Ratgeber

Georedundanzen: Sinnvoll, zu teuer oder vorgeschrieben?

(Bild: Shutterstock)

Mit georedundanten IT-Infrastrukturen sollen Schäden – etwa durch Naturkatastrophen – abgefangen werden. Was bedeutet das in der Praxis?

Für Georedundanzen kommen zwei oder mehr vollständig funktionsfähige Rechenzentren an verschiedenen Standorten zum Einsatz. Die Daten sind gespiegelt und damit simultan verwendbar. Der Zweck derartiger Absicherung besteht zum einen darin, den Betrieb auch bei Ausfall von Komponenten oder gar eines gesamten Rechenzentrums unterbrechungsfrei zur Verfügung zu stellen. Zum anderen geht es darum, äußerliche Einwirkungen wie etwa einen Brand in einem Rechenzentrum sicher abzufangen. Dafür braucht es räumliche Distanz. Doch was genau steckt hinter dem Georedundanz-Konzept? Schließlich hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst kürzlich seine Empfehlungen und damit auch die technischen Anforderungen beträchtlich verschärft.

Was georedundant genau bedeutet

Die redundante Auslegung von Rechenzentren (RZ) spielt nicht nur im Bereich der Hochverfügbarkeit eine wichtige Rolle. Damit Wartungsarbeiten durchgeführt, Stromausfälle abgefedert und defekte Hardware ersetzt werden kann, genügt ein zweites Rechenzentrum mit identischer Ausstattung. Service-Provider richten dafür in ihren riesigen Datenzentren oft mehrere Kammern mit je einem RZ ein, baulich getrennt etwa durch Brandschutzwände und ähnliches. Soll ein RZ hoch- oder sogar höchstverfügbar sein, spielen weitere Kriterien eine Rolle: So benennt das BSI zum Beispiel „Orte besonderer Gefährdung“ wie etwa kerntechnische Anlagen, Flughäfen, Schienen und Straßen, sowie Flüsse oder Wälder, zu denen ein RZ bestimmte Abstände haben sollte.

Und selbst wenn sich eine grüne Wiese weit ab von jeglicher Infrastruktur und Natur für den Aufbau eines RZ finden ließe, Georedundanz verlangt noch mehr: eine weite räumliche Trennung der Standorte beispielsweise. Denn das Konzept der Georedundanz geht berechtigterweise davon aus, dass die Wahrscheinlichkeit, dass ein Ereignis beide RZ lahmlegt, sinkt, je weiter sie voneinander entfernt sind. Das klassische Beispiel für solche befürchtete Ereignisse sind Naturkatastrophen. So kann ein Starkregen und ein darauffolgendes Ansteigen des nahen Flusses erhebliche Schäden am RZ verursachen. Steht das Redundanz-RZ nebenan, ist die Chance groß, dass es ebenfalls betroffen ist.

Mehr Abstand hat Folgen

Um genau solche Szenarien zu verhindern, sollte sich das redundanzgebende RZ in einem ausreichenden Abstand befinden. Was das genau bedeutet, hat das BSI vor Kurzem neu definiert. Galten bisher 10 bis 15 Kilometer als ausreichend, empfiehlt es nun mindestens 100, besser 200 Kilometer Abstand. Auf diese Weise, so die Begründung des BSI, seien nicht nur Vorfälle durch regional begrenzte Ereignisse besser abgesichert, sondern auch Schäden durch größere Naturkatastrophen wie Überschwemmungen oder Erdbeben besser abzufedern. Je größer der Abstand, desto besser. Aber: Mit wachsender Entfernung steigen auch die technischen Anforderungen an die Datenübertragung. Das BSI ist sich dessen bewusst und weist die Unternehmen an, in einem Sicherheitskonzept ausführlich darzulegen, welchem der beiden Aspekte aus welchem Grund Vorrang eingeräumt wird.

Zum einen steigt mit der wachsenden Entfernung die Wahrscheinlichkeit, dass es bei den langen Leitungen zu Störungen oder Beschädigungen kommt. Das kann die Übertragungsrate senken. Zum anderen erhöhen sich die Latenzzeiten bei der Datenübertragung, wenn auch nur im Millisekunden-Bereich. Für asynchrone Spiegelungsverfahren oder verteilt implementierte Apps, die miteinander kommunizieren müssen, ist das zu lang. Unternehmen müssen beispielsweise abwägen, ob asynchrone Replikation mit mehreren Minuten Datenverlust im Schadensfall oder räumlich nähere RZ das größere Risiko bergen.

Anpassung des Infrastruktur-Konzeptes

Die Frage der Georedundanz hat demnach Einfluss auf das gesamte RZ-Betriebskonzept. Lange Transaktionswege und damit verbundene Latenzzeiten entscheiden mit darüber, ob ein zweiter RZ-Standort als reines Notfall-RZ betrieben oder ob die Last auf beide RZ gleichzeitig verteilt wird. Plötzlich macht es einen Unterschied, auf welchem Server eine virtuelle Maschine läuft und mit welchen anderen Anwendungen sie kommunizieren muss. Je weniger Daten synchronisiert werden müssen, desto besser. Gerade im Zuge von immer mehr Modularisierung und der Nutzung von Microservices sollte gut geplant werden, wo die Anwendungen und die dazugehörigen Daten liegen.

Wenn höchste Verfügbarkeit erreicht werden soll, kommt hinzu, dass auch das redundanzgebende RZ abgesichert werden muss, etwa durch weitere Infrastruktur. Denn im Falle eines Schadens an einem Standort wäre die IT sonst vorübergehend eben nicht redundant. Werden Ländergrenzen überschritten, um den empfohlenen Abstand zu wahren, sind unter Umständen Datenschutz-Belange zu beachten.

Nur für manche verpflichtend

Betreiber kritischer Infrastrukturen – etwa Wasserwerke oder Stromversorger – sind an die BSI-Vorgaben hinsichtlich Georedundanz gebunden. Anderen Behörden und Unternehmen mit hohen oder sehr hohen Anforderungen legt das Amt ein Redundanz-RZ als Notfallvorsorge nahe. Dass eine redundante Infrastruktur-Auslegung Sinn ergibt, ist unbestritten. Wie viel „geo“ dabei eine Rolle spielt, hängt schließlich davon ab, wie geschäftskritisch ein IT-Ausfall für das Unternehmen wäre. Behält man die Kosten im Auge, ist klar, dass es nicht für jedes Szenario eine Absicherung geben kann. In den allermeisten Fällen ist das auch nicht notwendig: Anwendungen können zum Beispiel von Beginn an so ausgelegt werden, dass sie Downtimes und Latenzzeiten verkraften, ohne größere Probleme zu verursachen.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung