Ausfallsicherheit

Mit Georedundanz zur Business Continuity

6. Dezember 2022, 10:56 Uhr | Autor: Ingolf Rauh / Redaktion: Lukas Steiglechner | Kommentar(e)
Staffelstab wird übergeben
© Andreypopov / 123rf

Unternehmen sehen Back-ups oftmals als ausreichende Maßnahme an, um sich vor Datenverlust zu schützen. Doch vor allem bei sensiblen Daten und Anwendungen reicht das nicht aus. Georedundante Infrastruktur kann in diesem Fall helfen und die Business Continuity sicherstellen.

Häufig glauben Unternehmen, es reiche aus, Daten oder Systeme in ein und demselben Rechenzentrum doppelt zu speichern. Diese Vorgehensweise erweist sich im Falle von technischem Versagen oder veralteten Datenträgern als wirksam. Ist zum Beispiel ein Datenträger nicht mehr funktionsfähig, kann alternativ auf den anderen Datenträger innerhalb eines Rechenzentrums umgeschaltet werden – das betroffene Unternehmen hat weiterhin Zugriff auf seine Ressourcen. Der Großbrand eines Straßburger Cloud-Rechenzentrums im letzten Jahr hat jedoch gezeigt, dass eine redundante Speicherung in einem Rechenzentrum nicht ausreicht, um sich vor Datenverlust zu schützen. Viele Unternehmen waren nicht mehr in der Lage, ihre Daten wiederherzustellen, da dies der einzige Speicherort ihrer Cloud-Daten war. Neben Bränden können aber auch höhere Gewalt in Form von Naturkatastrophen wie Überschwemmung, notwendige Wartungsarbeiten und eine Unterbrechung in der Energieversorgung zu Ausfällen führen. Angesichts des Klimawandels hat das Risiko von Naturkatastrophen in den letzten Jahren gar stark zugenommen, was abgesehen von der offensichtlichen Gefahr für Menschen auch eine Bedrohung für Daten darstellt und somit potenziell die Existenz von Unternehmen gefährdet. Ein redundanter Ansatz, der sich auf ein einziges Rechenzentrum beschränkt, ist daher nicht zielführend und schützt Unternehmen und ihre Daten nicht vor diesen Gefahren.

Back-ups sind noch keine Redundanz

Der Verlust hochsensibler und personenbezogener Daten zieht in der Regel sowohl Bußgelder aufgrund von DSGVO-Verstößen als auch Schadensersatzforderungen von Seiten der Nutzer nach sich. Um kritischen Ausfällen und folgenschweren Ausfallzeiten sowie Datenverlusten vorzubeugen, bietet es sich daher an, einen georedundanten Speicheransatz zu verfolgen. Georedundanz umfasst das Hauptrechenzentrum sowie ein oder mehrere Rechenzentren, die sich an geografisch voneinander getrennten Orten befinden. Sämtliche Rechenzentren einer Redundanzgruppe führen dasselbe System aus. Kommt es im Hauptrechenzentrum zum Beispiel zu einem unfalls- oder wartungsbedingten Ausfall, wird automatisch ein Failover durchgeführt. Ein anderes Rechenzentrum der Redundanzgruppe übernimmt ersatzweise den Betrieb. Der Vorteil: Da sich dieselben Ressourcen an sämtlichen Standorten befinden, ist der Datenverlust minimal.

Ziehen Unternehmen eine georedundante Infrastruktur in Betracht, stellt sich häufig die Frage, ob ein herkömmliches Back-up-System nicht doch ausreicht und inwiefern sich Georedundanz von diesem unterscheidet. Im Zuge eines Back-ups wird in regelmäßigen Intervallen eine Kopie des Hauptsystems oder -speichers angelegt. Diese Kopie bildet somit lediglich eine Momentaufnahme des zum Zeitpunkt der Erstellung existierenden System- und Datenbestandes ab. Angenommen, kurz nach einem Back-up-Vorgang werden die Server eines Rechenzentrums aufgrund eines Brandes zerstört. Dann sind sämtliche Daten, die dem Bestand nach dem Back-up hinzugefügt wurden, nicht mehr wiederherstellbar.

Business Continuity Management für den Ausfall

Im Gegensatz dazu wird in einer georedundanten Infrastruktur die Systemumgebung des Hauptrechenzentrums – einschließlich Serverfunktionen, Datenspeicher, Anwendungen und Hardware – an einem anderen Standort eins zu eins gespiegelt. Sobald jemand also auf dem Live-System im Hauptrechenzentrum Änderungen durchführt, werden diese Änderungen auf allen Zweitsystemen in den Redundanzrechenzentren übernommen. Dies ist in etwa vergleichbar mit einem Privatanwender, der zu Hause an einem PC arbeitet und ein zweiter Rechner dieselben Operationen umsetzt, ohne diese Eingaben ein zweites Mal tätigen zu müssen.

In einem georedundanten System lässt sich die Datenübertragung unter anderem entweder durch eine Live-Systemsynchronisation oder blockweise auf Storage-Ebene realisieren. Dieser Ansatz ist zwar sehr sicher, aber mit einem erhöhten Aufwand verbunden. Daher lohnt sich die Einführung eines georedundanten Systems vor allem für sensible Daten und Anwendungen mit höchsten Verfügbarkeitsanforderungen.

Bei einer redundanten Infrastruktur handelt es sich nicht ausschließlich um eine Vorbeugungsmaßnahme, die Unternehmensdaten im Falle einer Betriebsstörung vor dem Verlust schützen soll. Die Service-Verfügbarkeit und Betriebskontinuität spielen eine ebenso entscheidende Rolle. Im Sinne der Business Continuity, der Disaster Recovery und der Erstellung eines Notfallplans ist es wichtig, sich über die Unterschiede zwischen dem Wiederherstellungspunkt (Recovery Point Objective, RPO) und der Wiederherstellungszeit, Recovery Time Objective (RTO), bewusst zu sein. RPO umfasst die Datenmenge, die zwischen dem letzten Back-up und einem Schadensereignis verloren gegangen ist sowie den maximalen Datenverlust, den ein Unternehmen verkraften kann. RTO umfasst die maximale Zeitspanne, die sich ein Unternehmen leisten kann, wenn ein relevantes System ausfällt. Dieser Wert kann je nach Schwere des Schadens und Komplexität des Wiederherstellungsprozesses große Dimensionen annehmen. Die wenigsten Unternehmen können es sich leisten, wenn ihr Geschäft für mehrere Tage lahmliegt.

Georedundanz kann dabei helfen, nicht nur den Datenverlust, sondern auch RTO zu minimieren und im Ernstfall die Business Continuity aufrechtzuerhalten. Schließlich erwarten Nutzer, dass ihnen sämtliche Dienste dauerhaft und unterbrechungsfrei zur Verfügung stehen. Ein Failover auf ein Ersatz-Rechenzentrum innerhalb der Redundanzgruppe ist in wenigen Minuten durchführbar. Nutzer können die Service-Angebote weiterhin nutzen. Außerdem sinken dadurch automatisch sowohl der Zeitraum, in dem Daten verloren gehen, als auch das Risiko, die RTO-Grenze zur überschreiten. Während dieses Rechenzentrum den Betrieb vorläufig übernimmt, bleibt genügend Zeit, sich um die Ausfallursache im Hauptrechenzentrum zu kümmern, ohne dass die Service-Verfügbarkeit darunter leidet.

Darüber hinaus verhindert die Redundanz in den meisten Fällen mögliche Aussetzer des Betriebes, wenn eine neue Softwareversion eingespielt werden muss. So kann ein System nach dem anderen mit einem Update versehen werden. Dazwischen wird jeweils auf das andere System umgeschaltet. Wahlweise könnte sogar ein neues Release für wenige Stunden live getestet und bei Fehlerfällen auf das Altsystem zurückschaltet werden – ohne Ausfälle für den fortlaufenden Service.

Ingolf Rauh, Head of Produkt and Innovation Management, Swisscom Trust Services


Verwandte Artikel

Swisscom AG Group Identity

Matchmaker+