Georedundanz bei Trust Service Providern

Digitales Vertrauen im Ernstfall

23.09.2022
Von   IDG ExpertenNetzwerk
Mario Voge ist Lead Strategic Growth Manager bei Swisscom Trust Services AG. Als Experte für digitale Signaturen und digitale Identität bietet er besonderen Einblick in die Anwendungsbereiche für e-Health, Retail und HR.
Georedundanz ist nicht nur für Rechenzentren selbst ein großes Thema. Ist von einem Ausfall auch ein daran angeschlossener Trust Service Provider betroffen, kann es teuer werden.
Der Brand des Straßburger Rechenzentrums des Internet-Dienstleisters OVHcloud im vergangenen Jahr hatte zur Folge, dass Webseiten und Dienste tausender Unternehmen nicht mehr erreichbar waren.
Der Brand des Straßburger Rechenzentrums des Internet-Dienstleisters OVHcloud im vergangenen Jahr hatte zur Folge, dass Webseiten und Dienste tausender Unternehmen nicht mehr erreichbar waren.
Foto: Hadrian - shutterstock.com

Wie wichtig das Thema Georedundanz für Rechenzentren ist, zeigt das Beispiel der Brandkatastrophe, die sich im März 2021 beim Webhoster OHV abspielte. Einer der Sicherheitsmängel, den die französische Feuerwehr feststellte, war die räumliche Nähe der beiden abgebrannten Rechenzentren und der mangelnde Brandschutz. Hier kommt der Begriff Georedundanz ins Spiel.

Georedundanz – Definition

Georedundanz unterscheidet sich durch räumliche Trennung von Redundanz, wo es lediglich um die logische Duplizierung von Systemen geht - letzteres wäre auch am gleichen Ort möglich. Redundanz ohne geografische Trennung kann aber nur Schutz vor technischem Versagen bieten, bei lokalen (Natur-)Katastrophen wären beide Systeme gleichermaßen betroffen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Georedundanz wie folgt: "Ziel der […] Eigenschaften von Georedundanz ist, dass die einander Georedundanz gebenden Rechenzentren (RZ) neben der individuellen Berücksichtigung der Anforderungen aus Kapitel 2 zudem räumlich so weit voneinander entfernt aufgebaut sind, dass selbst ein Großschadensereignis nicht gleichzeitig oder zeitnah mehrere RZ einer Georedundanzgruppe treffen kann."

Um diese Anforderungen zu gewährleisten, empfiehlt das BSI einen Mindestabstand von 200 Kilometern zwischen den Lokationen. Keinesfalls unterschritten werden sollten jedoch 100 Kilometer. Dabei handelt es sich jedoch nur um Empfehlungen, explizite Vorgaben gibt es nicht. Letztendlich ist die Standortwahl auch immer von individuellen Faktoren, wie etwa der örtlichen Geografie, abhängig.

Redundanz ist nicht gleich Backup

Spricht man über die Vermeidung von Datenverlust und Datensicherung, kommt man schnell auf den Begriff Backup. Doch dieser ist nicht mit redundanter Datenhaltung gleichzusetzen. Bei einem Backup handelt es sich lediglich um eine Momentaufnahme zu einem Zeitpunkt X. Alles, was nach diesem Zeitpunkt passiert, wäre im Ernstfall verloren,

Außerdem handelt es sich bei Backups um ein hierarchisches Prinzip: Alle Inhalte eines Hauptsystems oder Hauptspeichers werden von Zeit zu Zeit repliziert und an einem zweiten, untergeordneten Speicherort abgelegt. Redundanz bedeutet dagegen, auf diese Hierarchie zu verzichten und die Systeme jeweils eins zu eins zu spiegeln und simultan auszuführen. Vereinfacht kann man sich das so vorstellen, dass ein PC-Nutzer statt einer externen Festplatte, auf der er hin und wieder Daten sichert, zwei Computer besitzt, auf denen immer die gleichen Operationen ausgeführt werden. Selbstverständlich lohnt sich ein derartiger Aufwand nur bei wirklich sensiblen Daten.

Bei kritischen Systemen sorgt der permanente Doppelbetrieb dafür, dass bei einem Ausfall eines Rechenzentrums ein anderes direkt die Rechenlast übernehmen kann. Dies erfolgt durch einen automatischen Handover. Hier kommt ein weiterer Vorteil der Redundanz gegenüber Backups ins Spiel: Beim Backup werden lediglich historische Daten gesichert. Theoretisch könnte dies durch Steigerung der Backup-Häufigkeit annähernd lückenlos passieren. Doch auch dann gibt es hierarchiebedingte Probleme.

Wenn das Hauptsystem ausfällt, fallen auch alle darauf gehosteten Dienste und Anwendungen aus. Die Services sind also bis zur Wiederherstellung nicht mehr nutzbar. Redundanz ist daher auch unter dem Gesichtspunkt Serviceverfügbarkeit zu sehen. So kann es nach einem Ausfall in einem Rechenzentrum durchaus Stunden oder im Extremfall Tage dauern, bis ein Rechenzentrum nach einem Zwischenfall wieder aufgesetzt werden kann.

Schadensvermeidung bei Trust Service Providern

Kontinuität und Sicherheit sind auch Bereiche, die bei der Zusammenarbeit mit einem Trust Service Provider eine Rolle spielen. Zertifizierte und akkreditierte Vertrauensdiensteanbieter (Trust Service Provider) sorgen dafür, dass bei digitalen Diensten, etwa elektronischen Signaturen, hohe Sicherheitsstandards eingehalten werden, indem sie beispielsweise qualifizierte Zertifikate ausstellen. Ein zentraler Aspekt dieser Arbeit ist allerdings auch die Nachvollziehbarkeit von Transaktionen. Für die Kunden eines Trust Service Providers könnte es unangenehme Folgen haben, wenn dieser Datenverluste erleidet: Kommt es zu einem Gerichtsverfahren, in das digital signierte Dokumente involviert sind, kann es sein, dass der Vertrauensdiensteanbieter ebenfalls involviert wird.

Deshalb müssen diese Unternehmen innerhalb der gesetzlichen Aufbewahrungsfrist Nachweise über den technischen Vorgang hinter einer Signatur erbringen können. Die gesetzlichen Aufbewahrungsfristen können mitunter sehr lang sein - in der Schweiz elf Jahre und in der EU teilweise sogar über 30 Jahre. Gelingt es dem Vertrauensdiensteanbieter nicht, die geforderten Beweisdaten für Identifikationen oder Registrierungen und ein sogenanntes Tätigkeitsjournal, das unter anderem den Zeitpunkt der Signatur beinhaltet, beizubringen, kann das Unternehmen prinzipiell haftbar gemacht werden.

Georedundanz ist für Trust Service Provider aktuell noch nicht gesetzlich vorgeschrieben. Im Zuge der geplanten eIDAS-Novellierung könnte sich dieser Zustand allerdings ändern. Bis dahin liegt es weiter in der Verantwortung der Anbieter, die ausfallsicherste Umgebung für ihre Kunden zu bieten. (bw)