- Bedeutung
- Disaster Recovery Plan (Wiederherstellungsplan)
- Fokus
- Technische Wiederherstellung der IT
- Kennzahlen
- Wiederherstellungszeit (RTO) und -punkt (RPO)
- Verwandt
- BCP, BCMS
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein DRP?
Der Disaster Recovery Plan ist der rein technische Notfallplan der IT. Er beschreibt detailliert, wie IT-Systeme, Anwendungen und Daten nach einem schweren Vorfall – etwa Ransomware, einem Brand im Rechenzentrum oder einem schweren Hardware-Ausfall – möglichst schnell und in der richtigen Reihenfolge wiederhergestellt werden. Anders als der BCP, der den gesamten Geschäftsbetrieb betrachtet, konzentriert sich der DRP auf die technische Ebene: Welche Systeme werden zuerst zurückgeholt, aus welchem Backup, auf welcher Ersatz-Infrastruktur und mit welchen Schritten? Damit ist er die operative Grundlage jeder verlässlichen Wiederherstellung.
RTO und RPO
Zwei Kennzahlen sind zentral: die RTO (Recovery Time Objective – wie schnell muss ein System wieder laufen?) und die RPO (Recovery Point Objective – wie viel Datenverlust ist maximal tolerierbar?). Sie werden aus der Business-Impact-Analyse abgeleitet und bestimmen, wie häufig Backups erstellt und wie aufwendig Ausweichsysteme gestaltet werden müssen.
Etwa: Ein Online-Händler legt für seinen Webshop eine RTO von vier Stunden und eine RPO von 15 Minuten fest. Der DRP beschreibt deshalb ein gespiegeltes Ausweichrechenzentrum und Datenbank-Backups im Viertelstundentakt. Als nach einem Ausfall die Hauptdatenbank crasht, schaltet das Team nach geübtem Plan auf das Ausweichsystem um – der Shop ist nach gut zwei Stunden wieder online, weit innerhalb der Zielwerte.
DRP, BCP und BCMS
Der DRP ist der technische Teilbaustein der Notfallvorsorge. Während der BCP den gesamten Geschäftsbetrieb sichert und das BCMS alles übergeordnet steuert, kümmert sich der DRP gezielt um die IT. Erst zusammen ergeben sie eine durchgängige Business Continuity.
DRP und NIS2
Die seit dem 6. Dezember 2025 geltende NIS2-Richtlinie verlangt ausdrücklich Backup-Management und Wiederherstellung als Teil der Risikomanagement-Maßnahmen. Ein getesteter DRP – mit funktionierenden, regelmäßig geprüften und idealerweise offline gehaltenen Backups – ist dafür unverzichtbar und ein zentraler Nachweis gegenüber der Aufsicht.
Weiterführende Quelle: ISO 22301 – Business Continuity Management als Rahmen für Wiederherstellung
Häufige Fragen
Was ist ein Disaster Recovery Plan?
Ein Disaster Recovery Plan (DRP) ist der rein technische Notfallplan der IT. Er beschreibt detailliert, wie IT-Systeme, Anwendungen und Daten nach einem schweren Vorfall – etwa Ransomware, einem Brand im Rechenzentrum oder einem Hardware-Ausfall – möglichst schnell und in der richtigen Reihenfolge wiederhergestellt werden: welche Systeme zuerst, aus welchem Backup und auf welcher Ersatz-Infrastruktur. Damit ist der DRP die operative Grundlage jeder verlässlichen Wiederherstellung.
Was bedeuten RTO und RPO?
RTO und RPO sind die beiden zentralen Kennzahlen eines DRP. Die RTO (Recovery Time Objective) gibt an, wie schnell ein System nach einem Ausfall wieder laufen muss, also die maximal tolerierbare Wiederherstellungszeit. Die RPO (Recovery Point Objective) legt fest, wie viel Datenverlust maximal tolerierbar ist. Beide Werte werden aus der Business-Impact-Analyse abgeleitet und bestimmen, wie häufig Backups erstellt werden.
Was ist der Unterschied zwischen DRP und BCP?
Der DRP (Disaster Recovery Plan) fokussiert die technische Wiederherstellung von IT-Systemen, Daten und Infrastruktur. Der BCP (Business Continuity Plan) sichert dagegen den gesamten Geschäftsbetrieb inklusive Personal und Prozessen. Der DRP ist somit der IT-Teilplan innerhalb der breiteren Business-Continuity-Planung. Unter der seit dem 06.12.2025 geltenden NIS2-Richtlinie ist ein getesteter DRP ein zentraler Nachweis für Backup-Management und Wiederherstellung gegenüber der Aufsicht.