Aktueller Channel Fokus:

Business Continuity

Hochverfügbarkeitskompendium BSI

Georedundanz bedeutet 200 Kilometer zwischen den Rechenzentren

| Autor: Ulrike Ostler

Rechenzentren mit dern Verfügbarkeitsklassen 3 und 4 müssen georedundant sein; das BSI fordert mindestens 200 Kilometer Abstand zwischen den Datacenter. Macht das Sinn?
Rechenzentren mit dern Verfügbarkeitsklassen 3 und 4 müssen georedundant sein; das BSI fordert mindestens 200 Kilometer Abstand zwischen den Datacenter. Macht das Sinn? (Bild: gemeinfrei - Tama66/Pixabay / CC0)

Mehr zum Thema

Im Dezember 2018 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Version 1.0 der „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ herausgegeben. Es geht dabei um Ausweich-Datacenter als Maßnahme zur Notfallvorsorge, also um die Überlegung, ob und wie ein solches möglichst den gesamten zentralen IT-Betrieb übernehmen kann, sollte das jeweils andere nicht voll funktionsfähig sein.

Im Hochverfügbarkeitskompendium (HV-Kompendium) geht es um Behörden oder Unternehmen mit hohen oder sehr hohen Anforderungen und um Aspekte, die hinsichtlich Verfügbarkeit bei der Planung eines Rechenzentrumsstandorts relevant sind sowie solche, die bei der Planung einer georedundanten Datacenter-Struktur zu berücksichtigen sind. Unbeachtet bleiben hier also etwa Schutz vor Sabotage oder auch eine redundante Energieversorgung und eine Unterteilung in Brandabschnitte.

Wichtig ist auch der Hinweis, dass das Dokument-Auditierungs- und Zertifizierungsverfahren weder ersetzen noch zu diesen in Konkurrenz treten will, wenngleich etwa auf TÜV-Vorschriften verwiesen wird. Es gehe vielmehr um eine „allgemeingültige Grundlage für alle bei der Standortauswahl für ein RZ zu hinterfragenden Entscheidungen“.

Zudem orientieren sich die verwendeten Bezeichnungen „hochverfügbar“ und „höchstverfügbar“ an den im so genannten HV-Kompendium definierten Verfügbarkeitsklassen 3 und 4: Klasse 3 bedeutet eine Zielverfügbarkeit von 99,99 Prozent pro Jahr - die Dauer des maximal akzeptierten Ausfalls der Leistungsbereitstellung liegt unter einer Stunde- und 4 entspricht einer Zielverfügbarkeit von 99,999 Prozent im Jahr, also einem maximalen Jahresausfall von rund 5,25 Minuten.

Georedundanz ist ....

Erörtert werden unter anderem Abstände zu potenziellen Gefahrenstellen und die Anforderungen an die Georedundanz. Hier spielt der Abstand zwischen den Rechenzentren eine wesentliche Rolle. Bis zum Dezember vergangenen Jahres empfahl das BSI einen Mindestabstand von fünf Kilometern. Jetzt aber hat das Bundesamt diese Distanz drastisch erhöht: Er liegt jetzt 40 mal höher, bei 200 Kilometern.

Als Grund nennt das BSI den „Schutz vor Naturgewalten“ und als Beispiele „Großschadenereignisse, wie die Schneekatastrophe im Münsterland im Jahr 2005 oder die „Jahrhunderthochwasser“ der Elbe und der Donau im Jahr 2013“. So etwas dürfe „keinesfalls gleichzeitig oder zeitnah“ mehrere Rechenzentren einer Redundanzgruppe treffen. Und je größer der Abstand, desto unwahrscheinlicher sei es, dass sie passieren.

Tatsächlich bricht das BSI-Papier die Ansiedlung von Rechenzentren noch einmal auf potenziell gefährdete Lagen herunter:

  • Hochwasser an Flüssen: Grundsätzlich sollte innerhalb eines Fluss-Systems, eine vereinfachte kartografische Übersicht der Fluss-Systeme in Deutschland findet sich etwa auf Wikipedia, maximal ein Rechenzentrum einer Georedundanzgruppe betrieben werden.
  • Erdbeben: Höchstverfügbare Rechenzentren dürfen höchstens in der Erdbebenzone 1 angesiedelt werden, für eine Redundanzgruppe gilt maximal ein Rechenzentrum. Die anderen gehören in Zone 0 oder in Bereiche ohne Erdbebengefahr.
  • Wind: Nur ein Rechenzentrum einer Redundanzgruppe darf maximal in einer Windzone 420 angesiedelt sein.
  • Energieversorgung: Innerhalb eines Netzsegmentes der obersten Netzebene (380 Kilovolt) darf sich maximal eines der Georedundanz-Datacenter befinden.
  • Verpflegung: Sollten die georedundanten Rechenzentren ein und dasselbe Catering-Unternehmen für ihre Mitarbeiter nutzen, dürfen die Lebensmittel für mehr als ein Rechenzentrum nicht in derselben Küche zubereitet werden.

Problem mit Latenzen und der aktuellen Struktur

So macht Johan van den Boogaart von Zerto darauf aufmerksam, dass die Empfehlung Folgen auch auf die von vielen Unternehmen genutzten Systeme für BC/DR haben, die auf synchroner Spiegelung, Backups und Snapshots aufbauen: „Mit der weiteren Entfernung erhöhen sich gleichzeitig die Latenzzeiten der Daten, die zwischen den Rechenzentrum hin und her verschoben werden. Die deutlich höhere Latenzzeit zweier so weit voneinander entfernter Rechenzentren macht insbesondere die synchrone Replikation von Daten, auf der die Hochverfügbarkeit vieler Systeme aufbaut, effektiv unmöglich.“

Johan van den Boogaart arbeitet bei Zerto, Anbieter einer zentralen IT-Resilienz-Plattform, die der kontinuierliche Verfügbarkeit bei gleichzeitiger Vereinfachung der Workload-Mobilität dient.
Johan van den Boogaart arbeitet bei Zerto, Anbieter einer zentralen IT-Resilienz-Plattform, die der kontinuierliche Verfügbarkeit bei gleichzeitiger Vereinfachung der Workload-Mobilität dient. (Bild: Zerto)

Er fügt an: Diese neue Empfehlung könne die komplette DR- und Backup-Strategie, die auf der Basis der bisherigen Richtlinien erstellt wurden, auf den Kopf stellen. Er geht davon aus, dass die meisten Unternehmen ihr zweites, bisher georedundantes Rechenzentrum in einem Umkreis von weniger als 200 Kilometern haben und demzufolge unmittelbar von der neuen Empfehlung des BSI betroffen sein werden.

Van den Boogaart: „Somit stehen diese Unternehmen jetzt vor der Wahl, entweder ein drittes, weiter entferntes Rechenzentrum aufzubauen, oder gleich in die Cloud zu migrieren.“ Für den Zerto-Mann schlägt in jedem Fall zugleich die Stunde des Continuous Data Protection, kurz CDP, mit asynchroner Replikation. Damit gebe es keine Latenzprobleme mehr.

Die Ausnahmen

Es gibt allerdings auch Ausnahmen zu diesen Vorschriften; denn auch das BSI notiert, dass mit zunehmendem Abstand der technische Aufwand zur Realisierung etwa synchroner Datenspiegelung oder des Failover steigt.

Das BSI-Papier indes sieht vor, dass Ausnahmen im Einzelfall unabweisbar sein können. Allerdings müssen die Verantwortlichen diese Notwendigkeit schriftlich und ausführlich darlegen, mitsamt Risikoanalyse. Keinesfalls aber, so das BSI sollen georedundante Rechenzentren weniger als 100 Kilometer voneinander entfernt liegen.

Zum Beispiel können in punkto Energieversorgung Ausnahmen möglich sein, wenn maximal zwei aus einer Redundanzgruppe mit drei oder mehr Rechenzentren im gleichen Netzsegment liegen und für beide eine redundante eigensichere Notstromversorgung für mindestens 120 Stunden Volllast-Dauerbetrieb sichergestellt ist. Allerdings sei dafür unerheblich, ob die Einspeisung vom Energieversorger im Stich oder im Ring erfolge.

Neue Anforderungen und bisherige Praxis

Abweichungen sind etwa auch bei Ansiedlungen im selben Flusssystem möglich. So können auch Datacenter einer Redundanzgruppe in demselben betrieben werden, wenn diese mit allen für den Betrieb erforderlichen Einrichtungen mindestens 5 Meter oberhalb des höchsten Hochwassers seit 1960 angesiedelt sind.

Laut BSI gibt es insgesamt zu den im Papier behandelten Abstandswerten „harte physikalische Gründe“. Solche gelten etwa auch für kerntechnische Anlagen. Um das Anliegen zu verdeutlichen, zählt das BSI einige Beispiel auf:

  • Der Evakuierungsradius in Tschernobyl betrug 37 km.
  • In Fukushima wurde eine Sperrzone mit 20 Kilometer Radius definiert. Ein erweiterter Bereich mit 30 Kilometer Radius sollte freiwillig verlassen werden.
  • Die Philippinische Regierung erweiterte diesen Bereich für ihre Staatsbürger auf 50 Kilometer Radius und die USA auf 80 Kilometer.

Bezüglich der bisherigen Praxis in Sachen Georedundanz übt das BSI deutliche Kritik: Sie seien „weit gespreizt“, unter anderen Voraussetzungen entstanden, „kaum durch Herleitungen untermauert“ und könnten letztlich „keine eindeutige Basis für eine klare Festlegung bieten.“ Dabei nimmt das BSI auf seine frühere 5-Kilometer-Empfehlung nicht aus: „Die Angabe „5 km“ in einem Papier des BSI, das 2005 als Hilfsmittel für den BSI-Grundschutz veröffentlicht wurde, hatte keinesfalls den Aspekt der Georedundanz im Auge“, heißt es.

  • Bei der TÜV-IT werde als Abstand „mehrere Kilometer“ oder ein „ausreichender, risikoorientierter Abstand“ genannt.
  • Die Datacenter Infrastructure Munich GmbH (DIM) schreibe: „Der Abstand der Standorte kann je nach Arealrisiko 3,5 Kilometer bis hin zu mehreren 100 Kilometer länderübergreifend sein, oder sogar global umspannende Entfernungen notwendig machen.“
  • Für einen desastertoleranten Rechenzentrumsverbund (Tier IV) nenne Joachim Stephan, CTO der TÜV Trust IT GmbH, einen Abstand von „≥ 5.000 km“
  • Beim Branchenverband Bitkom sei überhaupt keine entsprechende Aussage zu finden.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45721856 / Security)