Nachgefragt: Die Empfehlungen für Georedundanz BSI-Kriterien für Redundanz-Datacenter - Ist das Bundesamt übers Ziel hinausgeschossen?

Unter Co-Location-Anbietern und Rechenzentrumsbetreibern generell sorgt die BSI-Empfehlung für Datacenter, die eine Tier 3-, Tier-4-Zertifizierung beziehungsweise einen entsprechend sicheren Betrieb anstreben, eine 200-Kilometer-Distanz einzuhalten, um Georedundanz herzustellen, für Aufregung. Immerhin bedeutet das zum vorher empfohlenen Sicherheitsabstand eine Erhöhung um das 40fache. DataCenter-Insider hat beim BSI nachgefragt.

Anbieter zum Thema

Rosenberger-OSI GmbH & Co. OHG

Datacenter One GmbH

Schwarz IT KG

Bundesamt für Sicherheit i.d.Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Dezember des vergangenen Jahres „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ veröffentlicht. Diese entpuppen sich als Aufreger, insbesondere die Empfehlung eines Sicherheitsabstands von 200 Kilometern zwischen Datacenter, die als georedundant gelten wollen. Ist das BSI mit den Leitlinien über das Ziel hinausgeschossen? Sprecher des BSI antworten.

Abstand bitte: Latenzen, Kosten und noch viel mehr Probleme folgen

BSI: Georedundanz bedeutet 200 Kilometer zwischen den Rechenzentren

Wie realistisch sind jeweils 200 Kilometer zwischen den Rechenzentren?

BSI: Die vom BSI im Dezember 2018 veröffentlichte Leitlinie „Standort-Kriterien HV-RZ" hat für die Privatwirtschaft keinen normativen Charakter, sondern ist als Empfehlung zu verstehen, die für anstehende Planungen und Risikoanalysen bezüglich der Nutzung oder dem Bau von Rechenzentren hilfreich ist. In dem Empfehlungspapier geht es ausschließlich um Rechenzentren mit hohen und höchsten Verfügbarkeitsanforderungen.

In diesem Kontext bedeutet der Begriff Georedundanz, dass die einander Redundanz gebenden Rechenzentren räumlich so weit voneinander entfernt sind, dass auch besondere, weiträumige Großschadensereignisse nicht beide Rechenzentren gleichzeitig betreffen. Daher die Empfehlung, diese im Abstand von mindestens 200 Kilometer voneinander aufzubauen. In der Praxis wird dies durchaus so umgesetzt.

Die Leitlinien beinhalten zudem eine Öffnungsklausel, bei der im Einzelfall ein deutlich geringerer Abstand zweier einander Redundanz gebender Rechenzentren tolerierbar ist, wenn für diese grundsätzlich die Anforderung nach Georedundanz gilt. Diese Notwendigkeit wäre dann schriftlich darzulegen und einer Risiko-Analyse zu unterziehen. Zwei sich Redundanz gebende Rechenzentren, die weniger als 100 Kilometer voneinander entfernt liegen, sollten jedoch nicht als „georedundant“ im Sinne dieses Papiers bezeichnet werden.

Wie viele Rechenzentren in Deutschland, Cloud oder auch nicht, erfüllen diese Kriterien?

BSI: Es gibt seitens des BSI keine Erhebung zum Abstand von Rechenzentren in der Privatwirtschaft.

Treibt man die Rechenzentrums-Provider mit solchen Forderungen nicht direkt in andere Länder, wo das unter Umständen lockerer gesehen wird?

BSI: Nein. Das Papier hat für die Privatwirtschaft keinen normativen, sondern Empfehlungscharakter. Datacenter-Betreiber, die Rechenzentren mit hoher und höchster Verfügbarkeit betreiben wollen, sollten ein hohes Eigeninteresse daran haben, die Empfehlungen zu berücksichtigen, um Services in der zugesicherten Verfügbarkeit anzubieten. Zudem sind die Empfehlungen sinnvoll auch unabhängig davon, in welchem Land ein Rechenzentrumsbetreiber seine Dienstleistungen erbringt.

Sie adressieren sowohl die Datacenter-Betreiber selbst, als auch die Kunden eines Rechenzentrumsbetreibers. Aufgrund der bundesweit sehr guten Versorgungsinfrastrukturen und geografischen Bedingungen dürfte es außerdem in Deutschland einfacher sein, geeignete georedundante RZ-Standorte zu finden als in vielen anderen Ländern.

Eines der Argumente für die Datacenter-Ansiedlung in Deutschland ist die von Kunden gewünschte Nähe zu einem Rechenzentrum mitsamt geringer Latenz - bei 200 Kilometer Mindestabstand wird dieser Vorteil aufgehoben und das Thema Latenz bekommt erheblich an Bedeutung.

BSI: Die oben genannte Öffnungsklausel macht deutlich, dass in dem Papier keine harten Vorgaben bezüglich des Abstandes gemacht werden. Entsprechend der Ausführungen im Dokument ergibt sich keine Verpflichtung zur unreflektierten, zwangsweisen Einhaltung eines Mindestabstandes, sondern die dringende Empfehlung zur angemessenen Behandlung der Thematik im Rahmen des Risiko-Managements.

Ein Mindestabstand von 200 Kilometern beziehungsweise 100 Kilometern ist an dieser Stelle sinngemäß zu verstehen. Werden mehr als zwei Rechenzentren betrieben, die sich gegenseitig Redundanz geben, können zwei Rechenzentren auch einen geringeren Abstand haben (Kundennähe), sofern zwischen mindestens zwei Rechenzentren des IT-Verbunds ein Mindestabstand von 200 oder 100 Kilometern eingehalten wird.

Georedundante Rechenzentren werden üblicherweise für asynchrone Datenspiegelungen verwendet, bei denen Latenzanforderungen eine eher geringe Rolle spielen. Wenn synchrone Transaktionsverarbeitung erforderlich ist, so spricht dies gegen eine georedundante Auslegung der synchron arbeitenden Rechenzentren. Im Einzelfall kann es bei hohen oder höchsten Verfügbarkeitsanforderungen aber sinnvoll sein, eine zusätzliche asynchrone Spiegelung aufzubauen.

Wie sieht eine Rechenzentrumslandschaft im Zuge der Digitalisierung, von IoT und autonomen Fahren aus? Mit anderen Worten: Welche Rolle spielen Edge-Rechenzentren nach Ansicht des BSI und wo sollen sie stehen, wenn nicht nahe an den Bürgern, Büros, Fabriken und mobilen Devices?

BSI: Eine abschließende Antwort, wie Datacenter-Landschaften für die Digitalisierung aussehen, ist schon deshalb nicht möglich, weil hier sehr unterschiedliche Anwendungsfälle ebenso zu betrachten sind wie ökonomische Erwägungen. Klar ist, dass sowohl für dezentrale als auch für zentrale Rechenzentren, die verschiedenartige Leistungen erbringen, Bedarfe bestehen. Klar ist ebenso, dass die Verfügbarkeitsanforderungen für diese Rechenzentren sehr unterschiedlich ausfallen.

Edge-Rechenzentren weisen in der Regel nicht die notwendige Kapazität auf, um damit einen hochverfügbaren Rechenzentrumsverbund aufzubauen, auch deshalb, weil für diese im Normalfall keine hohe oder höchste Verfügbarkeit im Sinne des Papiers gefordert ist. Diese Rechenzentren sollten ohnehin ihrem Einsatzzweck bestimmungsgemäß angeordnet werden.

Falls im Einzelfall für einen Verbund von Edge-Rechenzentren dennoch eine besonders hohe Verfügbarkeit gefordert und keine Georedundanz möglich ist, ergibt sich die Notwendigkeit einer besonders gründlichen IT-Risiko-Analyse, um für diesen speziellen Einzelfall risikomitigierende Maßnahmen zu finden.

Viele, mit denen ich rede, stellen die einfache Frage: „Wie kommen die vom BSI gerade auf eine solche Distanz?“

BSI: Siehe Antwort 1.

(ID:45745948)