Das große IT-Security-Glossar

RPO (Recovery Point Objective)

Was ist RPO (Recovery Point Objective)?

RPO (Recovery Point Objective) bezeichnet den maximal tolerierbaren Zeitraum, für den Datenverlust in einem IT-System im Falle eines Ausfalls akzeptabel ist. Er wird in der Regel in Minuten, Stunden oder Tagen angegeben und bestimmt den Zeitraum zwischen dem letzten verfügbaren Backup und einem Störfall.

Der RPO-Wert definiert somit, wie aktuell die Daten sein müssen, die nach einem Wiederherstellungsvorgang noch vorhanden sind. Je niedriger der RPO, desto häufiger müssen Backups oder Replikationen erfolgen – was direkte Auswirkungen auf Speicherstrategie, Kosten und technische Umsetzung hat.

Wichtige RPO-Ressourcen

• Backup-Strategien (z. B. inkrementell, kontinuierlich)
  → Backup-Frequenz und -Typ beeinflussen den erreichbaren RPO maßgeblich.
• Disaster Recovery Plan
  → Enthält Zielvorgaben wie RPO und RTO sowie konkrete Maßnahmen zur Datenwiederherstellung.
• Recovery Time Objective (RTO)
  → Ergänzt RPO und definiert, wie schnell Systeme nach einem Ausfall wieder funktionsfähig sein müssen.
• Snapshot- und Replikationsmechanismen
  → Echtzeit-Replikationen und automatisierte Snapshots können sehr niedrige RPO-Ziele erreichen.
• Business Impact Analysis (BIA)
  → Bewertet, welche Auswirkungen ein Datenverlust hätte und legt RPO-Grenzwerte geschäftskritisch fest.

Anwendung in der Praxis

• Datenverlustbewertung: Welche Daten darf ein Unternehmen verlieren, ohne geschäftskritisch beeinträchtigt zu werden?
• Backup-Taktung: RPO von 15 Minuten → mindestens vier Backups pro Stunde notwendig.
• Systemklassifizierung: Höher priorisierte Systeme erhalten engere RPO-Vorgaben.
• Vertragliche SLAs: Managed-Service-Anbieter definieren RPOs vertraglich als Leistungszusicherung.
• Monitoring & Tests: Regelmäßige Wiederherstellungstests prüfen, ob definierte RPO-Zeiten eingehalten werden können.

Verwandte Begriffe

• Disaster Recovery Plan
• Backup and Recovery
• Business Continuity
• RTO (Recovery Time Objective)
• Verfügbarkeit

Beispiel aus der Praxis

Ein E-Commerce-Unternehmen legt für seine Zahlungsplattform ein RPO von 5 Minuten fest. Das bedeutet, dass im Falle eines Ausfalls höchstens 5 Minuten an Transaktionsdaten verloren gehen dürfen. Um dieses Ziel zu erreichen, wird eine Echtzeit-Datenreplikation in ein zweites Rechenzentrum eingesetzt und alle 2 Minuten Snapshots erstellt. In regelmäßigen Tests wird geprüft, ob die Wiederherstellung tatsächlich Datenstand ≤ 5 Minuten vor dem Ausfallpunkt erreicht.