Schutz für den IT-Notfall

Welche Notfallarchitektur wo sinnvoll ist

Schaden durch Ausfall gegenüber Kosten für Notfallvorsorge

Auf Basis einer „Business Impact Analyse“ (BIA) im Rahmen eines Notfallmanagament-Standards oder einer eigenen. aber fundierten Abschätzung sollte man diesen Grafen als wichtigen Baustein für eine Notfallstrategieentscheidung ermitteln.
Auf Basis einer „Business Impact Analyse“ (BIA) im Rahmen eines Notfallmanagament-Standards oder einer eigenen. aber fundierten Abschätzung sollte man diesen Grafen als wichtigen Baustein für eine Notfallstrategieentscheidung ermitteln.
Foto: SHD Dresden

Zur Ermittlung des individuellen Unternehmensrisikos empfiehlt sich eine "Business Impact Analyse" (BIA). Damit lässt sich ausrechnen, wie hoch der Schaden für das Unternehmen ausfällt, abhängig von der Länge eines IT-Ausfalls. Aus dem daraus resultierenden Graphen können Entscheider ablesen, wie wichtig Notfallmaßnahmen sind und welche Notfallstrategie gewählt werden soll.

Sobald der konkrete Geschäftsschaden ermittelt ist, der bei einem Ausfall droht, kann auch mit der Entscheidungsfindung für die angemessene Notfallvorsorge begonnen werden. Dabei legt man beispielsweise einen rechnerischen Schaden über einen Zeitraum von fünf Jahren zugrunde und kalkuliert daraus einen durchschnittlichen monatlichen Schadensbetrag. Dieser lässt sich nun mit den monatlich anfallenden Kosten vergleichen, die mit einer jeweiligen Data-Center-Notfallarchitektur anfallen. Grob vereinfacht hängt die Höhe der Notfallkosten dabei von der Wiederanlaufzeit des Data Center (RTO, Recovery Time Objective) ab. Je kürzer die Unterbrechung, desto teurer sind die vorsorgenden, redundanten Maßnahmen.

Vier RZ-Typen mit unterschiedlichen Wiederanlaufzeiten

Die Entscheidung für eine geeignete Notfall-RZ-Architektur richtet sich ganz nach der maximal tolerierbaren RZ-Ausfall-Zeit. Nützlicher Nebeneffekt einer damit verbundenen Analyse ist für Entscheider übrigens, dass sie aus den einzelnen Werten die Abhängigkeit der jeweiligen Prozesse von der IT ablesen können. Folgende vier gängige Varianten für Notfall-RZ-Architekturen stehen zur Verfügung:

Die Geschäftsausfallkosten müssen in Relation zu angemessenen Investitionen in die Notfallvorsorge gesetzt werden. Auf der einen Seite stehen die Kosten pro Monat für den Regelbetrieb der Notfall-RZ-Architekturen unter Erreichung bestimmter RZ-Wiederanlaufzeiten (RTO). Auf der anderen Seite steht der pro Monat umgelegte maximal zulässige wirtschaftliche Schaden in einem Zeitraum von zum Beispiel fünf Jahren. Die Grafik stellt typische Notfall-RZ-Wiederanlaufzeitspannen in Abhängigkeit von der Notfall-RZ-Architektur und deren relativen Kosten dar.
Die Geschäftsausfallkosten müssen in Relation zu angemessenen Investitionen in die Notfallvorsorge gesetzt werden. Auf der einen Seite stehen die Kosten pro Monat für den Regelbetrieb der Notfall-RZ-Architekturen unter Erreichung bestimmter RZ-Wiederanlaufzeiten (RTO). Auf der anderen Seite steht der pro Monat umgelegte maximal zulässige wirtschaftliche Schaden in einem Zeitraum von zum Beispiel fünf Jahren. Die Grafik stellt typische Notfall-RZ-Wiederanlaufzeitspannen in Abhängigkeit von der Notfall-RZ-Architektur und deren relativen Kosten dar.
Foto: SHD Dresden

Active RZ: Kommt überwiegend in großen Banken und Versicherungen zum Einsatz, um maximale Ausfallsicherheit zu gewährleisten. Charakteristisch sind unter anderem fehlertolerante Anwendungs-Cluster, die Datenverlust ausschließen.

Hot-Stand-by-RZ: Verfügt meist über synchrone Datenspiegelung zwischen den RZ sowie eine breitbandige Layer-2-LAN-Verbindung. Der Zugriff von Clients auf beide RZ erfolgt bei einem Schwenk transparent - also vom Anwender unbemerkt. Sofern der Abstand zwischen beiden RZ größer als fünf Kilometer (BSI-Empfehlung) beträgt, lässt sich ein Hochverfügbarkeitsrechenzentrum (HA-RZ) gleichzeitig als Notfall-Rechenzentrum einstufen.

Warm-Stand-by RZ: Per asynchroner Datenreplikation über IP-WAN-Verbindungen kann überregionaler Notfallschutz über hunderte von Kilometern gewährleistet werden. Die optimale Warm-Stand-by-Anlaufzeit beträgt acht bis zwölf Stunden. Sie ist aber nur erreichbar, wenn die und zyklisch getestet sind und die Server der DMZ-Umgebung sowie das Regelwerk der Firewall in das Notfall-RZ repliziert werden. Ohne Automatisierung sind oft Wiederherstellungszeiten von mehreren Tagen nötig.

Cold-Stand-by-RZ: Hier steht bei einem Colocation-Provider für den Notfall lediglich eine vertraglich vereinbarte Ausweichrechenzentrumsfläche zur Verfügung (Rackspace, Klima, Strom, Internetanschluss).