fairlane.systems

DISASTER RECOVERY · SICHERHEIT

Disaster Recovery, RTO und RPO: Was ein KMU-Treuhand wirklich vorhalten muss

Wie lange darf der Ausfall dauern, wie viele Daten dürfen verloren gehen? Vier DR-Strategien mit Mai-2026-Preisen und Tooling.

Recherche & Faktencheck: · Stand: 2026-05

Was sind RTO und RPO?

RTO und RPO sind die beiden Kennzahlen, mit denen jede Disaster-Recovery-Planung anfängt. Das Recovery Time Objective beschreibt die maximal akzeptierte Ausfall-Dauer von der Störung bis zur funktionsfähigen Wiederherstellung. Das Recovery Point Objective beschreibt den maximal akzeptierten Daten-Verlust, gemessen als Zeit-Differenz zwischen letztem brauchbaren Backup und dem Eintritt der Störung.

Ein Beispiel macht das greifbar. RTO 4 Stunden, RPO 1 Stunde bedeutet: Fällt das Treuhand-System um 09:15 aus, muss es spätestens um 13:15 wieder laufen, und die wiederhergestellten Daten dürfen maximal auf dem Stand 08:15 sein – alles, was zwischen 08:15 und 09:15 eingebucht wurde, darf verloren gehen. Diese Werte werden nicht nach Bauchgefühl, sondern nach Geschäftsfolgen festgelegt: Wie viel Umsatz oder Lohnkosten gehen pro Stunde Ausfall verloren? Wie viel manuelle Nacharbeit kostet eine Stunde verlorene Bewegungsdaten?

Die Werte müssen schriftlich im IT-Notfallplan stehen. Ohne dokumentierte RTO und RPO ist eine DR-Strategie nicht überprüfbar – und im Schadenfall steht die Geschäftsleitung erklärungs-pflichtig da, weil sie ohne Kennzahlen nicht zeigen kann, dass sie ihrer Sorgfalts-Pflicht nachgekommen ist.

Warum es wichtig ist

Mai 2026 zeigt eine Reihe von Beispielen, warum DR-Planung nicht abstrakt ist. Der SwissSign-CA-Ausfall 2024 hat eine Kette von Folge-Störungen ausgelöst, weil viele Schweizer KMU ihre Zertifikate über SwissSign bezogen und keine Failover-CA konfiguriert hatten – Geschäfts-Mails, Login-Portale und VPN-Zugänge fielen gleichzeitig aus. Auch der Crowdstrike-Falcon-Fall im Juli 2024 hat tausende Windows-Server weltweit gleichzeitig in den Boot-Loop geschickt. Beide Fälle waren keine Cyber-Angriffe, sondern Konfigurations- bzw. Update-Fehler grosser Anbieter – und beide haben gezeigt, dass die Frage nicht „ob", sondern „wann" und „wie schnell wiederhergestellt" lautet.

Für ein Treuhand-Büro kommt der Stichtag dazu. Mahnungs-Stichtag, MWST-Quartal, AHV-Lohnmeldung sind feste Termine. Wer am 30. April nach dem MWST-Quartal mit einem korrupten System aufwacht, hat ein Sanktions-Risiko bei der ESTV, das nichts mit IT zu tun hat – sondern mit verpasster Frist. RPO 1 Stunde reicht hier nicht; man braucht ein Konzept, das den Stichtag absichert.

EU-AI-Act-Aspekt: Wer ein AI-System mit hohem Risiko betreibt, muss nach Art. 17 ein Risk-Management-System dokumentieren. Disaster Recovery ist ein Pflicht-Bestandteil. Wer das nicht hat, kann das System nicht produktiv setzen.

Vier DR-Strategien mit Kosten und Wiederherstellungs-Zeit

Es gibt vier abgestufte Strategien, sortiert nach Geschwindigkeit und Kosten.

Backup-Restore (4 bis 24 Stunden): Die einfachste Variante. Nach einem Ausfall wird ein neuer Server provisioniert (Hetzner Cloud in ca. 5 Minuten, Hetzner Dedicated in 4 bis 24 Stunden), das letzte Backup eingespielt und der Betrieb wieder aufgenommen. Kosten: 1x Produktiv-Server, weil kein Standby läuft. Realistisches RTO 6 bis 12 Stunden inklusive Provisioning, RPO 1 bis 24 Stunden je nach Backup-Frequenz. Passt für kleine KMU, deren Geschäfts-Schaden eines Tages-Ausfalls unter ein paar tausend Franken liegt.

Pilot Light (1 bis 4 Stunden): Ein abgeschalteter oder minimaler Standby-Server steht bereit, mit eingerichteter Software und aktuellem Konfigurations-Stand. Bei Störung wird er gestartet, das letzte Backup eingespielt, DNS umgeschwenkt. Kosten: 1.5x Produktiv-Kosten, weil der Standby zumindest Storage und IP belegt. RTO 1 bis 4 Stunden, RPO abhängig von Backup-Frequenz.

Warm Standby (15 Minuten bis 1 Stunde): Ein vollwertiger Zweit-Server läuft, bekommt asynchrone Replikation der Datenbank und der File-Volumes. DNS-Failover via Cloudflare oder Route53 macht den Wechsel in Minuten. Kosten: 2.5x Produktiv-Kosten. RTO 15 bis 60 Minuten, RPO 1 bis 15 Minuten. Passt für Treuhand- und Anwaltskanzleien, die einen Tag Ausfall nicht akzeptieren können.

Hot Standby (Sekunden bis Minuten): Synchroner Multi-Master oder Active-Active-Setup mit Load-Balancer davor. Bei Ausfall einer Node fällt die zweite ein, ohne Daten-Verlust. Kosten: 3x bis 5x Produktiv-Kosten plus laufende Betriebs-Komplexität. RTO Sekunden, RPO null. Sinnvoll erst ab Umsätzen, bei denen jede Minute Ausfall vierstellige Schäden verursacht – also typischerweise nicht beim 5-Personen-KMU, sondern bei Banken, Webshops mit hohem Volumen, kritischer Infrastruktur.

Wichtig: Die Kosten-Faktoren sind nicht nur die Server-Mieten. Hot-Standby braucht Personal mit Erfahrung in synchroner Replikation, Split-Brain-Erkennung, Quorum-Setup – das kostet im Jahr typisch CHF 30 000 bis CHF 80 000 zusätzlich. Ein KMU, das von Backup-Restore zu Warm-Standby wechselt, gewinnt mehr als eines, das von Warm-Standby zu Hot-Standby wechselt.

Tools Mai 2026: Hetzner Snapshots sind brauchbar für Pilot-Light. Veeam und Acronis sind die Standard-Pakete für Windows-lastige KMU mit GUI-Bedienung. Lokale rsync- oder Borg-Replikation auf einen zweiten physischen Server in einem anderen Rechenzentrum ist die schlanke Linux-Variante. Für Datenbanken: PostgreSQL streaming replication, MariaDB Galera Cluster oder ProxySQL für MySQL.

DR-Planung in 5 Schritten

  1. 01Business-Impact-Analyse: Welche Systeme sind kritisch, welche Stichtage betreffen sie, was kostet eine Stunde Ausfall? Quantifizieren Sie pro System einen CHF-pro-Stunde-Wert.
  2. 02RTO und RPO festlegen: Pro System schreiben Sie zwei Zahlen ins IT-Notfall-Dokument. Die Werte müssen mit dem Hosting-Setup verträglich sein.
  3. 03DR-Strategie wählen: Backup-Restore, Pilot Light, Warm Standby oder Hot Standby nach Wirtschaftlichkeit. Pro System eine Wahl, nicht eine für alles.
  4. 04Implementierung: Tooling installieren (Hetzner Snapshots, Veeam, PostgreSQL streaming replication, Borg), DNS-Failover konfigurieren, Runbook schreiben.
  5. 05Jährliche Übung: Einmal pro Jahr Voll-Wiederherstellung in isolierte Umgebung, RTO und RPO messen, Abweichungen ins Konzept einarbeiten.

Welche Strategie für welchen Betrieb

Für das typische 3- bis 10-Personen-Treuhand- oder Anwalts-KMU ist Warm Standby mit RTO 1 Stunde und RPO 15 Minuten die wirtschaftlich beste Wahl. Die Mehrkosten gegenüber reinem Backup-Restore liegen bei ca. CHF 100 bis CHF 250 pro Monat (zweiter Hetzner-Server in einem anderen Rechenzentrum plus Replikations-Software). Der Geschäfts-Wert ist hoch: An MWST-Stichtagen und Lohnlauf-Tagen kann ein einstündiger Ausfall mehrere Tausend Franken Nacharbeit kosten.

Für reine Marketing-Webseiten ohne Buchungs-Logik, für Lern-Plattformen ohne Stichtag, für interne Wiki-Systeme reicht Backup-Restore mit RTO 12 Stunden, RPO 24 Stunden. Hier überwiegt die Einfachheit, und ein Tag Ausfall ist nicht geschäfts-kritisch.

Für Banken, hochfrequentige E-Commerce-Shops und kritische Infrastruktur ist Hot Standby Pflicht. Das ist aber nicht der typische Kunde eines KMU-Dienstleisters und kein Setup, das nebenher mitläuft – sondern ein eigenes Berufsfeld mit eigener Stellen-Beschreibung.

Die wichtigste Empfehlung: einmal pro Jahr eine Vollwiederherstellungs-Übung. Nicht „im Konzept steht es", sondern „wir haben es am 15. Mai 2026 gemacht, hier ist das Protokoll, RTO wurde mit 3 Stunden 12 Minuten unterschritten." Diese Übung deckt erfahrungsgemäss fünf bis zehn unbekannte Stolpersteine auf, die im Ernstfall Stunden kosten würden.

Wo Aufwand und Nutzen nicht passen

Hot Standby für einen 3-Personen-Treuhand-Büro ist über-investiert. Die jährlichen Mehrkosten von CHF 30 000 bis CHF 80 000 stehen in keinem Verhältnis zum eingesparten Ausfall-Schaden. Wer das anbieten will, verkauft eine Versicherung, die der Kunde nicht braucht – und macht damit kein gutes Geschäft, weil der Kunde früher oder später merkt, dass er überzahlt hat.

Ebenfalls problematisch: DR-Pläne, die nie geuebt werden. Ein 40-seitiges IT-Notfall-Dokument, das seit drei Jahren niemand angesehen hat, ist im Ernstfall wertlos. Die Personen haben gewechselt, die Tools haben sich geändert, die Passwörter sind nicht mehr aktuell. Lieber ein 5-Seiten-Dokument, das jeder Mitarbeitende verstanden hat und das einmal pro Jahr durchgespielt wird.

Dritte Falle: „DR ist gleich Backup". Backup ist die Daten-Komponente, DR ist die Wiederherstellungs-Komponente. Ein Backup ohne DR-Plan ist eine Sammlung von Bits, die niemand zurückspielen kann. Ein DR-Plan ohne Backup ist ein Theaterstück ohne Buch. Beides braucht es.

Vierte Falle: zu enge Werte. RTO 5 Minuten zu fordern ohne Hot-Standby ist eine bewusste Luege im Konzept. Wer das schreibt, hat den Plan nicht durchgerechnet – oder, schlimmer, plant einen Ausfall, in dem die ausgewiesenen Werte nicht zu halten sind.

Vor- und Nachteile

STÄRKEN

  • Klare Erwartungs-Werte gegenüber Mandanten und Versicherern
  • Jährliche Übung deckt versteckte Stolpersteine vor dem Ernstfall auf
  • Warm-Standby mit CHF 200 pro Monat lohnt sich gegen einen Tages-Ausfall einer Treuhand
  • EU-AI-Act Art. 17 verlangt ein dokumentiertes Risiko-Management – DR ist Teil davon
  • Sorgfalts-Nachweis für Geschäftsleitung im Schadensfall

SCHWÄCHEN

  • DR-Konzept-Dokumente veralten schnell – laufende Pflege nötig
  • Jährliche Übung kostet 1 bis 3 Tage Personal-Aufwand
  • Hot-Standby-Aufwand wird oft unterschätzt: Split-Brain, Quorum, synchrone Replikation
  • Warm-Standby-Kosten verdoppeln die Server-Miete plus Software-Lizenz

Häufige Fragen

Was bringt eine DR-Übung wirklich?

Erfahrungswerte: Bei der ersten Übung scheitern 40 bis 60 Prozent der Restore-Schritte am ersten Anlauf. Fehlende Passwörter, falsche IP-Adressen im Runbook, nicht installierte Abhängigkeiten, kaputte Backups. Erst nach drei bis vier jährlichen Übungen liegt die Erfolgs-Quote über 90 Prozent. Wer nie uebt, hat im Ernstfall eine Erfolgs-Quote von 30 Prozent.

Wie unterscheidet sich DR von BCM?

Business Continuity Management (BCM) ist die übergeordnete Disziplin: Wie hält der Betrieb auch bei Stromausfall, Pandemie oder Schlüssel-Mitarbeitenden-Ausfall? Disaster Recovery ist die IT-Schicht innerhalb von BCM. Für ein KMU reicht meist ein schlanker BCM-Rahmen plus ein detailliertes DR-Konzept für die IT.

Was war beim SwissSign-Ausfall 2024 die Lehre?

Single-Vendor-Risiko ist real. Wer alle Zertifikate, DNS, SMTP, CDN bei einem Anbieter hat, fällt mit diesem Anbieter aus. Für kritische Komponenten lohnt sich ein Zweit-Anbieter, auch wenn der Aufwand doppelt ist. Konkret: SwissSign plus Let-s-Encrypt parallel, Cloudflare plus Quad9-DNS, Brevo plus zweiter SMTP-Anbieter.

Wie dokumentiere ich RTO und RPO revisionsfest?

Zwei Dokumente: ein IT-Notfall-Konzept mit der Strategie und den Werten, plus pro Übung ein Protokoll mit Datum, Beteiligten, gemessenen Zeiten und Abweichungen. Beide Dokumente werden 10 Jahre lang aufbewahrt, parallel zur Aufbewahrungs-Pflicht der Geschäfts-Daten. Prüfer und Versicherer akzeptieren diese Dokumentation als Sorgfalts-Nachweis.

Verwandte Themen

BACKUP · SICHERHEITBackup-Strategien 3-2-1 und 3-2-1-1-0: So sichern Sie ein KMU revisionsfestHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenMANAGED · SERVICEManaged Service & Monitoring: Wir betreiben es weiter, Sie nutzen esGRAFANA · TECH-STACKGrafana, Prometheus, Loki: Monitoring-Stack für Container-Apps und LLM-WorkflowsART. 957a OR · COMPLIANCEArt. 957a OR und KI-Buchungen: Audit-Trail, GeBüV und 10-Jahres-AufbewahrungEU AI ACT · COMPLIANCEEU AI Act 2026: Hochrisiko-Pflichten ab 2. August 2026 – was Schweizer Anbieter jetzt tun müssenDOCKER · TECH-STACKDocker-Orchestrierung für KMU: docker-compose ohne Kubernetes-Overkill

Quellen

  1. NIST SP 800-34 Rev. 1 – Contingency Planning Guide for Federal Information Systems · 2026-02
  2. BSI 200-4 – Business Continuity Management Standard · 2026-03
  3. AWS Disaster Recovery of Workloads on AWS – Recovery in the Cloud (Whitepaper) · 2026-04
  4. Veeam – Data Protection Trends Report 2026 · 2026-04
  5. Hetzner Cloud – Snapshots and Backups documentation · 2026-05

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen