Skip to content

BC/DR-Tests

Hier erfahren Sie, wie Sie in TCM365 Business-Continuity- und Disaster-Recovery-Tests (BC/DR) planen, durchführen, RTO/RPO definieren und die Ergebnisse dokumentieren.

Was sind BC/DR-Tests?

Business Continuity (BC) und Disaster Recovery (DR) Tests überprüfen, ob Ihre Organisation im Ernstfall -- z.B. bei einem Cyberangriff, einem Systemausfall oder einer fehlerhaften Konfigurationsänderung -- in der Lage ist, den Betrieb schnell wiederherzustellen.

Im Kontext von TCM365 bedeutet das: Können Sie Ihre Cloud-Konfigurationen bei einem Vorfall rechtzeitig auf einen funktionierenden Stand zurücksetzen?

RTO und RPO verstehen

Zwei zentrale Kennzahlen definieren die Anforderungen an die Wiederherstellung:

RTO (Recovery Time Objective)

Die maximale Zeit, die zwischen dem Eintreten eines Vorfalls und der vollständigen Wiederherstellung vergehen darf.

  • Beispiel: RTO = 4 Stunden bedeutet: Innerhalb von 4 Stunden muss die Konfiguration wiederhergestellt sein.

RPO (Recovery Point Objective)

Der maximale akzeptable Datenverlust, gemessen in Zeit. Der RPO definiert, wie aktuell der letzte verfügbare Snapshot sein muss.

  • Beispiel: RPO = 24 Stunden bedeutet: Der Snapshot, auf den zurückgesetzt wird, darf maximal 24 Stunden alt sein.

Hinweis

Ein niedriger RPO erfordert haeufigere Snapshots. Wenn Ihr RPO z.B. 4 Stunden betraegt, müssen Sie mindestens alle 4 Stunden einen Snapshot erstellen -- idealerweise automatisiert über einen Workflow.

BC/DR-Test planen

1. Neuen Test anlegen

  1. Navigieren Sie in der Sidebar zu KRITIS/NIS2 > BC/DR-Tests
  2. Klicken Sie auf Neuer Test

2. Testdaten eingeben

Füllen Sie das Formular aus:

  • Testname -- Beschreibender Name (z.B. "Q1-2026 DR-Test Entra ID")
  • Testtyp -- Art des Tests:
    • Tabletop Exercise -- Theoretische Durchspielung des Wiederherstellungsprozesses
    • Funktionstest -- Test der technischen Wiederherstellung in einer Testumgebung
    • Volltest -- Tatsaechliche Wiederherstellung in der Produktivumgebung
  • Betroffener Tenant -- Welcher Tenant wird getestet?
  • Betroffene Bereiche -- Welche Resource Types sind im Test enthalten?
  • Geplantes Datum -- Wann wird der Test durchgeführt?
  • Verantwortlicher -- Wer leitet den Test?

3. RTO und RPO definieren

  1. Legen Sie den RTO fest (in Stunden oder Minuten)
  2. Legen Sie den RPO fest (in Stunden oder Minuten)
  3. Diese Werte bilden die Erfolgskriterien für den Test

4. Testszenario beschreiben

Beschreiben Sie das Szenario, das getestet wird:

  • Was ist passiert? (z.B. "Alle Conditional Access Policies wurden versehentlich gelöscht")
  • Welcher Snapshot soll als Wiederherstellungsziel dienen?
  • Welche Schritte sind für die Wiederherstellung geplant?

BC/DR-Test durchführen

1. Test starten

  1. Öffnen Sie den geplanten Test
  2. Klicken Sie auf Test starten
  3. Notieren Sie den Startzeitpunkt -- die Uhr für den RTO läuft

2. Wiederherstellung ausführen

Je nach Testtyp:

  • Tabletop: Besprechen Sie die Wiederherstellungsschritte im Team
  • Funktionstest: Führen Sie den Rollback in einer Testumgebung durch
  • Volltest: Führen Sie den Rollback in der Produktivumgebung durch

3. Ergebnis dokumentieren

Nach Abschluss der Wiederherstellung:

  1. Notieren Sie den Endzeitpunkt
  2. TCM365 berechnet automatisch:
    • Tatsaechliche Wiederherstellungszeit (verglichen mit dem RTO)
    • Tatsächlicher Datenverlust basierend auf dem Alter des verwendeten Snapshots (verglichen mit dem RPO)
  3. Dokumentieren Sie:
    • War die Wiederherstellung erfolgreich?
    • Wurde der RTO eingehalten?
    • Wurde der RPO eingehalten?
    • Welche Probleme sind aufgetreten?
    • Welche Verbesserungen sind nötig?

4. Test abschliessen

  1. Bewerten Sie das Gesamtergebnis: Bestanden oder Nicht bestanden
  2. Fügen Sie Lessons Learned und Verbesserungsmassnahmen hinzu
  3. Klicken Sie auf Test abschliessen

RTO/RPO-Indikatoren

TCM365 zeigt visuelle Indikatoren für RTO und RPO:

Indikator Bedeutung
Grün Zielwert wurde eingehalten (tatsächliche Zeit < Zielwert)
Gelb Zielwert wurde knapp eingehalten (90-100% des Zielwerts)
Rot Zielwert wurde nicht eingehalten (tatsächliche Zeit > Zielwert)

Testergebnisse auswerten

In der Übersicht aller BC/DR-Tests sehen Sie:

  • Testhistorie -- Chronologische Liste aller durchgefuehrten Tests
  • RTO/RPO-Trend -- Wie sich die Wiederherstellungszeiten über die Tests hinweg entwickeln
  • Erfolgsquote -- Anteil der bestandenen Tests

Tipp

Führen Sie BC/DR-Tests mindestens quartalsweise durch. Variieren Sie die Szenarien und betroffenen Bereiche, um eine moeglichst breite Abdeckung zu erreichen.

Best Practices

  • Regelmäßig testen: Mindestens quartalsweise, bei KRITIS-Betreibern haeufiger
  • Szenarien variieren: Testen Sie verschiedene Ausfallszenarien (einzelne Policies, ganze Workloads, kompletter Tenant)
  • Realistische Bedingungen: Führen Sie zumindest jaehrlich einen Volltest unter realistischen Bedingungen durch
  • Snapshot-Frequenz an RPO anpassen: Stellen Sie sicher, dass Snapshots häufig genug erstellt werden, um den RPO einzuhalten
  • Ergebnisse nutzen: Leiten Sie aus Testergebnissen konkrete Verbesserungsmassnahmen ab
  • Dokumentation als Audit-Nachweis: BC/DR-Testergebnisse sind wichtige Nachweise bei NIS2-Audits

Nächster Schritt