Georedundanz einfach erklärt

Aus induux Wiki


Letzter Autor: induux Redaktion

Rechenzentren sind Gebäude bzw. Räumlichkeiten, in denen die zentrale Rechentechnik einer oder mehrerer Unternehmen bzw. Organisationen untergebracht ist. Ihr kommt damit eine zentrale Bedeutung in der Nutzung von EDV in Unternehmen, Verwaltungen oder anderen Institutionen zu. Besonders Unternehmen oder Behörden, welche auf die ständige Verfügbarkeit ihrer Rechentechnik angewiesen sind, wird empfohlen im Sinne des Disaster Recovery sogenannte Redundanzrechenzentren zu verwenden.
Synonym(e): georedundante Rechenzentren, Redundanzrechenzentren



Georedundante Systeme

Der Begriff Redundanz (lat. redundare -im Überfluss vorhanden sein) bezeichnet in der Technik allgemein das zusätzliche Vorhandensein von funktional gleichen oder vergleichbaren Ressourcen eines technischen Systems, welche bei einem störungsfreien Betrieb im Normalfall nicht benötigt werden. Redundante Rechenzentren stellen also dieselben Serverfunktionen bereit wie Hauptrechenzentren und dienen zur Entlastung und Vorbeuge vor Ausfällen. Bei der Begrifflichkeit Georedundanz kommt noch der geographische Abstand hinzu. Georedundante Systeme stehen an mindestens zwei geografisch getrennten Orten ihre Dienste bereit.

Empfehlungen des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhöhte 2018 den bisherigen Mindestabstand georedundanter Rechenzentren von 5 Kilometern auf 200 Kilometern. Ziel des Dokuments zur Standortsetzung ist die Sicherstellung der Verfügbarkeit. Hierbei geht es vor allem um die Hochverfügbarkeitsstufe VK3 welche eine Zielverfügbarkeit von 99,99% pro Jahr vorsieht, der maximale Ausfall eines solchen RZs sollte bei zirka einer knappen Stunde liegen.

Die gesteigerte Stufe VK4, die Höchstverfügbarkeit, hat die Zielverfügbarkeit von 99,9999% pro Jahr, und die geplante Ausfallzeit liegt bei zirka 5 Minuten. Eine 100%ge Verfügbarkeit (VK5) ist mit Rechenzentren nicht realisierbar, ein gewisses Restrisikos eines plötzlichen Ausfalls besteht immer.

Georedundanz grenzt sich von den Anforderungen, die an die Standorte von Rechenzentren gestellt werden, ab. In aller erster Linie geht es dabei um Abstände der Redundanzen zueinander. Begründet wird der erhöhte Abstand mit Naturkatastrophen. Durch die weitere Entfernung zueinander soll verhindert werden das Katastrophen mehrere Rechenzentren gleichzeitig treffen.

„Selbst ein Großschadenereignis, wie die Schneekatastrophe im Münsterland im Jahr 2005 oder die „Jahrhunderthochwasser“ der Elbe und der Donau im Jahr 2013, darf keinesfalls gleichzeitig oder zeitnah mehrere RZ der Redundanzgruppe treffen.“ – (Auszug aus Kapitel 3 der BSI-Studie zu den Kriterien der Standortwahl)

Der Konflikt, welcher bei einer erhöhten Georedundanz besteht, ist der damit verbundene technologische Aufwand. Rechenzentren, welche weiter auseinander liegen, sind zwar im Zeichen der Georedundanz besser geschützt, können aber Probleme in der Datenverarbeitung bekommen. Hierbei gibt die BSI vor, dass in einem Sicherheitskonzept klar dargestellt und begründet werden muss, ob nun die Georedundanz oder die Datenverarbeitung an erster Stelle stehen und welches Risiko sich aus dieser Entscheidung ergeben kann.

Ausschlusskriterien

Aus dem Konzept der Georedundanz heraus fallen Rechenzentren mit „Zwillingsstandort“, also solche welche sich beispielsweise im gleichen Gebäude befinden und nur durch Räume voneinander getrennt werden. Zwar sind der Datenaustausch und die Übertragung sehr einfach, doch alle vorhandenen Rechenzentren im Standort sind dem gleichen Risiko von außen ausgesetzt.

Weiterhin verweist die BSI auf weitere Maßnahmen, welche bei einer erfolgreichen Georedundanz einzuhalten sind, um sich vor Naturkatastrophen zu schützen. Innerhalb eines Flusssystems sollte aus einer Redundanzgruppe maximal ein Rechenzentrum betrieben werden.

Höchstverfügbare Rechenzentren können allerhöchstens in Erdbebenzone 1 angesiedelt werden, alle anderen sind dann aber in einer erdbebenfreien Zone anzusiedeln. Und in einer Redundanzgruppe darf maximal ein Rechenzentrum in der Windzone 4 angesiedelt werden.

Aktuelle Kritiken

Aktuell übt die BSI noch Kritik an dem Umgang mit der Georedundanz. In Kapitel 4 ihres Dokuments heißt es: In der Literatur seien die Vorgaben zur Georedundanz “weit gespreizt“ und „kaum durch Herleitungen untermauert“ und können daher keine „eindeutige Basis für eine klare Festlegung bieten“. Dazu nennt sie auch einige Beispiele:

  • Die ursprüngliche Angabe von 5 Kilometern der BSI habe die Georedundanz nicht im Auge
  • Beim TÜV-IT wird als Abstand „mehrere Kilometer“ als Abstand genannt
  • Die Datacenter Infrastructure Munich GmbH (DIM) schreibt: „Der Abstand der Standorte kann je nach Arealrisiko 3,5 km bis hin zu mehreren 100 km länderübergreifend sein, oder sogar global umspannende Entfernungen notwendig machen.“
  • Der Brachen Verband Bitkom machte überhaupt keine Angaben zur Georedundant

Umsetzungsmöglichkeiten der BSI-Empfehlungen

Zur Erfüllung der BSI-Empfehlungen sind unterschiedliche technische Maßnahmen denkbar. Viele Standardmechanismen sind aufgrund der Überlegungen zu Bandbreitenbedarfen und Latenzzeiten kritisch zu beäugen. An dieser Stelle treten jedoch asynchrone Spiegelungsmechanismen wieder auf den Plan, bei denen beispielsweise seitens der Libelle AG mit dem Libelle BusinessShadow seit vielen Jahren Standards im SAP und Non-SAP Umfeld gesetzt hat.

Datenverfügbarkeit

Um Datenverfügbarkeit gewährleisten zu können, werden Speichersysteme verwendet. Dort wird sichergestellt, dass die Daten in einem bestimmten Umfang immer verfügbar sind. Datenverfügbarkeit wird zum Beispiel durch Redundanz sichergestellt.

Du hast Feedback zur Wiki-Seite?