RTO und RPO: Was ist der Unterschied?
Die Wiederherstellungszeitziele (RTO) und die Wiederherstellungspunktziele (RPO) sind zwei wichtige Parameter in Notfallwiederherstellungs- und Datenschutzplänen. Sie helfen dabei, die richtige Strategie zum Schutz der Geschäftskontinuität (RTO) und zur Aufrechterhaltung der Datenintegrität (RPO) zu bestimmen.
Lesen Sie weiter, um mehr über RTO, RPO und deren Anwendung zur Steigerung der Datenresilienz Ihrer Organisation zu erfahren.
Was ist RTO?
Ein Wiederherstellungszeitziel (RTO) ist die maximal akzeptable Zeit zwischen einer Katastrophe und der Wiederherstellung, nach der ein Unternehmen kritische Schäden erleidet.
Die Definition von RTO reduziert sich auf die Frage: Wie lange können wir nach einer Störung ohne erhebliche Auswirkungen auf unser Geschäft ausfallen?
Was ist RPO?
Ein Wiederherstellungspunktziel (RPO) ist die maximal akzeptable Zeit zwischen der letzten Sicherungskopie und jetzt. In diesem Kontext bezieht sich „jetzt“ auf alle Daten, die derzeit in der Produktion gespeichert sind.
Die Definition von RPO wirft die Frage auf: Wie viele Daten können wir in einem Sicherheitsvorfall bequem verlieren, bevor dies unser Geschäft beeinträchtigt?
Hinweis: Obwohl RPO die Datenmenge beschreibt, wird es in Zeiteinheiten und nicht in Speichereinheiten ausgedrückt. Dies liegt daran, dass Daten in variablen Raten anfallen, sodass wir die genaue Menge, die generiert wird, nicht vorhersagen können. Aus diesem Grund ist Zeit die zuverlässigste Möglichkeit, RPO zu messen.
RTO vs. RPO
Der Hauptunterschied zwischen RPO und RTO liegt in ihrem Zweck. RTO unterstützt die Geschäftskontinuität, während RPO sich auf Daten konzentriert. Mit anderen Worten, RTO schützt die Zukunft. RPO schützt die Vergangenheit.
Wiederherstellungszeitziel (RTO)
RTO schützt die aktuellsten Daten, sodass Sie die neuesten Änderungen wiederherstellen können, was wichtig ist, um den Betrieb aufrechtzuerhalten.
Die Verbesserung von RTO erfordert Investitionen in leistungsstarke Hardware, die für den Wiederherstellungsanwendungsfall optimiert ist, einschließlich Unterstützung für Lastenausgleich und Sofortwiederherstellung, die fehlgeschlagene Arbeitslasten direkt aus Sicherungen ausführen kann.
RTO wird als Wiederherstellungszeitziel bezeichnet, weil es darum geht, die Wiederherstellungszeit zu minimieren.
Wiederherstellungspunktziel (RPO)
RPO schützt alle Daten, die Ihr Unternehmen bis jetzt gesammelt hat. RPO basiert auf Sicherungen, und die Beziehung ist einfach: Je häufiger die Sicherungen, desto besser das RPO, und desto weniger Daten sind gefährdet, verloren zu gehen.
Wir nennen RPO ein Wiederherstellungspunktziel, weil es den letzten Punkt der Datensicherung definiert. Zum Beispiel würde ein RPO von 0 erfordern, dass jede Datenänderung in Echtzeit dupliziert wird, um Diskrepanzen zwischen Sicherung und Produktion zu beseitigen. Dieser Ansatz wird als kontinuierlicher Datenschutz (CDP) bezeichnet.
In seiner strengen Form kann kontinuierlicher Datenschutz RPO auf null senken, aber es ist so ressourcenintensiv, dass nur wenige Unternehmen es genau umsetzen.
Die Bedeutung von RTO und RPO
Die Wahrheit ist, dass Unternehmen keine Ausfallzeiten oder Datenverluste erleiden möchten. Diese als „akzeptabel“ oder „bequem“ zu formulieren, könnte Sie… nun, unbehaglich fühlen lassen.
Dennoch wird es paradox, wenn Sie Zeit damit verbringen, RTO und RPO zu berechnen, Ihnen den Komfort geben, zu wissen, dass Ihre Organisation eine Katastrophe überstehen kann.
Weitere Vorteile von RTO und RPO für Ihr Unternehmen sind:
- Bessere Katastrophenvorsorge. RTO und RPO informieren Ihre gesamte Wiederherstellungsstrategie und machen sie realistischer. Sie weisen Sie auf die richtigen Ressourcen, Schritte und Protokolle hin, um Datenverluste und Geschäftsunterbrechungen zu mindern.
- Realistische und zuverlässige SLAs. Sobald Sie die machbaren RTO und RPO für Ihr Unternehmen kennen, können Sie diese in Ihre Service-Level-Vereinbarung aufnehmen und sie mit Zuversicht bereitstellen.
- Optimierte Arbeitsteilung. RTO und RPO helfen auch dabei, die Arbeitsabläufe der Mitarbeiter für einen Vorfall zu gestalten und zu optimieren. Wiederum - wenn Sie ein klares Ziel haben, das in der Realität verankert ist, können Sie Aufgaben leicht planen und delegieren.
Wie berechnet man RTO und RPO?
Befolgen Sie die folgenden Schritte, um die richtigen Informationen zu sammeln und diese zur Berechnung von RTO und RPO in Ihrer Organisation zu verwenden.
Schritt 1: Interview
Bitten Sie Ihre Führungskräfte und das Management, die Systeme und Anwendungen der Organisation von den kritischsten bis zu den am wenigsten kritischen für die Geschäftskontinuität und den Umsatz zu bewerten.
Schritt 2: Kategorisieren
Bewaffnet mit diesen Informationen, sortieren Sie die Systeme in Ebenen. Weisen Sie beispielsweise die kritischsten Apps der Ebene 1, die weniger kritischen der Ebene 2 und die am wenigsten kritischen der Ebene 3 zu.
Schritt 3: Untersuchen
Stellen Sie sich nun vor, es gibt eine Dienstunterbrechung aufgrund eines Sicherheitsvorfalls. Gehen Sie jedes System einzeln durch, unter der Annahme, dass es kompromittiert wurde, und bestimmen Sie Folgendes:
| RTO | RPO |
|---|---|
| Die Häufigkeit der Störung. | Geschätzter Datenverlust basierend auf bestehenden Sicherungsplänen. |
| Die durchschnittliche Dauer. | Die Kosten des projizierten Datenverlusts. |
| Die Kosten der Ausfallzeit pro Minute. | Die Kosten für die Wiederherstellung der verlorenen Daten – zum Beispiel in Bezug auf menschliche Arbeitskraft. |
| Die Service-Level-Vereinbarung (SLA), falls zutreffend. | |
| Das Potenzial für Kundenabwanderung oder Unzufriedenheit. | |
| Potenzielle Auswirkungen auf andere Systeme. |
Tabelle 1. Vorbewertungsliste für RTO und RPO.
Schritt 4: Berechnen
Verwenden Sie die Daten aus Schritt 3, um mit den folgenden Fragen die richtigen Kennzahlen für Ihr Unternehmen zu bestimmen.
| Bestimmung von RTO | Bestimmung von RPO |
|---|---|
| Was ist die maximal akzeptable Ausfallzeit? | Wie hoch ist die Sicherungsfrequenz in den verschiedenen Abteilungen Ihrer Organisation? |
| Welche Ressourcen sind erforderlich, um innerhalb dieses Limits zu bleiben? | Was sagt Ihr Geschäftskontinuitätsplan über RPO und Sicherungspläne aus? |
| Wie lange wird es dauern, die erforderlichen Verfahren zu implementieren? | Was sind die Branchenstandards für die Sicherungsfrequenz je nach Kritikalität des Systems (Ebenen)? |
| Ihr RTO ist die maximal akzeptable Ausfallzeit plus die Zeit, um die Ressourcen zu mobilisieren. | Das RPO Ihrer Organisation sollte mit dem am häufigsten gesicherten System, Ihrem Geschäftskontinuitätsplan und den Branchenstandards übereinstimmen. |
Tabelle 2. Checkliste zur Berechnung von RTO und RPO
Best Practices für RTO und RPO
In einer perfekten Welt sollten RTO und RPO immer null betragen. Aber das Leben ist, wie es ist, die Kennzahlen werden wahrscheinlich nicht diesem Ideal entsprechen. Dennoch sind hier einige Best Practices, die Sie in Ihrer Organisation fördern können, um RTO und RPO zu reduzieren:
- Planen Sie häufige Backups. Die Regel ist einfach – je häufiger Ihre Backups, desto besser Ihr RPO. Stellen Sie außerdem sicher, dass Sie die sensibelsten Daten auf unveränderlichen Backups für zusätzliche Sicherheit aufbewahren.
- Nutzen Sie Redundanz. Befolgen Sie ein Datenreplikationsschema. Replikation ist kein Ersatz für Backups, aber sie fügt eine zusätzliche Sicherheitsebene für Ihr Unternehmen hinzu.
- Testen und Validieren. Selbst die besten RTO und RPO sind nur ein Produkt Ihrer Vorstellungskraft, bis Sie sie testen und in realen Umständen validieren.
- Prioritätsbasierte Wiederherstellung. Machen Sie Ihre Notfallwiederherstellung ressourcenschonend – priorisieren Sie Ihre Systeme und stellen Sie zuerst die kritischen wieder her.
- Automatisierung. Nutzen Sie Automatisierung, um Ihre Backup-Zeitpläne zu verwalten, aber vergessen Sie nicht zu überprüfen, ob sie weiterhin mit Ihrer Geschäftsstrategie übereinstimmt.
- Offsite-Speicherung. Befolgen Sie die 3-2-1 Backup-Regel, um Ihre Backups noch sicherer zu machen – mit drei identischen Backup-Kopien auf zwei verschiedenen Medien und einer davon offsite, damit sie nicht von lokalen Katastrophen wie Überschwemmungen betroffen ist.
Wie kann Ootbi bei der Notfallwiederherstellung helfen?
Letztendlich hängen RTO und RPO davon ab, wie sicher, einfach und leistungsstark Ihr Backup- und Wiederherstellungssystem ist.
Ootbi (Out-of-the-Box Immutability) von Object First ist ein speziell entwickeltes Backup-Gerät für Veeam-Kunden, das in all diesen Bereichen überzeugt.
- Ootbi ist sicher. Ransomware-sicher und unveränderlich out-of-the-box, ist Ootbi nach den neuesten Zero-Trust-Datenresilienz Prinzipien konzipiert, mit null Zugriff auf Root, integrierter Segmentierung und mehreren Resilienz-Zonen.
- Ootbi ist einfach. In weniger als 15 Minuten installiert, konfiguriert und betriebsbereit, ohne dass technische Expertise erforderlich ist, wird Ootbi automatisch vom Anbieter gewartet und optimiert.
- Ootbi ist leistungsstark. Mit Blick auf die Leistung konzipiert, skaliert Ootbi linear innerhalb von Minuten und unterstützt Backup-Geschwindigkeiten von bis zu 4GB/s und Instant Recovery, getestet im großen Maßstab mit bis zu 80 VMs, die auf einem vierknotigen Cluster laufen.
Andere haben ihre Kennzahlen mit Ootbi verbessert. Zum Beispiel hat Centerbase, eine Lösung für das Management von Rechtsanwaltskanzleien, sein RPO um 50 % reduziert. Hier ist, was sie sagten:
Nutzen Sie Ootbi, um auch Ihre Kennzahlen zu verbessern. Buchen Sie noch heute eine kostenlose Demo, und lassen Sie sich von unseren Ingenieuren die Magie hinter der Box zeigen. Demo buchen
FAQ
Was sind Beispiele für RTO und RPO?
Im Falle von RTO, nehmen wir an, ein Ransomware-Angriff deaktiviert Ihren Webserver, wodurch Ihre Website für Kunden unzugänglich wird. Basierend auf vorherigen Berechnungen beträgt die maximal akzeptable Ausfallzeit für dieses System 1 Stunde. Danach beginnen Sie, Traffic, Kunden und Reputation zu verlieren. Daher muss der Webserver innerhalb dieses Zeitfensters wiederhergestellt werden.
Im Falle von RPO, sagen wir, Ihre Analyse zeigt, dass die aktuellste Backup-Kopie der Webserver-Daten nicht älter als 1 Stunde sein darf. Sie möchten keine Kundenaufzeichnungen und Transaktionen aus der Zeit davor verlieren. Folglich werden Ihre RPO-Anforderungen erfüllt, solange das letzte Backup des Webservers innerhalb von 60 Minuten nach dem Vorfall durchgeführt wurde.
Was ist Notfallwiederherstellung?
Notfallwiederherstellung ist ein detaillierter Aktionsplan, der darauf abzielt, Sicherheitsvorfälle zu verhindern und deren Folgen zu mindern, falls sie auftreten. RTO und RPO sind entscheidend, aber nicht die einzigen Elemente einer Notfallwiederherstellungsstrategie.
