Abstand bitte: Latenzen, Kosten und noch viel mehr Probleme folgen

BSI: Georedundanz bedeutet 200 Kilometer zwischen den Rechenzentren

| Autor: Ulrike Ostler

Rechenzentren mit den Verfügbarkeitsklassen 3 und 4 müssen georedundant sein. Das BSI fordert mindestens 200 Kilometer Abstand. Macht das Sinn?
Rechenzentren mit den Verfügbarkeitsklassen 3 und 4 müssen georedundant sein. Das BSI fordert mindestens 200 Kilometer Abstand. Macht das Sinn? (Bild: gemeinfrei - Tama66 / Pixabay / CC0)

Im Dezember 2018 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Version 1.0 der "Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren" herausgegeben. Es geht dabei um ein oder mehrerer Ausweich-Datacenter als Maßnahme zur Notfallvorsorge. Also um die Überlegung, ob und wie ein solches möglichst den gesamten zentralen IT-Betrieb übernehmen kann, sollte das jeweils andere nicht voll funktionsfähig sein.

Dies sei unter anderem für Behörden oder Unternehmen mit hohen oder sehr hohen Anforderungen entscheidend. Des Weiteren stünden Fragestellungen im Mittelpunkt, die hinsichtlich Verfügbarkeit bei der Planung eines Rechenzentrumsstandorts relevant seien sowie solche, die bei der Planung einer georedundanten Datacenter-Struktur zu berücksichtigen sind. Unbeachtet bleiben hier also etwa Schutz vor Sabotage oder auch eine redundante Energieversorgung und eine Unterteilung in Brandabschnitte.

Wichtig ist auch der Hinweis, dass das Dokument Auditierungs- und Zertifizierungsverfahren weder ersetzen noch zu diesen in Konkurrenz treten will, wenngleich etwa auf TÜV-Vorschriften verwiesen wird. Es handele sich vielmehr um eine "allgemeingültige Grundlage für alle bei der Standortauswahl für ein RZ zu hinterfragenden Entscheidungen".

Zudem orientieren sich die verwendeten Bezeichnungen "hochverfügbar" und "höchstverfügbar" an den im so genannten HV-Kompendium definierten Verfügbarkeitsklassen 3 und 4. Klasse 3 bedeutet eine Zielverfügbarkeit von 99,99 Prozent pro Jahr - die Dauer des maximal akzeptablen Ausfalls der Leistungsbereitstellung liegt unter einer Stunde. Bei Klasse 4 liegt die Zielverfügbarkeit bei 99,999 Prozent im Jahr pro Jahr, dies entspricht einer maximal tolerablen Ausfallzeit von rund 5,25 Minuten pro Jahr.

Georedundanz ist ....

In Kapitel 3 geht es nach Abständen zu potenziellen Gefahrenstellen um die Anforderungen an die Georedundanz. Hier spielt der Abstand zwischen den Rechenzentren eine wesentliche Rolle. Bis zum Dezember vergangenen Jahres empfahl das BSI einen Mindestabstand von fünf Kilometern. Jetzt aber hat das Bundesamt diese Distanz drastisch erhöht: Sie liegt jetzt um das vierzigfache höher, bei 200 Kilometern.

Als Grund nennt das BSI den "Schutz vor Naturgewalten" und als Beispiele "Großschadenereignisse, wie die Schneekatastrophe im Münsterland im Jahr 2005 oder die 'Jahrhunderthochwasser' der Elbe und der Donau im Jahr 2013". So etwas dürfe "keinesfalls gleichzeitig oder zeitnah" mehrere Rechenzentren einer Redundanzgruppe treffen. Und je größer der Abstand, desto unwahrscheinlicher sei es, dass das passieren könne.

Tatsächlich bricht das BSI-Papier die Ansiedlung von Rechenzentren noch einmal auf potenziell gefährdete Lagen herunter:

  • Hochwasser an Flüssen: Grundsätzlich sollte innerhalb eines Fluss-Systems maximal ein Rechenzentrum einer Georedundanzgruppe betrieben werden. Eine vereinfachte kartografische Übersicht der Fluss-Systeme in Deutschland findet sich etwa auf Wikipedia.
  • Erdbeben: Hochverfügbare Rechenzentren dürfen höchstens in der Erdbebenzone 1 angesiedelt werden, dabei gilt die Regel, maximal ein Rechenzentrum pro Redundanzgruppe. Die anderen gehören in Zone 0 oder in Bereiche ohne Erdbebengefahr.
  • Wind: Nur ein Rechenzentrum einer Redundanzgruppe darf in einer Windzone 420 angesiedelt sein.
  • Energieversorgung: Innerhalb eines Netzsegmentes der obersten Netzebene (380 Kilovolt) darf sich maximal eines der Georedundanz-Datacenter befinden.
  • Verpflegung: Sollten die georedundanten Rechenzentren ein und dasselbe Catering-Unternehmen für ihre Mitarbeiter nutzen, dürfen die Lebensmittel für mehr als ein Rechenzentrum nicht in derselben Küche zubereitet werden.

Problem mit Latenzen und der aktuellen Struktur

So macht Johan van den Boogaart von Zerto darauf aufmerksam, dass sich die Empfehlung auf die von vielen Unternehmen genutzten Systeme für Business Continuity und Disaster Recovery (BC/DR) auswirkt, die auf synchroner Spiegelung, Backups und Snapshots aufbauen: "Mit der weiteren Entfernung erhöhen sich gleichzeitig die Latenzzeiten der Daten, die zwischen den Rechenzentrum hin und her verschoben werden. Die deutlich höhere Latenzzeit zweier so weit voneinander entfernter Rechenzentren macht insbesondere die synchrone Replikation von Daten, auf der die Hochverfügbarkeit vieler Systeme aufbaut, effektiv unmöglich."

Johan van den Boogaart arbeitet bei Zerto, Anbieter einer zentralen IT-Resilienz-Plattform, die kontinuierliche Verfügbarkeit bei gleichzeitiger Vereinfachung der Workload-Mobilität sicherstellen soll.
Johan van den Boogaart arbeitet bei Zerto, Anbieter einer zentralen IT-Resilienz-Plattform, die kontinuierliche Verfügbarkeit bei gleichzeitiger Vereinfachung der Workload-Mobilität sicherstellen soll. (Bild: Zerto)

Er fügt an: Diese neue Empfehlung könne die komplette DR- und Backup-Strategie, die auf der Basis der bisherigen Richtlinien erstellt wurden, auf den Kopf stellen. Er geht davon aus, dass die meisten Unternehmen ihr zweites, bisher georedundantes Rechenzentrum in einem Umkreis von weniger als 200 Kilometern betreiben und demzufolge unmittelbar von der neuen Empfehlung des BSI betroffen sein werden.

Van den Boogaart: "Somit stehen diese Unternehmen jetzt vor der Wahl, entweder ein drittes, weiter entferntes Rechenzentrum aufzubauen, oder gleich in die Cloud zu migrieren." Für den Zerto-Mann schlägt in jedem Fall damit die Stunde der Continuous Data Protection, kurz CDP, mit asynchroner Replikation. Damit gebe es keine Latenzprobleme mehr.

Die Ausnahmen

Es gibt allerdings auch Ausnahmen zu diesen Vorschriften; denn auch das BSI notiert, dass mit zunehmendem Abstand der technische Aufwand zur Realisierung etwa synchroner Datenspiegelung oder des Failover steigt.

Das BSI-Papier sieht vor, dass Ausnahmen im Einzelfall unabweisbar sein können. Allerdings müssen die Verantwortlichen diese Notwendigkeit schriftlich und ausführlich darlegen, mitsamt Risikoanalyse. Keinesfalls aber, so das BSI, sollen georedundante Rechenzentren weniger als 100 Kilometer voneinander entfernt liegen.

Zum Beispiel können in punkto Energieversorgung Ausnahmen möglich sein, wenn maximal zwei Rechenzentren aus einer Redundanzgruppe mit drei oder mehr im gleichen Netzsegment liegen und für beide eine redundante eigensichere Notstromversorgung für mindestens 120 Stunden Volllast-Dauerbetrieb sichergestellt ist. Allerdings sei dafür unerheblich, ob die Einspeisung vom Energieversorger im Stich oder im Ring erfolge.

Neue Anforderungen und bisherige Praxis

Abweichungen sind etwa auch bei Ansiedlungen im selben Flusssystem möglich. So können auch Datacenter einer Redundanzgruppe in demselben betrieben werden, wenn diese mit allen erforderlichen Einrichtungen mindestens fünf Meter oberhalb des höchsten Hochwassers seit 1960 angesiedelt sind.

Laut BSI gibt es zu den im Papier behandelten Abstandswerten "harte physikalische Gründe". Solche gelten etwa für kerntechnische Anlagen. Um das Anliegen zu verdeutlichen, zählt das BSI einige Beispiel auf:

  • Der Evakuierungsradius in Tschernobyl betrug 37 km.
  • In Fukushima wurde eine Sperrzone mit 20 Kilometer Radius definiert. Ein erweiterter Bereich mit 30 Kilometer Radius sollte freiwillig verlassen werden.
  • Die Philippinische Regierung erweiterte diesen Bereich für ihre Staatsbürger auf 50 Kilometer Radius und die USA auf 80 Kilometer.

Bezüglich der bisherigen Praxis in Sachen Georedundanz übt das BSI deutliche Kritik: Sie seien "weit gespreizt", unter anderen Voraussetzungen entstanden, "kaum durch Herleitungen untermauert" und könnten letztlich "keine eindeutige Basis für eine klare Festlegung bieten." Dabei nimmt das BSI seine frühere Fünf-Kilometer-Empfehlung nicht aus: "Die Angabe '5 km' in einem Papier des BSI, das 2005 als Hilfsmittel für den BSI-Grundschutz veröffentlicht wurde, hatte keinesfalls den Aspekt der Georedundanz im Auge", heißt es.

  • Bei der TÜV-IT werde als Abstand "mehrere Kilometer" oder ein "ausreichender, risikoorientierter Abstand" genannt.
  • Die Datacenter Infrastructure Munich GmbH (DIM) schreibe: "Der Abstand der Standorte kann je nach Arealrisiko 3,5 Kilometer bis hin zu mehreren 100 Kilometer länderübergreifend sein, oder sogar global umspannende Entfernungen notwendig machen."
  • Für einen desastertoleranten Rechenzentrumsverbund (Tier IV) nenne Joachim Stephan, CTO der TÜV Trust IT GmbH, einen Abstand von "≥ 5.000 km."
  • Beim Branchenverband Bitkom sei überhaupt keine entsprechende Aussage zu finden.

* Diesen Beitrag haben wir von unserem Schwesterportal DataCenter-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45736895 / RZ-Technik)