Firmen mit Mainframe-Geschichte kennen die Gefahr. Die meisten schützen ihre Großrechner, indem sie ihre unternehmenskritischen Daten auf Ausweichsystemen spiegeln. Diesen Markt haben entweder die Hersteller selbst - zum Beispiel IBM oder SNI - oder Dienstleister wie Debis Systemhaus, Info AG, Comparex, Telekom und Restart gut abgedeckt.

Verantwortliche denken zunehmend über interne Lösungen nach, denn die Konsolidierung von Rechenzentren sowie die breite Migration auf Unix- oder NT-Systeme haben Mainframe-Kapazitäten für Backup- und Duplizierungsmaßnahmen freigesetzt.

Dennoch entpuppen sich die meisten Wiederanlauflösungen als wenig durchdacht, denn mit Spiegelung der Systeme ist es normalerweise nicht getan: Die wenigen, die genau wissen, wo ihre unverzichtbaren Anwendungen zu finden sind, können zwar einigermaßen beruhigt sein, sollten aber tunlichst darauf achten, daß der Zwilling nicht im gleichen RZ steht, wenn es zum Rohrbruch kommt.

Die Wirklichkeit sieht oft düster aus: Die Unübersichtlichkeit moderner heterogener IT-Landschaften macht das Erstellen fundierter Recovery-Lösungen und Notfallpläne zu einer extrem komplexen Aufgabe. In einer solchen DV-Umgebung die Anwendungen herauszufiltern, von denen das Unternehmen am meisten abhängt, erfordert einen logistischen und ökonomischen Kraftakt, der die internen Ressourcen häufig weit übersteigt.

Die Herausforderung liegt im Abbilden historisch gewachsener Systemumgebungen mit unterschiedlichen Plattformen oder komplexen Netzwerken. Für das Outsourcing der Recovery an einen herstellerunabhängigen Dienstleister, der auf Notfallmaßnahmen spezialisiert ist, sprechen folgende Argumente:

Ein solcher "Business-Continuity"-Spezialist verfügt über das erforderliche Know-how, denn Recovery ist sein Kerngeschäft. Im Gegensatz zu Anbietern, die lediglich für den Ersatz oder die Absicherung ihrer Plattform einstehen, übernimmt er die Gewähr für alle kritischen Applikationen - ganz gleich, auf welcher Plattform sie laufen.

Am Markt existieren bis jetzt nur wenige Anbieter, die die komplexen Recovery-Anforderungen für moderne Client-Server-Umgebungen erfüllen. Um beispielsweise ein R/3-System nach dem Katastrophenfall innerhalb kürzester Zeit wieder zum Laufen zu bringen oder unterschiedliche Kundenapplikationen auf verteilten und unterschiedlichen Hardwaresystemen wiederherzustellen, braucht der Dienstleister sehr gute fachliche und logistische Kenntnisse.

Fundierte und herstellerneutrale Analysen zum Risikopotential des Kunden im Vorfeld der Implementierung eines DV-Notfallplans sind das Rückgrat jeder Sicherungslösung. Nur mit ihrer Hilfe läßt sich klären, welche Systeme oberste Priorität haben. Hier empfiehlt sich für den Dienstleister die Zusammenarbeit mit einem unabhängigen Berater, der auf Schadenspotentialanalysen (Business Impact Analysis, BIA) spezialisiert ist.

Im Schnitt dauern solche Erhebungen zwei Wochen. Die Experten analysieren dabei vor Ort die vorhandenen Backup-Konzepte und versuchen, gemeinsam mit den Beteiligten die Kernanwendungen des Unternehmens herauszufiltern und festzustellen, welchen Gefahren diese ausgesetzt sind. Wenn sich die vorhandenen Sicherungskonzepte als tragfähig erweisen, kann die Studie für das Reporting ans Management oder auch als Basis für die detailliertere Ausarbeitung bereits vorhandener Notfallpläne dienen. Wenn die BIA-Analyse Lücken im Sicherheitskonzept aufdeckt, dient sie als Grundlage für einen tragfähigen Sicherheitsplan.

Auf Wunsch erarbeitet der Business-Continuity-Dienstleister in enger Kooperation mit dem Kunden ein maßgeschneidertes Notfall- und Wiederanlaufkonzept. Darin werden die Zuständigkeiten der Vertragspartner bis ins Detail geklärt. Für den Ernstfall muß etwa klar sein, wer für das weitere Vorgehen verantwortlich ist, wer das Kernteam zur Wiederherstellung der Geschäftsprozesse bildet und wie die Kundenbeziehungen in diesem Zeitraum laufen sollen.

Die zweite Voraussetzung für das Sichern heterogener Umgebungen ist ein breites Portfolio verschiedener Hardwaresysteme im Ausweichrechenzentrum. Denn in den meisten Unternehmen laufen selten ausschließlich Maschinen eines Herstellers. Ein Standardwartungs- oder -Recovery-Vertrag für die AS/400 hilft dem Anwender nicht wesentlich weiter, wenn nebenan auch noch Compaq- oder DEC-Maschinen laufen, die nicht in das Sicherheitskonzept eingebunden sind.

Hier schaffen strategische Partnerschaften und wechselseitige Recovery-Verträge des Dienstleisters mit Herstellern wie Sun, DEC oder IBM Synergieeffekte für alle Beteiligten: Die großen Hardwarehersteller, die die Plattformen ihrer Wettbewerber nicht mit absichern wollen und Recovery zudem nicht als Kerngeschäft betreiben, können diese Aufgaben an den Recovery-Anbieter delegieren. Der Kunde profitiert dadurch von einem Business-Continuity-Service aus einer Hand.

Grundsätzlich hängt der Grad der gewünschten Sicherheit vom potentiellen Schaden für das laufende Geschäft ab. Sollen eine oder mehrere Anwendungen zwei Stunden nach Ausfall wieder verfügbar sein, müssen Vorsorge und Planung wesentlich detaillierter ausgearbeitet werden als bei einer 24-Stunden-Lösung. Der ein- oder zweistündige Ausfall eines Buchungssystems oder einer Börsenanwendung in der Hauptgeschäftszeit hat ernstere Auswirkungen als beispielsweise der Ausfall eines Gehaltsabrechnungssystems.

Folgende Sicherungsstrategien werden derzeit im Markt für Business-Continuity-Dienstleistungen angeboten:

"Klassische" Ausweichrechenzentren (ARZ) halten die abzusichernden Rechnersysteme und Anwendungen statisch für den Kunden vor. Das hat den Vorteil der räumlichen Trennung bei lokalen Zwischenfällen wie Feuer, Wasser oder Stromausfall und ermöglicht darüber hinaus Systemtests, ohne die Anwendungen zu belasten. Die Verfügbarkeit beträgt vier Stunden. Das ARZ muß in jedem Fall Hochsicherheitsanforderungen entsprechen - dazu gehören beispielsweise eine eigene Werksfeuerwehr und codierte Zugänge zu den Rechnerräumen.

Das zweite Angebot heißt "Relocatable Recovery"; die erforderlichen Systeme werden im Notfall zum Kunden vor Ort gebracht. Das ist mit Einschränkungen verbunden: Die Infrastruktur beim Kunden muß noch intakt sein. Bis zur Verfügbarkeit einer Notlösung dauert es in der Regel zwölf Stunden und mehr.

Im dritten Angebot sogenannter Workareas mit PC-Arbeitsplätzen und Telekommunikationsanbindung unterstützen Notteams die unmittelbare Fortführung des Tagesgeschäfts. Hier liegt die Verfügbarkeit im Ernstfall bei vier Stunden. Dieses Angebot ist zum Beispiel wichtig für Banken, Versicherungen, Tourismusanbieter oder Autovermieter, die auf die Fortführung der Kundenkontakte angewiesen sind.

Viertens sind zunehmend Hochverfügbarkeitslösungen gefragt. Dabei geht es um die Online-Spiegelung von Daten per Hochgeschwindigkeitsleitung über immer schnellere Netzverbindungen - etwa für das remote Backup unternehmenskritischer Anwendungen. Logistische Voraussetzung beim Dienstleister ist ein entsprechend leistungsfähiges Netzwerk.

Ein Ausweich-RZ hilft nicht nur in Notfällen

Schwerwiegende Notfälle durch Wassereinbruch, Totalausfall des gesamten Systems oder etwa Streik und Sabotage kommen statistisch gesehen relativ selten vor. Gleichwohl liegen die Kapazitäten im Ausweichrechenzentrum eines Dienstleisters nicht brach - er nutzt sie solange für andere Zwecke.

Diese zweite Geschäftsmöglichkeit der Notfalldienstleister umfaßt beispielsweise das Angebot, Großprojekte wie die Migration vom Mainframe auf Unix-Systeme oder die Umstellung auf Jahr-2000- und Euro-Fähigkeit zu testen, ohne dabei die Produktivsysteme des Unternehmens zu belasten. Der Zwischenstand eines laufenden Projekts läßt sich hier ebenfalls außerhalb des täglichen Betriebs ohne Risiko nachvollziehen. Ausweichsysteme springen auch beim Umzug einzelner Systeme oder eines ganzen RZ ein. Nicht zuletzt bieten sie die Möglichkeit, Spitzenlasten abzufangen, wenn dafür unternehmensinterne Kapazitäten nicht schnell genug verfügbar sind.

Viele Hersteller und Systemhäuser bieten Recovery lediglich als Add-on-Service an. Ein ernstzunehmendes Sicherheitskonzept aus einem Guß kann jedoch nur ein Dienstleister bieten, der Business Continuity als Kerngeschäft betreibt. Neben seinem finanziellen Background spielt in diesem sensiblen Geschäft auch die Erfahrung mit komplexen Sicherheitsprojekten eine wichtige Rolle. Der Anbieter muß gewährleisten, daß er die aus der Schadenspotentialanalyse und dem Notfallplan erarbeiteten Konzepte auch umsetzen kann.

Allerdings geht der Kunde mit Abschluß eines Recovery-Vertrags ebenfalls Verpflichtungen ein. Der Notfallplan sollte mindestens zweimal im Jahr anhand der aktuellen Geschäftsabläufe und der sich ständig ändernden Geschäftsprozesse im Ausweichrechenzentrum getestet und gegebenenfalls aktualisiert werden. Nur so läßt sich der DV-Betrieb eines Unternehmens nachhaltig sichern.

In diesem Zusammenhang sollten sich Verantwortliche auch die Tatsache vor Augen halten, daß sie für DV-Ausfälle oder -Schäden haftbar gemacht werden können, wenn sie grob fahrlässig gehandelt haben. Diese Tendenz in der Rechtsprechung spiegelt sich auch in dem neuen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich wider, das im Mai 1998 in Kraft getreten ist.

Eine pauschale Sicherheitslösung für unternehmenskritische IT-Anwendungen gibt es nicht, denn die Voraussetzungen sind von Unternehmen zu Unternehmen verschieden. Nur eine sorgfältige Analyse der Abhängigkeiten sowie des Risikopotentials kann im speziellen Fall aufzeigen, welche Systeme lebenswichtig sind und daher ständig verfügbar sein müssen.

Beispielrechnung

Kostenbeispiel für ein Unternehmen mit einer typischen SAP-R/3-Installation, E-Mail und File Server sowie Arbeitsplatzumgebungen. Die modulare Zusammenstellung ist je nach Kundenwunsch möglich.

Aufwand

Business-Impact-Analyse 10 - 15 Manntage

(Aufwand ist abhängig von der Verknüpfung der

Geschäftsprozesse und der Organisationsstruktur.)

Business-Continuity-(Notfall-)Handbuch 10 - 20 Manntage

(Aufwand ist abhängig vom Risikopotential und

den für das Unternehmen wichtigen Ressourcen.)

Vertrags-Laufzeit 3 Jahre 5 Jahre

(Alle Preise in Mark pro Jahr)

DV-Geräte:

SAP-Datenbank- und Applikations-Server

1 x Sun Enterprise 4500 Datenbank-Server 32000 27500

(2 CPUs, 512 MB)

125 GB Database Storage: 15 000 12 500

2 x Sun Ultra Enterprise 2 Anwendungs- 22 000 18 000

Server (256 MB)

Kritische LAN Server

(E-Mail, File und Print, Batch-Processing):

2 x Compaq Proliant 5500 20 000 16 000

Kritische Arbeitplätze:

10 x Arbeitplätze mit: 22 000 19 000

(Compaq-Deskpro-PC, Moderne

Telekommunikations-Infrastruktur und

Ressourcen wie Fax, Kopierer etc.)

LAN/WAN Connectivity:

FDDI-Ring (für SAP), Ethernet Hub 4000 3500

(Server, Arbeitsplätze), Cisco 4000 Router

(Remote Office Access)

Total 115 000 96 500

Angeklickt

Die Unternehmen sind sich zunehmend bewußt, daß schon kurze Ausfälle ihres Rechenzentrums oder Netzwerks katastrophale Auswirkungen auf Produktivität, Umsatz und Image haben können. Wer auf Nummer Sicher gehen will, muß fundierte Sicherheitslösungen finden. Dieser Beitrag stellt verschiedene Absicherungskonzepte und Voraussetzungen für die Implementierung des richtigen Notfallplans vor und zeigt Anforderungen auf, die Unternehmen an Anbieter von Ausfallrechenzentren stellen sollten.

THomas Stoek ist Manager bei der Debis Systemhaus Guardian GmbH in Leinfelden-Echterdingen.