Serverausfall im RZ

Notfallplan in der Schublade

Bei Serverausfällen im Rechenzentrum ist schnelles ­Handeln gefragt. Wohl dem, der dafür einen erfolgreichen Notfallplan in petto hat.

Schublade, Bildquelle: Thinkstock/iStockphoto

Ein durchschnittlicher Server in einem Rechenzentrum bedient heute rund 500 SAP-Anwender oder 10.000 E-Mail-Benutzer. Und ein Webserver verarbeitet in der Sekunde ungefähr 900 Seitenabrufe von Onlinekunden. Ein RZ-Ausfall würde diese wichtigen Lebensadern eines Unternehmens für Stunden oder Tage unterbrechen. Dabei erhöht sich der Schaden durch den Ausfall eines Servers bei der Verwendung von Virtualisierungstechnologien noch weiter. Daher wundert es nicht, dass es laut einer Studie des Bundesministeriums für Wirtschaft und Technologie aus dem Jahr 2012 bei 19 Prozent aller deutschen Unternehmen zu einer mehrtägigen Unterbrechung von Arbeitsprozessen nach einem Serverausfall kommt.

Neben der reinen Verfügbarkeit sind Performance und Betriebszeiten von großer Bedeutung. Ein Onlinekunde wartet längstens 400 Millisekunden auf eine Portalantwort, bevor er zum nächsten Anbieter wechselt. Diese „Always-on“-Forderung gilt ebenso im B2B-Bereich. Kanban oder „Built to order“ sind heute Schlagworte für die Wettbewerbsfähigkeit globaler Player, die alle ein leistungsfähiges, 24/7-präsentes Rechenzentrum erfordern.

Bestimmungen wie die Risikofrüherkennung nach KontraG, der Datenschutz nach dem Bundes- und Teledienstedatenschutzgesetz (BDSG, TDDSG) sowie die revisionssichere Archivierung von Handelskorrespondenz nach HGB und Abgabenordnung zählen zu den bekannten gesetzlichen Auflagen. Sie müssen auch beim IT-Betrieb durchgängig beachtet werden. Daneben gelten zahlreiche weitere Regularien für den Betrieb und Schutz eines Rechenzentrums, für deren Einhaltung die Geschäftsführung haftet. Umso bemerkenswerter ist es, dass nach einer Untersuchung von DsIN (Deutschland sicher im Netz e.V.) nur 25 Prozent der deutschen Unternehmen über einen IT-Notfallplan verfügen. Überdies betreiben weniger als 50 Prozent aller Unternehmen die RZ-Server in gesicherten Räumen, zu denen nur IT-Mitarbeiter Zutritt haben.

Die Diskrepanz zwischen geschäftlichen sowie gesetzlichen Anforderungen und der gelebten Praxis bedeutet, dass Rechenzentren definitiv einen hohen Risikofaktor für den Geschäftsbetrieb von Unternehmen darstellen. Im Folgenden werden erste Schritte skizziert, um dieses Risiko greifbar zu machen und strukturiert zu reduzieren. Vorteilhaft ist dabei eine Analyse, die an der Basis beginnt und die vertikalen Dimensionen IT-Infrastruktur, Betriebsprozesse sowie Geschäftsorientierung beleuchtet. Hinsichtlich der horizontalen Dimension geht es dann darum, die Reife der IT-Organisation zu ermitteln bzw. zu verbessern.

Für jede vertikale Dimension existieren eigene Zielvorlagen, die sich national oder international durchgesetzt haben. Für die IT-Infrastruktur ist es der „IT-Grundschutzstandard“ des Bundesamts für Sicherheit in der Informationstechnik (BSI), für Betriebsprozesse die „ITIL Best Practices“ des englischen Cabinet-Office und für die Geschäftsorientierung das „Cobit Framework“ der ISACA (Information Systems Audit and Control Association). Alleine die veröffentlichen Standards füllen über 1.000 Seiten, die federführenden Organisationen bieten deshalb zusätzlich Trainings und Zertifizierungen an. Aufgrund des Umfangs, der Komplexität und letztlich auch der Einführungskosten ist eine vollständige Implementierung dieser Zielbilder nur für IT-Abteilungen von Großunternehmen sinnvoll und praktikabel. Vor diesem Hintergrund lassen sich wichtige Checkpunkte extrahiert, die sich auf IT-Abteilungen bzw. Rechenzentren jeglicher Größe anwenden lassen.

Risiken beeinflussen

Als Ergebnis der Risikoanalyse zeichnen sich typischerweise Schwerpunkte in den einzelnen vertikalen Dimensionen ab. Empfehlenswert ist eine Priorisierung der Punkte nach der Reaktionszeit, die einem nach Eintritt des Risikoereignisses verbleibt, um einen Schaden abzuwenden. Das Ausfallrisiko eines nicht gespiegelten Servers, auf dem eine Produktionssteuerung abläuft, erhält als Beispiel eine hohe Priorität. Das Risiko einer strafbaren Unterlizenzierung aufgrund mangelhafter Lizenzverwaltung dagegen eine mittlere Priorität. Somit definieren die priorisierten Risikoschwerpunkte die Reihenfolge von Projekten zur Behebung der Ursachen.

Darauf aufbauend erfolgt eine Bewertung der Machbarkeit der Verbesserungsprojekte aufgrund der Organisationsreife. Hier stellen sich Fragen, inwieweit die Voraussetzungen für die Durchführung einer Transformation erfüllt sind, zum Beispiel: Liegen ausreichend Reserven wie freie RZ-Flächen vor? Besitzt das IT-Personal die Motivation und das notwendige Know-how? Die Antwort auf diese Fragestellung mündet direkt in eine „Make or Buy“-Abwägung, d.h. eine Abwicklung des Transformationsprojektes durch einen externen Dienstleister oder als Zukauf externer IT-Services.

Bei einer Abwicklung im eigenen Hause erhalten die Mitarbeiter während des Regelbetriebs häufig zusätzliche Projektaufgaben. Hierbei ist darauf zu achten, dass keine Überlastung eintritt und dass die Projektleitung in den Händen eines erfahrenen Projektmanagers liegt. Bei Engpässen kann eine externe Besetzung durchaus weitere Vorteile bieten.

In einem weiteren Schritt sind die Freiheitsgrade zu prüfen, d.h. Faktoren wie Wartungs-, Miet- oder Serviceverträge. Diese Verträge werden häufig für einen festen Zeitraum abgeschlossen, bei vorzeitiger Beendigung sind die Gebühren bis zum Laufzeitende trotzdem zu entrichten. Nicht zuletzt ist die finanzielle Unterstützung seitens der Geschäftsführung sicherzustellen. Transformationen erfordern Budget und oftmals wird „Change“ mit „Risiko“ gleichgesetzt. Die Erfahrung des Projektleiters spielt hierbei eine wichtige Rolle für die Akzeptanz des Transformationsprojekts.

www.it-scm.com/checklisten

Bildquelle: Thinkstock/iStockphoto

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok