Notfallwiederherstellung für Verschlusssachen-Systeme: Backup, COOP, Integrität

Von Corvus Intelligence Engineering Team · Über das Team →

11. Juni 2026 9 Min. Lesezeit

Verschlusssachen-Verteidigungsinformationssysteme fallen aus. Hardware versagt. Einrichtungen verlieren Strom. Ransomware-Akteure sondieren die Ränder selbst gut verteidigter Netze. Die Frage ist nicht, ob ein missionskritisches Verschlusssachen-System jemals nicht verfügbar sein wird – sondern, ob die Organisation einen getesteten, ausführbaren Plan hat, es innerhalb der von der Mission tolerierbaren Zeit wiederherzustellen. Notfallwiederherstellung für Verschlusssachen-Systeme ist keine verkleinerte Version kommerzieller IT-DR; sie ist eine eigene Disziplin, geprägt durch Akkreditierungsvorgaben, Anforderungen an die Datenkompartmentierung und die betriebliche Realität, dass die Systeme, die am dringendsten eine rasche Wiederherstellung benötigen, diejenigen sind, deren Wiederherstellungsverfahren am schwierigsten auszuführen sind.

Dieser Artikel behandelt die vier Säulen der Verschlusssachen-DR: Backup-Architektur innerhalb der Klassifizierungsgrenzen, Integration der Betriebskontinuitätsplanung (COOP), kryptografische Integritätsprüfung und getestete Wiederherstellungsverfahren. Er adressiert die spezifischen Vorgaben, die Verschlusssachen-DR schwieriger machen als Standard-IT-DR – und die häufigsten Fehler, die Programme mit Sicherungen zurücklassen, die im Bedarfsfall weder rechtlich noch technisch wiederhergestellt werden können.

Warum Verschlusssachen-DR anders ist

Standard-IT-Notfallwiederherstellung optimiert auf Geschwindigkeit und Kosten. Der vorherrschende kommerzielle Ansatz – cloudgehostete Sicherung mit automatischem Failover – steht den meisten Verschlusssachen-Systemen nicht zur Verfügung. Die Vorgaben, die Verschlusssachen-DR prägen, sind:

Akkreditierungsgrenzen. Ein Verschlusssachen-System wird im Rahmen einer Betriebsgenehmigung (ATO) betrieben, die für eine bestimmte Konfiguration in einer bestimmten akkreditierten Umgebung erteilt wird. Eine Sicherung, die nur in eine nicht akkreditierte Umgebung wiederhergestellt werden kann, ist betrieblich nutzlos. Die DR-Architektur muss so gestaltet sein, dass die Wiederherstellungsumgebung – nicht nur die Produktionsumgebung – die korrekte Akkreditierung, Sicherheitskontrollen und Personalzugriffsautorisierungen trägt, bevor eine Katastrophe eintritt, nicht danach.

Handhabung physischer Medien. Sicherungsmedien für Verschlusssachen-Daten sind auf derselben Ebene klassifiziert wie die Daten, die sie enthalten. Bänder, Laufwerke und Wechselmedien müssen gemäß den Klassifizierungsanweisungen für die enthaltenen Daten gekennzeichnet, gelagert, transportiert und vernichtet werden. DR-Pläne, die davon ausgehen, dass Sicherungsmedien kurzfristig per Kurier zu einer Auslagerungseinrichtung gebracht werden können, müssen die Logistik des sicheren Transports berücksichtigen – die bei SECRET und höher bewaffnete Eskorte und spezifische Fahrzeuganforderungen erfordern kann.

Abhängigkeit von kryptografischen Schlüsseln. Verschlusssachen-Sicherungen sind verschlüsselt. Eine verschlüsselte Sicherung ist ohne die korrekten Entschlüsselungsschlüssel völlig unlesbar – unabhängig davon, wie schnell die Wiederherstellungsinfrastruktur verfügbar wird. Die Schlüsselverwaltung für DR-Zwecke muss als eigener Arbeitsstrang geplant werden: Wo werden die Schlüssel aufbewahrt, wer hat autorisierten Zugriff, wie werden sie wiederhergestellt, wenn das primäre Schlüsselverwaltungssystem selbst Teil der Katastrophe ist, und wie lange dauert die Schlüsselwiederherstellung?

Enklavenübergreifende Isolation. Organisationen, die mehrere Klassifizierungs-Enklaven betreiben – SECRET, TS/SCI oder nationale Äquivalente –, können die Sicherungsinfrastruktur über sie hinweg nicht konsolidieren. Jede Enklave benötigt ihren eigenen, physisch getrennten Sicherungsstapel. Kombinierte Sicherungssysteme schaffen Compliance-Verstöße und potenzielle verdeckte Kanäle, selbst wenn die Sicherungsdaten selbst verschlüsselt sind.

Backup-Architektur innerhalb der Klassifizierungsgrenzen

Ausgangspunkt für die Backup-Architektur eines Verschlusssachen-Systems ist die Business-Impact-Analyse (BIA), die Missionsfunktionen den sie unterstützenden Systemen zuordnet und Wiederherstellungszeitziele (RTO) und Wiederherstellungspunktziele (RPO) für jedes festlegt. Für missionswesentliche C2-Systeme sind RTOs unter vier Stunden und RPOs unter fünfzehn Minuten gängige Anforderungen – erreichbar nur mit Hot- oder Warm-Standby-Replikation, nicht mit Cold-Backup. Für administrative und logistische Systeme sind RTOs von 24–72 Stunden und RPOs von 24 Stunden typischer und unterstützen einfachere Band- oder Festplatten-Backup-Ansätze.

Eine Verschlusssachen-Backup-Architektur für ein System, das Hot-Standby erfordert, hat drei Schichten:

1. Synchrone oder nahezu synchrone Replikation. Kritischer Zustand – Datenbank-Transaktionsprotokolle, Konfiguration, kryptografisches Material – wird auf einen sekundären Knoten innerhalb derselben akkreditierten Einrichtung oder in eine am selben Ort befindliche akkreditierte Einrichtung mit dediziertem sicheren Interconnect repliziert. Die Replikationslatenz bestimmt die praktische RPO-Untergrenze; synchrone Replikation erreicht nahezu null RPO auf Kosten der Schreiblatenz.

2. Geplante Sicherung in akkreditierten Offline-Speicher. Tägliche oder häufigere vollständige und inkrementelle Sicherungen auf dedizierte Sicherungsmedien im sicheren Speicher der akkreditierten Einrichtung. Diese Schicht schützt vor logischer Beschädigung – Ransomware, versehentliches Löschen, Datenbankbeschädigung –, die die Replikation an den sekundären Knoten weitergibt.

3. Auslagerungskopie in einer zweiten akkreditierten Einrichtung. Periodischer (wöchentlicher oder monatlicher) Transfer von Sicherungskopien in eine physisch getrennte akkreditierte Einrichtung mit gleichwertigen Sicherheitskontrollen. Diese Schicht schützt vor physischem Verlust der Einrichtung – Feuer, Überschwemmung, physischer Angriff. Bei Systemen, deren beide akkreditierte Einrichtungen geografisch getrennt sind, erfolgt dieser Transfer typischerweise als physischer Medientransport durch einen autorisierten Kurier.

Bei luftgekapselten Systemen ist netzwerkbasierte Replikation nicht verfügbar. Alle Sicherungsvorgänge sind physisch – Schreibvorgänge auf lokale Medien, manuelle Verifizierung und physischer Transport für Auslagerungskopien. Die Zeit für den physischen Transport muss ausdrücklich in die RTO-Berechnung einbezogen werden, denn „die Sicherung existiert" und „die Sicherung ist am erforderlichen Standort wiederherstellbar" sind durch einen Logistikschritt getrennt, der je nach beteiligten Einrichtungen Stunden bis Tage dauern kann.

Verschlüsselung und Schlüsselverwaltung für Sicherungen

Jeder Sicherungssatz muss im Ruhezustand mit dem zugelassenen kryptografischen Algorithmus der Enklave verschlüsselt werden – AES-256 ist die Grundlage für die meisten nationalen Sicherheitssysteme. Die Verschlüsselungsschlüssel für Sicherungsdaten müssen getrennt von den Sicherungsdaten selbst verwaltet werden: Ein Schlüssel, der neben der Sicherung gespeichert wird, die er schützt, bietet keinen Schutz gegen einen Angreifer, der Zugang zu den Sicherungsmedien erlangt. Die Standardarchitektur verwendet ein dediziertes Hardware-Sicherheitsmodul (HSM) innerhalb der akkreditierten Einrichtung zur Aufbewahrung der Sicherungsverschlüsselungsschlüssel, mit Schlüsselhinterlegung in einem zweiten HSM in der Auslagerungseinrichtung.

Die Schlüsselwiederherstellung muss als Teil der DR-Übungen geübt werden. Ein DR-Plan, der nie die Wiederherstellung aus der Sicherung mit dem Schlüsselwiederherstellungsverfahren getestet hat – sondern nur aus der Sicherung mit Schlüsseln, die in der primären Einrichtung noch zugänglich sind –, hat das Szenario nicht getestet, das er am dringendsten abdecken muss.

COOP-Integration: von technischer DR zur Missionskontinuität

Ein technischer DR-Plan beantwortet die Frage: Wie stellen wir diese Systeme wieder her? Ein Betriebskontinuitätsplan (COOP) beantwortet die umfassendere Frage: Wie setzen wir missionswesentliche Funktionen während und nach einer Störung fort? NIST SP 800-34 (Contingency Planning Guide for Federal Information Systems) bietet den maßgeblichen Rahmen für US-Regierungsprogramme; die NATO hat gleichwertige INFOSEC-Leitlinien für Verschlusssachen-NATO-Systeme.

Der COOP legt die wesentlichen Funktionen fest, die aufrechterhalten werden müssen – jene, deren Unterbrechung die Mission unmittelbar beeinträchtigen würde – und priorisiert sie ausdrücklich. Nicht alle Systemfunktionen sind gleich wesentlich. Eine S2-Aufklärungsfusionsfähigkeit kann in der ersten Stunde einer Störung wesentlich sein; die Berichts- und Archivierungsfunktionen, die sie speisen, können einen 48-stündigen Ausfall tolerieren. Diese Prioritätsentscheidungen vor einer Katastrophe zu treffen ist entscheidend, denn sie unter betrieblichem Stress zu treffen, während die Systeme ausgefallen sind, führt zu schlechteren Ergebnissen.

Damit der COOP umsetzbar ist, erfordert er benannte Stellvertreter für jede Schlüsselrolle im Wiederherstellungsprozess. Der primäre Systemadministrator, der Informationssystem-Sicherheitsbeauftragte (ISSO) und der Medienverwalter haben alle benannte Stellvertreter, die geschult, autorisiert sind und über aktuelle Zugangsberechtigungen verfügen. Ein DR-Plan, der von der Verfügbarkeit bestimmter Einzelpersonen abhängt, ist kein Plan – er ist eine Hoffnung. Organisationen scheitern regelmäßig an Wiederherstellungsübungen, weil die einzige Person, die ein bestimmtes Verfahren kennt, am Tag der Übung nicht verfügbar ist.

Der COOP adressiert auch den Betrieb von Ausweichstandorten. Wenn die primäre Einrichtung die Katastrophe ist, wo arbeitet das Personal? Wo laufen Verschlusssachen-Systeme während der Wiederherstellungsphase? Diese Fragen müssen im Voraus beantwortet werden, mit benannten, ausgestatteten und akkreditierten Ausweichstandorten – nicht als Möglichkeiten, die nach dem Ereignis zu erkunden sind.

Kryptografische Integritätsprüfung

Eine Sicherung, die beschädigt wurde – sei es durch Ausfall des Speichermediums, einen Softwarefehler im Sicherungsagenten oder vorsätzliche Manipulation –, kann das System nicht wiederherstellen. Für Verschlusssachen-Systeme ist unentdeckte Beschädigung besonders gefährlich: Eine Wiederherstellung, die scheinbar erfolgreich ist, aber einen subtil fehlerhaften Systemzustand erzeugt, ist schwerer zu erkennen und zu beheben als ein offensichtlicher Fehler.

Die Mindestposition für die Integritätsprüfung von Verschlusssachen-Sicherungen ist SHA-256-Hashing jedes Sicherungssatzes unmittelbar nach der Erstellung, mit Speicherung der Hashes in einem getrennten, reinen Anhänge-Audit-Protokoll. Der Hash muss vor jedem Wiederherstellungsvorgang verifiziert werden – nicht nur gegen einen gespeicherten Wert geprüft, sondern aus dem Sicherungsmedium neu berechnet und verglichen. Dies erkennt Mediendegradation, Speichersystemfehler und Manipulation.

Die Hash-Verifizierung ist notwendig, aber nicht ausreichend. Der einzige vollständige Integritätstest ist eine Wiederherstellungsübung: Binden Sie die Sicherung in eine isolierte Wiederherstellungsumgebung ein, fahren Sie das System hoch und überprüfen Sie, dass Anwendungen starten und die Daten konsistent sind. Dies fängt Probleme ab, die das Hashing nicht kann: Sicherungssätze, die kryptografisch intakt, aber logisch inkonsistent sind (eine mitten in einer Transaktion erstellte Datenbanksicherung, eine Dateisystemsicherung mit defekten Hardlinks, eine Anwendungssicherung ohne eine erforderliche externe Abhängigkeit). Für Systeme höchster Kritikalität sollten Wiederherstellungsübungen vierteljährlich sein; für alle Verschlusssachen-Systeme ist jährlich die mindestens akzeptable Kadenz.

Zentrale Erkenntnis: Der häufigste Verschlusssachen-DR-Fehler ist nicht eine nicht existierende Sicherung – es ist eine Sicherung, die existiert, aber innerhalb der erforderlichen Zeit nicht rechtmäßig wiederhergestellt werden kann. Wiederherstellungsumgebungen müssen eine aktuelle Akkreditierung tragen, Personal muss aktuelle Zugangsautorisierungen haben, und Schlüsselwiederherstellungsverfahren müssen vor der Katastrophe dokumentiert und getestet sein. Zu entdecken, dass die Wiederherstellungsumgebung in dem Moment, in dem sie benötigt wird, ein abgelaufenes ATO hat, ist ein Prozessversagen, das keine noch so große Sicherungstechnologie kompensieren kann.

Wiederherstellungs-Runbooks und Übungskadenz

Ein Wiederherstellungs-Runbook ist ein Schritt-für-Schritt-Verfahrensdokument, das jede Aktion angibt, die zur Wiederherstellung eines Systems aus der Sicherung in einen betriebsfähigen Zustand erforderlich ist. Für Verschlusssachen-Systeme muss ein Runbook abdecken: Medienabruf aus dem sicheren Speicher (einschließlich Dokumentation der Verwahrungskette), Wiederherstellung der Entschlüsselungsschlüssel, Vorbereitung und Verifizierung physischer Hardware, Wiederherstellung von Betriebssystem und Basis-Software, Anwendungswiederherstellung und Konfigurationsverifizierung, Verifizierung der Sicherheitskontrollen nach der Wiederherstellung (Bestätigung, dass Klassifizierungskennzeichnungen, Zugriffskontrollen und Audit-Protokollierung korrekt funktionieren) und ISSO-Freigabe, bevor das System wieder in den Produktivbetrieb genommen wird.

Der Schritt der Sicherheitskontrollverifizierung verdient besondere Aufmerksamkeit. Ein wiederhergestelltes System, das technisch betriebsfähig ist, aber seine Audit-Protokollierungskonfiguration verloren hat oder auf eine Basis vor der Härtung zurückgefallen ist, ist nicht für den Verschlusssachen-Einsatz bereit. Die Checkliste nach der Wiederherstellung muss jede vom ATO geforderte Sicherheitskontrolle verifizieren, nicht nur die betriebliche Funktionalität. Diese Verifizierung benötigt Zeit – typischerweise ein bis drei Stunden für ein gut dokumentiertes System – und muss in die RTO-Berechnung einbezogen werden, nicht als administrative Aufgabe nach der Wiederherstellung behandelt werden, die geschieht, nachdem die Uhr gestoppt ist.

Für containerisierte militärische Workloads müssen Wiederherstellungsverfahren sowohl die zugrunde liegende Infrastruktur (das Kubernetes-Cluster und die Knotenkonfiguration) als auch die Anwendungsschicht adressieren. Das Wiederherstellen von persistenten Volume-Daten ohne Wiederherstellung der korrekten Cluster-Konfiguration und Sicherheitsrichtlinien erzeugt ein System, das startet, aber nicht akkreditierungskonform arbeitet. Runbooks für containerisierte Systeme sollten die genaue Reihenfolge der Wiederherstellungsvorgänge angeben – zuerst Cluster-Infrastruktur, dann persistenter Speicher, dann Anwendungsbereitstellung – und spezifische Verifizierungsbefehle für jede Phase enthalten.

Jährliche vollständige Wiederherstellungsübungen sind die Mindestanforderung für die ATO-Aufrechterhaltung in den meisten Akkreditierungsrahmen. Best Practice für missionswesentliche Systeme sind halbjährliche Übungen, mit Tabletop-Übungen in den dazwischenliegenden Quartalen, um die Teambereitschaft aufrechtzuerhalten, ohne die vollen Ressourcenkosten einer Live-Wiederherstellung. Übungsergebnisse müssen dokumentiert werden: tatsächlich erreichte RTO und RPO, Abweichungen vom Runbook, aufgetretene Probleme und deren Lösung sowie alle Maßnahmenpunkte, die vor der nächsten Übung behoben werden müssen.

Häufige Fehlermuster

Organisationen, die Verschlusssachen-DR-Fehler erlebt haben, führen sie am häufigsten auf eines von vier Mustern zurück:

Die Akkreditierungslücke. Die Wiederherstellungsumgebung ist ausgewiesen, aber ihr ATO läuft ab, weil sie nie in der Produktion verwendet wird und nicht im kontinuierlichen Überwachungsprogramm enthalten ist. Zum Wiederherstellungszeitpunkt entdeckt, erfordert die Lücke einen Notfall-Akkreditierungsprozess, der Tage bis Wochen dauert – weit außerhalb jedes vernünftigen RTO.

Das Schlüsselverwahrungsversagen. Sicherungsverschlüsselungsschlüssel werden von einer kleinen Zahl autorisierter Personen gehalten. Wenn eine Katastrophe eintritt, sind diese Personen nicht verfügbar (sie können selbst Opfer der Störung sein). Schlüsselhinterlegungsverfahren existieren auf dem Papier, wurden aber nie geübt, und der Hinterlegungsort stellt sich als mit einer bürokratischen Zugangsanforderung versehen heraus, die unter Notfallbedingungen nicht schnell erfüllt werden kann.

Das ungetestete Runbook. Das Wiederherstellungs-Runbook wurde geschrieben, als das System ursprünglich bereitgestellt wurde, und wurde mit der Weiterentwicklung des Systems nicht aktualisiert. Nach zwei Jahren von Patches, Konfigurationsänderungen und Anwendungsaktualisierungen verweist das Runbook auf Systemversionen und Verfahren, die nicht mehr dem tatsächlichen System entsprechen. Das erste Mal, dass das Runbook geübt wird, ist während einer tatsächlichen Katastrophe.

Die Logistiklücke. Bei luftgekapselten oder geografisch verteilten Systemen ist die für den physischen Transport von Sicherungsmedien aus dem Auslagerungsspeicher zur Wiederherstellungseinrichtung erforderliche Zeit nicht in der RTO-Berechnung enthalten. Das Programm glaubt, ein vierstündiges RTO zu haben; das tatsächliche RTO sind vier Stunden plus zwölf Stunden Kuriertransit – eine Fähigkeit, die auf dem Papier existiert, aber nicht in der Praxis.

Resiliente Verschlusssachen-Infrastruktur mit corvus quantum

Corvus Quantum wurde für Verteidigungsprogramme gebaut, die sich keine unverifizierten Daten leisten können – mit kryptografischer Integritätsprüfung, Multi-Enklaven-Schlüsselverwaltung und betrieblicher Resilienz, die für akkreditierte Umgebungen konzipiert ist. Ob Sie DR für ein neues Verschlusssachen-System entwerfen oder Lücken in einem bestehenden Programm beheben – wir können helfen.

Corvus Quantum entdecken → Briefing buchen

Diese Analyse wurde von Corvus-Intelligence-Ingenieuren erstellt, die missionskritische Software für Verteidigungs- und Regierungsorganisationen entwickeln. Erfahren Sie mehr über unser Team →

Häufig gestellte Fragen

Was unterscheidet die Notfallwiederherstellung für Verschlusssachen-Systeme von der Standard-IT-Wiederherstellung?

Die Notfallwiederherstellung (DR) von Verschlusssachen-Systemen muss zwei Vorgaben gleichzeitig erfüllen: die rasche Wiederherstellung der Einsatzfähigkeit und die strikte Wahrung der Datenkompartmentierung. Standard-IT-DR priorisiert Geschwindigkeit und Kosteneffizienz. Verschlusssachen-DR muss sicherstellen, dass wiederhergestellte Systeme keinen Datenabfluss zwischen Enklaven zulassen, dass Sicherungsmedien denselben physischen Sicherheitskontrollen wie die Produktion unterliegen, dass Wiederherstellungsvorgänge autorisiert und überprüfbar sind und dass die kryptografische Schlüsselwiederherstellung als eigener Arbeitsstrang geplant ist — denn verschlüsselte Sicherungsmedien sind ohne die korrekten Schlüssel unlesbar, selbst wenn die Wiederherstellungsinfrastruktur intakt ist.

Was ist ein Betriebskontinuitätsplan (COOP) und wie unterscheidet er sich von einem DR-Plan?

Ein DR-Plan ist ein technisches Dokument, das festlegt, wie Systeme nach einem Ausfall wiederhergestellt werden — Sicherungsorte, Wiederherstellungsverfahren, RTO- und RPO-Ziele sowie Testpläne. Ein COOP ist ein umfassenderer organisatorischer Plan, der die Missionskontinuität bei jeder Störung adressiert: Personaleinsätze, Ausweichstandorte, Priorisierung wesentlicher Funktionen und behördenübergreifende Koordination. Für Verteidigungsprogramme ist COOP durch NIST SP 800-34 vorgeschrieben und muss sowohl cyberbedingte Ausfälle als auch physische Störungen wie den Verlust einer Einrichtung berücksichtigen. Der DR-Plan ist ein technischer Anhang zum COOP.

Wie sollte die Sicherungsspeicherung über Klassifizierungs-Enklaven hinweg verwaltet werden?

Jede Enklave benötigt physisch getrennte Sicherungsmedien — Bänder, Laufwerke oder Speicherknoten —, die niemals Enklavengrenzen überschreiten. Sicherungsdaten müssen auf der Klassifizierungsebene der Enklave mit Schlüsseln verschlüsselt werden, die innerhalb der Schlüsselverwaltungsinfrastruktur dieser Enklave verwaltet werden. Auslagerungskopien müssen in einer Einrichtung mit gleicher oder höherer physischer Sicherheitsakkreditierung als die Produktionseinrichtung gespeichert werden. Bei luftgekapselten Systemen erfolgt der Sicherungstransport physisch (Kurier oder SCIF-zu-SCIF-Transfer), was in die Berechnung der Wiederherstellungszeit einfließen muss. Die Aggregation von Sicherungen über Enklaven hinweg — selbst verschlüsselt — schafft einen Compliance-Verstoß und einen potenziellen verdeckten Kanal.

Was ist die Integritätsprüfung von Sicherungen und wie wird sie für Verschlusssachen umgesetzt?

Die Integritätsprüfung von Sicherungen bestätigt, dass eine Sicherung das enthält, was gesichert wurde, und während Übertragung oder Speicherung nicht verändert wurde. Für Verschlusssachen-Systeme erfordert dies eine kryptografische Hash-Prüfung (SHA-256 oder SHA-3) jedes Sicherungssatzes unmittelbar nach der Erstellung und vor jedem Wiederherstellungsvorgang. Hashes müssen getrennt von den Sicherungsmedien gespeichert werden — idealerweise in einem manipulationssicheren Protokoll oder einem reinen Anhänge-Audit-System. Regelmäßige Wiederherstellungsübungen — nicht nur Prüfsummenverifizierung — sind die einzige Möglichkeit zu bestätigen, dass eine Sicherung betrieblich nutzbar ist: dass das wiederhergestellte System startet, dass Anwendungen anlaufen und dass die Daten vollständig und konsistent sind.

Was sind typische RTO- und RPO-Ziele für Verschlusssachen-Verteidigungssysteme?

Die Ziele für Wiederherstellungszeit (RTO) und Wiederherstellungspunkt (RPO) für Verschlusssachen-Verteidigungssysteme variieren je nach Missionskritikalität. Missionswesentliche C2-Systeme können ein RTO unter 4 Stunden und ein RPO unter 15 Minuten erfordern — erreichbar nur mit Hot-Standby-Replikation innerhalb derselben akkreditierten Einrichtung oder zwischen akkreditierten, am selben Ort befindlichen Einrichtungen. Administrative und logistische Systeme können ein RTO von 24–72 Stunden und ein RPO von 24 Stunden tolerieren. Diese Ziele müssen im Notfallplan des Systems dokumentiert, jährlich getestet und immer dann überprüft werden, wenn sich die Missionskritikalitätsklassifizierung des Systems ändert.