Leitfaden für Disaster Recovery: Unterschiede zwischen RTO und RPO
So kalkuliert man die Wiederherstellungszeiten
Der erste Schritt, um einen effektiven Backup- und Disaster Recovery Plan zu definieren, ist der, die Wiederherstellungszeiten der Unternehmensdaten im Falle eines feindlichen Vorfalles zu berechnen. Die Wiederherstellungszeit ist die Zeit, die zwischen dem Verlust der Unternehmensdaten bis zu deren kompletten Wiederherstellung vergeht, zusammen mit der Aufnahme des normalen Geschäftsbetriebes.
Die Wichtigkeit der Wiederherstellungszeit wird unterstrichen von dem Rundschreiben 285 von der Banca d’Italia, der die „Wiederherstellungszeit eines Prozesses“ als Zeitabschnitt definiert, „von dem Zeitpunkt, an dem der Mitarbeiter einen Zustand der Krise ausruft, bis zu dem Moment, wo der Prozess wieder auf das vorherige Serviceniveau wiederhergestellt wurde. Dies hängt von den Analysezeiten der Vorfälle und den vollzogenen Handlungsentscheidungen ab, bevor Eingriffe unternommen wurden”.
Unter den in Betrachtung gezogenen Parametern, um die Wiederherstellungszeit der Unternehmensdaten zu berechnen, sind die Konzepte des RPO, Recovery Point Objective, und RTO, Recovery Time Objective.
Was ist das Recovery Time Objective (RTO)
Mit dem Recovery Time Objective, auch unter dem Kürzel RTO verwendet, bezeichnet man die benötigte Zeit, um den gesamten Geschäftsbetrieb im Falle von feindlichen Vorkommnissen wiederherzustellen. Das RTO misst also die maximale tolerierbare Zeit der Interruption des Geschäftsbetriebes des Unternehmenssystems. Das Konzept der Recovery Time Objective basiert auf dem Prinzip, nach dem jede Sekunde, in dem der Geschäftsbetrieb blockiert ist, ein größerer wirtschaftliche Verlust für das Unternehmen bedeutet. Im Voraus eine Schätzung zu machen, erlaubt es die maximale Zeit zu berechnen, die das Unternehmen offline verbringen kann, um die Verluste auf ein Minimum zu reduzieren. Die Berechnung des RTO verhindert also, dass, im Notfall das Cyber-Sicherheitsteam nicht im Dunkeln verbleibt, wenn es nicht weiß, welche Schritte es unternehmen soll. Wenn der Wert des Recovery Time Objective nahe Null ist, kann man eine Business Continuity Lösung, vorhersehen, in der der Geschäftsbetrieb keine Unterbrechung erlebt, im Falle von widrigen Vorfällen.
Was ist das Recovery Point Objective (RPO)
Ein zweiter nützlicher Parameter in der Definition eines Disaster Recovery Planes ist das Recovery Point Objective, auch genannt RPO. Das Recovery Point Objective bezieht sich auf die Toleranz der Fehler eines Computersystems. Um genau zu sein, zeigt es die maximale Zeit, die zwischen der Produktion von Daten und seiner Sicherung durch einen Backup vergehen kann. Dadurch kann bestimmt werden, wie häufig Backups erfolgen und wie oft die Daten gesichert werden müssen. Der Wert hängt von der Unternehmensaktivität und der Frequenz ab, in der neue Daten erstellt werden. Für Unternehmensaktivitäten, die jede Minute Daten und neue Informationen produzieren, wird es notwendig sein, einen sofortigen und kontinuierlichen Backup der Daten vorherzusehen, sodass eine effektive Sicherheit aller Daten erfolgen kann.
Disaster Recovery und RTO/RPO
RTO und RPO sind essenzielle Parameter für die Planung eines unternehmerischen Disaster Recovery Planes. Das Recovery Time Objektive und das Recovery Point Objective haben keine Standardwerte: Jedes Unternehmen braucht eine eigens für sie zugeschnittene Beurteilung. Basierend der auf den beiden Parametern zugewiesenen Werten, ist es möglich Prioritäten und Kosten festzuhalten, um eine angemessene Richtlinie der Disaster Recovery zu definieren.
Die Wahl der Parameter ist kein Zufall: Denn das RTO steht für die maximale Zeit, die für eine Wiederherstellung eines Unternehmenssystems vorhergesehen ist, sodass dieses wieder vom Endkunden genutzt werden kann, während das RTO sich darauf bezieht, auf welchen Zeitpunkt die letzte Kopie der erstellten Daten zurückverfolgt werden, und wie viele Daten ein Unternehmen verlieren kann. In dieser Art und Weise ist es möglich, einen Disaster Recovery Plan zu definieren, der die Auswirkung der Angriffe der Cyberkriminellen nicht nur seitens des IT-Aspektes in Betrachtung zieht, sondern auch aus einer wirtschaftlichen und rechtlichen Sicht, und die den eigenen Rufes betrifft. Je länger die Ausfallszeit der Prozesse anhält, desto größer ist die Auswirkung: daher ist eine präzise und individuelle Schätzung der Werte von RTP und RPO die Basis eines jeden wahrhaft effektiv guten IT-Sicherheitsverfahrens eines Unternehmens.