Availability – Praxis

Verfuegbarkeit ist im Audit haeufig ein blinder Fleck: RTO und RPO sind dokumentiert, aber nie getestet. Redundanzen sind geplant, aber nicht verifiziert. Was Auditoren bei NIS-2, DORA und ISO 27001 wirklich pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Availability fragt der Auditor nach nachweislich getesteten Wiederherstellungszielen. Das BAM-Objekt CROSS-AV-02 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• Kein differenziertes RTO/RPO pro Systemkategorie
• Backup-Tests undokumentiert oder nicht regelmaessig
• Failover-Systeme existieren, werden aber nie aktiviert und getestet
• Single Points of Failure in der Netzwerkarchitektur nicht adressiert

Umsetzung Schritt fuer Schritt

Erster Schritt: Alle kritischen Systeme identifizieren und Verfuegbarkeitsklassen zuweisen. Zweiter Schritt: RTO und RPO pro System festlegen und dokumentieren. Dritter Schritt: Redundanzmassnahmen und Backup-Konzept gegen RTO/RPO ausrichten. Vierter Schritt: Jaehrliche Wiederherstellungstests durchfuehren und dokumentieren. Fuenfter Schritt: Single Points of Failure identifizieren und Massnahmen planen. Sechster Schritt: Erreichtes vs. geplantes RTO/RPO im Testbericht vergleichen.

Evidence-Anforderungen im Audit

Der Auditor erwartet: Liste kritischer Systeme mit Verfuegbarkeitsklassen und RTO/RPO, Testberichte aller Wiederherstellungstests mit Datum und Ergebnissen, Backup-Konfigurationsdokumentation, Nachweis der Failover-Tests und – bei DORA-pflichtigen Unternehmen – den vollstaendigen Business-Continuity-Plan.

Die strategische Einordnung – warum Availability langfristig mehr als ein Betriebsthema ist – findet sich auf Ebene 3.