geringem Datenverkehr für die Bank stattfand.

Die Festlegung der Wiederherstellungsziele sollte gleichzeitig erfolgen, wobei Zeit, Geld und der Ruf des Unternehmens zu berücksichtigen sind. Der gemeinsame Input aller Abteilungen sollte zu einer zuverlässigen Analyse der Auswirkungen auf das Unternehmen beitragen. Die Informationen sollten die Arbeitsweise der Abteilungen, die von ihnen verwalteten Daten und die Auswirkungen auf alle Benutzer berücksichtigen, um die Prioritätenfolge der wichtigsten RPOs und RTOs festzulegen.

Anhand dieser Informationen können Sie dann die Kosten für Ausfallzeiten mit den Auswirkungen auf das Unternehmen vergleichen - unter Berücksichtigung der Variablen Umsatzverluste, Gehälter, Aktienkurse und Kosten für die Wiederherstellung - und den schlimmsten Vorfall, der Ihrem Unternehmen droht, prognostizieren. Auf diese Weise kann die Geschäftsleitung mit der Planung der Geschäftskontinuität fortfahren und vernünftige Datensicherungs- und Datenwiederherstellungsprotokolle einführen.

Wenn das Unternehmen wächst, werden sich die Werte der beiden Schlüsselparameter zweifellos ändern. Daher wird eine ständige Bewertung, Prüfung und Messung Ihrer RTOs und RPOs dazu beitragen, eine angemessene Notfallwiederherstellungsplanung zu gewährleisten, um auf unerwartet auftretende Mängel vorbereitet zu sein. Zu den drei Hauptbereichen, die dazu beitragen, die Gesamtauswirkungen auf das Unternehmen (und Ihren Geldbeutel) zu verringern, gehören (aber nicht nur)

Mehrere Backups ermöglichen es Ihnen, im Falle eines Falles auf einen größeren Datenbestand zuzugreifen, was sowohl den Datenverlust als auch den Zeitaufwand für die Wiederherstellung der Daten verringert.

Sparen Sie Zeit und Geld, indem Sie wichtige Blöcke unternehmenskritischer Daten isolieren, die sich seit der letzten Sicherung geändert haben. Dies ermöglicht Datensicherungen, die nur Informationen enthalten, die sich innerhalb des angegebenen Zeitraums geändert haben.

Durch die Replikation Ihrer Daten verfügen Sie sofort über eine Kopie Ihrer Daten, auf die Sie im Falle einer Katastrophe zurückgreifen können, wodurch sich Ihre Wiederherstellungszeitziele verringern. Ihr RPO wird dadurch bestimmt, wie oft Sie Ihre Daten replizieren. Als Faustregel gilt, dass eine höhere Replikationshäufigkeit einen niedrigeren RPO bedeutet.

Wie bei jedem Element des Unternehmens, vom Marketing bis zu den Prozessen, von der Hardware bis zur Software, ersetzen RPOs und RTOs nicht das Testen und Messen. Im Folgenden finden Sie drei Möglichkeiten, wie Sie Ihre Ziele in Übereinstimmung mit potenziellen Bedrohungen und Risiken für das Unternehmen beibehalten und weiterentwickeln können, um die Geschäftskontinuität zu gewährleisten.

Bewerten Sie regelmäßig die Schlüsselparameter Ihrer Datensicherung, indem Sie Aufbewahrungspläne, granulare Wiederherstellungspunkte, Automatisierung und Schutzvariablen prüfen und die Anzahl der Snapshots von kritischen Daten erhöhen. Ziel ist es, alle Maßnahmen zum Schutz Ihrer Daten im Katastrophenfall zu berücksichtigen.

Überprüfen Sie regelmäßig Ihren Notfallwiederherstellungsplan und bewerten Sie dabei die Rollen der wichtigsten Mitarbeiter, die Sicherungsprozesse und die Hardwareänderungen. Dies wird von Ihrem letzten RTO und RPO beeinflusst - beide gehen Hand in Hand, so dass alle Elemente in regelmäßigen Abständen im Jahr aktualisiert werden sollten.

Die Aufbewahrung von mindestens drei Datenkopien an zwei unabhängigen Speicherorten und einer ausgelagerten Kopie kann Ihre Daten retten, wenn einer der Speicherorte aufgrund von menschlichem Versagen, Naturkatastrophen oder Cyberangriffen unzugänglich oder beeinträchtigt wird.

Um festzustellen, wie viel eine Katastrophe Ihr gesamtes Unternehmen kosten kann, sollten Sie die Kosten für Systemausfälle bedenken - die Auswirkungen auf die Produktivität der Mitarbeiter, den Verlust von abrechenbaren Stunden, entgangene Umsätze durch Online-Aktivitäten, Verpflichtungen zur Einhaltung gesetzlicher Vorschriften, Auswirkungen auf virtuelle Umgebungen und so weiter.

Ein weiterer Aspekt, der die Priorität und sogar die Festlegung Ihrer RPOs und RTOs beeinflussen kann, ist die interne und externe Entwicklung des Unternehmens. Einflussreiche Veränderungen wie zusätzliche Serviceangebote, strukturelle und personelle Veränderungen, Datenwachstum, Standort etc. können die Ziele völlig verschieben. Hier sind regelmäßige Tests und Überprüfungen eine absolute Notwendigkeit für eine erfolgreiche Notfallwiederherstellung.

Ihre RTO- und RPO-Werte wägen die kritischsten Variablen gegen das Worst-Case-Szenario ab und bieten eine Absicherung gegen potenzielle Zerstörungen in Ihrem Unternehmen. Halten Sie diese auf dem neuesten Stand und in Übereinstimmung mit allen kritischen Geschäftsmetriken - so kann Ihre IT-Abteilung die Anwendungspriorität bestimmen und die maximale Dauer der potenziellen Ausfallzeit berechnen. Dies wiederum ermöglicht eine zuverlässige Risikobewertung, um die richtigen Failover-Services zu implementieren und so die hohe Verfügbarkeit jeder geschäftskritischen Anwendung auch im Katastrophenfall zu gewährleisten.

Bei der Wiederherstellung im Katastrophenfall zählt jede Sekunde. Selbst wenn ein komplettes Disk-Image eines Servers gesichert wurde, müssen Unternehmen das System wiederherstellen, indem sie Daten vom Sicherungsspeicher auf die Produktionshardware übertragen, was Stunden dauern kann, ganz zu schweigen von den Auswirkungen auf das Unternehmen selbst.

Mit mehr als 15 Jahren Erfahrung in der Branche, 200.000 abgewehrten Angriffen und der Verwaltung von mehr als 5000 Petabytes weltweit wäre es eine Untertreibung zu sagen, dass sich Acronis für Cybersicherheit einsetzt.

Acronis Cyber Protection, die einzige aktive, KI-basierte Anti-Ransomware-Lösung auf dem Markt, bietet einen Disaster-Recovery-Plan, der RPOs und RTOs integriert und dabei hilft, alle Daten für jede Umgebung, Bereitstellung, Arbeitslast und Speicherung mit jeder Wiederherstellungsmethode zu schützen.

Verstärken Sie noch heute Ihren Business Continuity Plan mit Acronis.