IT-Notfallschutz

Welche Notfall-Architektur wo sinnvoll ist



Wolfgang Miedl arbeitet Autor und Berater mit Schwerpunkt IT und Business. Daneben publiziert er auf der Website Sharepoint360.de regelmäßig rund um Microsoft SharePoint, Office und Social Collaboration.

Primäres Ziel nach einem Notfall ist es, die Zugriffsfähigkeit von Nutzern und gegebenenfalls Produktionsanlagen auf IT-Services und Daten im Notfall- RechenzentrumRechenzentrum innerhalb einer vorgegebenen RZ-Wiederanlaufzeit zu ermöglichen. Alles zu Rechenzentrum auf CIO.de

Schaden durch Ausfall gegenüber Kosten für Notfallvorsorge

Auf Basis einer „Business Impact Analyse“ (BIA) im Rahmen eines Notfallmanagament-Standards oder einer eigenen aber fundierten Abschätzung sollte man diesen Grafen als wichtigen Baustein für eine Notfallstrategieentscheidung ermitteln.
Auf Basis einer „Business Impact Analyse“ (BIA) im Rahmen eines Notfallmanagament-Standards oder einer eigenen aber fundierten Abschätzung sollte man diesen Grafen als wichtigen Baustein für eine Notfallstrategieentscheidung ermitteln.
Foto: SHD Dresden

Zur Ermittlung des individuellen Unternehmensrisikos empfiehlt sich eine "Business Impact Analyse" (BIA). Damit lässt sich ausrechnen, wie hoch der Schaden für das Unternehmen ausfällt, abhängig von der Länge eines IT-Ausfalls. Aus dem daraus resultierenden Graphen können Entscheider ablesen, wie wichtig Notfallmaßnahmen sind und welche Notfallstrategie gewählt werden soll.

Sobald der konkrete Geschäftsschaden ermittelt ist, der bei einem Ausfall droht, kann auch mit der Entscheidungsfindung für die angemessene Notfall-Vorsorge begonnen werden. Dabei legt man beispielsweise einen rechnerischen Schaden über einen Zeitraum von fünf Jahren zugrunde und kalkuliert daraus einen durchschnittlichen monatlichen Schadensbetrag. Dieser lässt sich nun vergleichen mit den monatlich anfallenden Kosten, die mit einer jeweiligen Data-Center-Notfallarchitektur anfallen. Grob vereinfacht hängt die Höhe der Notfallkosten dabei von der Wiederanlaufzeit des Data Center (RTO, Recovery Time Objective) ab. Je kürzer die Unterbrechung, desto teurer sind die vorsorgenden, redundanten Maßnahmen.

Vier RZ-Typen mit unterschiedlichen Wiederanlaufzeiten

Die Entscheidung für eine geeignete Notfall-RZ-Architektur richtet sich ganz nach der maximal tolerierbaren RZ-Ausfallzeit. Nützlicher Nebeneffekt einer damit verbundenen Analyse ist für Entscheider übrigens, dass sie aus den einzelnen Werten die Abhängigkeit der jeweiligen Prozesse von der IT ablesen können. Folgende vier gängige Varianten für Notfall-RZ-Architekturen stehen zur Verfügung:

Die Geschäftsausfallkosten müssen in Relation zu angemessenen Investitionen in die Notfall-Vorsorge gesetzt werden. Auf der einen Seite stehen die Kosten pro Monat für den Regelbetrieb der Notfall-RZ-Architekturen unter Erreichung bestimmter RZ-Wiederanlaufzeiten (RTO). Auf der anderen Seite der pro Monat umgelegte maximal zulässige wirtschaftliche Schaden in einem Zeitraum von zum Beispiel fünf Jahren. Die Grafik stellt typische Notfall-RZ-Wiederanlaufzeitspannen in Abhängigkeit von der Notfall-RZ-Architektur und deren relativen Kosten dar.
Die Geschäftsausfallkosten müssen in Relation zu angemessenen Investitionen in die Notfall-Vorsorge gesetzt werden. Auf der einen Seite stehen die Kosten pro Monat für den Regelbetrieb der Notfall-RZ-Architekturen unter Erreichung bestimmter RZ-Wiederanlaufzeiten (RTO). Auf der anderen Seite der pro Monat umgelegte maximal zulässige wirtschaftliche Schaden in einem Zeitraum von zum Beispiel fünf Jahren. Die Grafik stellt typische Notfall-RZ-Wiederanlaufzeitspannen in Abhängigkeit von der Notfall-RZ-Architektur und deren relativen Kosten dar.
Foto: SHD Dresden

Active RZ: Kommt überwiegend in großen BankenBanken und VersicherungenVersicherungen zum Einsatz, um maximale Ausfallsicherheit zu gewährleisten. Charakteristisch sind unter anderem fehlertolerante Anwendungs-Cluster, die Datenverlust ausschließen. Top-Firmen der Branche Banken Top-Firmen der Branche Versicherungen

Hot Standby RZ: Verfügt meist über synchrone Datenspiegelung zwischen den RZ sowie eine breitbandige Layer 2-LAN-Verbindung. Der Zugriff von Clients auf beide RZ erfolgt bei einem Schwenk transparent - also vom Anwender unbemerkt. Sofern der Abstand zwischen beiden RZ größer als fünf Kilometer (BSI-Empfehlung) beträgt, lässt sich ein Hochverfügbarkeitsrechenzentrum (HA-RZ) gleichzeitig als Notfall-Rechenzentrum einstufen.

Warm Standby RZ: Per asynchroner Datenreplikation über IP-WAN-Verbindungen kann überregionaler Notfall-Schutz über hunderte von Kilometern gewährleistet werden. Die optimale Warm Standby-Anlaufzeit beträgt acht bis 12 Stunden. Sie ist aber nur erreichbar, wenn die Server-Umgebung des Unternehmens voll virtualisiert ist, die Wiederanlaufprozesse automatisiert und zyklisch getestet sind und die Server der DMZ-Umgebung sowie das Regelwerk der Firewall in das Notfall-RZ repliziert werden. Ohne Automatisierung sind oft Wiederherstellungszeiten von mehreren Tagen nötig.

Cold Standby: Hier steht bei einem Colocation-Provider für den Notfall lediglich eine vertraglich vereinbarte Ausweichrechenzentrumsfläche zur Verfügung (Rackspace, Klima, Strom, Internet-Anschluss).

Zur Startseite