nach oben

News

Georedundanz: Voller Betrieb trotz Feuer, Wasser, Sturm & Co.
25. März 2019 -

Im Jahr 2005 versank das Münsterland in Schneemassen. Elbe und Donau fluteten 2013 mit „Jahrhunderthochwassern“ das Land. Und im vergangenen Jahr wütete ein Flächenbrand in den Wäldern vor den Toren Berlins. Wenn ein Rechenzentrum wegen solcher Naturkatastrophen vom Netz geht, muss ein zweites Rechenzentrum umgehend einspringen können. Dieses sollte natürlich weit genug von seinem „Zwilling“ entfernt sein, um nicht von der gleichen Katastrophe betroffen zu sein. Für dieses Prinzip der „Georedundanz“ hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) jüngst neue Richtlinien veröffentlicht.

Auch die höchste Verfügbarkeit eines Rechenzentrums nützt nichts, wenn es – wenn auch nur vorübergehend – seinen Betrieb einstellen muss. Deshalb gibt es bei hoch- und höchstverfügbaren Rechenzentren immer einen Kontrapart, der zumindest alle geschäftskritischen Daten und Systeme ein zweites Mal vorhält. Als „hochverfügbar“ gilt dabei laut BSI eine maximale Ausfallrate von 0,01 Prozent der Laufzeit, also knapp eine Stunde pro Jahr. Ein „höchstverfügbares“ Rechenzentrum kann sich sogar nur wenig mehr als fünf Minuten Ausfallzeit erlauben. Das entspricht 0,001 Prozent maximaler Ausfallrate.

100 Kilometer Mindestabstand

Es ist beim Prinzip der Redundanz erst einmal unerheblich, ob es durch zwei oder mehr Rechenzentren sichergestellt wird. Eine wichtigere Rolle kommt der sogenannten „Georedundanz“ zu. Diese ist dann gegeben, wenn die jeweiligen Rechenzentren einen bestimmten Mindestabstand voneinander aufweisen. Das BSI hat diesen in einem Papier vom Dezember 2018 mit wenigstens 100 Kilometern angegeben – zuvor waren es lediglich fünf Kilometer – und empfiehlt bei kritischeren Geografien sogar einen Mindestabstand von 200 Kilometern. Ebenfalls zu beachten: Georedundanz betrifft nicht nur die Entfernung zwischen den Rechenzentren eines Dienstleisters. Führt das Anwenderunternehmen eigene RZ-Services durch, gilt der Mindestabstand entsprechend auch zwischen der Vorort-Infrastruktur eines Kunden und den Standorten seines RZ-Dienstleisters.

Beispiel QSC AG: Der ITK-Anbieter betreibt seine großen Colocation-Rechenzentren in Nürnberg, München und Hamburg. Zwischen den Standorten liegen mindestens 140 Kilometer – was auch nach den neuen BSI-Maßstäben ausreichend ist. Befindet sich ein Kundenunternehmen zum Beispiel in Frankfurt, wäre das RZ von QSC in Nürnberg rund 200 Kilometer entfernt, das Hamburger etwa 400. Von Stuttgart wiederum liegt der Standort in München ebenfalls rund 200 Kilometer Richtung Südosten, Hamburg mehr als 500. Beide Fällen erfüllen demnach die neuen Empfehlungen des BSI.

Klar definierte Sicherheitsregeln

Für die Ausfallsicherheit von Rechenzentren spielt natürlich nicht nur der Abstand zur Fallback-Infrastruktur eine Rolle, sondern die Position des Rechenzentrums selbst. Denn kein Standort ist ebenso sicher wie die anderen. So lautet die erste Regel bei der Standortwahl: Gibt es in der näheren und weiteren Umgebung Orte, von denen eine besondere Gefährdung ausgeht? Zu diesen Orten zählen zum Beispiel kerntechnische Anlagen, chemische Produktionen, andere Betriebe, in denen mit gefährlichen Stoffen gearbeitet wird, aber auch Schienen, Straßen und Flughäfen. Außerdem muss jedes Rechenzentrum mindestens zwei voneinander unabhängige Zuwege aufweisen. Auf diese Weise ist sichergestellt, dass bei Sperrung eines Zuweges ein anderer genutzt werden kann.

Auch mit Blick auf die Naturgewalten fallen unterschiedliche Standorte von Rechenzentren in unterschiedliche Risikoklassen: Hochwasser tritt naturgemäß vor allem in Flussnähe auf oder Sturmfluten an Küsten. Hinzu kommen Faktoren wie potenzielle Waldbrände, Starkregen, Erdbeben, Lawinen oder Stürme, welche das jeweilige Risikoprofil eines Standorts definieren. Das BSI hat diesbezüglich ebenfalls klar bezifferte Richtlinien definiert, an denen sich Rechenzentrumsbetreiber orientieren können. Liegt ein Rechenzentrum etwa in der Nähe eines Flusses, müssen allen für den Betrieb erforderlichen Einrichtungen inklusive der Zuwege mindestens zwei Meter oberhalb der höchsten Hochwasserlinie seit 1960 liegen. Und da Starkregen praktisch überall auftreten kann, gilt für alle höchstverfügbaren RZ-Standorte: Damit freies Oberflächenwasser oberhalb der Rückstauebene nicht zur Gefahr werden kann, muss das RZ so ausgestattet sein, dass auch bei einer Überflutung der Rückstauebene von bis zu einem Meter alle betriebswichtigen Einrichtungen vollkommen störungsfrei arbeiten.

Regelmäßig und unabhängig geprüft

QSC rückt den Faktor Georedundanz bei seinen dafür ausgelegten Rechenzentren auch deshalb zunehmend in den Vordergrund, weil Ausfallsicherheit im Zeitalter der digitalen Transformation eine noch kritischere Rolle spielt als zuvor schon – mehr und mehr auch für mittelständische Unternehmen. Ihre Vorgehensweisen bei Disaster Recovery (die Wiederherstellung der IT nach einem Katastrophenfall) und Business Continuity (die kontinuierliche Aufrechterhaltung des IT-Betriebs) stärkt QSC deshalb kontinuierlich und lässt diese auch von unabhängigen Institutionen regelmäßig überprüfen und zertifizieren. Zumal das BSI in seinem Georedundanz-Papier darauf hinweist, dass dieses Auditierungs- und Zertifizierungsverfahren weder ersetzen noch zu diesen in Konkurrenz treten will. Entsprechend erfüllen die Colocation-Rechenzentren von QSC nicht nur die BSI-Kriterien, sondern verfügen über Zertifikate des TÜV Saarland, die sie als „geprüfte Rechenzentren“ der Hochverfügbarkeitsstufe 3 ausweisen. Zudem stellen die erhaltenen Zertifikate nach ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit) auch einen zuverlässigen Betrieb sicher.

Ralf Spindler
Account Manager Data Center
QSC AG