Analysen
02. Dezember 2011
AUTOR: Businesscloud.de
Notfallsituationen können jederzeit in einem Rechenzentrum auftreten. Ist eine solide Notfallplanung vorhanden, lassen sich die Folgen solcher Vorfälle minimieren. (Bild: Pironet NDH) Unbestritten ist, dass ohne IT in den meisten Unternehmen, Behörden und Organisationen nichts mehr geht. Laut einer Studie der Beratungsgesellschaft Bearing Point stufen 51 Prozent der Chief Information Officers (CIOs) den Wertbeitrag der IT zum Erfolg des Unternehmens als hoch bis sehr hoch ein. Umso wichtiger ist es, dass IT-Dienste jederzeit und in gleichbleibender Qualität zur Verfügung stehen. Dies gilt umso mehr, als neue Technologien wie Cloud-Computing-Dienste an Bedeutung gewinnen. Laut einer Studie der Marktforschungsgesellschaft IDC von 2011 wollen 41 Prozent der deutschen Unternehmen Cloud-Services in Teilbereichen einsetzen, 21 Prozent planen eine umfassende Nutzung.

Rechenzentren müssen gegen Ausfälle gewappnet sein

Das bedeutet, dass die Anforderungen an die Verfügbarkeit von IT-Services steigen. Für die Betreiber von Rechenzentren, gleich ob Firmen oder Service-Provider wie Pironet NDH, heißt das: Sie müssen sicherstellen, dass auch beim Ausfall zentraler Systeme im Datacenter IT-Dienste weiterhin bereitstehen. Das lässt sich nur mithilfe einer entsprechenden Notfallplanung sicherstellen. Es müssen nicht gleich ein Erdbeben oder ein Tsunami sein, wie sie im Frühjahr Japan trafen, die den Betrieb eines Rechenzentrums gefährden. Meist sind es triviale Ereignisse: ein Stromkabel oder eine Telekommunikationsleitung, die ein Bagger versehentlich kappt, oder ein Blitzschlag in einem Umspannwerk. Hinzu kommen Faktoren, die nur schwer vorzusehen sind: So musste ein großer deutscher Automobilhersteller sein Kernrechenzentrum nach einem Brand auf dem Werksgelände herunterfahren. Der Grund: Da das Datacenter über unzureichende Filteranlagen für die Außenluft verfügte, gelangten Rauch und giftige Gase über die Belüftungsanlage in das Innere und gefährdeten die Mitarbeiter und die dort vorhandenen Systeme. Nach Schätzung der Beratungsgesellschaft Aberdeen Group kostet der Ausfall von Rechenzentrumsservices Unternehmen und Service Provider durchschnittlich 1,5 Millionen Dollar im Jahr. (Bild: Aberdeen Group / Reder)

Ausfälle sind teuer

Die amerikanische Beratungsgesellschaft Aberdeen Group hat ermittelt, dass die Kosten, die durch den Ausfall von Rechenzentrumsdiensten und die Behebung solcher Störungen entstehen, im Schnitt bei mehr als 1,5 Millionen Dollar liegen. Bei Datacentern, die über eine unzureichende Notfallplanung verfügen, sind es fast 2,9 Millionen Dollar. Dagegen müssen Unternehmen, die gut gerüstet sind, nur 72.000 Dollar aufwenden, um die Ursachen und Folgen einer Störung zu beheben. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von einem Notfall die Rede, wenn ein Prozess oder eine Ressource nicht funktioniert und nicht innerhalb eines vorgesehenen Zeitrahmens mithilfe von Standardprozeduren wiederhergestellt werden kann. Dies ist beispielsweise bei einem Komplettausfall von Stromversorgungs- oder Storage-Systemen der Fall, inklusive der Reservesysteme. Eine Katastrophe oder Krise ("K-Fall") ist ein Ereignis, das statistisch gesehen bestenfalls alle 30 Jahre auftritt und über den Rahmen einer Notfallplanung hinausgeht. Beispiele sind Naturkatastrophen wie Erdbeben und Flutwellen oder Schäden durch Terroranschläge. Die einzelnen Schritte zwischen dem Eintreten eines Notfalls und dem Wiederherstellen des Normalbetriebs (Bild: BSI)

Szenarien für jede Situation

Vor allem Service Provider, deren Existenzgrundlage das Bereitstellen von IT-Services und Cloud-Computing-Angeboten wie Desktop as a Service ist, sorgen für den Fall der Fälle vor – in Form eines Notfallmanagements. Dieses regelt, wer die Notfallsituation ausrufen darf (in der Regel die Geschäftsführung), welche Mitarbeiter alarmiert werden müssen und wo sich wichtige Ressourcen befinden, etwa Dokumentationen, Datensicherungen und Passwort-Listen. Außerdem ist geregelt, auf welche Weise Kunden informiert werden. Ein zentraler Punkt sind Regelungen, die sicherstellen, dass IT-Services schnellstmöglich wieder zur Verfügung stehen, Stichwort Service Delivery. Im Idealfall existieren Szenarien für spezielle Fälle, etwa was zu tun ist, wenn die Klimatisierung eines Datacenters ausfällt oder wenn eine zentrale Komponente wie eine Server-Farm versagt.

Ersatzrechenzentrum als Backup

Diese Szenarien lassen sich nach Bedarf verfeinern. So können Detailregelungen festlegen, welche Maßnahmen greifen, wenn einzelne Server, etwa ein Exchange- oder Sharepoint-System, eine bestimmte Datenbank oder die Voice-over-IP-Telefonanlage ausfallen. In jedem Fall wird sichergestellt, dass IT-Services schnell und umfassend wieder zur Verfügung stehen. Dies schließt mit ein, dass internen und externen Nutzern auch nach Eintreten des Notfalls Helpdesk-Funktionen zur Verfügung stehen, etwa über Ersatztelefonverbindungen und das Umleiten von Anrufen zu Mitarbeitern an einem anderen Standort. Im Idealfall steht ein Ersatzrechenzentrum an einem anderen Standort bereit, das im Notfall einspringt. Dies ist beispielsweise bei Pironet NDH der Fall: Sollte das zentrale Rechenzentrum nicht mehr funktionsfähig sein, übernehmen die Systeme an einem Ausweichstandort dessen Funktion. Zusätzlich hat der Service-Provider IT- und Netzwerkkomponenten eingelagert, mit denen sich innerhalb kurzer Zeit ein Ersatznetzwerk für die Mitarbeiter aufbauen lässt. Auf diese Weise ist gewährleistet, dass die interne Kommunikation und die Betreuung von Kunden jederzeit funktioniert. Mithilfe von Virtualisierung lassen sich redundante und ausfallsichere IT-Infrastrukturen über mehrere Datacenter-Standorte hinweg aufbauen. Bei Störungen in einem Rechenzentrum übernimmt das zweite nahtlos dessen Funktion. (Bild: Pironet NDH) Ein weiterer Faktor, der ein Rechenzentrum gegenüber Störungen und Notfällen unempfindlicher macht, ist die Virtualisierung des IT-Betriebs. Er lässt sich redundant ausführen und über mehrere Rechenzentrumsstandorte verteilen. Die Server-Racks stellen in diesem Fall ihre Leistung nicht mehr isoliert zur Verfügung. Stattdessen bilden sie über mehrere Rechenzentrumsstandorte hinweg einen Pool von Hardware-Kapazitäten. Auch der Applikationsbetrieb lässt sich virtualisieren: Anwendungen werden in virtuellen Instanzen betrieben, die sich über Capacity on Demand und Storage on Demand flexibel mit allen nötigen Ressourcen wie virtueller Rechenleistung und Speicherkapazität versorgen lassen – auch diese über die Grenzen von Standorten hinweg.

Mittelständler verzichten auf Notfallpläne

Vergleichbare Sicherungsmaßnahmen sind in vielen Firmenrechenzentren nicht vorhanden, vor allem nicht in den Datacentern von mittelständischen Firmen. Eine Studie des Vereins Deutschland sicher im Netz e.V. (DsiN) ergab, dass 2011 nur jedes vierte mittelständische Unternehmen über einen Notfallplan verfügte. Weniger als die Hälfte sichern täglich wichtige Geschäftsdaten, und nur 40 Prozent prüfen, ob das Zurückspielen von Daten (Recovery) im Ernstfall funktioniert. Auch um die physikalische Sicherheit von Servern ist es dürftig bestellt: Nur 46 Prozent der Unternehmen stellen Server-Systeme in separaten Räumen auf, die nur dem IT-Fachpersonal zugänglich sind.

Kleine Check-Liste für Service-Provider

Angesichts dieser Fakten ist es in jedem Fall eine Überlegung wert, IT-Services von seinem (Cloud-)Service-Provider zu beziehen. Dieser verfügt nicht nur über eine Notfallplanung, sondern auch über ein hoch sicheres Rechenzentrum, inklusive einer ausfallsicheren Infrastruktur, Backup- und-Recovery-Diensten und geschultem Fachpersonal. Hinzu kommen Zertifizierungen wie ISO/IEC 27001 oder EuroCloud Star Audit SaaS. Der Nutzer hat somit die Gewähr, dass die gebuchten IT-Dienste rund um die Uhr zur Verfügung stehen und die damit verbundenen Geschäftsprozesse reibungslos "durchlaufen". Hier eine kleine Checkliste, mit der sich prüfen lässt, ob ein Anbieter von IT- beziehungsweise Cloud-Computing-Diensten für den "Fall der Fälle" gerüstet ist:
  • Welche IT-Sicherheitszertifizierungen besitzt der Provider und werden diese regelmäßig erneuert? Eine zentrale Rolle spielt die ISO/IEC-Norm 27001 für ein umfassendes Informationssicherheit-Management. Speziell bei Cloud-Service-Providern ist das EuroCloud Star Audit SaaS (Software as a Service) von Bedeutung. Es  wurde vom EuroCloud Deutschland eco e.V. in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Auditoren prüfen Anbieter von Cloud-Computing-Diensten in Bereichen wie Vertragsgestaltung, Compliance, Sicherheit, Betrieb und Infrastruktur, Prozesse, Anwendungen und Implementierung.
  • Welche Notfallpläne (Business Continuity und Disaster RecoveryI) bestehen? Der Anbieter sollte über ein aktuelles Notfallhandbuch verfügen, in dem detailliert beschrieben ist, welche Maßnahmen ergriffen werden, sollte der Not- oder Katastrophenfall eintreten. Hilfreich ist, wenn der Nutzer von Cloud-Services seine internen Notfallpläne mit dem Service-Provider abstimmt und zusammen mit ihm Notfallszenarien entwickelt.
  • Sind Ausweichrechenzentren verfügbar und wo befinden sich diese (in Deutschland oder anderen Ländern) Speziell Cloud-Service-Provider sollten über Ersatzrechenzentren verfügen, die im Fall eines Notfalls oder einer Katastrophe einspringen. Wichtig ist, dass die Ausweichrechenzentren so ausgestattet sind, dass sie dem Anwender die gebuchten IT-Dienste weiterhin in ausreichender Güte zur Verfügung stellen. Auch der Standort des Ausweichrechenzentrums spielt aus datenschutzrechtlichen Gründen eine Rolle. Vorzugsweise sollten alle Datacenter in Deutschland angesiedelt sein.
  • Wie sind die Ersatzrechenzentren ausgestattet? Es ist problematisch, wenn der Ersatzstandort nicht über die Server-, Storage- und Netzwerkkapazitäten verfügt, um Probleme am Hauptstandort kompensieren zu können. Gleiches gilt für andere Qualitätskriterien, etwa die Sicherheit.
  • Welche Service Levels kann der Provider nach Eintreten eines Notfalls garantieren? Verfügbarkeit und Qualität von IT-Services sind in SLAs (Service Level Agreements) festgelegt. Ein seriöser Service Provider ist in der Lage, auch bei Eintreten eines Störfalles eine definierte Mindestverfügbarkeit zu bieten. Ausnahmen sind natürlich Katastrophenfälle, etwa wenn durch ein Erdbeben eine ganze Region verwüstet wird.
Informationsquellen: BSI-Standard 100-4 "Notfallmanagement" BSI: Web-Kurs Notfallmanagement

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen
München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen
München/Köln, den 18. Februar 2016 – Das Immobilien-Unternehmen Tectareal hat nach der Herauslösung aus dem Hochtief-Konzern ... Weiterlesen