Wie definiere ich RPO und RTO für mein Backup-Konzept?

Wenn es um Cloud Backup für Unternehmen geht, fallen früher oder später zwei Abkürzungen, die viele nicken lassen – und dann innerlich hoffen, dass niemand nachfragt: RPO und RTO.
Dabei entscheiden genau diese beiden Kennzahlen darüber, ob ein IT-Notfall gut beherrschbar ist oder schnell existenzbedrohend wird.

Ich habe mit Dominik Zöller gesprochen, CTO bei aixpedIT, der seit Jahren Unternehmen beim Aufbau von Backup- und Notfallkonzepten begleitet. 

Erstmal ganz grundsätzlich: Was sind RPO und RTO?

RPO (Recovery Point Objective): Wie viele Daten darf ich maximal verlieren?

Der RPO beschreibt den Zeitpunkt, bis zu dem Daten im Notfall wiederhergestellt werden müssen.

Ein RPO von 4 Stunden bedeutet: Im schlimmsten Fall sind Daten der letzten 4 Stunden weg – mehr darf es nicht sein.

RTO (Recovery Time Objective): Wie lange darf ein System ausfallen?

Der RTO gibt an, wie schnell ein System nach einem Ausfall wieder funktionsfähig sein muss.

Ein RTO von 2 Stunden heißt: Spätestens nach 2 Stunden muss das System wieder laufen.

„Viele Unternehmen sichern zwar regelmäßig ihre Daten, haben aber nie definiert, wie viel Datenverlust oder Ausfallzeit sie sich eigentlich leisten können“, erklärt Dominik Zöller.

Warum sind RPO und RTO so entscheidend für Cloud Backups?

Ein Cloud Backup für Unternehmen ist kein Selbstzweck. Es geht nicht darum, irgendwo Kopien abzulegen, sondern im Ernstfall gezielt und schnell wieder arbeitsfähig zu sein.

RPO und RTO sind dabei die Übersetzer zwischen Business und IT:

• Was kostet eine Stunde Stillstand?

• Welche Systeme sind geschäftskritisch?

• Welche Daten sind ersetzbar – und welche nicht?

Erst wenn diese Fragen beantwortet sind, kannst du ein sinnvolles Backup-Konzept gestalten.

Schritt 1: Systeme und Prozesse priorisieren

Der häufigste Fehler: Alle Systeme werden gleich behandelt, als hätten ERP / Warenwirtschaft, E-Mail, Produktionssysteme, Fileserver, Test- und Entwicklungssysteme alle die gleiche Relevanz in der täglichen Wertschöpfung.

In der Realität gibt es aber große Unterschiede. Nimmt man sich die Zeit und nimmt einmal jedes System sauber und ehrlich unter die Lupe, wird einem schnell folgendes klar: 

„Nicht jedes System braucht ein RPO von 15 Minuten. Aber manche brauchen es zwingend.“

Praxis-Tipp: Ausfallmatrix

Erstelle eine einfache Matrix für jedes System, um die Relevanz eines Ausfalls zu bewerten.

• Geschäftsrelevanz (hoch / mittel / niedrig)

• Auswirkungen bei Ausfall

• Abhängigkeiten zu anderen Systemen

So wird schnell klar, wo kurze RTOs und enge RPOs wirklich notwendig sind.

Schritt 2: RPO realistisch festlegen

Ein sehr niedriger RPO klingt erstmal gut – ist aber technisch und finanziell aufwendig.

Fragen, die du dir stellen solltest:

• Wie oft ändern sich die Daten?

• Sind Daten rekonstruierbar (z. B. aus anderen Systemen)?

• Gibt es gesetzliche oder vertragliche Vorgaben?

Beispiele aus der Praxis:

• Buchhaltung: RPO 24 Stunden

• Onlineshop: RPO 15–60 Minuten

• CRM: RPO 2–4 Stunden

Ein gutes Cloud Backup für Unternehmen erlaubt es, diese Unterschiede granular abzubilden – statt alles über einen Kamm zu scheren.

Schritt 3: RTO nicht unterschätzen

Viele Backups sind technisch vorhanden – aber die Wiederherstellung dauert zu lange.

Dominik bringt es auf den Punkt:

„Ein Backup, das erst nach zwei Tagen nutzbar ist, hilft bei einem RTO von vier Stunden genau gar nicht.“

Wichtige Faktoren für den RTO:

• Restore-Geschwindigkeit aus der Cloud

• Bandbreite

• Automatisierung

• Abhängigkeiten zwischen Systemen

• Verfügbarkeit von Know-how im Ernstfall

Cloud-Backups bieten hier klare Vorteile, wenn sie richtig konzipiert sind:

• schnelle Wiederherstellung

• skalierbare Ressourcen

• geografische Redundanz

Schritt 4: Cloud Backup ≠ Cloud Backup

Nicht jede Cloud-Lösung erfüllt automatisch deine RPO- und RTO-Ziele.

Achte besonders auf:

• Versionierung und Aufbewahrungsfristen

• Immutable Backups (Schutz vor Ransomware)

• Restore-Tests

• Transparente SLAs

• Datenspeicherort (Stichwort DSGVO)

Ein professionelles Cloud Backup für Unternehmen ist immer Teil eines größeren Notfall- und Wiederanlaufkonzepts – nicht nur ein Tool.

Schritt 5: Testen, testen, testen

Der vielleicht wichtigste Punkt – und der am häufigsten ignorierte.

„Ein nicht getestetes Backup ist im Zweifel kein Backup.“

Regelmäßige Restore-Tests zeigen:

• ob RTOs realistisch sind

• ob Prozesse funktionieren

• ob Verantwortlichkeiten klar sind

Und ganz ehrlich:
Der beste Zeitpunkt, einen Fehler im Backup-Konzept zu finden, ist nicht während eines echten Angriffs oder Systemausfalls. Darum: Lieber vorher testen als während der Krise herausfinden, dass die Anforderungen nicht stimmen.

Fazit: RPO und RTO machen Cloud Backups erst wertvoll

Ein Cloud Backup für Unternehmen entfaltet seinen echten Nutzen erst dann, wenn klar definiert ist:

• Wie viel Datenverlust ist akzeptabel? (RPO)

• Wie schnell müssen Systeme wieder laufen? (RTO)

Wer diese Fragen sauber beantwortet, trifft bessere technische Entscheidungen, investiert gezielter – und schläft im Ernstfall deutlich ruhiger.

Oder, wie unser CTO es formuliert:

„Backups sind Versicherungspolicen. RPO und RTO sagen dir, was du im Schadensfall wirklich bekommst.“

Wenn Ihr mehr zu Cloud Backup für Unternehmen erfahren möchtet, dann meldet euch gerne bei uns für ein unverbindliches Gespräch.

Gut zu wissen: Auch beim Offboarding von Mitarbeitern ist das Backup wichtig, denn wenn der Mitarbeiter sein Recht auf Vergessen beansprucht, müssen seine Daten aus allen Backups entfernt werden.