Sicherheits-MTPD (Maximum Tolerable Period of Disruption) und Sicherheits-RTO (Recovery Time Objective im Sicherheitskontext) sind zentrale Kenngrößen im Business Continuity Management (BCM) und insbesondere bei sicherheitsorientierten Notfallkonzepten von großer Bedeutung. Sie beschreiben, wie lange ein sicherheitsrelevanter Ausfall tolerierbar ist (Sicherheits-MTPD) und wie schnell eine kritische Sicherheitsfunktion nach einem Vorfall wiederhergestellt werden muss (Sicherheits-RTO). Diese Werte werden typischerweise im Rahmen einer Business Impact Analyse (BIA) ermittelt, um die Zeitkritikalität von Prozessen oder Funktionen festzulegen. Dabei ist wesentlich: Die Sicherheits-RTO muss stets kürzer sein als die Sicherheits-MTPD – nur so bleibt ein zeitlicher Sicherheitspuffer erhalten, bevor ein untragbarer Schaden eintritt.
Was heißt also Sicherheits-MTPD und Sicherheits-RTO? Unter Sicherheits-MTPD versteht man die maximal tolerierbare Ausfallzeit einer sicherheitskritischen Funktion: die längste Zeitspanne, die eine wesentliche Sicherheitsmaßnahme außer Betrieb sein darf, bevor untragbare Risiken oder Schäden für die Organisation entstehen. Als Sicherheits-RTO bezeichnet man das vorgegebene Wiederanlaufziel im Sicherheitsbereich – also die Zeitvorgabe, innerhalb der eine ausgefallene Sicherheitsmaßnahme spätestens wieder funktionieren oder eine Notfalllösung greifen muss, um kritische Folgen zu vermeiden. Wichtig: Diese Sicherheits-RTO bezieht sich nicht auf IT-Systeme, sondern auf physische Sicherheitsmaßnahmen oder organisatorische Sicherheitsprozesse – sie darf nicht mit einem klassischen IT-RTO (Wiederanlaufzeit für IT-Dienste) verwechselt werden.
ist die maximal verträgliche Unterbrechungsdauer einer sicherheitskritischen Funktion oder eines Schutzsystems. Wird ein solcher Prozess länger als die definierte MTPD unterbrochen, sind die Sicherheit und Überlebensfähigkeit der Organisation gefährdet. Diese “No-Go-Schwelle” wird in einer BIA eruiert oder von der Leitung vorgegeben, basierend darauf, ab wann ein Sicherheitsausfall existenzbedrohende oder untragbare Folgen hätte.
Beispiele aus der Praxis:
ist das Wiederanlaufziel speziell für sicherheitskritische Funktionen. Es gibt die Ziel-Zeitspanne vor, innerhalb der eine ausgefallene Sicherheitsmaßnahme wieder wirksam sein muss (z. B. durch Ersatzmaßnahmen wie Alarmierung einer Sicherheitskraft), um massive Schäden oder Risikosteigerungen zu verhindern. Die Sicherheits-RTO wird in der Notfallplanung festgelegt und ist immer kürzer als die zugehörige MTPD der Funktion.
Beispiele aus der Praxis:
Um Missverständnisse zu vermeiden, ist es wichtig, Sicherheits-RTO von IT-RTO zu unterscheiden. Beide Begriffe beziehen sich auf eine Wiederherstellungszeit, jedoch in verschiedenen Domänen:
Ein IT-RTO (in IT-Notfallplanung) beschreibt die vorgegebene maximale Ausfallzeit für IT-Systeme oder Anwendungen, innerhalb derer diese wiederhergestellt sein sollen, um die Geschäftskontinuität der IT-gestützten Prozesse zu gewährleisten. Es wird meist im Rahmen der IT Service Continuity oder Disaster Recovery-Planung festgelegt. Typische IT-RTOs können je nach Systemkritikalität von wenigen Minuten (z. B. für Bankzahlungssysteme) bis zu Stunden oder sogar Tagen bei weniger kritischen Anwendungen variieren.
Das Sicherheits-RTO dagegen betont die Wiederherstellungszeit für physische oder organisatorische Schutzmaßnahmen (z. B. mechanische Sicherheitsanlagen, Überwachungs- und Interventionsprozesse). Hier steht die Betriebs- und Sicherheitsperspektive im Vordergrund: Wie rasch müssen wir eine Sicherheitsfunktion wieder verfügbar haben, um Risiken wie Einbruch, Sabotage oder Personenschäden zu begrenzen? In sicherheitsrelevanten Bereichen sind diese Wiederanlaufzeiten oft sehr kurz (Minutenbereich), weil längere Ausfälle zu akuten Sicherheitslücken führen würden. Für weniger kritische Sicherheitsfunktionen (z. B. Zutrittskontrollsysteme in nicht-sensiblen Bereichen) kann die Sicherheits-RTO jedoch auch größer sein – solange sie deutlich unterhalb der jeweiligen Sicherheits-MTPD bleibt.
Wichtig: Sicherheits-RTOs werden zumeist nicht in Wochen bemessen, da Sicherheitsfunktionen in echten Notfallszenarien typischerweise rascher wiederhergestellt sein müssen als viele betriebswirtschaftliche Prozesse oder IT-Dienste.
Sie helfen, kritische Schutzfunktionen priorisiert zu behandeln und Notfallmaßnahmen so zu planen, dass der Betrieb der wichtigsten Sicherheitsmaßnahmen auch in Ausnahmesituationen gewährleistet bleibt. Im Unterschied zum rein IT-bezogenen RTO erweitern diese Kennzahlen den Blick auf alle sicherheitsrelevanten Prozesse – von physischen Alarmanlagen bis hin zu organisatorischen Abläufen – und unterstützen eine ganzheitliche Notfallplanung, die sowohl technische als auch personell/organisatorische Maßnahmen umfasst. Normen wie ISO 22301 und BSI-Standard 200-4 (BCM) definieren diese Konzepte und empfehlen, MTPD und RTO im Einklang festzulegen, sodass Wiederanlaufzeiten stets innerhalb der tolerierten Ausfallzeiten liegen. Mit klaren Definitionen und praxisnaher Umsetzung dieser Werte können Organisationen Missverständnisse vermeiden, ihre Resilienz stärken und im Krisenfall gezielt handeln.