"Krisen meistert man am besten, indem man ihnen zuvorkommt", soll der amerikanische Wirtschaftwissenschaftler Walt Whitman Rostow gesagt haben. Diese Binsenweisheit nimmt in der IT einen zentralen Platz ein und kann als Leitspruch in allen Fragen der IT-Sicherheit dienen: Der abwägende Blick nach vorne sollte den Beginn jeder IT-Strategie darstellen.
Einen anspruchsvollen Bereich der IT-Sicherheit stellt Disaster Recovery dar. Aus Sicht der IT ist die Wiederherstellung der Systeme und Daten nach einem Katastrophenfall das zentrale Element einer Business-Continuity-Strategie. Dabei gilt es, die Ausfallzeiten der IT so gering wie möglich zu halten und so einen wichtigen Beitrag zur Betriebsbereitschaft des gesamten Unternehmens zu leisten. Eine hohe Verfügbarkeit für Unternehmen gehört zum Pflichtprogramm: Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt seit 1998 allen AGs und vielen GmbHs die Bewertung der eigenen Risiken und eine entsprechende Vorsorge vor. Darunter fallen auch operationale Risiken wie der Ausfall der IT.
Sonderfall Banken
Bei Banken und anderen Finanzdienstleistern sind die Ansprüche an die Risikovorsorge sogar noch wesentlich höher: Hier gelten zusätzlich zum KonTraG noch Vorschriften wie die Mindestanforderungen für den Betrieb von Handelsgeschäften (MaH) und bald auch Basel II. Dass sich die großen Industrienationen so um ein intaktes Bankenwesen sorgen, kommt nicht von ungefähr: Letztlich steht das Funktionieren der gesamten Volkswirtschaft auf dem Spiel. Ein großes Erdbeben in Frankfurt am Main, eine Naturkatastrophe in New York, ein Terroranschlag in London - die Folgen wären unabsehbar, wenn dadurch der Betrieb der weltweit wichtigen Finanzmärkte nicht mehr möglich wäre.
Die Notwendigkeit des Disaster Recovery steht heute nicht mehr zur Diskussion. Laut einer Umfrage des Marktforschungsunternehmens Forrester Research unter US-Unternehmen wollten im Jahr 2003 rund 60 Prozent aller Befragten in entsprechende Produkte und Dienstleistungen investieren. Dabei war der Finanzsektor mit 65 Prozent überdurchschnittlich stark vertreten.
Redundanz sorgt für Verfügbarkeit
Innerhalb der IT heißt das Schlagwort für Ausfallsicherheit "Redundanz". Für Unternehmen wie Banken oder Broker, die auf den Betrieb von Rechenzentren angewiesen sind, ist ein zweites Rechenzentrum unerlässlich, damit im Falle eines Falles die Geschäfte weitergeführt werden können. Dabei müssen jedoch einige Hürden genommen werden. Ein prominentes Beispiel dafür sind die Richtlinien, die einige amerikanische Aufsichtsbehörden nach den Anschlägen des 11. September 2001 aufgestellt haben. Darin wird die Empfehlung ausgesprochen, dass redundante Rechenzentren 200 bis 300 Meilen voneinander entfernt sein sollten. Das Problem: Die für die Verbindung zweier Rechenzentren häufig eingesetzte Fibre-Channel-Technologie funktioniert nur über 100 Kilometer (zirka 62 Meilen).
Es liegt auf der Hand, dass solche Maßnahmen sehr aufwändig und kostenintensiv sind. Deswegen muss jede Strategie zum Disaster Recovery mit der Frage beginnen, welche Daten und Anwendungen im Notfall höchste Priorität genießen. Dazu kann man sich eines Modells bedienen, das CNT, ein Hersteller von Speichernetzlösungen, definiert hat. Je nach Priorität werden dabei die Daten, Anwendungen und Server einer Klasse zugeordnet und nach verschiedenen Gesichtspunkten bewertet - zum Beispiel nach den geschäftlichen Anforderungen. Hierbei findet eine Einteilung in drei Klassen statt: Kritisch (kein Geschäftsbetrieb ohne diesen Prozess möglich), lebenswichtig (Prozess darf nur kurzzeitig ausfallen) und weniger wichtig (Prozess kann auch über einen längeren Zeitraum nicht verfügbar sein).
Daraus ergeben sich dann wiederum Disaster-Recovery-Klassen für das primäre und das sekundäre Rechenzentrum. Das Modell schreibt vor, dass kritische Prozesse binnen fünf bis zehn Minuten wieder verfügbar sein müssen. Die Crux: Die Prozesse im Kerngeschäft der Banken fallen fast ausnahmslos in diese Kategorie.
Ohne IT keine Geschäfte
Die technische Entwicklung der vergangenen Jahre hat die Finanzbranche vor diesem Hintergrund in eine bedrohliche Lage gebracht. Hier sind alle unternehmenswichtigen Prozesse inzwischen vollständig von IT abhängig. So etwa im Börsenhandel: Kein Händler könnte heute ohne Zugriff auf ein funktionierendes Backend sein Portfolio im Blick behalten. Meist kommen dabei auch mehrere bestandsführende Systeme parallel zum Einsatz. Auch ist es nicht mehr möglich, Tickets von Hand auszustellen. Der Ausfall eines Rechenzentrums, etwa durch eine Naturkatastrophe, hätte verheerende Folgen für die Bank. Denn sie handelt in der Regel nicht nur mit dem eigenen Kapital, sondern auch im Auftrag ihrer Kunden. Neben Haftungsfragen steht hierbei vor allem deren Vertrauen auf dem Spiel.
Aufwändige Vielfalt
Somit müssen Banken nicht nur dafür sorgen, dass alle Daten zeitnah in ein zweites Rechenzentrum gespiegelt werden. Wichtig im Sinne der Business Continuity ist auch, dass diese Daten bei Bedarf schnell wieder zur Verfügung stehen. Soll vom primären auf das sekundäre Rechenzentrum umgeschaltet werden, müssen die Netzkapazitäten, Zugriffe auf Datenspeicher und so fort auch mit der notwendigen Leistungsfähigkeit möglich sein. Das erfordert einen gehörigen Aufwand: Oft sind die redundanten Rechenzentren bei Finanzdienstleistern aus Zusammenschlüssen oder Akquisitionen hervorgegangen. Unterschiedliche Technologien und Infrastrukturen sind hierbei keine Seltenheit. Und auch in den Rechen-zentren arbeiten verschiedene Schnittstellen. So basieren auf SCSI die Speichersysteme, die dann wiederum über Fibre Chanel (FC) zu Storage Area Networks (SAN) zusammengeschlossen werden. Der Mainframe greift über Escon oder Bus&Tag auf den physikalischen Speicher zu. Entfernte Rechenzentren werden dann über ATM oder DWDM verbunden.
Um die Vielzahl der bereits vorhandenen Schnittstellen abzurunden, kommt nun ein neuer Trend in die Disaster-Recovery-Strategien der Banken: Die ATM-basierenden Metropolitan Area Networks (MAN) werden zunehmend durch IP-basierende Strukturen abgelöst. Diese haben einige Vorteile. Sie sind deutlich preisgünstiger zu betreiben und bieten wesentlich einfachere Verschlüsselungsmöglichkeiten zum Schutz der hochsensiblen Bankdaten.
Beispiel Deutsche Börse
Mit diesem Problem war zum Beispiel die Deutsche Börse AG konfrontiert, als mehrere Mainframes auf einen Standort konsolidiert werden sollten. Unterschiedliche Speichersysteme in den Rechenzentren mussten an den künftigen Standort angebunden werden, ohne dadurch Performance-Verluste in Kauf zu nehmen. Dazu kam eine weitere Schwierigkeit: "Es bestand zum damaligen Zeitpunkt keine geeignete Verbindung zwischen unserem Rechenzentrum in Frankfurt und den Rechenzentren in Luxemburg, über die wir die Daten hätten spiegeln können", so Steffen Gremm vom Fachgebiet RZ-Verlagerung der Deutschen Börse. So ging die Deutsche Börse in zwei Schritten vor: Zunächst wurden die Rechenzentren mit jeweils einer Channel Extension "Ultranet Storage Director" von CNT ausgestattet. Durch diese Lösung kann ein Host auf entfernte Speichersysteme zugreifen, als ob sie direkt an diesen Mainframe angeschlossen wären. Welche Technik im entfernten Rechenzentrum vorhanden ist, spielt dann keine Rolle mehr. Ausschlaggebend für diese Wahl war laut Gremm, dass die Lösung alle eingesetzten Protokolle wie Escom oder Bus&Tag unterstützt. Über ein redundantes ATM-Netz wurden die beiden rund 300 Kilometer entfernten Rechenzentren verbunden.
IP löst ATM-Netz ab
Um beide Leitungen optimal ausnutzen zu können, wurde zusätzlich ein System zur Lastverteilung implementiert. Nachdem der Umzug und vor allem die Datenspiegelung an den neuen Standort abgeschlossen waren, stellte die Deutsche Börse in einem zweiten Schritt das ATM-Netz auf das wesentlich preiswerter zu betreibende IP-Netz um. Auch hier bilden die Channel Extensions wieder die Schnittstelle zwischen den Rechenzentren. Die Extensions geben ihre Daten an IP-Router weiter, die zum WAN verbunden sind. Auch hierbei spielt die Technik des einzelnen RZ keine Rolle, da Router und Channel Extension den Zugriff auf Speichersysteme und Mainframes regeln.
Es reicht nicht mehr aus, wenn Disaster-Recovery-Strategien auf Backup und Restore nahe Echtzeit abheben. Sowohl die zur Verfügung stehenden Technologien als auch die gesetzlichen Vorgaben stellen immer höhere Anforderungen an die Banken und speziell an die IT-Verantwortlichen. Deswegen gewinnt Flexibilität im RZ-Betrieb zunehmend an Bedeutung - geht es doch unterm Strich auch darum, ohne Abstriche an der Ausfallsicherheit die hohen Kosten in den Griff zu bekommen. (ave)
*Jan Schulze ist freier Autor in Erding.
Hier lesen Sie ...
- warum Disaster Recovery einen unverzichtbaren Bestandteil jeder Security-Strategie darstellt,
- welche Aspekte dabei eine Rolle spielen,
- welche besonderen Anforderungen Banken und Finanzdienstleister dabei zu beachten haben und
- wie die Deutsche Bank das Problem des Disaster Recovery gelöst hat.