IT-STRATEGIE1. Juli 2019

200 km? Das georedundante Rechenzentrum auf Abstand halten … eine Risiko- und Standortfrage

Findet die BSI-Richtlinie für das Rechenzentrum richtig: Andres Dickehut, Consultix & ColocationIX
Andres Dickehut, Consultix & ColocationIXConsultix

Mit seinem Empfehlungsschreiben zum Jahreswechsel hat das BSI einen Leitfaden veröffentlicht, der Maßnahmen zur Notfallvorsorge für Katastrophen im IT-Betrieb und Datenverlust beschreibt. Ein zentraler Punkt hierbei ist ein empfohlener Abstand von 200 Kilometern zwischen einem Rechenzentrum und seinem RZ-Zwilling, der im Katastrophenfall übernehmen kann. Ergeben diese 200 Kilometer nun Sinn oder steht dahinter eine überhöhte und wirklichkeitsferne Forderung des BSI, die viele Unternehmen vor schier unlösbare und kostspielige Herausforderungen stellt? Pro und Contra wird dieser Tage heiß diskutiert. Andres Dickehut (Geschäftsführender Gesellschafter Consultix) zum BSI-Leitfaden „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“.

von Andres Dickehut, Consultix & ColocationIX

Um es kurz vorwegzunehmen:

Meiner Ansicht nach ist der empfohlene Mindestabstand für überregional operierende Unternehmen sinnvoll. Wenn wir an dieser Stelle diskutieren, dann geht es auch um Datenbestände international agierender Finanzinstitute.”

Deren IT-Sicherheitsbeauftragte / CISOs wägen im Rahmen ihrer Risikoanalyse örtliche Gegebenheiten, die Anforderung an die Verfügbarkeit der Netze, Systeme und Daten und das Sicherheitsniveau der Rechenzentren ab und kommen dabei im Ergebnis bestimmt auf einen vergleichbaren Sicherheitsabstand.
Letztlich hängt die RZ-Wahl davon ab, wie die Organisation generell aufgestellt ist, welche Risiken inklusive Auswirkungen identifiziert wurden und welche Gefahren an den Standorten generell bestehen. Im Falle eines Großbrands würden fünf Kilometer Mindestabstand wahrscheinlich ausreichen, wohingegen bei Erdbeben, nachbarschaftlichen Atomanlagen oder im Falle einer chemischen Verseuchung mindestens 200 Kilometer, oder auch deutlich mehr, klug gewählt sind. In den USA sind Westküsten-/Ostküsten-Szenarien mit Abständen über 4.000 Kilometern üblich. Dieser bewusst gewählte Abstand fußt auf Erfahrungen mit Naturphänomenen, im Zuge derer schon mal die Dächer der Rechenzentren abhoben, als wieder einmal ein Hurrikan über das Land fegte. Ich möchte an dieser Stelle noch mal betonen, dass natürlich auch die Bauart des Rechenzentrums Einfluss auf die Risikobetrachtung haben sollte. Einen Bunker beispielsweise bläst der Sturm im Gegensatz zu manch neuen Gebäuden oder gar Containerlösungen nicht so einfach weg. Allerdings sind vermeintlich sichere unterirdische Bunker-Rechenzentren in England bereits von starken Regenfällen geflutet worden. Die Liste der zu untersuchenden Risiken ist also lang.

Rechenzentrum: Wie sicher ist der Datenbestand bei Blitzeinschlag und anderen Naturphänomenen? <q>ColocationIX</q>
Wie sicher ist der Datenbestand im Rechenzentrum bei Blitzeinschlag und anderen Naturphänomenen? ColocationIX

Auf sicherem Boden

Andres Dickehut, Consultix & ColocationIX
Andres Dickehut ist geschäftsführender Gesellschafter des von ihm 1994 gegründeten Unternehmens Consultix GmbH in Bremen. Mit seinem Unternehmen ist Dickehut unter anderem Mitglied der GDD – Gesellschaft für Datenschutz und Datensicherheit e.V. und der Allianz für Cyber-Sicherheit. Parallel agiert er mit Consultix als assoziierter Partner des Datenschutz-Forschungsprojekts für Cloud-Dienste „AUDITOR“. Partnerunternehmen von Consultix ist die ColocationIX GmbH, Betreiber des gleichnamigen Hochsicherheits-Rechenzentrums.
Als Grund für die neue Empfehlung in puncto Mindestabstand gibt das BSI den steigenden Bedarf an Schutz vor Naturgewalten, beispielhaft Hochwasser und Schneekatastrophen, an. Solche Phänomene dürften nie gleichzeitig oder zeitnah mehrere Rechenzentren einer Redundanzgruppe treffen. Die Angst vor solchen Ereignissen spiegelt auch das „Allianz Risk Barometer 2019“ wider. Demnach liegt die Sorge davor auf Platz 3 der größten erwarteten Geschäftsrisiken weltweit und in Deutschland. Nachvollziehbar, denn ist ein Rechenzentrum betroffen und fällt im schlimmsten Fall aus, sind die Folgen in puncto Datensicherheit eklatant.

Dazu möchte ich anmerken, dass Naturkatastrophen wie Starkregen, Hagel, Hochwasser, Stürme, Erdstöße und Blitzeinschläge über ganz Deutschland sehr ungleich verteilt sind. Demzufolge spielen bei der Auswahl geeigneter Rechenzentren auch Standorte mit ihren spezifischen Parametern eine entscheidende Rolle.

Die Finanzbranche ist zu weiten Teilen in Frankfurt angesiedelt. Aktuell stehen hier auch sieben der zehn größten Rechenzentren Deutschlands, im Großraum Frankfurt herrscht die höchste Dichte an Rechenzentren.”

Physische Sicherheit spielt bei der Rentenzentrum-Standortwahl eine wesentliche Rolle.
Physische Sicherheit spielt bei der Rechenzentrum-Standortwahl eine wesentliche Rolle. Hier schützen zwei Meter dicke Stahlbetonwände die internen IT-StrukturenColocationIX

Das ergibt unter dem Gesichtspunkt Sinn, dass hier auch der weltweit größte Internetknoten vorliegt. Zeitgleich registrieren Mitarbeiter des Hessischen Landesamts für Naturschutz, Umwelt und Geologie, kurz HLNUG, immer wieder Erdstöße, in der Spitze mit einer Stärke von sogar 4,2 auf der Richterskala. 2018 erreichten regelmäßige Beben in Hessen Werte bis 2,6. Das Bundesland Bremen als Gegenbeispiel liegt nicht in einer Erdbebenzone, unterliegt damit keinerlei Erdbebengefahr und gilt als Region mit den wenigsten Blitzeinschlägen in Deutschland, wie der Blitzatlas von Siemens berichtet. Als weitere äußere Faktoren bei der Standortwahl gelten auch Bergbau-Aktivitäten wie im Ruhrgebiet oder Einflugschneisen von Flughäfen, da hier die Absturzgefahr von Flugzeugen höher ist.

Entscheiden sich in Frankfurt ansässige Unternehmen für ein Rechenzentrum in der Region, so sollten sie, nicht erst seit BSI-Empfehlung, einen zweiten RZ-Anbieter mit dem empfohlenen 200-Kilometer-Abstand oder, sofern andere Maßnahmen getroffen und schriftlich begründet wurden, auch mit einer 100-Kilometer-Sicherheitsdistanz nutzen.

Stand der Technik

ColocationIX
ColocationIX ist ein Hoch­si­cher­heits-Re­chen­zen­trum der Ka­te­go­rie „Mitt­le­res Re­chen­zen­trum“ und be­fin­det sich in ei­nem ehe­ma­li­gen Atom­schutz­bun­ker in Bre­men. Auf 2.500 Qua­drat­me­tern ist Raum für bis zu 50.000 Ser­ver. Uni­ver­sal ge­si­chert durch zwei Me­ter di­cken Stahl­be­ton, Si­cher­heits­tü­ren der Si­cher­heits­stu­fe RC 6, Zu­tritts­kon­trol­le mit­hil­fe von Drei­fak­tor-Au­then­ti­fi­zie­rung über Code, Chip- und Bio­me­trie-Er­ken­nung so­wie De­tek­tor­schleu­se, Vi­deo-Über­wa­chung durch 200 Ka­me­ras und per­ma­nen­te Sau­er­stoff­re­duk­ti­on. Die Pla­nung er­folg­te auf Ba­sis der US-Re­chen­zen­trums­norm TIA942 Tier4, der neu­en eu­ro­päi­schen Re­chen­zen­trums­norm EN­50600 Klas­se 4 so­wie der ISO-27001-Norm für In­for­ma­ti­ons­si­cher­heit. Die Si­cher­heits-Ar­chi­tek­tur des Da­ta Cen­ters ent­spricht den An­for­de­run­gen Kri­ti­scher In­fra­struk­tu­ren (KRI­TIS). Im No­vem­ber 2018 ge­wann die Co­lo­ca­tio­nIX GmbH den eco://award 2018 in der Ka­te­go­rie Data­cen­ter In­fra­struc­tu­re. Consultix ist ISO-27001, ISO-9001, ISO-14001 und OH­SAS-18001-Ecostep zertifiziert.
Ziel eines georedundanten und hochverfügbaren Rechenzentrums ist einerseits der Schutz vor Datentotalverlust, andererseits auch die Aufrechterhaltung der IT-Systeme. Wurde noch vor wenigen Jahren ein maximaler Abstand von 60 bis 100 Kilometer aufgrund der Latenzen von Storage-Systemen als notwendig erachtet, gestaltet sich nach heutigem Stand der Technik die Situation anders. Über 100 km Abstand ist heute mühelos für moderne Storage-Systeme abbildbar. Zudem werden georedundante Rechenzentren üblicherweise für asynchrone Datenspiegelungen verwendet, bei denen Latenzanforderungen eine eher geringe Rolle spielen.

Wenn syn­chro­ne Trans­ak­ti­ons­ver­ar­bei­tung er­for­der­lich ist, so spricht dies ge­gen ei­ne geored­un­dan­te Aus­le­gung der syn­chron ar­bei­ten­den Re­chen­zen­tren. Im Ein­zel­fall kann es bei ho­hen oder höchs­ten Ver­füg­bar­keits­an­for­de­run­gen aber sinn­voll sein, ei­ne zu­sätz­li­che asyn­chro­ne Spie­ge­lung auf­zu­bau­en.”

Die Auswahl von Betreiber, Modell, Standort und Quantität passender Data Center fällt eindeutig in den Bereich des IT-Risikomanagements und damit in die Gesamtverantwortung der Geschäftsleitung. Die Empfehlung des BSI hat schließlich keinen normativen Charakter, sondern bildet eine Planungshilfe bei der Abwägung verschiedener Risikofaktoren. So werden aus Georedundanz und Hochverfügbarkeit Faktoren, die zu einem mit der Ablauforganisation einhergehenden Notfallmanagement passen müssen.Andres Dickehut, Consultix & ColocationIX

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert