Der erste Monat des neuen Jahres bescherte Buch.de eine böse Überraschung: Für vier Stunden war der Shop offline, das Geschäft stand still. Durch einen Glasfaserbruch beim Internet-Service-Provider Deutsche Telekom war die 2-Mbit-Standleitung ausgefallen.
Die ersten Notfallschritte gingen zügig voran. Bereits wenige Sekunden nach dem Zusammenbruch der Standleitung waren die DV-Mitarbeiter von Buch.de alarmiert. Überwachungssoftware kontrolliert hier ständig die Verfügbarkeit der Systeme und verständigt bei Problemen die Technik. Nach interner Überprüfung der Rechner wurde die Telekom über den Ausfall informiert.
An die folgenden Stunden denkt Christoph Maris, Vorstandsmitglied für DV, Organisation und Logistik, nur ungern zurück: "Erst nach längerer Zeit erhielten wir Informationen über die Art des Ausfalls und ungenaue Angaben über die Dauer der Reparatur." Diese war provisorisch, denn am folgenden Tag musste Buch.de einen weiteren, einstündigen Ausfall wegen zusätzlicher Reparaturmaßnahmen hinnehmen.
Dabei hat der Webshop-Betreiber selbst ein dezidiertes Konzept ausgearbeitet und realisiert, um die Verfügbarkeit seiner Systeme zu überwachen und zu gewährleisten. Das Hochverfügbarkeitskonzept des Betreibers umfasst mehrere Schienen: die Infrastruktur des Rechnerraums, Hardware- und Softwaremaßnahmen und schließlich das Notfall-Management.
"Da wir uns ausschließlich im Internet-Handel bewegen, hat die Verfügbarkeit unserer Systeme oberste Priorität", so Maris. Der Aufbau der DV-Struktur müsse sich deshalb der Maxime eines unterbrechungsfreien Betriebs unterwerfen.
Zu den kritischen Punkten, die in den Bereich der Infrastruktur fallen, zählen Stromversorgung und Klimatisierung. Von der Netzseite her werden die Server über unterbrechungsfreie Stromversorgungen (USVs) gesichert. Dazu ist jeder der insgesamt fünf Rechnerschränke mit einer eigenen USV ausgestattet.
Die gesamte DV ist darüber hinaus nochmals durch eine USV abgesichert, sodass insgesamt 36 Stunden Stromausfall überbrückt werden können. Fällt die Klimaanlage des Rechnerraumes aus, stehen mobile Klimageräte zur Verfügung. Die zum Betrieb des Webshops notwendige Hardware besteht neben der Spannungsversorgung und diversen Netzkomponenten aus insgesamt neun Servern.
Vier der Rechner sind im Internet sichtbar: Ein Internet-Router, der zugleich als Load-Balancer dient, zwei Web-Server, die die eigentliche Kommunikation mit den Kunden abwickeln, und ein Mail-Server. Fünf nachgeschaltete Rechner sind für das Management der eigenentwickelten Datenbank und die administrative Abwicklung der Vorgänge zuständig. Als Betriebssystem setzt Buch.de mit guten Erfahrungen auf Linux (Suse Linux 6.1) und Windows NT.
Naturgemäß sind nicht alle Komponenten im Rechnerverbund gleich kritisch. Die Schwachstelle im Prozess von Kundenbestellung, Auftragsbearbeitung und Logistik/Versand ist die Schnittstelle zum Kunden selbst. Ist die Website nicht verfügbar, kann der Kunde weder auswählen noch bestellen. "Das ist unser Schreckensszenario Nummer eins", meint Maris, "alle anderen Schäden lassen uns noch gewisse Spielräume." Im nachgelagerten Bereich seien Ausfälle von ein bis zwei Stunden weniger dramatisch - wenn diese innerhalb vorgegebener Zeitfenster behoben werden können. Die Bestellungen bei den Lieferanten können im schlimmsten Fall bis zum späten Nachmittag warten. Die Buchhaltung ist von der Tagesaktualität noch unabhängiger.
Grundsätzlich legt Buch.de seine Hardware zweifach redundant aus. Hinter jedem der neun Server steht ein Pendant für den Notfall, sodass insgesamt 18 Computer im Rechnerraum ihren Dienst tun (siehe Grafik). Zwischen den redundanten Rechnern werden regelmäßig die Daten gespiegelt. Darüber hinaus erfolgt einmal täglich eine Bandsicherung. Zur Überwachung der Systeme hat der Internet-Buchhändler seine eigene Software zur automatischen Erkennung eines Ausfalls entwickelt. Das Umschalten auf einen Backup-Rechner erfolgt allerdings - noch - von Hand. Sobald der ausgefallene Rechner wieder verfügbar ist, synchronisiert er seine Daten mit dem Backup-Rechner und übernimmt wieder seinen Dienst.
Mit diesem Konzept ist Buch.de vor allem beim kritischen Pfad, dem Zugang des Kunden zum Shop, auf der sicheren Seite. Geben Kunden ihre Internet-Bestellung auf, verteilt der Buch.de-Server die Last möglichst gleichmäßig auf die beiden Web-Server "www1.buch.de" und "www2.buch.de". Sollte einer der Web-Server sogar mitsamt Ersatzrechner ausfallen, könnten immer noch alle Anfragen über den zweiten Web-Server gestartet werden. Im schlimmsten Fall ist darüber hinaus denkbar, den Router selbst zum Web-Server umzufunktionieren.
Die Sicherung der Daten erfolgt über Raid-Systeme. Die weniger kritischen Komponenten wie der Server zur Generierung der statischen Datenbank sind hierbei zur Erhöhung der Zugriffsgeschwindigkeit im Raid-Level 0 konfiguriert. Alle übrigen Systeme verwenden zur Erhöhung der Verfügbarkeit Raid 5.
Um den störungsfreien Betrieb zu gewährleisten, reichen technische Maßnahmen nicht aus. Daher ist einer der sieben in der DV beschäftigten Mitarbeiter ständig in Rufbereitschaft. Ansonsten wird im Schichtbetrieb zwischen sechs und 21 Uhr gearbeitet. Tauchen während der automatischen Überwachung Probleme auf, werden die Mitarbeiter über Pager informiert. Vorbereitete Notfallpläne kategorisieren die Störungen und enthalten To-Do-Listen, damit Fehlerursachen möglichst schnell zu lokalisieren und zu beheben sind.
Je nach Dringlichkeit sind die auftretenden Störungen in verschiedenwertige Klassen eingeteilt. Der Bruch der Standleitung, aber auch die generelle Nichtverfügbarkeit des Shops gehören in die Klasse eins, da sie für den Kunden sichtbar sind. Weniger gravierende Störungen, unter Klasse zwei im Notfallplan aufgeführt, beeinflussen demgegenüber die Betriebsbereitschaft nur mittelbar. Hierzu zählen der Ausfall eines Rechners, einer USV oder aber der Klimaanlage. Die übrigen Störungen sind als Klasse-drei-Störungen dokumentiert.
Der Webshop Buch.de hat insgesamt gute Erfahrungen mit seinen Vorkehrungen gegen den Ausfall von Systemen gemacht. Als der Rechner zur Generierung der Datenbank abstürzte, sprang das redundante Pendant ein, bis der Schaden behoben war. Hier will der Online-Buchhändler allerdings noch nachbessern: Die Ersatzrechner sollen nicht mehr nur im Falle eines Ausfalls eingeschaltet werden (Cold-Standby-Betrieb), sondern ständig aktiv sein.
Die vordringlichste Aufgabe in puncto Verfügbarkeit aber führte der Ausfall der Standleitung Anfang des Jahres vor Augen. "Die Webshops hängen an ihrem Provider wie die Fliegen am Topf", beklagt Maris, der die erlittenen Einbußen auf 20 bis 30 Prozent eines Tagesumsatzes beziffert. Neben der Bereitstellung der Leitungsanbindung ist der Provider in den meisten Fällen auch für weitere essentielle Dienstleistungen, wie beispielsweise die Namensauflösung im Internet (Domain Name Service), zuständig. Wie es um die Verfügbarkeit dieser Systeme bestellt ist, erfährt der Kunde zumeist nicht. Die Dienstleister geben sich unter dem Vorwand, dass es sich um sicherheitsrelevante Informationen handle, zugeknöpft.
So hat Buch.de selbst die Initiative ergriffen und plant im Nachgang des Ausfalls der von der Telekom gemieteten "permanent verfügbaren Leitung" die Installation einer Backup-Leitung. Sobald die Hauptleitung ausfällt, wird die ebenfalls 2 Mbit breite Backup-Leitung zugeschaltet. "Da beide Standleitungen auf unterschiedlichen Wegen das Haus erreichen, ist die Wahrscheinlichkeit gering, dass zwei Bagger zur gleichen Zeit einen Ausfall provozieren", meint Maris. Allerdings: "Ganz auszuschließen ist das auch nicht."
* Eva-Katharina Kunst ist freie Journalistin in Kempen.
Buch.deDie im Mai 1998 gegründete Gesellschaft mit Sitz im westfälischen Ibbenbüren beschäftigt 40 Mitarbeiter. Herzstück des Betriebs ist die eigenentwickelte Datenbank mit mehreren Millionen Büchern, darunter rund 800000 deutschsprachigen Titeln. Die Web-Server des Online-Buchhändlers verzeichnen täglich zwischen 30000 und 35000 Hits. Dabei werden etwa 5 GB Daten über die Standleitung geschleust und 1500 bis 2000 Vorgänge abgewickelt.
Der gesamte, ausschließlich über das Internet erzielte Umsatz lag im Geschäftsjahr 1999 bei etwa 4,5 Millionen Mark. Nach Anlaufverlusten in zweistelliger Millionenhöhe hofft das Unternehmen auf Umsatzwachstumsraten von jährlich mehr als 100 Prozent und den Durchbruch zur Rentabilität im Jahr 2002.
Buch.de strebt eine Entwicklung zum Geschenk- und Medienhaus an und plant, sein Portfolio um CDs, Videos und hochwertige Geschenkartikel zu erweitern. Als erste Maßnahme in diese Richtung bietet der Shop seit Ende Januar Blumen über das Internet an.
Verfügbarkeit im InternetDreh- und Angelpunkt des deutschen Internet-Verkehrs ist der Frankfurter Internet-Knoten DE-CIX (Deutscher Commercial Internet Exchange). Hierüber fließen mehr als 85 Prozent des deutschen und ein Drittel des europäischen Internet-Datenverkehrs. Der Durchsatz pro Sekunde beträgt gegenwärtig 460 Mbit. Derzeit nutzen 59 Internet-Service-Provider die 1 Gbit starke Bandbreite des Knotens.
"Vom Tag der Ersteinweihung 1995 bis zum November 1999 waren wir zu 100 Prozent verfügbar", berichtet Harald Summa, Geschäftsführer des Verbandes der deutschen Internet-Wirtschaft, eco Electronic Commerce Forum e.V. Im Dezember vergangenen Jahres jedoch habe ein Bagger das Hauptstromnetz in Frankfurt lahm gelegt. Die Folge: ein kurzfristiger Ausfall. Da halfen auch die vorhandenen Notstrombatterien nicht. Mit dem erfolgten Umzug an einen neuen Standort, ebenfalls in Frankfurt, ist für solche Fälle ein zusätzliches Diesel-Notstromaggregat im Einsatz. Um auch hardwareseitig unterbrechungsfrei laufen zu können, sind die Zuleitungen und Switches, die zwischen Routern schalten, redundant ausgelegt und darüber hinaus zusätzliche Reserven vorhanden. "Wenn dennoch alle Stricke reißen sollten, haben die meisten Internet-Service-Provider eine Ausfallroute zur Hand", so Summa.
Abb.: Buch.de sichert seinen Geschäftsbetrieb mit redundanten Servern unter Linux und Windows NT ab.Quelle: Buch.de