Nach den Anschlägen auf die Hamburger SCS und den Mathematischen Beratungs- und Programmierungsdienst aus Dortmund ist RZ-Katastrophenschutz wieder einmal im wahrsten Sinne des Wortes "brandaktuell". Leider haben sich derzeit aber erst wenige Rechenzentren auf den Ernstfall wirklich vorbereitet. Dabei liegen laut Rainer von zur Mühlen von der gleichnamigen Sicherheitsberatung oft konkrete Planungsaufträge von seiten der Geschäftsleitung vor. Die fehlende Vorsicht Ist auch deshalb unverständlich, weil es mittlerweile mehrere brauchbare Backup-Alternativen gibt. Während Rolf Kelten, RZ-Leiter der Kölnischen Lebensversicherung, den Unternehmern als; wirtschaftliche Lösung Katastrophenschutz auf der Basis gegenseitiger "Nachbarschaftshilfe" empfiehlt, plädiert der Info-Geschäftsführer Hans-Joachim Schulthoff für die Nutzung eines mobilen Rechenzentrums oder den Anschluß an ein "warmes" Service-RZ. sch
Dr. Hans-Joachim Schulthoff Geschäftsführer, Info Gesellschaft für Informationssysteme mbH, Hamburg
Die Sicherstellung der Kontinuität der Datenverarbeitung im Falle einer Katastrophe im Rechenzentrum ist bei dem heute erreichten Grad der Informationsverarbeitung in allen Bereichen von Wirtschaft und Verwaltung für jedes Unternehmen "über"-lebenswichtig .
Das gilt für große Organisationen, die auch bei Einsatz dezentraler Systeme ohne ein funktionierendes zentrales Steuerungssystem nicht operabel sind, ebenso wie für kleinere Betriebe, deren Existenz im Falle einer RZ-Katastrophe in vielen Fällen hochgradig gefährdet ist. Während vielfach Sorglosigkeit, vermeintliche Sicherheit und/oder das Tagesgeschäft im DV-Betrieb gezielte Vorsorgemaßnahmen verhindern, haben in jüngster Zeit vor allem kriminelle Aktivitäten das Bewußtsein der verantwortlichen Unternehmensführer für diesen Problemkreis geschärft.
Welche Art der Vorsorgebeziehungsweise Backup-Lösung für ein Unternehmen die sinnvollste und wirtschaftlichste ist, hängt im wesentlichen von der Beantwortung folgender Frage ab: Wie viele Stunden oder Tage können die wichtigsten Bereiche des Unternehmens nach Eintritt einer RZ-Katastrophe ohne Datenverarbeitungsservice weiterarbeiten?
Sofern die Anforderungen nach einem schnellen Wiederanlauf des Produktionsbetriebs sich im Stundenbereich bewegen, ist dies nur durch ein sogenanntes "Hot stand by"-Rechenzentrum an einem anderen Standort möglich. Dabei muß sichergestellt sein, daß dieses Rechenzentrum in "Friedenszeiten" nur durch Testbetrieb oder zeitunkritische Arbeiten belegt wird und im K-Fall die Anwendungen des Produktionssystems umgehend weiterfahren kann. Problembereiche bei dieser Lösung sind: parallele Führung von Datenbanken, Umschaltung des DFV-Netzes, Kosten eines weiteren zentralen Rechenzentrums.
Andererseits gibt es Unternehmen, die - abhängig von ihrer DV-Installation - eine Woche oder länger auf Datenverarbeitung verzichten können. Für diese Unternehmen bietet sich an, Vorkehrungen für die Installation einer kompletten DV-Konfiguration im K-Fall zu treffen ("empty shell", Container).
In der Mehrzahl aller Unternehmen liegt die maximal tolerierbare Ausfallzeit jedoch zwischen etwa 48 Stunden und vier bis fünf Tagen, das heißt für diese Unternehmen muß es Ausweichlösungen geben, die einen schnellen und wirtschaftlichen Wiederanlauf des gesamten Informationssystems nach einem ungeplanten RZ-Katastrophenfall in kürzester Zeit sicherstellen.
Diesen Anforderungen genügt die Firma Info Gesellschaft für Informationssysteme, Hamburg; sie betreibt zur Zeit zwei sogenannte "warme" Ausweich-Rechenzentren in Hamburg und Düsseldorf mit IBM 3081/K-Konfigurationen. Aus der nunmehr fast dreijährigen Erfahrung mit inzwischen 25 großen Kunden ist zu konstatieren:
1. Unabdingbare Voraussetzung für den Wiederanlauf ist die Bereitstellung von Hard- und Software im Ausweich-Rechenzentrum spätestens 24 Stunden nach Vorliegen eines K-Falles beim Kunden.
2. Die 100prozentige Backup-Fähigkeit erlangt ein Anwender nur dann, wenn die Backup-Lösung sorgfältig geplant, permanent überprüft und vor allem regelmäßig getestet wird, da sich die betrieblichen Anforderungen erfahrungsgemäß Iaufend ändern.
3. Ein wesentliches Problem besteht darin, daß das Datenverarbeitungskonzept des Kunden im Hinblick auf den geforderten schnellen Wiederanlauf neu konzipiert werden muß. Schwierigkeiten können sich auch gegebenenfalls ergeben, weil die Umschaltung des DFV-Netzes (local und remote) auf das Ausweich-Rechenzentrum organisatorische und technische Änderungen oder Ergänzungen der TP-Installation erfordert.
Rainer A. H. von zur Mühlen Geschäftsführer der von zur Mühlen' schen Unternehmens-
und Sicherheitsberatung, Bonn
Mit der technischen und organisatorischen Vervollkommnung der EDV gehen die Bemühungen der Unternehmen einher, Planungen zu einem möglichst schnellen Wiederanlauf nach einem Rechenzentrumsgroßschaden vorzunehmen. Dies geschieht vor allem wegen der zunehmenden Häufigkeit von Bombenanschlägen gegen Rechenzentren und der Sorge um die Aufrechterhaltung der Funktionsfähigkeit nach einem Schaden im Umfeld. Angesichts der vielfältigen Gefahren, die einer funktionierenden Datenverarbeitung
drohen und die mit absoluter Sicherheit auch nicht auszuschließen sind, ist eine umfassende Planung des schnellen Wiederanlaufs dringend notwendig. Nur wenige Rechenzentren sind jedoch auf Katastrophensituationen hinreichend vorbereitet, obwohl von der Geschäftsleitung oder der DV-Leitung konkrete Planungsaufträge vorliegen. Der Aufwand allein zur Sammlung
der notwendigen Basisinformationen über die Sicherheit des Rechenzentrums und über
die organisatorischen Maßnahmen und ihre Alternativen ist so beträchtlich, daß derjenige der im Tagesgeschäft steht, die notwendige Zeit für eine vernünftige Wiederanlaufplanung nicht aufbringen kann.
Voraussetzung für Umfang und Inhalt des Wiederanlaufplanes ist der Versuch des Unternehmens, das Schadensrisiko möglichst exakt einzuschätzen, Durch physische Sicherungsmaßnahmen kann dieses Risiko weitestgehend minimiert werden. Mit Kenntnis und Definition des verbleibenden Restrisikos läßt sich ein Konzept entwickeln, das als Grundlage für den Aufbau eines Wiederanlaufplanes dienen kann, der eine konkrete Entscheidung zugunsten einer der möglichen Backup-Lösungen beinhaltet.
Das Spektrum der Backup-Alternativen reicht von Untätigkeit bis zum heißen Notrechenzentrum. Beide Möglichkeiten sind zwar denkbar, aber nicht realistisch. Praktikable, gängige Alternativen sind:
a. Anmieten eines leeren, mit der notwendigen Infrastruktur versehenen Raumes.
b. Vertragliche Absprache mit einem befreundeten Unternehmen oder einem Rechenzentrum aus dem eigenen Konzern, das noch Kapazitäten frei hat, die im Notfall genutzt werden können.
c. Bildung einer Unternehmensgemeinschaft, die sich die Kosten für ein externes Notrechenzentrum teilt.
d. Verbindung mehrerer Rechenzentren über einen Ring von Datenleitungen.
e. Trennung von Softwareentwicklung und Produktion auf einen zweiten Rechner.
f. Anschluß an ein warmes Service-Rechenzentrum.
g. Vorbereiten eigener Räumlichkeiten mit der notwendigen Infrastruktur.
Rolf Keiten Leiter des Rechenzentrums der Kölnischen Lebensversicherung AG und der Kölnischen Sachversicherung AG
Datenverarbeitungsanlagen übernehmen heute einen großen Teil der Arbeiten in unseren Unternehmen. Aus diesem Grunde ist - auch nur vorübergehend - eine Rückkehr zur manuellen Verarbeitung, zum Beispiel im Katastrophenfall, häufig nicht mehr möglich. Katastrophen können weder vorhergesehen, noch mit absoluter Sicherheit verhindert werden. Hieraus resultiert für ein Rechenzentrum der Zwang, Vorsorge für den Katastrophenfall zu treffen. Die Ansicht, es wird schon nichts passieren, kommt nach meiner Meinung schon einer mittleren Katastrophe gleich, wie die Attentatsversuche auf Rechenzentren in der jüngeren Vergangenheit gezeigt haben.
Zur ordnungsgemäßen Katastrophenvorsorge gehört zweifelsfrei eine intakte Infrastruktur des Rechenzentrums. Die wichtigsten Merkmale einer solchen Struktur sind bauliche und systemtechnische Maßnahmen als Intrusionsschutz, stabile Stromversorgung, Klimatisierung und deren Überwachung sowie Brandmelde- und Löschsysteme. Außerdem muß eine eindeutige Zugangsregelung und deren Überwachung, eine sorgfältige Personalauswahl und die regelmäßige Datensicherung beziehungsweise Datenauslagerung gewährleistet sein. Die Realisierung von Katastrophenvorsorgemaßnahmen sollte sich auch in jedem Fall nach wirtschaftlichen Aspekten richten.
In unserem Hause haben wir uns seit Anfang des Jahres intensiv mit der Katastrophenvorsorge beschäftigt. Folgende grundsätzliche Zielvorstellungen wurden hierbei berücksichtigt:
- Auswahl eines für unsere Belange geeigneten Ausweich-Rechenzentrums
- Festlegung einer Vereinbarung (Vertrag) über ein Datenauslagerungs- und Ausweichabkommen mit dem ausgewählten Partner
- Erstellen eines gemeinsamen Katastrophen-Handbuches.
Bei der Suche nach einem geeigneten Ausweich-Rechenzentrum kommt - neben den
Sicherheitsaspekten - der Frage nach den laufenden Kosten eine vorrangige Bedeutung zu.
Die Lösung fanden wir in einem Partner mit vergleichbarer Ausgangssituation. Der unterzeichnete Kooperationsvertrag stellt für beide Unternehmen eine hervorragende Präventivmaßnahme dar. Grundlage der Kooperation ist eine weitgehende Identität der installierten Hardware- und Betriebssoftware-Systeme. Diese soll auch in der Zukunft durch gegenseitige - im Rahmen der einzelunternehmerischen Zielsetzung sinnvollen - Abstimmung erhalten bleiben.
Die gegenseitige Benutzung der Rechenzentren ist nicht nur im Katastrophenfall, sondern auch bei im Vertrag definierten Produktionsengpässen möglich. Das Ausweichabkommen gibt Direktiven für das Bereitstellen geeigneter Möglichkeiten im Falle einer regelmäßigen Datenauslagerung. Diese Auslagerung dient zum einen der Datensicherung und zum anderen als Datenbasis im Katastrophenfall, um die dann benötigten Daten "vor Ort" zu haben.
Zwischen unseren Unternehmen ist eine Standleitung geschaltet, die im K-Fall einen Direktanschluß der wichtigsten Bildschirmarbeitsplätze ermöglicht. Diese Leitung wird im übrigen auch ohne Katastrophe täglich genutzt, um alle Veränderungsdaten eines Arbeitstages in das Rechenzentrum des Partners zu übertragen. Damit ist eine laufende Aktualisierung der ausgelagerten Datenbestände für beide Partner sichergestellt.
Der Vorteil von periodischer Datenauslagerung und täglicher Aktualisierung liegt in der Möglichkeit, den gesamten Stapelbetrieb in kürzester Zeit zum Ausweich-Rechenzentrum umzusteuern. Von dort aus kann dann kurzfristig der TP-Betrieb wiederhergestellt werden.
Wir glauben, daß wir mit dieser Form der partnerschaftlichen Katastrophenvorsorge auf der Basis einer gegenseitigen Nachbarschaftshilfe die wirtschaftlichste Lösung für unser Problem gefunden haben. Gewiß sind im Vorfeld der hier beschriebenen Maßnahmen eine Vielzahl von Voraussetzungen und Detaillösungen zu schaffen. Dennoch glaube ich, daß dieser Weg einer RZ-Partnerschaft für einen großen Teil der DV-Anwender attraktiv und gangbar ist. So konnte auch auf diesem Gebiet die in der Versicherungswirtschaft praktizierte Idee der Gefahrengemeinschaft - das heißt gemeinsame Risikotragung bei geringen Kosten für den einzelnen - zur Geltung kommen.