MTTR und Business Continuity: Die unbequeme Wahrheit aus Audits und Wartungsverträgen

Lieferkettenprobleme nehmen weiter zu – nicht zuletzt aufgrund wachsender Cyberrisiken. In vielen Lieferketten sind kleine und mittlere Unternehmen (KMU) eingebunden, die über ein vergleichsweise niedriges Cybersicherheitsniveau verfügen. Diese Unternehmen werden häufiger Opfer von Cyberattacken oder benötigen nach Sicherheitsvorfällen deutlich länger, um den Normalbetrieb wieder aufzunehmen. Fehlende oder unzureichend getestete Backups, Notfallpläne und Wiederherstellungsprozesse sind dabei ein wesentlicher Faktor.

Gleichzeitig erhöhen regulatorische Vorgaben wie NIS2 und DORA den Druck auf Organisationen. Verträge, Service Level Agreements (SLAs) und zugesicherte Leistungen werden neu bewertet und ergänzt. Beide Regelwerke adressieren explizit Anforderungen an Cyberresilienz, Business Continuity, Backups und Notfallmaßnahmen – nicht nur für das eigene Unternehmen, sondern auch entlang der gesamten Lieferkette.

Wiederherstellungszeiten im Fokus von Audits und Managemententscheidungen

In internen und externen Audits werden im Rahmen des Risikomanagement auch Fragen nach der vereinbarten oder erforderlichen Wiederherstellungszeit gestellt. Ebenso werden die zugrunde liegenden Backup- und Recovery-Konzepte geprüft:

Was wird gesichert? Wie häufig? Wie lange werden Daten aufbewahrt? Und wie schnell ist eine Wiederherstellung realistisch möglich?

Die Antworten fallen in der Praxis häufig ernüchternd aus:

• „Das wissen wir nicht.“

• „Unser Dienstleister garantiert eine Reaktionszeit von 24 Stunden.“

• „Wir haben Backups der letzten zehn Tage – wir schätzen drei Tage für die Wiederherstellung plus zwei Tage für Tests.“

• „Notfälle wurden bisher nicht real getestet, daher wurden keine Zeiten gemessen.“

Gerade der letzte Punkt ist weit verbreitet. Vollständige und realistische Tests von Cybervorfällen oder Totalausfällen sind aufgrund von Kosten, Zeitaufwand und möglichen Restrisiken eher selten. Stattdessen beschränken sich viele Organisationen auf Teiltests, Schreibtischübungen oder historische Erfahrungen – obwohl sich die IT-Landschaft durch Updates, Patches, neue Lösungen und neue Bedrohungen permanent verändert!

Nicht selten kommt auch das „Prinzip Hoffnung“ zum Einsatz: „Wir waren noch nie betroffen“ oder „Es hat bei allen Problemen bisher immer funktioniert“.

Realität nach Cyberattacken: Wiederanlauf dauert oft länger als geplant

Viele Unternehmen wissen daher nicht, wie lange es tatsächlich dauert, bis der Normalbetrieb oder zumindest die geschäftskritischen Systeme wiederhergestellt sind. Ein anschauliches Beispiel lieferte ein Bericht der Firma HIPP auf einer Veranstaltung der IHK München und Oberbayern:

Nach einer Cyberattacke kam die Produktion vollständig zum Stillstand. Die vorhandenen Notfallpläne für die Produktion erwiesen sich als hilfreich – erste Anlagen liefen nach rund fünf Tagen wieder an. Dennoch dauerte es etwa 100 Tage, bis alle IT-Systeme vollständig bereinigt waren und reibungslos funktionierten.

Dieses Beispiel zeigt deutlich: Business Continuity bedeutet mehr als ein schneller technischer Neustart – es geht um die nachhaltige Wiederherstellung aller Prozesse und Daten.

MTTR – ein verbreiteter, aber missverstandener Kennwert

Zur Messung von Ausfallzeiten wird häufig die mittlere Wiederherstellungszeit (Mean Time to Recovery, MTTR) herangezogen. Sie beschreibt die durchschnittliche Zeit, die ein System, Gerät oder Dienst benötigt, um sich von einem Ausfall zu erholen.

Die Spannbreite ist groß:

• Millisekunden bei automatischem Failover oder Handover,

• Minuten oder Stunden bei Hardwaretausch,

• Tage oder Wochen bei komplexen Systemen oder nach schweren Cyberangriffen.

Prominente Beispiele wie Jaguar Land Rover zeigen die Dimensionen: Ein Produktionsausfall von über 20 Tagen und ein Schaden von rund 2 Milliarden Pfund verdeutlichen, welche wirtschaftlichen Auswirkungen lange Wiederherstellungszeiten haben können.

Warum MTTR allein für Managemententscheidungen nicht ausreicht

In Wartungs- und Serviceverträgen ist MTTR häufig Bestandteil der Leistungsbeschreibung. Eine zugesicherte „MTTR von 24 Stunden“ bedeutet jedoch nicht, dass ein System innerhalb von 24 Stunden vollständig wiederhergestellt ist. In der Regel handelt es sich um einen statistischen Durchschnittswert – nicht um eine garantierte Maximaldauer. Es kann also länger dauern oder auch schneller behoben sein.

Erschwerend kommt hinzu, dass Anbieter MTTR unterschiedlich interpretieren:

• als mittlere Reaktionszeit (Beginn der Fehlerbehebung),

• oder als mittlere Zeit bis zur vollständigen Wiederherstellung.

Für das Management ist diese Unschärfe kritisch. Aussagekräftiger sind klar definierte maximale Wiederherstellungszeiten, die messbar sind und eine echte Grundlage für Steuerung, Eskalation und Haftung bieten. Aber merke: Je kürzer die zugesagte Zeit, desto höher ist der Preis! Eine Kosten/Nutzen-Bewertung ist erforderlich und sollte dokumentiert werden, um die Entscheidungen im Ernstfall im Sinne der "Sorgfaltspflichten" nachvollziehen zu können.

Tests als Schlüssel zur Cyberresilienz

Ein zentrales Problem bei der MTTR-Messung ist, dass die tatsächliche Einhaltung nur durch realistische und vollständige Ausfallsimulationen überprüft werden kann. In der Praxis werden solche Tests jedoch selten durchgeführt. Teiltests und Annahmen schaffen aber keine belastbare Information zur realen und umfassenden Sicherheit.

Regelmäßige, umfassende Tests – inklusive Drehbuch, Ergebnisprotokoll und Lessons Learned – sind essenziell, um Cyberresilienz und Business Continuity tatsächlich zu gewährleisten. Die gewonnenen Erkenntnisse müssen konsequent in die Weiterentwicklung der Notfall- und Wiederherstellungsstrategie einfließen.

Wiederherstellung ist nicht gleich Normalbetrieb

Bei der Diskussion über Wiederherstellungszeiten sollte klar sein: „Wiederhergestellt“ bedeutet nicht zwangsläufig, dass Systeme sofort mit aktuellen Daten und voller Performance laufen. Oft sind zunächst ältere Datenbestände aktiv, Validierungen erforderlich und fachliche Tests notwendig, um die Integrität der Ergebnisse sicherzustellen. Erst danach ist der Normalbetrieb wirklich erreicht.

Risikobasierter Ansatz statt Überregulierung

Für eine wirksame Cybersecurity- und Business-Continuity-Strategie ist ein risikobasierter Ansatz entscheidend. Nicht jedes Asset, jede Anwendung oder jeder Geschäftsprozess ist gleich kritisch. Ressourcen sollten gezielt dort eingesetzt werden, wo Ausfälle existenzielle Auswirkungen hätten.

Hilfreich sind hier beispielsweise die „Elementaren Gefährdungen“ des BSI als Einstieg. Entscheidend ist jedoch, dass Risikoanalyse, Notfallpläne und Gegenmaßnahmen zur Größe, Struktur und Leistungsfähigkeit der Organisation passen. Eine überzogene Risikoidentifikation – etwa 150 Risiken bei einem Unternehmen mit 40 Mitarbeitenden – führt schnell zu Akzeptanzproblemen und ineffizientem Overhead. Priorisierung ist daher ein zentraler Erfolgsfaktor.

Fazit: Wiederherstellungszeiten strategisch denken

Wiederherstellungszeiten, Cyberresilienz und Business Continuity sind längst keine rein technischen Themen mehr, sondern strategische Managementaufgaben. Kennzahlen wie MTTR können helfen, ersetzen jedoch nicht die konzeptionelle Vorarbeit, realistische Tests und eine klare Priorisierung.

Wer sich frühzeitig mit den richtigen Fragen beschäftigt – was ist schützenswert, wie schnell muss es wieder verfügbar sein und wie realistisch sind unsere Annahmen? – stärkt nicht nur die eigene Cybersicherheit, sondern auch die Resilienz der gesamten Lieferkette.