Fällt der Begriff Katastrophe, tauchen vor dem inneren Auge unwillkürlich Bilder von brennenden Gebäuden, überschwemmten Landstrichen oder von Erdbeben geschüttelten Städten auf - die klassischen Naturkatastrophen und Auswirkungen der viel zitierten "höheren Gewalt. Die Informationstechnik jedoch fasst den Begriff viel schlichter: Einen Katastrophenfall (kurz: K-Fall) stellt hier jede Komplettunterbrechung der Datenverarbeitung dar, aus welchem Grund auch immer. Zu den Ursachen für K-Fälle zählen natürlich auch Naturkatastrophen wie Überflutungen oder Erdbeben. Sie stellen hier aber die absolute Ausnahme dar.
Das gilt auch für eine Katastrophenform, die bis zum 11. September 2001 eher als theoretische Erwägung galt: den Terrorismus. Die Attacken auf das World Trade Center und das Pentagon haben seither die Begriffe Business Continuity Planning und Disaster Recovery wieder ins Bewusstsein der IT-Manager gerückt. Der vorliegende Beitrag stellt die grundlegenden Verfahrensweisen rund um IT-Notfallplanung und Wiederanlauf der DV nach Totalausfällen vor.
K-Fall: Ursachen
Zusammen mit Bränden und schlichten Wasserschäden machen Naturkatastrophen gerade einmal drei Prozent aller totalen Datenverluste aus. Dagegen zeichnen Hardware- und Systemfehler für nahezu die Hälfte aller katastrophalen Datenverluste verantwortlich, ein weiteres Drittel geht auf das Konto menschlichen Versagens.
Dass es sich beim Totalausfall der Rechnerinfrastruktur um mehr als nur eine vorübergehende Unpässlichkeit handelt, belegt schon die durchschnittliche Schadenssumme eines K-Falls: Nach Schätzungen renommierter Analysten liegt sie bei stolzen 900.000 Euro.
Diese Summe umfasst wohlgemerkt nur die unmittelbaren Schadens- und Wiederanlaufkosten; mittelbare Kosten, etwa durch Nichterfüllbarkeit oder Nichtzustandekommen von Aufträgen, sind hier noch nicht einkalkuliert.
Dementsprechend drastisch fallen die Folgen aus.
K-Fall: Folgen
Wie eine Studie der Universität von Minnesota belegt, geht rund ein Viertel der von DV-Katastrophen betroffenen Unternehmen unmittelbar in Konkurs, weitere 40 Prozent überleben danach längstens zwei Jahre. Nur sieben Prozent der untersuchten Betriebe schließlich waren fünf Jahre nach dem K-Fall noch auf dem Markt. Dabei hängt die Überlebensfähigkeit des Unternehmens offenbar stark von der Dauer des DV-Ausfalls ab - dies legt jedenfalls eine Untersuchung der Debis Systemhaus nahe.
Als relativ ungefährlich erweisen sich danach K-Fälle von maximal 24 Stunden Dauer; nicht einmal drei Prozent der untersuchten Unternehmen scheiterten in diesem Fall. Selbst längere Ausfälle der Datenverarbeitung von bis zu drei Tagen Dauer können viele Unternehmen noch verkraften. Steht die DV jedoch für vier oder mehr Tage, folgt fast unweigerlich das endgültige Aus.
Im Mittelpunkt aller Anstrengung stehen daher Maßnahmen, die dem Katastrophenfall vorbeugen sollen. Dabei gilt es, die Anforderungen der technischen, logischen und physikalischen Sicherheit aufeinander abzustimmen, um eine optimale Funktionssicherheit der DV zu gewährleisten.
Technik vs. Planung
Tatsächlich lassen sich viele der Ursachen für katastrophale Datenverluste schon im Vorfeld durch technisch-organisatorische Maßnahmen auffangen. Redundante Serverkomponenten bis hinunter zur Netzwerkkarte, RAID-basierte Massenspeichersysteme und eine Stromversorgung via USV schalten die klassischen Verursacher von Hardware- und Systemfehlern aus.
Leistungsfähige Backup-Software sichert täglich Hunderte Gigabyte an Daten auf schnelle Tape Libraries, ausgefeilte Virenscanner schützen Server und Clients gegen Infektionen aus dem Netz. Nur all zu leicht verleitet der Einsatz dieser perfekten technischen Mittel zu einem falschen Gefühl der Sicherheit.
Menschlichem Versagen gegenüber bleibt die Technik völlig machtlos, und auch Faktoren wie Sabotage, Einbruch oder Diebstahl gegenüber reicht ihre Schutzfunktion nicht allzu weit. Hinzu tritt die oft unterschätzte Gefahr durch Brand, Wasserschäden und Blitzschlag. Katastrophen lassen sich daher weder voraussehen, noch mit letzter Sicherheit vermeiden. Wohl aber können ihre Folgen bei vorausschauender Planung in engen Grenzen gehalten werden.
K-Fall selbstgemacht
"Wenn mir das Haus über dem Kopf abbrennt, dann nützt mir mein Backup auch nichts mehr ...", so lautet eine gängige Gegenargumentation zur Konzeption der Katastrophenvorsorge. So überzeugend diese Aussage zunächst klingen mag, sie entbehrt bei näherer Betrachtung jeder Grundlage.
Zum einen vernichtet relativ selten ein Brand ein komplettes Gebäude - so selten, dass ein derartiges Ereignis Fernseh-Nachrichtenwert besitzt. In den allermeisten Fällen betreffen Brände nur einzelne Räume, oft allerdings auf Grund mangelnder Planung mit katastrophalen Folgen.
So stehen etwa nach dem Brand eines Serverraums keine Ersatzsysteme parat, auf die sich das Backup aufspielen ließe; meist ist noch nicht einmal deren schnelle Beschaffung vorbereitet. Oder: Da die Backup-Tapes ebenfalls im Serverraum lagerten, wurden sie durch Hitze und korrosive Brandgase unbrauchbar...
Die Liste ließe sich beliebig fortführen. Selbst falls das Firmengebäude nur noch aus rauchenden Trümmern besteht, könnte - wiederum unter Vorliegen eines präparierten Wiederanlaufplans - zumindest ein Notbetrieb in einer anderen Firmenfiliale, bei einem Partnerunternehmen oder in einem Ausweichrechenzentrum eingeleitet werden.
Katastrophenvorsorge
Als Grundlage zur Erstellung des Katastrophenvorsorgeplans dient eine umfassende Schadenspotenzial-Analyse. Dazu sind zunächst einmal die Schlüsselsysteme und -anwendungen, die das Rückgrat des Unternehmens bilden, zu identifizieren und zu priorisieren.
Üblicherweise fasst man dazu diese Komponenten in Form einer Liste zusammen, die Rechner und Anwendung einander zuordnet und eine maximal tolerierbare Ausfallzeit festlegt. Dabei erweist es sich in der Regel als praktikable Vorgehensweise, zu den einzelnen Applikationen den Leiter der verantwortlichen Abteilung nach maximal verträglichen Ausfallzeiten zu befragen.
Neben der nötigen Systemverfügbarkeit gilt es, die Hardware-Voraussetzungen, wie Prozessortyp oder den notwendigen Massenspeicherplatz, zu ermitteln. Zudem muss auch die Abhängigkeit vom Bestehen bestimmter LAN- und WAN-Verbindungen geprüft werden.
Ausweichmöglichkeiten
Nach der Erfassung aller relevanten Parameter genügt eine schlichte Sortierung dieser Systemliste nach den tolerierbaren Standzeiten, um ein klares Bild über die Wichtigkeit der einzelnen Rechner für das Funktionieren des Unternehmens zu erhalten. Mit Hilfe der Liste lässt sich darüber hinaus auch festlegen, welche internen und externen Ausweichmöglichkeiten beim Ausfall eines bestimmten Rechnersystems bestehen.
Dabei reichen die internen Alternativen von der Verlagerung wichtiger Anwendungen auf gering priorisierte Systeme bis zur Bereithaltung kompletter, vorinstallierter Ersatz-Hardware. Für Applikationen mit geringer Priorität kann es auch genügen, vorab mit dem Hardware-Lieferanten definierte Fristen zur Bereitstellung von Ersatzsystemen zu vereinbaren.
Lassen sich durch interne Systeme die Verfügbarkeitsanforderungen nicht erfüllen, sollten Sie sich nach externen Ausweichmöglichkeiten umschauen. In größeren Unternehmen mit mehreren Filialen bietet es sich an, bei Bedarf zumindest einen eingeschränkten Betrieb auf Rechnern einer anderen Geschäftsstelle vorzusehen. Aber auch Betriebe mit einem einzelnen Sitz müssen sich nicht zwangsläufig nach einem Ausweichrechenzentrum umsehen: Hier bietet es sich beispielsweise an, mit einem Geschäftspartner Ausweichmöglichkeiten auf Gegenseitigkeit zu vereinbaren.
Notfallhandbuch
Nach Abschluss dieser Vorarbeiten können Sie mit der Erstellung eines Notfallhandbuchs beginnen. Im ersten Abschnitt müssen zunächst einmal die für den Ablauf der Katastrophenschutzmaßnahmen verantwortlichen Personen benannt werden. Auf Grund des für diese Aufgabe notwendigen großen Entscheidungspielraums sollte der Leiter des Krisenteams der Geschäftsleitung angehören.
Zur Bewältigung der Situation benötigt der Krisenmanager ein Team, das je nach Firmengröße aus vier bis mehreren Dutzend Mitgliedern besteht. In jedem Fall gilt es, folgende Funktionen abzudecken:
Schadensaufnahme an den betroffenen Systemen
Auswahl der benötigten Datensicherungsmedien aus dem Backup-Archiv und Transport zur Ausweichlokation
Bereitstellung und Einrichtung des Ausweichsystems an der vorgesehenen Stelle sowie
Anbindung der betroffenen Benutzer an den Ausweichrechner.
Dabei erhält jedes Mitglied des Krisenteams eine klar umrissene, schriftlich festgelegte Aufgabe zugewiesen. Diese findet sich, zusammen mit dem Alarmierungsweg für das Teammitglied, im Alarmplan wieder.
Alarm- und Notfallpläne
Zudem legt der Alarmplan die Anlaufpunkte der einzelnen Funktionsträger fest und enthält auch andere relevante Notrufnummern. Dazu zählen neben Feuerwehr, Polizei und Notarzt in jedem Fall die Notzentralen des zuständigen Wasser- und Stromversorgers, gegebenenfalls auch die Nummern externer Datenträgerarchive oder Ausweichrechenzentren.
Nach dem Alarmierungsplan folgt als zweiter Bestandteil des Notfallhandbuchs eine nach möglichen Störungen gegliederte Liste von Notfallplänen. Vergessen Sie nicht, neben den rein technisch bedingten Ausfallursachen auch die Auswirkungen von Einbrüchen, Vandalismus oder Bombendrohungen zu berücksichtigen. Hier sollte sich für jede zu berücksichtigende Situation ein Katalog von zu ergreifenden Maßnahmen inklusive der Benennung der dafür verantwortlichen Personen finden.
Wiederanlauf
Der dritte und wichtigste Part des Notfallhandbuchs besteht aus den dezidierten Wiederanlaufplänen für jede als wichtig identifizierte DV-Komponente. Er dokumentiert:
welche internen und externen Ausweichmöglichkeiten zur Verfügung stehen
wie die entsprechenden Komponenten aufzubauen und gegebenenfalls zu installieren sind
welche System- und welche Anwendungs-Software aufzuspielen ist
wo und mit welcher Identifikation sich die entsprechenden Datenträger befinden sowie
welche Mitglieder des Krisenteams in welcher Aufgabenverteilung für den Wiederanlauf verantwortlich zeichnen.
Dokumentation
Ein Dokumentationsteil schließt das Notfallhandbuch ab. Er erfasst für jedes wichtige IT-System:
einen Ersatzbeschaffungsplan, der die Komponenten mit Bezeichnung, Gerätenummer und Beschaffungsdatum identifiziert. Er führt Hersteller und Lieferant des Systems inklusive Adressen und Telefonnummern auf und beschreibt die voraussichtliche Lieferzeit und Dauer der Reinstallation.
eine Liste der Lieferantenvereinbarungen inklusive Ersatzteil- und Nachkaufgarantien, zugesicherter Lieferzeiten sowie Support-Dienstleistungen inklusive Hotline-Nummern
sowie last not least ein Verzeichnis professioneller Datenrettungsdienste für den Fall von unvermutet auftretenden Datenverlusten.
Nach der Fertigstellung des Notfallhandbuchs erhält jedes Mitglied des Krisenteams ein eigenes Exemplar, zudem empfiehlt sich die Verteilung zusätzlicher Kopien auf mehrere, jederzeit frei zugängliche Stellen im Betrieb.
Notfallübungen
Die Erstellung des Notfallhandbuchs allein garantiert jedoch noch kein reibungsloses Funktionieren der Alarmierungs- und Notfallpläne. Eine regelmäßige Überprüfung und Ergänzung der gesammelten Angaben wenigstens im Quartalsrhythmus ist unumgänglich.
Das regelmäßige Durchspielen ausgesuchter Schadensszenarien in Form von Notfallübungen erprobt nicht nur den effektiven und reibungslosen Ablauf der Wiederanlaufpläne, sondern deckt in aller Regel gnadenlos vorhandene Mängel auf. Zwar stören solche Übungen den regulären Betriebsablauf; dennoch sollten Sie auf dieses Hilfsmittel zur laufenden Optimierung Ihrer Katastrophenvorsorge nicht verzichten.
Weiterführende Informationen rund um die Notfallplanung im speziellen sowie IT-Security-Maßnahmen im allgemeinen bietet das IT-Grundschutz-Handbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Hier finden Sie unter anderem auch vorgefertigte Maßnahmenkataloge, die Sie als Grundlage für die eigene Planung verwenden können. (jlu)