Inhalt in Kürze
- RTO (Recovery Time Objective) ist die Zeit, die Ihre Systeme nach einem Ausfall maximal stillstehen dürfen. RPO (Recovery Point Objective) ist der maximale Datenverlust, gemessen in Stunden zwischen den Sicherungen.
- Faustregel: RTO bestimmt die Wiederanlauf-Architektur (Standby-Server, Replikation), RPO bestimmt das Backup-Intervall.
- Im Hamburger Mittelstand sehen wir typische Werte zwischen 4 und 24 Stunden — alles darunter wird teuer, alles darüber gefährdet das Geschäft.
- NIS-2 verlangt keine konkreten Zahlen, aber dokumentierte Recovery-Ziele und getestete Backups. Laut BSI-Lagebericht 2025 stiegen Ransomware-Vorfälle bei KMU weiter — saubere RTO/RPO-Werte sind Pflicht.
- Wir testen Recovery-Pläne regelmäßig live — die meisten Backups, die wir bei Neukunden vorfinden, funktionieren im Ernstfall nicht.
Wer einen Notfallplan schreibt, kommt an zwei Abkürzungen nicht vorbei: RTO und RPO. Beide klingen ähnlich, beschreiben aber unterschiedliche Dinge. Verwechselt man sie, baut man am Ende ein Backup-Konzept, das den falschen Schmerz löst — und im Ernstfall trotzdem nicht reicht.
Wir betreuen seit 20 Jahren Mittelständler in Hamburg und Norddeutschland. In jedem zweiten Erstgespräch stellen wir fest: Es gibt zwar Sicherungen, aber niemand weiß, wie schnell die Systeme wieder laufen müssen — und wie viel Datenverlust das Geschäft verkraftet. Genau das beantworten RTO und RPO.
RTO (Recovery Time Objective) ist die maximale Zeit, die ein System nach einem Ausfall offline sein darf. RPO (Recovery Point Objective) ist der maximal akzeptierte Datenverlust seit dem letzten Backup. Beispiel KMU 2026: ERP-System RTO 1 Stunde, RPO 15 Minuten — bedeutet: Innerhalb 1 Stunde wieder verfügbar, höchstens 15 Minuten Datenverlust. Backup-Strategie und Disaster-Recovery-Plan ergeben sich aus RTO/RPO.
RTO/RPO im KMU 2026 — typische Werte nach Systemkritikalität
| System | Kritikalität | RTO | RPO | Recovery-Lösung |
|---|---|---|---|---|
| ERP, Warenwirtschaft, Branchensoftware | sehr hoch | 1–4 h | 15 Min–1 h | replizierte VM + stündliche Snapshots |
| Buchhaltung, DATEV, Lohn | hoch | 4–8 h | 1–4 h | Image-Backup + Cloud-Spiegelung |
| Fileserver, E-Mail, Microsoft 365 | mittel | 8–24 h | 4–24 h | Image-Backup, Restore on demand |
| Archiv, Dokumentenablage, alte Projekte | niedrig | 24–72 h | 24 h | klassisches Backup auf NAS |
Wichtig: Die Werte gelten nur, wenn der Wiederanlauf regelmäßig getestet wurde. Ungetestete RTO ist eine Wunschzahl, kein Versprechen.
Was ist RTO? (Recovery Time Objective)
RTO ist die maximal akzeptable Zeit zwischen Ausfall und Wiederherstellung. Sie beantwortet nur eine Frage: Wie lange dürfen unsere Systeme stillstehen, bevor das Geschäft ernsthaft Schaden nimmt?
Die RTO ist eine Zielvorgabe — keine technische Möglichkeit. Sie wird im Notfallplan festgelegt und definiert, wie viel Geld und Aufwand sich ein Unternehmen die Wiederherstellung kosten lässt.
Beispiel aus der Praxis: Ein Hamburger Logistiker mit 60 Mitarbeitern darf maximal 4 Stunden ohne ERP-System sein, bevor LKW im Hafen festsitzen und Strafzahlungen drohen. Eine Steuerkanzlei mit gleicher Größe verkraftet 24 Stunden, weil dort niemand stundengenau abrechnet. Beide brauchen unterschiedliche Recovery-Lösungen.
Was ist RPO? (Recovery Point Objective)
RPO ist der maximal akzeptable Datenverlust, ausgedrückt in Zeit. Die Frage lautet: Wenn um 14 Uhr alles abstürzt — bis zu welchem Zeitpunkt müssen unsere Daten zurückkommen?
Das RPO bestimmt direkt das Backup-Intervall. Wer maximal eine Stunde Datenverlust akzeptiert, braucht stündliche Sicherungen. Wer mit einem Arbeitstag leben kann, kommt mit einer einzigen Nachtsicherung aus.
RPO sagt nichts darüber aus, wie schnell Sie wieder arbeiten können — nur darüber, wie weit Ihre Daten zurückgesetzt werden. Ein 4-Stunden-RPO mit 24-Stunden-RTO heißt: Sie verlieren maximal 4 Stunden Daten — sind aber einen ganzen Tag offline.
Die BSI-Empfehlungen zu Datensicherung legen nahe, RPO bewusst klein zu halten — vor allem bei Datenbanken und ERP-Systemen, wo nachgepflegter Inhalt teuer ist.
RTO vs. RPO im direkten Vergleich
| Kennzahl | Frage | Bestimmt | Beispielwert KMU |
|---|---|---|---|
| RTO | Wie lange dürfen wir stillstehen? | Wiederanlauf-Architektur (Standby, Replikation) | 4–24 Stunden |
| RPO | Wie viel Datenverlust akzeptieren wir? | Backup-Intervall, Replikations-Frequenz | 1–24 Stunden |
| MTD | Schmerzgrenze (Insolvenz-Risiko) | Obergrenze für RTO | 24–72 Stunden |
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
So ermitteln Sie RTO und RPO für Ihr Unternehmen
- Business-Impact-Analyse: Listen Sie alle geschäftskritischen Anwendungen auf — ERP, Buchhaltung, E-Mail, Branchensoftware. Schätzen Sie pro System den Schaden pro Ausfallstunde.
- RTO ableiten: Wann wird der Ausfall existenzbedrohend? Setzen Sie die RTO deutlich darunter — typisch 4 bis 24 Stunden im Mittelstand.
- RPO ableiten: Wie viele Stunden Arbeit darf nachgepflegt werden? Bei Buchhaltung und ERP eher 1–4 Stunden, bei Dokumentenablage oft 24 Stunden.
- Architektur dimensionieren: Aus RTO und RPO ergibt sich, ob ein klassisches Backup reicht oder ob Replikation, Standby-VMs oder Hochverfügbarkeit nötig sind.
- Recovery testen: Spielen Sie Backups mindestens einmal pro Quartal komplett zurück — sonst sind die Werte nur Theorie.
Aus der Praxis: Drei reale Szenarien
Was die Theorie wirklich bedeutet, sehen Sie am besten an Beispielen, wie wir sie in Hamburg fast wöchentlich erleben.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Fall 1 — Logistik, Hafen Hamburg, 60 Mitarbeiter. RTO 4 Stunden, RPO 1 Stunde. Lösung: zwei gespiegelte Hyper-V-Hosts mit synchroner Replikation, stündliche Snapshots, Failover automatisiert. Investition deutlich höher als klassisches Backup — aber bei einem Disponenten-Ausfall von einem Tag wäre der Schaden ein Vielfaches.
Fall 2 — Steuerkanzlei Eppendorf, 12 Mitarbeiter. RTO 24 Stunden, RPO 4 Stunden. Lösung: lokales Backup auf NAS plus Cloud-Replikation, 4-Stunden-Snapshots. Im Ernstfall: neue VM, Daten zurückspielen, weiter arbeiten am nächsten Tag. Kosten überschaubar, Risiko bewusst akzeptiert.
Fall 3 — Sanitärbetrieb mit klassischem Tape-Backup. RTO „so schnell wie möglich”, RPO 24 Stunden — auf dem Papier. Realität: Nach dem Ransomware-Angriff brauchten wir drei Monate, um aus Tapes alle Systeme neu aufzusetzen. Niemand hatte vorher den Wiederanlauf getestet. Genau das ist der Punkt.
RTO, RPO und NIS-2: Was die neue Regulierung fordert
NIS-2 (in Deutschland seit März 2025 in der Umsetzungsphase) verlangt keine bestimmten RTO/RPO-Zahlen. Aber sie verlangt dokumentierte Wiederanlaufpläne und regelmäßig getestete Backups — und Geschäftsführer haften persönlich, wenn das fehlt.
Wer von NIS-2 betroffen ist (rund 29.500 Unternehmen in Deutschland laut Bitkom-Schätzung), kommt um eine saubere RTO/RPO-Definition nicht herum. Mehr dazu: NIS2 & Compliance Hamburg oder direkt im Rahmen unserer Managed IT Services für Mittelständler in Hamburg.
Schreiben Sie RTO und RPO in genau einem Satz pro System auf. Nicht in einem 80-Seiten-Konzept — sondern auf einer A4-Seite, die jeder Geschäftsführer in 5 Minuten versteht. Den Rest erledigt die Technik dahinter.
Welche Recovery-Strategie passt zu Ihrer RTO und RPO?
- RTO 24h / RPO 24h. Klassisches Backup auf NAS oder externe Platte, Wiederherstellung manuell. Günstig, ausreichend für Büros ohne Echtzeit-Anforderung.
- RTO 8h / RPO 4h. Image-Backup mit schneller Restore-Funktion, Cloud-Sicherung als zweite Ebene. Standard für die meisten Mittelständler.
- RTO 4h / RPO 1h. Replizierte VMs, Standby-Hardware, getestete Failover-Prozesse. Pflicht für Logistik, Industrie 4.0, Online-Shops.
- RTO 15 Min / RPO 0. Hochverfügbarkeit mit synchroner Spiegelung. Nur sinnvoll bei extremen Ausfallkosten — selten nötig im Mittelstand.
Welche Stufe für Sie sinnvoll ist, klären wir in einem Erstgespräch. Meist reicht eine Stunde, um RTO und RPO realistisch festzulegen — und um zu sehen, wo Ihr aktuelles Backup-Konzept Lücken hat.
Verwandte Artikel
- Disaster Recovery & Business Continuity für KMU 2026 — der ausführliche Leitfaden zum Notfallplan.
- Business Continuity Plan (BCP) in 5 Schritten — die Vorlage für Ihre Dokumentation.
- Backup testen — wie es richtig geht — RTO/RPO ohne Test sind nur Theorie.
Recovery-Plan auf den Prüfstand stellen?
15 Minuten. Kostenlos. Wir hören uns Ihre Situation an — ehrlich.
Erstgespräch buchen →
