DIETZENBACH - In Sachen "Back-up" herrscht in vielen Unternehmen noch ein großer Schlendrian. RZ-Experte Klaus Behler von der Diebold Deutschland GmbH, der für die Back-up-Mißstände in erster Linie die Unternehmensleitung verantwortlich macht, zeigt in seinem Beitrag insgesamt sechs Möglichkeiten, Vorkehrungen gegen einen RZ-Ausfall zu treffen.

Das sogenannte "Back-up-Rechenzentrum" ist ein schillernder Begriff; unklar, vieldeutig und fast jeder, auch der RZ-Mann, macht sich seine eigenen, abweichenden Vorstellungen davon. Einschränkend soll jedoch hier davon ausgegangen werden, daß unter "Back-up-Rechenzentrum" eine befristete Ersatzlösung für ein durch einen Katastrophenfall ausgefallenes Rechenzentrum (RZ) verstanden wird. Als Katastrophe ist etwa ein Brand, eine Bombenexplosion oder, etwas weniger dramatisch, ein großer Wasserschaden im Rechenzentrum anzusehen was zum Totalausfall der Gebäudeinfrastruktur und/oder der DV-Konfiguration geführt hat.

Etwas weiter einschränkend könnte folgender Versuch einer Definition sein: Ein Back-up-Rechenzentrum ist ein Ersatz oder Teilersatz für ein total ausgefallenes Rechenzentrum innerhalb einer vorgegebenen Zeit für einen begrenzten Zeitraum. In dieser Definition verbergen sich sogleich eine Vielzahl von Varianten oder Alternativen von möglichen Lösungen des Back-up-Problems. Generell ist jedoch ein Back-up-RZ so zu konzipieren, daß im Falle einer eingetretenen RZ-Katastrophe (Zerstörung des Rechenzentrums) die für das jeweilige Unternehmen lebensnotwendigen DV-Anwendungen in kürzester Zeit wieder betriebsbereit sind.

Unternehmensleitung oft zu "lasch"

Aber was ist "lebensnotwendig"? Wer beurteilt das? Wer kann es beurteilen? Das DV-Management, der Anwender in den Fachbereichen oder die Unternehmensleitung? Hier beginnt bereits die Konfusion in der Mehrzahl der Unternehmen, die das Back-up-Problem noch nicht hinreichend gelöst haben. Vielfach wird davon ausgegangen, daß es sich um ein rein technisches Problem handelt, und folglich wird die Diskussion auf technischer Ebene geführt - mit der Folge, daß die Unternehmensleitung das Back-up-Problem, wenn überhaupt, nur ganz distanziert sieht. Daraus ergibt sich eine ganz typische, weitverbreitete Situation.

- Die Sicherheitsanstrengungen sind im Hinblick auf die Abhängigkeit weiter Unternehmensbereiche von der DV unzureichend.

- Die Unternehmensleitung zeigt keine Bereitschaft, größere Investitionen zur Erhöhung der Sicherheit der Funktionsfähigkeit des RZ zu tätigen, da die Risiken nicht ausreichend bekannt sind.

- Insbesondere ist nicht hinreichend transparent, welche Folgen für das Unternehmen bei einem Totalausfall des RZ entstehen können (zum Beispiel durch Brand oder Sabotage).

- Die DV-Leitung trägt überwiegend allein die Verantwortung, wenn wegen unzureichender Sicherheitsvorkehrungen der Betrieb der DV-Anlagen für längere Zeit ausfällt.

Aus dieser Situation ergibt sich zwangsläufig die Notwendigkeit der transparenten Begründung einer Back-up-Lösung für die Unternehmensleitung, da in der Regel größere Investitionen und/oder höhere laufende Kosten für eine Lösung des Back-up-Problems zur Diskussion stehen.

Um zu erkennen, ob für ein spezielles Unternehmen überhaupt ein Back-up-Rechenzentrum notwendig oder sinnvoll ist, sind die möglichen Risiken, die zur Rechenzentrums-Katastrophe und deren Folgen für das Unternehmen führen können, zu ermitteln und darzustellen. Als Beispiele für Ausfallursachen seien nur wenige genannt:

- Wassereinbruch (zum Beispiel durch Versorgungsleitungen, Klimaanlagen, Löschwasser, Abflußverstopfungen),

- Brand im RZ (zum Beispiel durch Kurzschlüsse, Überbelastungen von Leitungen, Leichtsinn des Personals),

- Stromausfall (zum Beispiel durch Blitz, Hochwasser, Sturmschäden),

- Sabotage (zum Beispiel durch eigene oder fremde Mitarbeiter),

- Bombenexplosion (zum Beispiel Terrorangriff, Erpressung durch Terrorgruppen oder Einzelpersonen)

Die Bewertung von Wahrscheinlichkeit des Eintretens und der resultierenden Auswirkungen denkbarer Risiken ist extrem abhängig von der Branche und dem spezifischen Betätigungsfeld eines Unternehmens sowie vom Standort und der Zugänglichkeit des RZ. Der Schaden einer nicht ausreichend abgesicherten RZ-Katostrophe ist an speziellen Beispielen des individuellen Unternehmens zu exemplifizieren und soweit wie möglich als finanzieller Schaden nachvonziehbar darzustellen.

Die möglichen Back-up-Alternativen müssen aufgezeigt und die damit verbundenen Investitionen und laufenden Kosten wenigstens näherungsweise ermittelt werden. Letztlich ist für die Unternehmensleitung (UL) eine hohe Transparenz von notwendigen finanziellen Aufwendungen und dem erreichbaren Sicherheitsgrad von denkbaren Lösungsalternativen Voraussetzung für eine Entscheidungs- und Investitionsbereitschaft.

Die Bewertung von Back-up-Alternativen ist nur möglich durch Vergleich der erzielbaren Egebnisse der Alternativen mit den Erwartungen der Fachbereiche und der UL, die es im Katastrophenfall zu erfüllen gilt. Diese Erwartungen sind vorab als Zielsetzungen für das Back-up-RZ zu präzisieren und zu vereinbaren. Hierbei ist durchaus unterscheidbar zwischen unverzichtbaren und wünschenswerten Anforderungen, damit Kosten/Nutzen-Relationen von Alternativen transparenter werden. Zu diesen Zielsetzungen gehört unter anderem die Festlegung der DV-Anwendungen, für die der Back-up-Betrieb geplant wird, gemeinsam mit der jeweiligen Fachabteilung. Eine grundlegende Weichenstellung mit weitreichenden Folgen erfolgt bereits mit der Festlegung auf eine Teilabdeckung für die wichtigsten DV-Anwendungen oder auf eine Vollabdeckung für alle DV-Anwendungen (Praktikabilität und Kosten). Erforderlich sind auch die Festlegung der maximalen Ausfallzeit bis zur ordnungsgemäßen Aufnahme des Backup-Betriebs (zum Beispiel maximal ein, zwei, sieben Tage) und eine Bestimmung der Servicegrade im Backup-Fall für Antwortzeiten und Verfügbarkeit von Online-Anwendungen, für die Zugriffsbereitschaft zu Daten und den Listenversand.

Ferner muß die Frist zur Wiederaufnahme des Normalbetriebs in einem wiederhergestellten RZ bestimmt werden.

Alle diese Parameter haben Auswirkungen auf die Begrenzung eines Katastrophenschadens und die notwendigen Vorhaltekosten für eine entsprechende Back-up-Lösung.

Im folgenden sind einige modellhafte Alternativen vorgestellt. Eine konkrete Lösung für ein spezielles Unternehmen kann hierbei jedoch aus der Kombination von verschiedenen Modellkomponenten bestehen. Leider gibt es noch keine Allerweltspatentlösung, die immer paßt. Vielmehr ist für jedes Unternehmen die angemessene Back-up-Alternative zu ermitteln.

Denkbar ist zunächst ein eigenes RZ, das man als System für Test und Entwicklung in separaten Räumen beziehungsweise an einem anderen Standort installiert.

Das separate Testsystem (Testkonfiguration) mit eigenen RZ-Räumen in entferntem Gebäude kann eine Lösung sein, wenn der Testumfang für die Anwendungsentwicklung annähernd einen Maschinenkapazitäts bedarf aufweist wie die RZ-Produktion. Dies kann in besonderen Fällen zum Beispiel dann gegeben sein, wenn kommerzielle und mathematisch-technische Systementwicklungen mit kompatiblen Systemen arbeiten und die gemeinsam benötigten Entwicklungskapazitäten in einem RZ zusammengelegt werden.

Technisch ist dies bei geeignetem Kapazitätsbedarf leicht realisierbar, häufig stößt eine solche Lösung jedoch auf unübersichtliche Widerstände, die aus einer weitestgehenden Abgrenzung zwischen technischer und kommerzieller DV resultieren.

Die zweite Möglichkeit sieht so aus, daß mehrere eigene Produktions-RZ abgesichert werden müssen. Bei Unternehmen der Großindustrie mit differenzierter DV-Anwendungsstruktur ergibt sich häufig die Notwendigkeit, zur Abdeckung von Standortanforderungen mehrere Produktions-RZ zu betreiben. In diesen Fällen liegt es nahe, auch durch zusätzliche Vorkehrungen in den RZ ein gegenseitiges Back-up zu realisieren.

In diesem Back-up-Verbund muß für jedes der beteiligten Rechenzentren (mindestens) eine Back-up-Möglichkeit bei den jeweils anderen möglich sein. Wenn solche Standortanforderungen jedoch nicht vorliegen und erst ein zweites Produktions-RZ geschaffen werden muß, ist die Realisierbarkeit dieser Alternative gegebenenfalls durch eine sehr hohe Integration der existierenden DV-Anwendungen bereits erschwert oder durch geplante Integrationsbestrebungen erheblich eingeschränkt.

Der Ernstfall muß simuliert werden

In Deutschland bieten zur Zeit zwei Firmen (Info in Hamburg/Düsseldorf und Bonndata in Bonn) Backup-Leistungen in einem kommerziellen Service-Rechenzentrum an. Ein weiterer Anbieter ist in den Niederlanden, Lelystad, die Firma Computer Uitwijk Centrum (CTIO, die sich auch um deutsche Kunden bemüht. Hier können jedoch nur Kunden bedient werden, deren Konfiguration mit IBM-Betriebssystemen (VM DOS, MVS) laufen. Die bei diesen Firmen installierten Konfigurationen werden hierbei bis zur 50fachen Belegung durch mehrere Kunden im Rahmen von gleichartigen Ausweichverträgen in Anspruch genommen. Für die Umschaltung aller Online-Anschlüsse werden alle Varianten von Standarddiensten der Post angeboten. Wie groß das Risiko ist daß zwei Kunden gleichzeitig dieselbe Konfiguration in einer Katastrophensituation in Anspruch nehmen müssen, ist schwer auszumachen. Aber man darf gespannt sein, wie sich die Preise entwickeln.

Als letzte Lösung kommt schließlich ein Container-RZ in Betracht.

Transportable Groß-Container zur Unterbringung der DV-Konfiguration werden auch zum Beispiel mit voller Ausstattung mit Klimageräten angeboten. Voraussetzung für eine solche Notfallvorsorge ist die Vorbereitung eines geeigneten Grundstücks (zum Beispiel Firmenparkplatz) mit den erforderlichen Kommunikationsanschlüssen für den Online-Betrieb.

Jede Lösung ist höchstens so gut wie ihre Funktionsfähigkeit im Ernstfall nach Eintritt einer RZ-Katastrophe. Um diese Funktionsfähigkeit zu überprüfen und permanent zu sichern, sind regelmäßige Erprobungen eines (simulierten) Ernstfalles notwendig. Erst durch die Erprobung kann sichergestellt werden, daß auch die eigenen Vorkehrungen für eine lückenlose Organisation der Abwicklung des Katostrophenfalls funktionieren und die vorgesehenen Kapazitäten stimmen. Spätestens hier wird deutlich, daß die praktische Erprobbarkeit der oben angeführten Alternativen höchst unterschiedlich ist und damit auch zwangsläufig Präferenzen für die Lösungen entstehen, die auf einer permanent laufenden DV-Konfiguration aufbauen, entweder in eigener Regie oder bei den Back-up-Servicegesellschaften.

Bei aller Vorsorge für die Back-up-Lösungen für ein DOS/VSE- oder MVS-RZ sollte jedoch nicht vergessen werden, daß gegebenenfalls eine Vielzahl von dezentralen, kleinen DV-Systemen im Unternehmen verteilt sind. Für diese dezentralen Systeme sind überwiegend kaum Vorkehrungen zur Verhinderung von Zerstörungen, geschweige denn Back-up-Vorkehrungen, getroffen worden. Es lohnt sich gewiß, auch in diesem Bereich einmal zu prüfen, ob Sicherheitsbelange nicht besser als heute abgedeckt werden müssen.

Für große Unternehmen mit mehreren unabhängigen Geschäftsbereichen ist dieser Weg jedoch häufig ohne große Mehrkosten realisierbar.

Alternative Nummer drei: Vorbereitete RZ-Räume ohne DV-Ausstattung.

Gemeinschafts-Back-up für vorbundene Unternehmen

Beim kalten RZ ist der Wiederanlauf der DV-Produktion durch den Zeitbedarf für die Neubeschaffung der notwendigen Hardwarekomponenten, die Installation und die Erreichung einer ausreichenden Stabilität im Betrieb der Hardware bestimmt. Hierzu sind weitverbreitet optimistische Zeitvorstellungen von einer Woche im Umlauf, dagegen sprechen konkrete Erfahrungen einer Katastrophengeschädigten, bei der drei Wochen (bei einem Lieferanten) nicht ausgereicht haben. Auch wenn dieser Fall nicht die Regel sein mag, auf eine Wiederanlaufzeit von zwei Wochen sollte man sich bei dieser Alternative gefaßt machen.

Weiterhin läßt sich ein Gemeinschafts-Back-up für verbundene Unternehmen realisieren. Bei dieser Alternative richten verschiedene Firmen, zum Beispiel eines Konzerns oder in einem Verband, ein Gemeinschafts-RZ mit laufender Konfiguration für den Back-up-Fall ein. Das RZ kann im Normalfall für weniger kritische DV-Anwendungen der beteiligten Firmen genutzt werden mit dem Vorteil, daß die Konfiguration einer ständigen Überprüfung und Sicherung der Funktionsstabilität unterliegt. Im Katastrophenfall ist die Aufnahme des Back-up-Dienstes für eine beteiligte Firma in maximal 24 Stunden realisierbar.

Es stellt sich jedoch die Frage, wer die Organisation dieses Rechenzentrums trägt. Befriedigend funktionieren kann diese Lösung nur bei einer selbständigen organisatorischen Einheit. An diesem Problem sind denn auch schon einige Versuche in dieser Richtung gescheitert, zum Beispiel zehn Vorstellungen von zehn Firmen unter einen Hut zu bringen.

Möglichkeit Nummer fünf: Vertrag mit kommerziellem Back-up-Unternehmen.