Was bedeutet Recovery Time Objective (RTO)?

Recovery Time Objective (RTO) bezeichnet die maximal akzeptable Zeitspanne bis zur Wiederherstellung der Funktionsfähigkeit einer Anwendung, eines Service, von Daten oder anderen digitalen Assets, auf die ein Unternehmen aufgrund eines Ausfalls oder Datenverlusts nicht zugreifen kann. Idealerweise liegt ein RTO nahe bei null. Im Gegensatz zum Recovery Point Objective (RPO) geht es beim RTO um die Zeit: Wie lange dauert es, bis die Systeme wieder normal funktionieren? Beim RPO steht dagegen der mögliche Datenverlust im Vordergrund. Das RPO ist der maximal zulässige Datenverlust, den eine Anwendung tolerieren kann, bevor das Unternehmen Schaden erleidet.

Beim Berechnen des RTO werden die Grenzwerte für die Länge eines Ausfalls ermittelt, der vom Unternehmen noch toleriert werden kann. Um diese Zahl zu bestimmen, müssen Sie folgende Fragen beantworten: Welche Service Level Agreements (SLAs) gelten für die Benutzer des betreffenden Systems (intern und extern)? Handelt es sich um ein kundenorientiertes System? Wie würde sich ein Ausfall auf das Kundenerlebnis, die Loyalität und die Abwanderung auswirken? Wie viele Einnahmen gingen verloren, wenn dieses System nicht verfügbar wäre? Wären auch andere Systeme betroffen, wenn dieses System offline wäre? Wie kritisch sind diese Systeme? Welche SLAs und RTOs gelten für sie?

Bedeutung von RPO und RTO

Aufgrund der Anforderungen im heutigen, immer verfügbaren Wirtschaftsumfeld sind RPO und RTO wichtige Messgrößen. Sie bieten unter anderem die folgenden Vorteile: Sie sorgen für eine effektivere Planung von Data und Disaster Recovery (DR) – Im Falle eines ungeplanten Ausfalls müssen die Teams wissen, wie hoch der Datenverlust oder wie lang die Ausfallzeit sein darf, die das Unternehmen gerade noch verkraften kann. Die Berechnung von RTO und RPO verschafft Unternehmen praktische Richtlinien zum Formulieren realistischer Daten- und Notfallwiederherstellungsstrategien, die zugleich das Unternehmen schützen. Sie ermöglichen die Identifizierung und den Schutz der wichtigsten geschäftskritischen Anwendungen – denn Ihr Geschäft hängt von Anwendungen ab. Einige davon sind so wichtig, dass es ohne sie nicht funktionieren könnte. Diese Anwendungen zu kennen, ist unerlässlich. Nur so können Sie sie für den Fall eines ungeplanten Ausfalls priorisieren und RTO- und RPO-Zahlen festlegen, die für eine allgemeine Geschäftskontinuität sorgen. Sie unterstützen IT-Personal und Anwendungsbesitzer bei der Definition von SLAs – Bevor IT-Organisationen internen und externen Benutzern ein bestimmtes Niveau an Systemverfügbarkeit oder -qualität versprechen können, müssen sie die RTO- und RPO-Werte berechnen, um sicherzustellen, dass diese realistisch sind. Wenn es der IT-Abteilung gelingt, für kürzere RTOs oder RPOs zu sorgen, kann sie bessere SLAs versprechen und Kunden und Mitarbeiter zufriedener stimmen.

Recovery Time Objective (RTO) | Wie funktioniert das?

Q: Beispiele für RPO und RTO

RTO ist die maximal zulässige Zeitdauer , bevor ein Unternehmen die Funktion einer Anwendung, eines Service, von Daten oder eines anderen digitalen Assets wiederherstellen muss. Die RTO-Messung erfolgt in Sekunden, Minuten, Stunden oder Tagen. Es ist ein wichtiger Bestandteil der Datenwiederherstellungspläne eines Unternehmens. In der heutigen digitalen Welt, in der alles immer verfügbar ist, muss das RTO sehr kurz sein. Für das Transaktionssystem einer Kreditkartenagentur beispielsweise muss es so nahe wie möglich bei null liegen, etwa bei zwei oder drei Sekunden. Das bedeutet, dass die IT-Abteilung im Falle eines Systemausfalls nur zwei oder drei Sekunden Zeit hat, um das System wieder online zu bringen. Das RPO bezieht sich darauf, wie viele Daten bei einem Vorfall verloren gehen könnten. Es gibt den maximal zulässigen Datenverlust an, den eine Anwendung tolerieren kann, bevor das Unternehmen Schaden erleidet. Seine Messgröße ist ebenfalls die Zeit, und zwar in diesem Fall die Spanne zwischen der letzten Datensicherung und der Störung. Eine Bank zum Beispiel benötigt Backups fast in Echtzeit, damit ihr immer die aktuellsten Daten zur Verfügung stehen. Wenn bei einem Ausfall das letzte Backup 10 Sekunden zurückliegt und das RPO für die Anwendung 15 Sekunden beträgt, wurde das RPO eingehalten.

Was ist ein Recovery Time Objective (RTO)?

Recovery Time Objective (RTO) bezeichnet die maximal akzeptable Zeitspanne bis zur Wiederherstellung der Funktionsfähigkeit einer Anwendung, eines Service, von Daten oder anderen digitalen Assets, auf die ein Unternehmen aufgrund eines Ausfalls oder Datenverlusts nicht zugreifen kann. Idealerweise liegt ein RTO nahe bei null. RTO und Recovery Point Objective (RPO) unterscheiden sich dadurch, dass es beim RTO um die Zeit geht: Wie lange dauert es, bis die Systeme wieder normal funktionieren? Beim RPO geht es eher darum, wie viele Daten verloren gehen können. Das RPO ist der maximal zulässige Datenverlust, den eine Anwendung tolerieren kann, bevor das Unternehmen Schaden erleidet.

Warum ist das RTO wichtig?

Im Zeitalter der digitalen Transformation erwarten Unternehmen – ebenso wie ihre Kunden und Partner – immer verfügbare IT-Services und einen IT-Betrieb rund um die Uhr. Zudem müssen sie die stetig steigenden Sicherheits- und Compliance-Anforderungen erfüllen. Doch sich ständig weiterentwickelnde Cyber-Bedrohungen wie Ransomware-Angriffe erschweren es Unternehmen, ihre aufgabenkritischen Anwendungen zu schützen und vorhersehbar mit minimaler Ausfallzeit wiederherzustellen.

Unternehmen müssen ihre Geschäftsbereiche auf den Ernstfall vorbereiten. Dazu gehört auch die Kenntnis darüber, wie lange digitale Assets maximal ausfallen dürfen, bevor sie dem Unternehmen Schaden zufügen (Recovery Time Objectives). Doch nicht alle Anwendungen sind gleich, wenn es um die RTO-Zeitspannen geht. IT- und Anwendungsteams sollten die RTOs der für das Unternehmen wichtigsten Assets gemeinsam priorisieren. Außerdem ist es unerlässlich, die RTOs aller einzelnen Anwendungen, Services oder anderer Ressourcen im Auge zu behalten, damit das Unternehmen auch bei einem ungeplanten Ausfall in jedem Fall voll funktionsfähig bleibt.

Was ist der Unterschied zwischen RPO und RTO?

Das RPO gibt den maximal akzeptablen Datenverlust an, den eine Anwendung tolerieren kann, bevor ein Unternehmen Schaden erleidet. Das RTO definiert die Zeit, die eine Anwendung ausfallen kann, bevor negative Auswirkungen für den Betrieb auftreten.

Wie sieht das RTO für Ihr Projekt aus?

Das Recovery Time Objective für Ihr Projekt ist die maximal zulässige Zeitspanne, in der das Projekt nicht erreichbar sein darf, ohne dem Unternehmen zu schaden.

Beispiele für RPO und RTO

RTO ist die maximal zulässige Zeitdauer, bevor ein Unternehmen die Funktion einer Anwendung, eines Service, von Daten oder eines anderen digitalen Assets wiederherstellen muss. Die RTO-Messung erfolgt in Sekunden, Minuten, Stunden oder Tagen. Es ist ein wichtiger Bestandteil der Datenwiederherstellungspläne eines Unternehmens. In der heutigen digitalen Welt, in der alles immer verfügbar ist, muss das RTO sehr kurz sein. Für das Transaktionssystem einer Kreditkartenagentur beispielsweise muss es so nahe wie möglich bei null liegen, etwa bei zwei oder drei Sekunden. Das bedeutet, dass die IT-Abteilung im Falle eines Systemausfalls nur zwei oder drei Sekunden Zeit hat, um das System wieder online zu bringen.

Das RPO bezieht sich darauf, wie viele Daten bei einem Vorfall verloren gehen könnten. Es gibt den maximal zulässigen Datenverlust an, den eine Anwendung tolerieren kann, bevor das Unternehmen Schaden erleidet. Seine Messgröße ist ebenfalls die Zeit, und zwar in diesem Fall die Spanne zwischen der letzten Datensicherung und der Störung. Eine Bank zum Beispiel benötigt Backups fast in Echtzeit, damit ihr immer die aktuellsten Daten zur Verfügung stehen. Wenn bei einem Ausfall das letzte Backup 10 Sekunden zurückliegt und das RPO für die Anwendung 15 Sekunden beträgt, wurde das RPO eingehalten.

Welche Rolle spielt RPO bei der Datenwiederherstellung?

Das RPO ist ein entscheidendes Element bei der Datenwiederherstellung. Es beantwortet eine wichtige Frage: Wie lange dauert es, ein System (eine Anwendung, einen Service oder ein anderes digitales Asset) wiederherzustellen, wenn wir die Menge der bei einem Vorfall verloren gegangenen Daten berücksichtigen?

Grundsätzlich bietet das RPO einen realistischen Rahmen für die Planung einer erfolgreichen Daten-Recovery. Damit lässt sich die Häufigkeit von Backups planen, denn die dazwischenliegenden Zeiträume entsprechen der Datenmenge, die bei einem Ausfall verloren gehen könnten. Healthcare-Unternehmen und Finanzdienstleister können sich zum Beispiel grundsätzlich keine Datenverluste leisten und messen daher das RPO in Millisekunden. Andere Unternehmen hingegen können stunden- oder sogar tagelang auf Daten verzichten, ohne dass sie negative Folgen für ihren Betrieb befürchten müssten.

Wie werden RTO und RPO gemessen?

Die Messgröße für RTO und RPO ist die Zeit: Sekunden (oder Subsekunden), Minuten, Stunden oder sogar Tage. Allerdings messen sie zwei verschiedene Parameter. Das RTO ist die maximale Zeit, die ein System ausfallen kann, ohne dem Unternehmen zu schaden. Das RPO gibt an, wie viele Daten maximal verloren gehen dürfen.

Wie wird das RTO berechnet?

Beim Berechnen des RTO werden die Grenzwerte für die Länge eines Ausfalls ermittelt, der vom Unternehmen noch toleriert werden kann. Um diese Zahl zu bestimmen, müssen Sie folgende Fragen beantworten:

Welche Service Level Agreements (SLAs) gelten für die Benutzer des betreffenden Systems (intern und extern)?
Handelt es sich um ein kundenorientiertes System? Wie würde sich ein Ausfall auf das Kundenerlebnis, die Loyalität und die Abwanderung auswirken?
Wie viele Einnahmen gingen verloren, wenn dieses System nicht verfügbar wäre?
Wären auch andere Systeme betroffen, wenn dieses System offline wäre? Wie kritisch sind diese Systeme? Welche SLAs und RTOs gelten für sie?

Warum sind RPO und RTO wichtig?

Aufgrund der Anforderungen im heutigen, immer verfügbaren Wirtschaftsumfeld sind RPO und RTO wichtige Messgrößen. Sie bieten unter anderem die folgenden Vorteile:

Sie sorgen für eine effektivere Planung von Data und Disaster Recovery (DR) – Im Falle eines ungeplanten Ausfalls müssen die Teams wissen, wie hoch der Datenverlust oder wie lang die Ausfallzeit sein darf, die das Unternehmen gerade noch verkraften kann. Die Berechnung von RTO und RPO verschafft Unternehmen praktische Richtlinien zum Formulieren realistischer Daten- und Notfallwiederherstellungsstrategien, die zugleich das Unternehmen schützen.
Sie ermöglichen die Identifizierung und den Schutz der wichtigsten geschäftskritischen Anwendungen – denn Ihr Geschäft hängt von Anwendungen ab. Einige davon sind so wichtig, dass es ohne sie nicht funktionieren könnte. Diese Anwendungen zu kennen, ist unerlässlich. Nur so können Sie sie für den Fall eines ungeplanten Ausfalls priorisieren und RTO- und RPO-Zahlen festlegen, die für eine allgemeine Geschäftskontinuität sorgen.
Sie unterstützen IT-Personal und Anwendungsbesitzer bei der Definition von SLAs – bevor IT-Organisationen internen und externen Benutzern ein bestimmtes Niveau an Systemverfügbarkeit oder -qualität versprechen können, müssen sie die RTO- und RPO-Werte berechnen, um sicherzustellen, dass diese realistisch sind. Wenn es der IT-Abteilung gelingt, für kürzere RTOs oder RPOs zu sorgen, kann sie bessere SLAs versprechen und Kunden und Mitarbeiter zufriedener stimmen.

Sollte RPO kleiner als RTO sein?

Nein. Das RPO muss nicht kleiner sein als das RTO. Beide Werte sind nicht direkt aneinander gekoppelt. Zwar sind beide für das Einrichten und Managen der Daten- und Notfallwiederherstellung wichtig, aber der eine Wert muss nicht kleiner (oder größer) sein als der andere. IT-Teams können ein RTO von fünf Stunden und ein RPO von 30 Sekunden oder ein RTO von fünf Minuten und ein RPO von 24 Stunden festlegen.

Welche Rolle spielen RPO und RTO bei der Datensicherung?

RPO und RTO bieten einen realistischen Rahmen, um zu bestimmen, wie häufig das Unternehmen Daten sichern sollte. Tatsächlich entspricht die Zeit zwischen den Backups der Datenmenge, die das Unternehmen beim Ausfall einer bestimmten Anwendung verlieren kann. Die IT-Abteilung sollte in Zusammenarbeit mit den Geschäftsinhabern die RTOs und RPOs für jede Anwendung, jeden Service oder jedes andere digitale Asset berechnen und Backups planen, die auf diesen Parametern basieren. Beispielsweise messen Healthcare-Unternehmen und Finanzdienstleister ihre RPOs in der Regel in Millisekunden, da sie sich keine Datenverluste leisten können. Sie müssten ihre Daten daher nahezu kontinuierlich sichern.

Cohesity und RTO

Da das heutige Geschäftsleben keinen Stillstand kennt, sind Unternehmen gezwungen, die Recovery Time Objectives ebenso wie die Recovery Point Objectives so weit wie möglich gegen null zu reduzieren – idealerweise in Zeiträumen von Minuten oder Sekunden und nicht in Stunden oder Tagen.

Trotz umfangreicher Investitionen in ältere Produkte für die Notfallwiederherstellung und den Schutz von Daten sind Ausfallzeiten in Unternehmen leider keine Seltenheit. Sie sind häufig mit erheblichen Verlusten in Form von entgangenen Umsätzen und Erträgen, mit Strafen für die Nichteinhaltung von Vorschriften und Datenschutzbestimmungen sowie verringerter Produktivität verbunden.

Diese negativen Auswirkungen auf das Geschäft werden durch den Vertrauensverlust bei Kunden und Mitarbeitern noch verschärft, wenn der Datenschutzplan nicht eingehalten wird. Bei dem Versuch, RTO und RPO zu reduzieren, setzen zu viele Unternehmen teure, komplexe und individuell konzipierte Produkte ein, die laufend gewartet werden müssen, damit die Unternehmen wie gewünscht immer verfügbar sind.

Cohesity bietet die einzige konvergente Plattform, die die Komplexität herkömmlicher Datensicherungslösungen beseitigt, indem sie die End-to-End-Datensicherungsinfrastruktur vereinheitlicht – einschließlich Zielspeicher, Datensicherung, Replikation, Notfallwiederherstellung und Cloud-Tiering.

Recovery Time Objective (RTO)