Von: Bettina Böhm
Die Entwicklung der IT-Landschaft wird derzeit maßgeblich von zwei Trends mitbestimmt:
- Unternehmen besinnen sich auf ihr Kerngeschäft und wollen sich immer weniger mit "Nebenkriegsschauplätzen" beschäftigen, wie etwa dem Aufbau und Unterhalt der IT-Infrastruktur;
- DV- und Netzwerkfirmen, Carrier und Serviceprovider greifen diesen Trend auf und bieten eine breite Palette an Outsourcing-Services an: Server-Hosting, Housing, Colocation oder Data-Center-Dienste.
Der Anwender verfolgt mit dem Outsourcing der IT meist das Ziel, Zeit bei der Beschaffung, Installation, Implementierung und Wartung der Netzwerk- und Datenverarbeitungsumgebung zu sparen. Denn der größte Kostenblock ist nicht die Hard- und Software oder die Fläche, die ein Inhouse-Datenzentrum benötigt. Vielmehr sind es die Folgekosten, die beim Verwalten und Erhalten der Daten anfallen.
Deshalb sollte ein Unternehmen prüfen, ob sich mithilfe eines externen Data-Centers diese Kosten minimieren lassen. Nun gibt eine fast unüberschaubare Zahl an Dienstleistern, die Outsourcing-Services anbieten. Der Interessent kann anhand der aufgeführten Kriterien prüfen, ob ein Anbieter für ihn infrage kommt.
Der erste Punkt betrifft das Platzangebot. Es sollte so bemessen sein, dass genügend Raum für Erweiterungen zur Verfügung steht - Stichwort "Skalierbarkeit". Wenn sich ein Anwender beispielsweise nach einiger Zeit dafür entscheidet, weitere Systeme, etwa Webserver oder Speichersysteme, in das Data-Center zu verlagern, muss dieses die neuen Geräte unterbringen können. Skalierbarkeit bezieht sich jedoch auch auf die Services, die ein Dienstleister anbieten kann: Wünscht ein Kunden beispielsweise Server-Load-Balancing-Funktionen, oder will er eine Serverfarm auslagern, muss der Provider dies bewältigen können - und zwar ohne Umzug oder durch Anmieten weiterer Räume, die dann unter Umständen weniger gut abgesichert sind als das eigentliche Datenzentrum.
Sicherung gegen Stromausfälle
Trotz der relativ hohen Versorgungssicherheit in Deutschland kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Energieversorgungsunternehmen (EVU). Die größte Zahl dieser Störungen ist mit Zeiten unter einer Sekunde relativ kurz. Aber bereits Unterbrechungen im Millisekundenbereich können den IT-Betrieb empfindlich stören. Bei einer bundesweiten Messung mit 60 Messstellen wurden 1983 rund 100 solcher Netzeinbrüche registriert. Davon dauerten fünf Ausfälle bis zu einer Stunde und einer länger als eine Stunde. Diese Unterbrechungen beruhten einzig auf Störungen im Versorgungsnetz. Hinzu kommen Unterbrechungen durch Abschaltung, etwa im Rahmen von nicht angekündigten Arbeiten oder durch Beschädigung von Kabeln bei Tiefbauarbeiten.
Von der Stromversorgung sind nicht nur die direkten Stromverbraucher wie PC und Beleuchtung abhängig. Gleiches gilt für praktisch alle Infrastruktureinrichtungen, etwa Aufzüge, die Klimatechnik, Gefahrenmeldeanlagen und Telefonnebenstellenanlagen. Der Preiskampf, den sich die Energieversorgungsunternehmen seit der Liberalisierung des Strommarktes liefern, wird die Situation eher zum Negativen hin verändern: Die Versorgungsqualität dürfte eher schlechter als besser werden.
Für ein Data-Center bedeutet dies, dass es in der Lage sein muss, auch längere Ausfälle der Stromversorgung zu überbrücken. Interessenten sollten daher nachfragen, welche unterbrechungsfreien Stromversorgungen (USV) ein Data-Center verwendet, wie lange dieses einen störungsfreien Betrieb der IT-Systeme sicherstellt und ob ein Notstromaggregat zur Verfügung steht.
Ein besonderes Augenmerk sollte ein Unternehmen auf die Schutzmaßnahmen eines Datenzentrums haben. Datensicherheit ist jedoch auch einer der Gründe, die für ein Outsourcing sprechen. Denn Außentäter, aber auch Mitarbeiter können aus unterschiedlichen Beweggründen heraus versuchen, IT-Geräte, Zubehör oder Datenbestände zu manipulieren oder zu zerstören. Die Manipulationen sind umso wirkungsvoller, je später sie entdeckt werden, je umfassender die Kenntnisse des Täters sind und je gravierender die Auswirkungen auf einen Arbeitsvorgang sind. Die Konsequenzen reichen von der unerlaubten Einsichtnahme in schützenswerte Daten bis hin zur Zerstörung von Datenträgern oder IT-Systemen, die erhebliche Ausfallzeiten nach sich ziehen können.
Deshalb sollten sowohl in einer Firma wie auch im Datenzentrum nur ausgewählte Personen Zugang zu sensiblen Geräten oder Datenbeständen haben. Ohne Mechanismen zur Identifizierung und Authentifizierung von Benutzern ist die Kontrolle praktisch nicht möglich. Selbst bei IT-Systemen, die eine Benutzer-ID und ein Passwort abfragen, ist eine unberechtigte Nutzung denkbar - etwa wenn sich Unbefugte die betreffenden Informationen verschaffen.
Ein High-Quality-Datenzentrum setzt daher ausgefeilte Prozeduren zur Zugangskontrolle ein. Nur das dazu berechtigte Fachpersonal und - nach Absprache mit dem Data-Center - Vertreter des Anwenders haben Zugang zu Servern oder anderen Geräten. Viele Hosting- und Colocation-Firmen nehmen es diesbezüglich leider nicht genau. Immer wieder ist zu beobachten, dass IT-Fachpersonal von Kunden dort ein- und ausgeht, ohne ausreichend überprüft worden zu sein.
Anlage muss gegen Feuer und Wasser schützen
Nicht nur böswillige oder fahrlässige Menschen sind ein Risiko für eine DV-Einrichtung. Mindestens ebenso gefährlich sind Brände oder Wasserschäden. Neben den direkten Auswirkungen, die ein Feuer an einem Gebäude oder dessen Einrichtungen hervorruft, lassen sich Folgeschäden aufzeigen, die insbesondere für die Informationstechnik ein katastrophales Ausmaß erreichen können. Löschwasserschäden treten beispielsweise nicht nur an der Brandstelle auf; sie können auch in tiefer liegenden Gebäudeteilen entstehen. Beim Verbrennen von PVC bildet sich Chlorgas, das sich zusammen mit der Luftfeuchtigkeit und dem Löschwasser zu Salzsäure verbindet. Werden diese Salzsäuredämpfe über eine Klimaanlage im Gebäude verteilt, können Schäden an elektronischen Geräten entstehen, die weit entfernt vom Brandort stehen.
Ein vollautomatisches Feuermelde- und Löschsystem ist daher in einem Data-Center Pflicht. Alle technischen Bereiche sollten mit Gaslöschanlagen geschützt sein, die im Brandfall die Flammen ersticken. Das Brandmeldesystem kann gegebenenfalls den Betreiber, aber auch Anwender, mittels einer SMS über eine Gefahrenlage informieren.
Mindestens ebenso schädlich wie Brände ist für eine DV-Einrichtung das Eindringen von Wasser, etwa bei Hochwasser, Störungen in der Wasserversorgung oder Abwasserentsorgung oder bei Defekten der Heizungs- und Klimaanlagen. Auch Sprinkleranlagen und Löschwasser haben für elektrische Geräte eine "tödliche" Wirkung. Vor allem dann, wenn zentrale Einrichtun-gen der Gebäudeversorgung wie Hauptverteiler für Strom, Telefon und Daten in Kellerräumen ohne selbsttätige Entwässerung untergebracht sind, kann eindringendes Wasser große Schäden verursachen.
Systeminfrastruktur, Backup und Management
Ein zentraler Punkt bei der Auswahl eines Data-Centers ist die Systeminfrastruktur. Welche Leitungen mit welcher Bandbreite ein Anwender benötigt, hängt vom Einzelfall ab. Die Palette ist diesbezüglich fast unbegrenzt und reicht bis zum kompletten Auslagern der Daten- und Telefondienste.
Auf jeden Fall sollte ein Datenzentrum dem Anwender die Wahl zwischen mehreren Carriern oder Internet-Serviceprovidern lassen. Häufig ist das jedoch nicht der Fall: Die Dienstleister haben einen Festvertrag mit einem bestimmten Anbieter. Ein Faktor, der in diesem Zusammenhang eine Rolle spielt, ist die Sicherheit. Hat ein Data-Center mehrere Carrier oder ISPs an der Hand, kann ein Anwender nötigenfalls deren Dienste in Anspruch nehmen, etwa wenn ein Anbieter in finanzielle Schwierigkeiten gerät.
Ein wichtiges Qualitätskriterium eines Data-Centers ist das Management des Zentrums sowie die Überwachung und Wartung der Dienste. Ein Kunde muss jederzeit mit dem Fachpersonal Kontakt aufnehmen können. Viele Anbieter lassen es in diesem Punkt an Sorgfalt fehlen: Überlastete, genervte Mitarbeiter, ständig besetzte Hotline-Nummern und damit unzufriedene Kunden sind die Folge.
Wichtig ist, dass ein Datenzentrum auf Änderungswünsche des Anwenders schnell reagiert. Größere Data-Center setzen Datenbanken für das Konfigurationsmanagement ein, um die Aktualisierung von Konfigurationen nachvollziehen zu können, etwa den Austausch von Hardware oder den Umstieg auf eine Internetanbindung mit größerer Bandbreite. (re)
Zur Person
Bettina Böhm
ist Consultant und freie Autorin mit Schwerpunkt auf Datensicherheit. Frau Böhm (bboehm@t-online.de) lebt in Mölln.