Georedundantes Rechenzentrum soll mindestens 200 km entfernt sein.

Bereits im Dezember hat das Bundesamt für Sicherheit in der Informationstechnik BSI die „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ in der Version 1.0 veröffentlicht.

Bereits im Dezember hat das Bundesamt für Sicherheit in der Informationstechnik BSI die „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ in der Version 1.0 veröffentlicht. In diesem Dokument heißt es im Abschnitt 3.3 auszugsweise:

Abstand georedundanter RZ untereinander
…sollten einander Georedundanz gebende RZ einen Mindestabstand von ca. 200 km zueinander haben. Ist im Einzelfall ein deutlich geringerer Abstand unabweisbar, ist diese Notwendigkeit schriftlich ausführlich darzulegen und einer Risikoanalyse zu unterziehen. Keinesfalls sollen georedundante RZ weniger als 100 km voneinander entfernt liegen.

Für Unternehmen der Finanzdienstleistungsbranche könnte das erhebliche Folgen haben, denn die BafIn  (Bundesanstalt für Finanzdienstleistungsaufsicht) richtet sich im Regelfall nach BSI Empfehlungen und folgt diesen. Die bisherige Empfehlung von 5km wird also drastisch angehoben, was für bestehende Redundanzkonzepte von Banken und Versicherern das Aus bedeuten kann.

Als Begründung führt das BSI an, dass zukünftige Bedrohungen nicht ausreichend sicher vorherzusagen sind. Im Text heißt es:

Grundsätzlich muss sich der Abstand einander Georedundanz gebender RZ an dem in der Einleitung dieses Kapitels genannten Grundgedanken orientieren. Da es aber, insbesondere durch den Blick in die Vergangenheit, nicht möglich ist, zukünftige potentiell schädliche Situationen und Ereignisse ausreichend sicher vorherzusagen…

Das BSI spielt u.a. auf natürliche Ereignisse an, die zeitgleich beide Rechenzentren ausfallen lassen könnten. Dazu zählen Stürme, Vulkanausbrüche, Großbrände oder Tsunamis aber auch Störfälle in Kernreaktoren gehören zu den Risiken.

Viele Rechenzentrumsbetreiber befolgen die Empfehlungen des BSI freiwillig, um sich selbst und Ihre Kunden keinen unnötigen Risiken auszusetzen. Manche Branchen, wie z.B. die Finanzdienstleistungsbranche, werden über die BaFin angehalten, sich an diese Empfehlungen zu halten. Als Betreiber kritischer Infrastrukturen, wozu Banken gehören, sind die Auflagen verschärft. Mehr Informationen zu kritischen Infrastrukturen sind zu finden bei Kritis.

Welche Auswirkungen diese neuen Empfehlungen im Detail haben werden, kann man nur erahnen. Alleine die Standortwahl wird zu einer sehr großen Herausforderung. Ist ein Rechenzentrum z.B. in Frankfurt angesiedelt, dann kann der Redundanzstandort z.B. nicht mehr in Nürnberg, Essen, Köln, Stuttgart, usw. angesiedelt sein. Folgende Karte zeigt das sehr klar. Die Situation um München, Hamburg und Berlin stellt sich ähnlich dar.

Radius um Rechenzentrum Frankfurt

Die größten Herausforderungen werden Unternehmen haben, die Ihre Rechenzentren selbst betreiben. Eine Migration an einen neuen Standort ist für manche unvermeidlich, was immense Kosten nach sich zieht und die interne IT für lange Zeit bindet. Die Alternative ist das Auslagern der Rechenzentren zu einem Rechenzentrumsprovider, der entsprechende Zertifizierungen und Sicherheitsstandards vorweisen kann.

Das ISO 27001 zertifizierte centron Rechenzentrum in Hallstadt bei Nürnberg, bietet für große Gebiete in Deutschland ausreichend Entfernung, um auch den neuen Empfehlungen des BSI gerecht zu werden, was die Standortwahl für ein georedundantes Rechenzentrum angeht. Die folgende Karte veranschaulicht dies:

100km Radius um das centron Rechenzentrum

Die weitere Entwicklung wird spannend. Erst kürzlich wurde die DSGVO eingeführt und nun legt das BSI mit dieser neuen Empfehlung nach. Falls Sie Fragen bezgl. georedundanter Rechenzentren haben, freuen wir uns, Ihnen diese zu beantworten. Nehmen Sie unverbindlich mit uns Kontakt auf.