Mobile-Menu

Georedundante Speicherung Wie Trust Services Vertrauen garantieren

Von Ingolf Rauh*

Anbieter zum Thema

Trust Service Provider stellen den zentralen Vertrauensanker für Angebote wie elektronische Signaturen dar. Was müssen sie selbst tun, um das Vertrauen ihrer Nutzer nicht zu enttäuschen und Daten vor Verlust zu schützen?

Naturkatastrophen sind eine reale Gefahr für gespeicherte Daten.
Naturkatastrophen sind eine reale Gefahr für gespeicherte Daten.
(Bild: fotoember - stock.adobe.com )

Ein Trust Service Provider stellt Zertifikate aus, wie sie für elektronische Signaturen und Siegel gebraucht werden, und bewahrt diese auf. Wie der Name schon impliziert, wird hier ein hohes Maß an Vertrauen erwartet. Einerseits seitens der Nutzer, aber auch vom Gesetzgeber. Sollte es innerhalb der gesetzlichen Aufbewahrungsfrist zu einem Gerichtsverfahren kommen und eine Signatur angezweifelt werden, muss der Vertrauensdienst einen Nachweis über den technischen Vorgang dahinter erbringen können. Gelingt dies nicht, kann der Anbieter haftbar gemacht werden.

Beweisdaten für Identifikationen oder Registrierungen sowie das sogenannte Tätigkeitsjournal (beinhaltet beispielsweise den Zeitpunkt der Signatur) unterliegen mitunter sehr langen Aufbewahrungsfristen. In der Schweiz sind dies elf Jahre, in der EU sogar über 30 Jahre. In digitalen Dimensionen gedacht, sind das sehr lange Zeiträume, in denen viel passieren kann. Anbieter von Vertrauensdiensten benötigen also sinnvolle und nachhaltige Lösungen, um Informationen wie etwa Identifikationsdaten langfristig zu sichern.

Brände, Naturkatastrophen und andere Gefahren

Im Frühjahr letzten Jahres zeigte ein Brand in einem Straßburger Rechenzentrum auf drastische Weise, welche Dimensionen Datenverlust annehmen kann. Hier brannte Europas größtes Data Center nieder. Einige Unternehmen erlitten dadurch einen Totalverlust, da dies der einzige Speicherort ihrer Cloud-Daten war. Begünstigt durch den Klimawandel, nehmen in den letzten Jahren und Jahrzehnten verheerende Naturkatastrophen weiter zu. Diese können nicht nur zur Gefahr für Menschen und Infrastruktur, sondern auch für Daten werden.

Um sich ausschließlich vor Datenverlust durch alternde Datenträger zu schützen, mag eine redundante Speicherung am gleichen Ort ausreichen. Zum Schutz vor (Natur-)Katastrophen ist die georedundante Speicherung an verschiedenen Orten respektive Rechenzentren jedoch die zuverlässigste Methode. Dadurch soll sichergestellt werden, dass Daten auch dann nicht verloren gehen, wenn ein Rechenzentrum komplett zerstört wird.

Backup ≠ redundante Speicherung

Um besser zu verstehen, was redundante Speicherung ist, hilft es zunächst, festzustellen, was sie nicht ist: ein Backup. Sie ist immer nur eine Momentaufnahme. Es gibt ein Hauptsystem oder einen Hauptspeicher, der gelegentlich kopiert wird. Das beste Beispiel sind externe Festplatten, auf denen viele Computernutzer hin und wieder ihre Daten sichern.

Bei Redundanz gibt es hingegen keine solche Hierarchie. Stattdessen wird das System eins zu eins gespiegelt. Auf den Privatanwender übertragen hieße das, er müsste zwei PCs haben, auf denen exakt die gleichen Operationen ausgeführt werden. Das ist natürlich ein großer Aufwand und daher nur bei wirklich sensiblen Daten praktikabel, wie eben Identifikationsdaten.

Fällt ein Rechenzentrum aus, kommt es zum automatischen Failover, und ein anderes kann automatisch die Last übernehmen. Spezifizierte Anforderungen an die Entfernung der beiden (oder mehr) Rechenzentren gibt es nicht. Jedoch sollten sie eine gewisse Entfernung einhalten, damit sie nicht mit hoher Wahrscheinlichkeit denselben Umweltauswirkungen ausgesetzt sind. Auch in Anbetracht einer stabilen Stromversorgung sollten die Rechenzentren nicht unmittelbar benachbart sein; schließlich treten Stromausfälle meist regional beschränkt auf.

Kontinuitätsmanagement

Von Kunden werden regelmäßig verschiedene Service-Level-Parameter abgefragt. Hier ist es wichtig, den Unterschied zwischen RPO (Recovery Point Objective) und RTO (Recovery Time Objective) zu beleuchten. RPO befasst sich mit der Datenmenge, die zwischen einem kritischen Ereignis und dem letzten vorangegangenen Backup verloren gehen kann, bevor signifikanter Schaden entsteht. Hier geht es also ausschließlich um Daten. Bei RTO geht es neben Daten auch um Anwendungen und den Zeitraum der Wiederherstellung.

RPO ist das Maß für das Incident-Management bei kleineren Vorfällen, während es beim RTO um Continuity-Management bei größeren und kritischen Vorfällen geht. Dieser Wert kann sich im schlimmsten Fall auf Tage belaufen, wenn ein System komplett neu aufgesetzt werden muss. Hier bietet Georedundanz einen entscheidenden Vorteil: Fällt ein Rechenzentrum aus, kann direkt auf das andere umgeschaltet werden. Der Betrieb läuft dann normal weiter, während die Systeme im ersten Rechenzentrum wiederhergestellt werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Verlässlichkeit sensibler Services

Bei der Georedundanz geht es nicht ausschließlich um die Absicherung gegenüber dem Verlust historischer Daten und Haftungsfragen, es geht auch darum, dass ein Service für Kunden immer zur Verfügung steht. Soll beispielsweise eine M&A-Transaktion im Konzernumfeld mit einer elektronischen Signatur abgeschlossen werden und der Trust Service dahinter ist plötzlich nicht verfügbar, wäre das für alle Beteiligten eine blamable Situation. Für einen Anbieter, der nicht auf Georedundanz für seine Services setzt, kann es Stunden oder im Extremfall sogar Tage dauern, bis das System wieder läuft.

Im Gegensatz dazu spielt sich das Umschalten auf ein anderes Rechenzentrum in einem georedundanten System binnen Minuten ab. Der Zeitraum, in welchem ein potenzieller Datenverlust droht, verringert sich dementsprechend ebenfalls drastisch. Auch das Einspielen einer neuen Software-Version lässt sich bequem erst beim nicht aktiven System durchführen und nach dem Umschalten auf dem dann nicht aktiven zweiten System.

Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services.
Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services.
(Bild: @ 2014 Roland Steffen )

Obwohl Georedundanz einen hohen Stellenwert für die Verlässlichkeit kritischer Dienstleistungen hat, ist sie auf dem Gebiet der Vertrauensdienste noch nicht gesetzlich vorgeschrieben. Anbieter können also selbst entscheiden, ob sie die zusätzlichen Investitionen tätigen oder nicht. Das führt in der logischen Konsequenz dazu, dass vor allem große, etablierte Player auf georedundante Speicherung setzen. Mit der Novelle der eIDAS-Verordnung könnte Georedundanz für alle Anbieter durch Einbezug der sogenannten NIS Richtlinie zum Schutz kritischer Infrastrukturen zur Pflicht werden. Bis „eIDAS 2.0“ umgesetzt wird, kann es allerdings noch bis zu eineinhalb Jahre dauern. Bis dahin sollten sich Unternehmen, die mit Trust Services zusammenarbeiten, bei ihren jeweiligen Anbietern erkundigen, wie diese die Datenspeicherung handhaben.

*Der Autor: Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services

Das Storage-Kompendium zum Thema – kostenfreier Download

Die Anforderungen an die Datensicherung sind so hoch wie nie, und die Anzahl der Fälle, in denen ein Disaster Recovery notwendig ist, nimmt rasant zu. Was also gilt es beim Backup zu beachten?

Backup & Disaster Recovery – Strategien und Lösungen

Storage-Kompendium „Backup & Disaster Recovery“
(Bild: Storage-Insider)

Die Hauptthemen des Kompendiums sind:

  • Storage Class Memory (SCM)
  • Backup- und DR-Strategien/-Lösungen
  • As-a-Service-Modelle
  • Disaster Recovery
  • Datenmanagement
  • Hochverfügbarkeit von Daten (HA)
  • Business Continuity (BC)
  • Data Governance

(ID:48430390)