Für Georedundanzen kommen zwei oder mehr vollständig funktionsfähige Rechenzentren an verschiedenen Standorten zum Einsatz. Die Daten sind gespiegelt und damit simultan verwendbar. Der Zweck derartiger Absicherung besteht zum einen darin, den Betrieb auch bei Ausfall von Komponenten oder gar eines gesamten Rechenzentrums unterbrechungsfrei zur Verfügung zu stellen. Zum anderen geht es darum, äußerliche Einwirkungen wie etwa einen Brand in einem Rechenzentrum sicher abzufangen. Dafür braucht es räumliche Distanz. Doch was genau steckt hinter dem Georedundanz-Konzept? Schließlich hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst kürzlich seine Empfehlungen und damit auch die technischen Anforderungen beträchtlich verschärft.

Die redundante Auslegung von Rechenzentren (RZ) spielt nicht nur im Bereich der Hochverfügbarkeit eine wichtige Rolle. Damit Wartungsarbeiten durchgeführt, Stromausfälle abgefedert und defekte Hardware ersetzt werden kann, genügt ein zweites Rechenzentrum mit identischer Ausstattung. Service-Provider richten dafür in ihren riesigen Datenzentren oft mehrere Kammern mit je einem RZ ein, baulich getrennt etwa durch Brandschutzwände und ähnliches. Soll ein RZ hoch- oder sogar höchstverfügbar sein, spielen weitere Kriterien eine Rolle: So benennt das BSI zum Beispiel „Orte besonderer Gefährdung“ wie etwa kerntechnische Anlagen, Flughäfen, Schienen und Straßen, sowie Flüsse oder Wälder, zu denen ein RZ bestimmte Abstände haben sollte.

Und selbst wenn sich eine grüne Wiese weit ab von jeglicher Infrastruktur und Natur für den Aufbau eines RZ finden ließe, Georedundanz verlangt noch mehr: eine weite räumliche Trennung der Standorte beispielsweise. Denn das Konzept der Georedundanz geht berechtigterweise davon aus, dass die Wahrscheinlichkeit, dass ein Ereignis beide RZ lahmlegt, sinkt, je weiter sie voneinander entfernt sind. Das klassische Beispiel für solche befürchtete Ereignisse sind Naturkatastrophen. So kann ein Starkregen und ein darauffolgendes Ansteigen des nahen Flusses erhebliche Schäden am RZ verursachen. Steht das Redundanz-RZ nebenan, ist die Chance groß, dass es ebenfalls betroffen ist.

Um genau solche Szenarien zu verhindern, sollte sich das redundanzgebende RZ in einem ausreichenden Abstand befinden. Was das genau bedeutet, hat das BSI vor Kurzem neu definiert. Galten bisher 10 bis 15 Kilometer als ausreichend, empfiehlt es nun mindestens 100, besser 200 Kilometer Abstand. Auf diese Weise, so die Begründung des BSI, seien nicht nur Vorfälle durch regional begrenzte Ereignisse besser abgesichert, sondern auch Schäden durch größere Naturkatastrophen wie Überschwemmungen oder Erdbeben besser abzufedern. Je größer der Abstand, desto besser. Aber: Mit wachsender Entfernung steigen auch die technischen Anforderungen an die Datenübertragung. Das BSI ist sich dessen bewusst und weist die Unternehmen an, in einem Sicherheitskonzept ausführlich darzulegen, welchem der beiden Aspekte aus welchem Grund Vorrang eingeräumt wird.

Zum einen steigt mit der wachsenden Entfernung die Wahrscheinlichkeit, dass es bei den langen Leitungen zu Störungen oder Beschädigungen kommt. Das kann die Übertragungsrate senken. Zum anderen erhöhen sich die Latenzzeiten bei der Datenübertragung, wenn auch nur im Millisekunden-Bereich. Für asynchrone Spiegelungsverfahren oder verteilt implementierte Apps, die miteinander kommunizieren müssen, ist das zu lang. Unternehmen müssen beispielsweise abwägen, ob asynchrone Replikation mit mehreren Minuten Datenverlust im Schadensfall oder räumlich nähere RZ das größere Risiko bergen.

Die Frage der Georedundanz hat demnach Einfluss auf das gesamte RZ-Betriebskonzept. Lange Transaktionswege und damit verbundene Latenzzeiten entscheiden mit darüber, ob ein zweiter RZ-Standort als reines Notfall-RZ betrieben oder ob die Last auf beide RZ gleichzeitig verteilt wird. Plötzlich macht es einen Unterschied, auf welchem Server eine virtuelle Maschine läuft und mit welchen anderen Anwendungen sie kommunizieren muss. Je weniger Daten synchronisiert werden müssen, desto besser. Gerade im Zuge von immer mehr Modularisierung und der Nutzung von Microservices sollte gut geplant werden, wo die Anwendungen und die dazugehörigen Daten liegen.

Wenn höchste Verfügbarkeit erreicht werden soll, kommt hinzu, dass auch das redundanzgebende RZ abgesichert werden muss, etwa durch weitere Infrastruktur. Denn im Falle eines Schadens an einem Standort wäre die IT sonst vorübergehend eben nicht redundant. Werden Ländergrenzen überschritten, um den empfohlenen Abstand zu wahren, sind unter Umständen Datenschutz-Belange zu beachten.

Betreiber kritischer Infrastrukturen – etwa Wasserwerke oder Stromversorger – sind an die BSI-Vorgaben hinsichtlich Georedundanz gebunden. Anderen Behörden und Unternehmen mit hohen oder sehr hohen Anforderungen legt das Amt ein Redundanz-RZ als Notfallvorsorge nahe. Dass eine redundante Infrastruktur-Auslegung Sinn ergibt, ist unbestritten. Wie viel „geo“ dabei eine Rolle spielt, hängt schließlich davon ab, wie geschäftskritisch ein IT-Ausfall für das Unternehmen wäre. Behält man die Kosten im Auge, ist klar, dass es nicht für jedes Szenario eine Absicherung geben kann. In den allermeisten Fällen ist das auch nicht notwendig: Anwendungen können zum Beispiel von Beginn an so ausgelegt werden, dass sie Downtimes und Latenzzeiten verkraften, ohne größere Probleme zu verursachen.