von Redaktion IT-A…
Lesezeit
3 Minuten
Kontinuität in Krisenzeiten
Ob Stromausfall, Erkältungswelle oder Pandemie: Wer sich gegen Störungen seines Geschäftsbetriebs wappnen will, setzt auf Business Continuity Management. Dahinter verbergen sich Prozessdokumentationen, organisatorische Regelungen, Personalplanungen und Technologien für Notfallszenarien. Betreiber von Rechenzentren sind darin erfahren – und können dazu beitragen, Unternehmen sicher durch Krisen zu navigieren.
Unvorhergesehene Ereignisse bringen das Geschäftsleben im schlimmsten Fall zum Erliegen. Fällt das Internet aus, können Betreiber von Onlineshops nichts mehr verkaufen und Lieferketten sind unterbrochen. Laufen digitale Leitsysteme in produzierenden Betrieben nicht mehr, stehen alle Räder still. Umsatzverluste können sich in kürzester Zeit zu Millionenbeträgen summieren. Wenn Unternehmen in solchen Situationen nicht über Notfallpläne verfügen, geht es schnell um ihre Existenz.
Business Continuity Management (BCM) bündelt sämtliche Maßnahmen, Pläne und Strategien für den Notfall. Klar definierte, zentral dokumentierte Abläufe dienen Unternehmen und Mitarbeitern als Kompass für Ausnahmesituationen. Wichtig ist die Fähigkeit zur flexiblen Anpassung, wie auch der Lockdown während der Covid-19-Pandemie zeigte: Prozesse müssen sich schnell neu ausrichten lassen. Dementsprechend gilt es, regelmäßig Prozessdokumentationen zu aktualisieren und Notfallpläne zu testen.
Für die Betreiber von Rechenzentren gehört BCM zum Tagesgeschäft – und ihr Aufwand für die Notfallplanung lohnt sich: Auch in Corona-Krisenzeiten laufen IT-Dienste und Netze in Rechenzentren konstant, obwohl die Nachfrage von Business- und Privatkunden stark gestiegen ist und deutlich mehr Home Office stattfindet. Das Angebot reicht vom Komplett-Outsourcing über Managed Services bis hin zu Colocation-Lösungen. In allen diesen Betriebsmodellen regeln Vertragsbestimmungen genau, wie der Geschäftsbetrieb im Notfall aufrechterhalten wird.
Passende Verfügbarkeitsstufe vereinbaren
Bei der Auswahl von Rechenzentrumsdiensten sollten Unternehmen auf die passende Verfügbarkeit achten. In den Service Level Agreements (SLAs) ist festgelegt, wie schnell Daten und Systeme nach einem Ausfall wiederhergestellt und verfügbar sind. Im Fall von Colocation betrifft dies die maximale Dauer eines Ausfalls wichtiger Komponenten im Rechenzentrum, wie die Unterbrechungsfreie Stromversorgung (USV). Für geschäftskritische Prozesse bietet sich die höchste Verfügbarkeitsstufe von 99,99 Prozent an, was der Tier-4-Klasse [1] und einer Ausfallzeit von jährlich maximal 0,8 Stunden entspricht.
Georedundanz erhöht Sicherheit
Ein weiterer wichtiger Baustein im BCM-Konzept ist Georedundanz: Hierbei wird die IT eines Kunden eins zu eins an einem zweiten Rechenzentrumsstandort abgebildet. Fällt ein Standort aus, übernimmt automatisiert das zweite Rechenzentrum den IT-Betrieb. Laut Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) sollten beide Rechenzentren mindestens 200 Kilometer voneinander entfernt sein. Als Grund nennt das BSI den Schutz vor Naturgewalten und Großschadenereignissen wie etwa das Jahrhunderthochwasser an Elbe und Donau 2013. Je größer der Abstand zwischen den Standorten, desto geringer die Wahrscheinlichkeit, dass beide Datacenter betroffen sind.
Schneller und sicherer Fernzugriff
Immer mehr Prozesse in Rechenzentren von IT-Dienstleistern laufen automatisiert und standardisiert ab. Sollten Systeme ausfallen oder nicht reibungslos funktionieren, werden die IT-Administratoren sofort informiert. Um Fehler zu beheben oder den Betrieb wiederherzustellen, müssen sie nicht zwangsläufig vor Ort sein: Die Systeme lassen sich auch im Notfall per Remote-Zugriff aus dem Home Office steuern und bearbeiten. Entscheidend sind hierfür stabile Verbindungen via Virtual Private Network (VPN), die einen sicheren und schnellen Fernzugriff ermöglichen.
Jedes Notfallkonzept muss die Personalplanung berücksichtigen: So dürfen beim IT-Dienstleister nicht immer dieselben Mitarbeiter vor Ort im Rechenzentrum sein. Außerdem gilt es sicherzustellen, dass Mitarbeiter jederzeit ihren Arbeitsplatz erreichen können. Während des durch die Pandemie bedingten Lockdowns war dafür ein offizielles Bestätigungsschreiben erforderlich, das den Job des Mitarbeiters als systemrelevant ausweist.
Aktueller Leitfaden für Datacenter-Betreiber
Im Zuge der Corona-Krise hat das Beratungsunternehmen Uptime Institute einen speziellen Leitfaden für Datacenter-Betreiber veröffentlicht. Eine wichtige Verhaltensregel für die Datacenter-Crew lautet: Mitarbeiter, die sich gegenseitig vertreten sollen, dürfen keinen persönlichen Kontakt haben – weder beim Schichtwechsel noch im privaten Umfeld. Und im Fall eines vollständigen Lockdowns müssen Datacenter für das Kernteam Wohngelegenheiten auf dem Betriebsgelände oder in unmittelbarer Nähe vorhalten.
Vorsorge betreiben sollten die Betreiber außerdem im Hinblick auf kritische Ersatzteile und Verbrauchsmaterialien. Komponenten aus China und Korea lassen sich unter Umständen nur mit monatelanger Verzögerung beschaffen. Daher gilt es, Zubehör wie Heizungs-, Lüftungs- und Klimaanlagen möglichst schnell aufzustocken – und nicht unbedingt nötige Wartungsarbeiten auf die Zeit nach der Krise zu verschieben.
Das richtige Krisenmanagement
Eine wichtige Grundlage für IT-Notfallmanagement und BCM bilden gesetzliche Regelungen für kritische Infrastrukturen (KRITIS) und Maßnahmenkataloge des BSI wie der IT-Grundschutz. Gemäß Standard 100-4 des BSI [2] muss die oberste Leitungsebene eines Rechenzentrums das Notfallmanagement initiieren, steuern und kontrollieren.
Üblicherweise ernennt sie einen Notfallbeauftragten und stattet ihn mit ausreichenden personellen und finanziellen Ressourcen aus. Während eines Notfalls wird der Notfallbeauftragte vom zentralen Krisenstab unterstützt, der alle Aktivitäten zur Krisenbewältigung plant, koordiniert und überwacht. Zudem muss immer ein Notfallhandbuch griffbereit sein, das technische Anweisungen, Verantwortlichkeiten, Alarmierungsketten, Maßnahmenlisten und Kommunikationsregelungen beinhaltet.
Ohne stabile Netze kein stabiler IT-Betrieb
Last but not least gilt es, den Blick über das Datacenter hinaus zu richten: Damit Mitarbeiter und Kunden auf Services im Rechenzentrum zugreifen können, müssen die Netzwerkanbindungen funktionieren. IT-Dienstleister sorgen für einen sicheren Backbone, indem sie ihre Rechenzentren miteinander verbinden.
Parallel dazu sind die Standorte über das Internet vernetzt. Kunden greifen je nach Anforderung über herkömmliches Internet oder per VPN und IPsec-Verschlüsselung auf ihre IT zu. Oder sie nutzen MPLS-Netze (Multiprotocol Label Switching) – damit lassen sich etwa Kundenstandorte über eine eigene physikalische Leitung hochsicher mit einem Colocation-Rechenzentrum verbinden.
Fazit
Ein sicherer IT-Betrieb mit stabilen Netzen bildet die Basis für das Geschäft. Auch mittelständische Unternehmen sind heute auf eine einwandfrei laufende IT existenziell angewiesen. Um ihren Betrieb zu gefährden, braucht es keine Pandemie. Dafür genügt oft eine saisonale Erkältungswelle, bei der mehrere Mitarbeiter gleichzeitig ausfallen. Häufig fehlt mittelständischen Betrieben das entsprechende Fachpersonal, um Prozesse am Laufen zu halten und Business Continuity Management umzusetzen. Mit der teilweisen oder vollständigen Auslagerung ihrer IT an spezialisierte Dienstleister sind sie hingegen auf der sicheren Seite.
dr/Cornelia Lindner, Bereichsleitung Colocation bei q.beyond.
[1] https://blog.qsc.de/2019/08/rechenzentren-welche-tier-klasse-soll-es-sein/
[2] https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html
Business Continuity Management (BCM) bündelt sämtliche Maßnahmen, Pläne und Strategien für den Notfall. Klar definierte, zentral dokumentierte Abläufe dienen Unternehmen und Mitarbeitern als Kompass für Ausnahmesituationen. Wichtig ist die Fähigkeit zur flexiblen Anpassung, wie auch der Lockdown während der Covid-19-Pandemie zeigte: Prozesse müssen sich schnell neu ausrichten lassen. Dementsprechend gilt es, regelmäßig Prozessdokumentationen zu aktualisieren und Notfallpläne zu testen.
Für die Betreiber von Rechenzentren gehört BCM zum Tagesgeschäft – und ihr Aufwand für die Notfallplanung lohnt sich: Auch in Corona-Krisenzeiten laufen IT-Dienste und Netze in Rechenzentren konstant, obwohl die Nachfrage von Business- und Privatkunden stark gestiegen ist und deutlich mehr Home Office stattfindet. Das Angebot reicht vom Komplett-Outsourcing über Managed Services bis hin zu Colocation-Lösungen. In allen diesen Betriebsmodellen regeln Vertragsbestimmungen genau, wie der Geschäftsbetrieb im Notfall aufrechterhalten wird.
Passende Verfügbarkeitsstufe vereinbaren
Bei der Auswahl von Rechenzentrumsdiensten sollten Unternehmen auf die passende Verfügbarkeit achten. In den Service Level Agreements (SLAs) ist festgelegt, wie schnell Daten und Systeme nach einem Ausfall wiederhergestellt und verfügbar sind. Im Fall von Colocation betrifft dies die maximale Dauer eines Ausfalls wichtiger Komponenten im Rechenzentrum, wie die Unterbrechungsfreie Stromversorgung (USV). Für geschäftskritische Prozesse bietet sich die höchste Verfügbarkeitsstufe von 99,99 Prozent an, was der Tier-4-Klasse [1] und einer Ausfallzeit von jährlich maximal 0,8 Stunden entspricht.
Georedundanz erhöht Sicherheit
Ein weiterer wichtiger Baustein im BCM-Konzept ist Georedundanz: Hierbei wird die IT eines Kunden eins zu eins an einem zweiten Rechenzentrumsstandort abgebildet. Fällt ein Standort aus, übernimmt automatisiert das zweite Rechenzentrum den IT-Betrieb. Laut Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) sollten beide Rechenzentren mindestens 200 Kilometer voneinander entfernt sein. Als Grund nennt das BSI den Schutz vor Naturgewalten und Großschadenereignissen wie etwa das Jahrhunderthochwasser an Elbe und Donau 2013. Je größer der Abstand zwischen den Standorten, desto geringer die Wahrscheinlichkeit, dass beide Datacenter betroffen sind.
Schneller und sicherer Fernzugriff
Immer mehr Prozesse in Rechenzentren von IT-Dienstleistern laufen automatisiert und standardisiert ab. Sollten Systeme ausfallen oder nicht reibungslos funktionieren, werden die IT-Administratoren sofort informiert. Um Fehler zu beheben oder den Betrieb wiederherzustellen, müssen sie nicht zwangsläufig vor Ort sein: Die Systeme lassen sich auch im Notfall per Remote-Zugriff aus dem Home Office steuern und bearbeiten. Entscheidend sind hierfür stabile Verbindungen via Virtual Private Network (VPN), die einen sicheren und schnellen Fernzugriff ermöglichen.
Jedes Notfallkonzept muss die Personalplanung berücksichtigen: So dürfen beim IT-Dienstleister nicht immer dieselben Mitarbeiter vor Ort im Rechenzentrum sein. Außerdem gilt es sicherzustellen, dass Mitarbeiter jederzeit ihren Arbeitsplatz erreichen können. Während des durch die Pandemie bedingten Lockdowns war dafür ein offizielles Bestätigungsschreiben erforderlich, das den Job des Mitarbeiters als systemrelevant ausweist.
Aktueller Leitfaden für Datacenter-Betreiber
Im Zuge der Corona-Krise hat das Beratungsunternehmen Uptime Institute einen speziellen Leitfaden für Datacenter-Betreiber veröffentlicht. Eine wichtige Verhaltensregel für die Datacenter-Crew lautet: Mitarbeiter, die sich gegenseitig vertreten sollen, dürfen keinen persönlichen Kontakt haben – weder beim Schichtwechsel noch im privaten Umfeld. Und im Fall eines vollständigen Lockdowns müssen Datacenter für das Kernteam Wohngelegenheiten auf dem Betriebsgelände oder in unmittelbarer Nähe vorhalten.
Vorsorge betreiben sollten die Betreiber außerdem im Hinblick auf kritische Ersatzteile und Verbrauchsmaterialien. Komponenten aus China und Korea lassen sich unter Umständen nur mit monatelanger Verzögerung beschaffen. Daher gilt es, Zubehör wie Heizungs-, Lüftungs- und Klimaanlagen möglichst schnell aufzustocken – und nicht unbedingt nötige Wartungsarbeiten auf die Zeit nach der Krise zu verschieben.
Das richtige Krisenmanagement
Eine wichtige Grundlage für IT-Notfallmanagement und BCM bilden gesetzliche Regelungen für kritische Infrastrukturen (KRITIS) und Maßnahmenkataloge des BSI wie der IT-Grundschutz. Gemäß Standard 100-4 des BSI [2] muss die oberste Leitungsebene eines Rechenzentrums das Notfallmanagement initiieren, steuern und kontrollieren.
Üblicherweise ernennt sie einen Notfallbeauftragten und stattet ihn mit ausreichenden personellen und finanziellen Ressourcen aus. Während eines Notfalls wird der Notfallbeauftragte vom zentralen Krisenstab unterstützt, der alle Aktivitäten zur Krisenbewältigung plant, koordiniert und überwacht. Zudem muss immer ein Notfallhandbuch griffbereit sein, das technische Anweisungen, Verantwortlichkeiten, Alarmierungsketten, Maßnahmenlisten und Kommunikationsregelungen beinhaltet.
Ohne stabile Netze kein stabiler IT-Betrieb
Last but not least gilt es, den Blick über das Datacenter hinaus zu richten: Damit Mitarbeiter und Kunden auf Services im Rechenzentrum zugreifen können, müssen die Netzwerkanbindungen funktionieren. IT-Dienstleister sorgen für einen sicheren Backbone, indem sie ihre Rechenzentren miteinander verbinden.
Parallel dazu sind die Standorte über das Internet vernetzt. Kunden greifen je nach Anforderung über herkömmliches Internet oder per VPN und IPsec-Verschlüsselung auf ihre IT zu. Oder sie nutzen MPLS-Netze (Multiprotocol Label Switching) – damit lassen sich etwa Kundenstandorte über eine eigene physikalische Leitung hochsicher mit einem Colocation-Rechenzentrum verbinden.
Fazit
Ein sicherer IT-Betrieb mit stabilen Netzen bildet die Basis für das Geschäft. Auch mittelständische Unternehmen sind heute auf eine einwandfrei laufende IT existenziell angewiesen. Um ihren Betrieb zu gefährden, braucht es keine Pandemie. Dafür genügt oft eine saisonale Erkältungswelle, bei der mehrere Mitarbeiter gleichzeitig ausfallen. Häufig fehlt mittelständischen Betrieben das entsprechende Fachpersonal, um Prozesse am Laufen zu halten und Business Continuity Management umzusetzen. Mit der teilweisen oder vollständigen Auslagerung ihrer IT an spezialisierte Dienstleister sind sie hingegen auf der sicheren Seite.
dr/Cornelia Lindner, Bereichsleitung Colocation bei q.beyond.
[1] https://blog.qsc.de/2019/08/rechenzentren-welche-tier-klasse-soll-es-sein/
[2] https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html
