IT-Sicherheitsgesetz und KRITIS

Herausforderung Ausfallsicherheit meistern

16.03.2017
Von 


Lars Göbel befasst sich seit mehr als einem Jahrzehnt mit IT-Services und der Cloud. Der Wirtschaftsinformatiker baute die erste VMware basierte Public-Cloud-Infrastruktur Deutschlands auf und vermarktete diese. Anschließend wechselte er zu VMware, und übernahm schließlich 2014 seine heutige Position bei DARZ. Seine gesammelten Erfahrungen bringt Göbel insbesondere bei der Gestaltung einer wirklichen hybriden Cloud-Lösung durch die Verschmelzung von Colocation, Private Cloud und Public Cloud ein.

Unterbrechungsfreie Stromversorgung - komplex, aber machbar

Die Stromversorgung ist ein hochkomplexes Thema, jedoch eines, das für die IT immens wichtig ist. Bereits nach 10 Millisekunden kann eine Unterbrechung der Stromversorgung den IT-Betrieb stören. Gründe für einen (kurzen) Stromausfall gibt es viele: Unterbrechungen auf Seiten der Energieversorger oder der Verteilungsnetzbetreiber, unangekündigtes Abstellen des Stroms oder Kabelbeschädigungen bei Tiefbauarbeiten.

Da das Thema schwierig ist und eine Sicherheit intern nicht garantiert werden kann, sollten Unternehmen diese Aufgabe an Experten auslagern. Diese garantieren eine unterbrechungsfreie Stromversorgung beispielsweise durch Maßnahmen wie eine A+B-Versorgung installierter Systeme ab Hauseingang, den Ausschluss geplanter Unterbrechungen der Energieversorgung gleichzeitig auf beiden Versorgungssträngen durch redundante Versorgung und externen Energieversorger, N+1-redundante, USV-gesicherte Stromversorgung mit Batteriepufferung für 25 Minuten pro Seite bei Volllast und Notstromdiesel auf jeder Seite sowie Lastübernahme innerhalb von 15 Sekunden. Gleiches gilt für andere Rechenzentrumsthemen wie die gesamte Absicherung der Infrastruktur gegen Zugriffe physischer Natur und die Absicherung der Datenbestände durch Zugangskontrollen und ähnliches.

Die richtige Backup-Strategie

Daten sind die wichtigste Grundlage eines Unternehmens. Unternehmen müssen sicherstellen, dass es zu keinen Datenverlusten kommt, die einen negativen Effekt auf die Durchführung der Geschäftsprozesse und damit auf die gesamte Organisation haben können. Deshalb benötigt jedes Unternehmen eine geeignete leistungsfähige Backup-Strategie und verschiedene Disaster-Recovery-Szenarien.

Ein Verlust oder eine Verfälschung von unternehmensrelevanten Daten kann zur Folge haben, dass Prozesse und Fachaufgaben lediglich verzögert oder gar nicht ausgeführt werden können. Dadurch entstehen kurzfristig Kosten durch Wiederbeschaffung der Daten und Produktionsausfall. Allerdings zeigen sich die maßgeblichen Folgen eines Datenverlustes erst langfristig, da er einen Vertrauensverlust bei Kunden und Partnern sowie Image-Schäden nach sich ziehen kann. Die direkten und indirekten Schäden durch einen Datenverlust können sogar dazu führen, dass die Existenz des Unternehmens bedroht ist.

Disaster Recovery: Was tun, wenn's brennt?

Um bei einem Ausfall eines Rechenzentrums die IT weiter wie gewohnt nutzen zu können, ist ein Backup aller Daten an einem separaten Standort erforderlich. Allerdings ist dies noch nicht ausreichend: bereits bei der Erstellung des Business-Continuity-Planes sollten Lösungen für das Disaster Recovery hinterlegt sein.

Ein mögliches "Disaster" wäre beispielsweise ein Brand im Rechenzentrum, durch den es zu einem Ausfall von Servern und/oder Anwendungen kommen kann. Es reicht also nicht aus, Daten extern zu lagern. Eine umfassende Absicherung ist erforderlich, die auch Anwendungen und Serverkapazitäten umfasst und im Katastrophenfall selbst bei einem vollständigen Ausfall der Primärsysteme sofortige Systemverfügbarkeit sowie Notfallarbeitsplätze zur Verfügung stellt - und das konform zu den deutschen Datenschutzgesetzen.

ISO 27001 weist den Weg

Die genannten Ansätze sind lediglich eine Auswahl. Der KRITIS-Verantwortliche eines Unternehmens ist jedoch nicht auf sich selbst gestellt. IT-Full-Service-Provider, die ihr eigenes Hochleistungszentrum betreiben, bieten modulare, flexible Services, um sie in die komplexe Thematik einzuführen. Anbieter haben zumeist eine ISO-Zertifizierung, der Goldstandard ist ISO 27001, ergänzt durch die technischen Richtlinien beispielsweise BSI TR-03145, Sicherheitszertifikate für Strom- und Wasserzähler, Smart-Home-Devices und andere Elemente der Vernetzung. Solche Qualitätsstandards sollten zukünftig stärker beachtet werden. Partner, die alle Zertifizierungen haben, garantieren, dass alle eingesetzten Lösungen und Dienstleistungen den gesetzlichen Vorgaben entsprechen. (haf)