Es muß nicht immer die teuerste Backup-Lösung sein

22.12.1989

Verdrängung ist die Devise vieler DV-Leiter, wenn es um eine mögliche

Katastrophe in ihrem Bereich geht. Kein Wunder, denn gerade hier ist Vorsorge besonders teuer. Der Autor hat eine Reihe von Backup-Konzepten verglichen und glaubt, mit dem mobilen RZ-Container die Lösung mit dem besten Preis-/Leistungs- Verhältnis gefunden zu haben.

Es wäre kaum auszudenken, wenn die Zerstörung des Rechenzentrums oder der Totalausfall lebenswichtiger Teilbereiche die DV-Versorgung eines Unternehmens für längere Zeit lahmlegt und der DV-Verantwortliche seinem Management kein sofort greifendes Notkonzept präsentieren könnte. Heute ist in modernen Großunternehmen das Rechenzentrum ein Produktionsbetrieb, das die verkabelten Arbeitsplätze der Mitarbeiter das ganze Jahr über rund um die Uhr mit DV-Dienstleistungen zu versorgen hat Ein Stillstand in der Datenverarbeitung würde viele Unternehmen in den sicheren Konkurs führen.

Der DV-Leiter muß heute die ständige Einsatzbereitschaft bis zum letzten, computerunterstützten Arbeitsplatz sicherstellen. Das gilt für alle Branchen, für Industrie und Handel ebenso wie für Behörden und den Dienstleistungssektor. Also sind neben dem Notkonzept für Host und Peripherie besonders die Backup-Fähigkeit des Datennetzes zu garantieren. Außer den Netzwerkeinheiten für lokale Netze (LAN) und Datenfernübertragung (DFÜ) sind als weitere neuralgische Punkte Datenbanken und Sicherheitsdatenträger zu sehen.

Der Break-even, wie lange Unternehmen einen Ernstfall überleben können, liegt zwischen gut drei (Handelsunternehmen) und knapp sechs Tagen (Versicherungen). Die "Wiederbelebung" der DV einer Bank hingegen muß nach spätestens zwei Tagen erfolgt sein. Vor diesem Hintergrund lohnt es sich für das Management und den DV-Leiter schon, im Rahmen der strategischen Planung für einen Notfall "das" entsprechende Konzept parat zu haben.

"Schatten-RZ" sind am sichersten und teuersten

Es gibt verschiedene Backup-Lösungen, die lebenswichtige DV-Leistung bei Ausfall zu sichern. Die sicherste und teuerste ist ein eigenes "Schatten-Rechenzentrum", möglichst unterirdisch zu fahren. Auch vereinbaren einige Unternehmen Nachbarschaftshilfe, wobei die Frage ist, wie sie im Ernstfall funktionieren soll. Ein Ausweich-Rechenzentrum (ARZ) oder ein mobiles Rechenzentrum (MRZ) sind heute praktikable Lösungen, die aber ihre Wenn und Aber haben. Hier empfiehlt es sich, im Einzelfall alle technischen, logistischen und wirtschaftlichen Gesichtspunkte zu prüfen.

In einem Punkt sind sich alle "Ersatzlösungen" gleich: ein Backup braucht mehr als nur einen zweiten Rechner, Peripherie und Netzknoten. Wesentliche Probleme liegen in der Softwarekonfiguration und in der Frage, wie kann ich auf die erforderlichen Datenbestände zugreifen und wie komme ich wieder zu meinen Punkt-zu-Punkt-Verbindungen?

Eine Backup-Lösung besteht darin, daß kommerzielle Anbieter wie Bonndata, Info AG oder neuerdings die Holzmann Electronic Protection GmbH (eine Gründung von Philipp Holzmann und Memorex Telex) ein Ausweich-Rechenzentrum mit der notwendigen Rechnerleistung für den Notfall bereithält.

Um einen Wiederanlauf zu garantieren, muß der Kunde mit seinen Daten ein- oder zweimal im Jahr zum ARZ fahren und alle wichtigen Bereiche testen. Alle notwendigen und aktuellen Daten dort zu prüfen ist weder akzeptabel noch realisierbar und somit ein erstes Problem in diesem "Notfall-Check". Der Wiederanlauf in einem Ernstfall sieht somit ganz anders aus, als die vorher geprobte Simulation. Hier kommt es auf solche Kleinigkeiten an, wie daß der Dump exakt durchgeführt, der vorher definierte Plattenbedarf nicht überschritten wurde und die Datenleitungen stehen.

Joachim Krüger, RZ-Leiter bei Bonndata, sieht dem Wiederanlauf eines Kunden gelassen entgegen: "Zwischen dem Eintreffen der Datenträger, die zu Überspielen sind, und dem Hochfahren des Systems vergehen in der Regel nicht mehr als 24 Stunden". Da der Kunde danach sein eigenes System spiegelbildlich in Bonn installiert habe, könne er nach dem Wiederanlauf des Ersatz-Rechners per DFÜ (Wählleitung im L-Netz) auf seine Daten zugreifen.

Probleme tauchen bei der Verteilung der Daten auf. Die Einspeisung in das Netz und somit die Versorgung des letzten Arbeitsplatzes, hängt von weiteren Vorkehrungen ab, wie zum Beispiel: Hat der Kunde vorsorglich einen separaten Netzknoten installiert, an den sich das ARZ per Leitung anschließen kann? Oder war vorher vereinbart, daß von dem Anbieter Steuereinheiten vor Ort zu installieren sind?

An Kosten (der Notfall ist hier eingeschlossen) berechnen die Anbieter von ARZs laut Günther Maurer, Vertriebsleiter von Bonndata, zwischen 3000 und 25 000 Mark monatlich an Vorhaltegebühren. Nicht mit eingeschlossen sind die Vorhaltekosten für die Postleitungen und die Fahrtkosten. Die Aufwendungen für die Leitungen sind keineswegs vernachlässigbar, denn schnell kommen für aktuelle Wähl- oder Standleistungen, die bei der Post angemietet werden müssen, einige tausend Mark im Monat zusammen.

Während Holzmann/Memorex den Aufbau von vier regionalen Ausweich-Rechenzentren noch nicht abgeschlossen haben, kann Bonndata auf einen bereits erprobten und immer einsatzfähigen "warmen" Back up in Bonn verweisen. Bonn liegt für Bundesbehörden vor der Haustür, ist aber für Kunden aus München oder Hamburg ein weiter Weg.

Statistiken über Computer-Katastrophen sprechen eine deutliche Sprache. Die britische Granada Computer Services hat festgestellt, daß Feuer und Explosionen Ursache für nahezu die Hälfte aller erfaßten Fälle sind. Etwa ein Drittel davon seien auf Brandstiftung zurückzuführen, wobei nur ein Viertel der Brände im eigentlichen Computerraum "ausbrächen". Bombenanschläge auf große Rechenzentren (Beispiel MAN) belegen diese Aussagen und zeigen daß noch so perfekt geplante Sicherheitsvorkehrungen keinen hundertprozentigen Schutz darstellen.

Jürgen Döpkemeyer, Direktor : Gesamtvertrieb der deutschen Granada Computer Services GmbH in Treburg, offeriert mit der Dienstleistung "Computer Disaster Recovery", einen mobilen (kalten) Backup-Service. Hierzulande startete die deutsche Granada ihre Aktivitäten Ende 1988 und bietet seitdem herstellerunabhängige Wartung von DV-Anlagen an und erstellt Sicherheitskonzeptionen im Hardware- und Software Bereich (Total Systems Services und Facilities Management).

Das Angebot von Granada Computer sieht vor, dem für den Notfall abgesicherten Kunden mobile Einheiten auf Container-Basis innerhalb weniger Stunden nach Eingang des Notrufes zur Verfügung zu stellen. "Natürlich nach einer genauen Standortanalyse und mit kundenspezifischen Rechner- und Software-Konfiguration", betont Vertriebsleiter Rainer Vogt. Dem Notfall gehe jährlich eine "Trockenübung" mit Systemtest voraus. Granada bietet nach Aussagen des Vertriebsleiters diese Dienstleistung für Installationen mit den Rechnern IBM /36, /38 und AS/400, DEC-VAX und HP 9000.

Mit einer Laufzeit von 36 Monaten und jährlichen Gebühren von 7000 bis rund

100 000 Mark stellt das Treburger Unternehmen dem DV-Anwender bei Ausfall des eigenen Rechenzentrums innerhalb einer garantiert Reaktionszeit von 24 Stunden ein Container-Ersatzrechenzentrum vor die Haustür.

Die Höhe der Gebühren richtet sich nach der Länge der Inanspruchnahme (8 oder l6 Wochen) und nach der Konfiguration oder dem Inhalt des Containers. Preiswert sieht die Lösung für eine kleine /36 aus, denn für den Notfall zahle dieser Kunde nur 7000 Mark. - Ob eine /36 "diesen Aufwand" wert ist?

Teurer wird eine mittlere AS/400 mit rund 20 000 Mark oder eine VAX 6420, die mit Cluster und diversen Plattenspeichereinheiten rund 100 000 Mark Jahresgebühr kosten soll. Laut Anbieter sind die Dienstleistungen in diesen Verträgen eingeschlossen.

Für mittlere und größere Rechenzentren bietet die MRZ System-Service GmbH mit Sitz in München, Hamburg und Groß-Gerau, mobile Vorsorge Konzepte an. "Problematisch wird es", warnt Geschäftsführer Alois Philipp, "wenn ein Unternehmen erst im Schadensfall nach Lösungen sucht". Er bezweifelt, daß viele DV-Verantwortliche sich der Folgen eines Totalausfalls bewußt sind. Oft bestehe blindes Vertrauen in den Rechnerhersteller und dessen Notmaßnahmen, die bei den meisten allerdings nur den Austausch der Hardware beinhalten. Die Betriebsfähigkeit der gesamten DV kann damit jedoch nicht wiederhergestellt werden.

"Unser Konzept sieht vor, daß wir im Vorfeld dem Kunden erst einmal sagen, welche Fachabteilungen überhaupt überlebensfähig sind und welches Notkonzept aus dieser Erkenntnis abgeleitet werden kann", erläutert Philipp. In jedem Unternehmen gebe es Teilbereiche, die überhaupt nicht ausfallen dürfen. Hier muß das Unternehmen selbst etwas ändern, indem es entweder Redundanten schafft oder die Ausfallwahrscheinlichkeit durch Sicherheitsräume in Röhren reduziert, betont Philipp.

Generell ist anzumerken, daß die Hardware innerhalb eines Geländes so zu verteilen ist, daß ein Totalausfall unmöglich wird. Die Bereiche, die innerhalb von 24 oder 48 Stunden wieder verfügbar sein müssen, kann das Unternehmen über ein mobiles Rechenzentrum absichern. Dabei soll sich der DV-Leiter auch nicht auf eine Hardware beschränken, wenn er verschiedene Systeme wie IBM oder DEC im Einsatz hat.

Die Vorteile von mobilen Rechenzentren gegenüber der ARZ-Lösung liegen auf der Hand: Die Mitarbeiter, die nach einem Katastrophen-Fall im Unternehmen für den Wiederaufbau des beschädigten RZs dringend benötigt werden, können vor Ort bleiben. Außerdem stehen die betriebsnotwendigen Datenträger und Dokumente unmittelbar vor Ort zur Verfügung und unterliegen nicht den möglichen Gefahren einer Reise. Auch entfallen zeitaufwendige Installations- und Reparaturzeiten für den Anschluß der sonst betriebsnotwendigen und zusätzlichen Postleitungen zu einem ARZ.

Im Vorfeld ist in Betracht zu ziehen, was die Kommunikation für das gesamte Unternehmen bedeutet und wie lange das Unternehmen überhaupt kommunikationsfähig sein muß. Auf die Antwort dieser Fragen baut Philipp sein Konzept auf und sagt, daß die Hardware nur der geringste Teil dabei ist.

"Einbeziehen muß man auch das gesamte Netzwerk wie Telefonanlage und Netzwerkkontroller, also auch die Peripherie wie etwa Modems", erinnert der MRZ-Manager. Dies sei ebenso wichtig wie eine Wiederanlaufplanung, die sich auf die Anwender beziehe. Beides müsse in kürzester Frist strukturiert werden, um das System wieder auf den aktuellen Stand zu bringen.

Sollte es zu einem Totalausfall kommen, stellt sich die Frage, wo man langfristig arbeiten kann. Das kann ein Ausweichraum im eigenen Gelände oder eine mobile Halle sein. Die Audi AG beispielsweise hat für diesen Fall die Kantine mit einem Doppelboden und der notwendigen Infrastruktur eingerichtet.

Zur Vorsorge gehört ein störunabhängiges Netzwerk

Die mobile RZ-Halle oder der RZ-Container sind ebenso wie die Hardware nach Aussagen des MRZ-Geschäftsführes innerhalb kürzester Frist vor Ort auf dem Betriebsgelände und nach spätestens 24-Stunden einsatzbereit, um an das lokale Netz des Kunden angeschlossen zu werden. Der Kunde kann wählen, ob er das beschädigte Gebäude des Rechenzentrums durch ein mobiles Hallensystem ersetzen möchte, oder bei Container-Betrieb bleiben will.

Besonders wichtig sind organisatorische Vorsorgemaßnahmen, damit die Hardware auch innerhalb kürzester Frist wieder zum Laufen kommt. "Der Kunde muß seine Netz-Hardware so aufbauen", betont Philipp, "daß sie nach einem Störfall rasch wieder in Betrieb genommen werden kann."

Die Klippe wassergekühlte IBM-Rechner umgeht MRZ, indem es luftgekühlte Großrechner von Hitachi einsetzt. So stehe beispielsweise für die IBM-Welt eine Comparex 8/89, ein der 3090-180E vergleichbarer 19 MIPS-Rechner, 60 GB Plattenspeichersysteme, Magnetbandlaufwerke, Kassettenbandspeicher und Zeilendrucker in klimatisierten, brandsicheren und verkabelten Stahl-See-Containern zur Verfügung.

Nach Aussagen von Philipp ist die mobile Lösung heute die wirtschaftlichste, weil Test und Funktionalität immer wieder realitätsbezogen dargestellt werden können. Weiterhin müßten keine Leitungskosten vorgehalten werden, weil man direkt an den Kanal gehe. Seinen Kunden bietet er einen Poolvertrag an, der sich aus verschiedenen Modulen zusammensetzt.

Neben einer einmaligen Grundvergütung von 7000 Mark, mit der Alarmplanung abgegolten ist, zahlt der Kunde eine monatliche Vorhaltegebühr, die sich nach der verlangten Rechnerleistung richtet. Eine IBM-kompatible Maschine kostet in der 12-MIPS-Version, mit 30 GB Plattenspeicherkapazität, Zeilendrucker (1500 Zeilen/Minute), 3 Bandlaufwerken, Netzwerkrechner und lokalen Steuerungen monatlich rund 11 000 Mark. Zwei Testläufe pro Jahr sind inbegriffen. Etwas teurer wird die stationäre Lösung mit Halle, für die je nach Angebot 30 000 bis 40 000 Mark zu zahlen sind.

Vorteile gegenüber einem dezentralen Ausweich-Rechenzentrum (ARZ) sind nach Philipp schon in der Testphase offensichtlich, denn außer den Fahrtkosten, muß man seine gesamten Backup-Daten mitschleppen. Bei der mobilen Lösung können neben den DV-Mitarbeitern auch die Abteilungen in den Test integriert werden. In einem ausgelagerten ARZ hingegen lassen sich nur Teilbereiche testen.

Mobile Lösungen sind weitaus flexibler

Die Anbindung der Back-up-Hardware an das Netz wirft Probleme auf, die im Einzelfall zu überprüfen sind. Leitungsumschaltung per Stand- oder Wählleitungen zu einem ARZ oder Kanalverlängerung in ein MRZ sind technisch und organisatorisch schon Unterschiede, wobei der direkte Anschluß über den Kanal ohne Leistungsverluste oder Schaltungsrisiko als die bessere Lösung erscheint.

Bei der Wahl zwischen Ausweich- oder mobilen Rechenzentrum ist auch das Verhalten der "local" und "remote" angeschlossenen Endgeräte von Bedeutung. Im Ernstfall kann durch ein provisorisches Verlegen von vorkonfektionierten Leitungen an die vorgesehenen Steckverbindungen einer mobilen Lösung der Wiederanlauf wesentlich beschleunigt werden.

Auch satellitengestützte Datenübertragungen sind denkbar und werden realisiert. Über das vor Ort eingesetzte Container-RZ wird eine Verbindung zu einem entfernt gelegenen warmen Ausweich-RZ mit Großrechner hergestellt. Dies geschieht über eine feste Erdfunkstelle, die in der Nähe des Einsatzortes installiert wird. Diese Lösung überbrückt den Engpaß, wenn größere Datenraten über weitere Entfernungen kurzfristig verfügbar sein müssen. Die Satellitenstrecke stellen die Post und inzwischen auch einige private Anbieter zur Verfügung.

Übrigens: Viele DV-Leiter reagieren auf die Frage, welche Backup-Lösung sie einsetzen werden, daß sie zu weiteren Aussagen nur bereit seien, wenn sie nicht zitiert werden .