Wie sich Rechenzentren gegen Naturkatastrophen wappnen

Wer seine Daten oder seine IT auslagern will, muss sich unter anderem mit der Frage auseinandersetzen, was mit den eigenen Daten passiert, wenn das betreffende Rechenzentrum ausfällt. Grund dafür kann ein technisches Problem sein, aber auch eine Naturkatastrophe, sei es nun eine Flut oder ein Erdbeben. Wo also gibt es einen sicheren Ort für ein Rechenzentrum?

Das 2011 gegründete Unternehmen Swiss Datenbank (SDB) wird in Zukunft Housing in der Schweiz, in Malta und in den Vereinigten Arabischen Emiraten anbieten. Das Geschäftsmodell von SDB sieht einen schweizerischen Daten-Center-Hub vor, wie SDB-CEO Mathias Koch sagt. Die Schweiz soll sich demzufolge als Standort für sichere Daten in Europa und der Welt etablieren. Seine Klientel wolle sich vor grossen Katastrophen schützen, wozu auch politische Unruhen gehören, so Koch. Die Rechenzentren sind noch nicht gebaut, befinden sich aber in der abschliessenden Planungsphase, in der Schweiz ist die Baubewilligung erteilt. Derzeit bietet das Unternehmen Beratungen für Disaster Recovery an. Dabei habe man sich unter anderem auf die Bedürfnisse von Militär, Banken und Versicherungen spezialisiert.

Betrieben werden die zukünftigen Rechenzentren nicht von SDB selbst, sondern von speziellen Betreibergesellschaften. Würde beispielsweise das Rechenzentrum in der Schweiz ausfallen, hätten die Kunden ihre Daten, sofern sie sie ordnungsgemäss gesichert haben, in den Vereinigten Arabischen Emiraten und auf Malta immer noch zur Verfügung, so Koch. Vorausgesetzt natürlich, es ereignet sich nicht gleichzeitig eine Katastrophe in der Schweiz, in Malta und in den Vereinigten Arabischen Emiraten.

Sicherheit dank Risikoanalyse

In der Schweiz können wir von Glück reden, dass Wirtschaftsstandorte wie Zürich, Genf und Bern nicht gleichzeitig stark erdbebengefährdete Gebiete sind, wie dies zum Beispiel in den USA der Fall ist (siehe Kasten). Das Wallis und der Raum Basel gelten gemäss der Gefährdungskarte des Schweizerischen Erdbebendienstes als am stärksten gefährdet. Das bestätigt auch Patrick Eggeler, Abteilungsleiter RZ Neubauten und Betrieb der Organisation und Informatik der Stadt Zürich (OIZ). Die Stadt habe vor dem Bau der beiden Rechenzentren Albis und Hagenholz ausführliche Risikoanalysen erstellt. Die beiden Rechenzentren seien so gebaut, dass sie für ein Erdbeben der Stärke, wie es in Basel erwartet werden kann, gewappnet wären. Dies im Wissen, dass ein Erdbeben im Raum Zürich nie so stark sein wird wie ein Erdbeben im Raum Basel.

Wie aber baut man ein Rechenzentrum, damit es erdbebensicher ist? Die OIZ ist so weit gegangen, dass die darin betriebene Hardware mit Komponenten der Infrastruktur fix mit dem Gebäude verschraubt wurde. Hinzu kommt, dass beide Gebäude mit sogenannten Dilatationsfugen versehen sind. Das Besondere daran: Die Fugen wurden bei beiden Gebäuden erst nach deren Bau hinzugefügt. Die Gebäude mussten folglich zerschnitten werden, damit man die Fugen einfügen konnte. Das ganze Bauprojekt dauerte laut Eggeler insgesamt vier Jahre, rund zwei Jahre pro Gebäude. Nun verfügen die Gebäude über eine gewisse Elastizität und können sich bei einer Erschütterung mitbewegen. Eine andere Möglichkeit wäre, das Fundament eines Rechenzentrums auf speziellen Kugeln abzustützen, damit es sich beim Beben der Erde mitbewegt.

Wasser als Gefahr

Die OIZ-Rechenzentren indes sind nicht nur gegen Erdbeben geschützt, sondern auch gegen Hochwasser, Sabotage und Terror. "Wasser ist eine grosse Gefahr", sagt Eggeler. So habe eines der beiden Gebäude kein Erdgeschoss, weil bekannt ist, dass der Grundwasserspiegel dort sehr hoch ist. Zudem befinden sich beide Gebäude ausserhalb des Staudammbruchperimeters des Sihlsees und stehen zudem in unterschiedlichen Geländekammern. Eine Geländekammer ist ein geschlossener Landschaftsraum, der durch markante natürliche Geländemerkmale von der restlichen Landschaft abgetrennt ist, beispielsweise ein Talkessel.

Obwohl die Rechenzentren der Stadt Zürich aufgrund der Ergebnisse der Risikoanalysen nicht als primäres Ziel von Terroristen gelten, sind sie durch gewaltsame Attacken von aussen geschützt. Sie weisen zudem einen ausgeklügelten Schutz bezüglich elektromagnetischer Verträglichkeit auf, einem sogenannten EMV-Schutz. Damit können gewisse Störsignale abgefangen werden, auch dann, wenn jemand absichtlich Störsender einsetzt. Der EMV-Schutz basiert primär auf den Einsatz eines Faradayschen Käfigs und ist laut Eggeler im europäischen Raum einzigartig.

Abgesehen von all diesen Massnahmen wird die Stadt Zürich voraussichtlich im Juli eine Zertifizierung als "Trusted Site Infrastructure" für Level 3 erhalten. Level 4 wäre das Maximum. Herausgeber dieser Zertifizierung ist die TÜViT GmbH. Sie prüft, auditiert und zertifiziert Betreiber von IT-Infrastrukturen und Rechenzentren auf deren Sicherheitsstandards. Bei der Zertifizierung kommen rund 630 Kriterien zum Zug.

Das Risiko, Daten für immer zu verlieren, ist laut Eggeler aus Gründen der hohen Verfügbarkeiten und Redundanzen sehr tief. "Grundsätzlich sind unsere Daten nicht gefährdet. Bei produktiven Daten ist das Risiko sogar praktisch gleich null." In Entwicklungs- oder Integrationsumgebungen seien die Risiken leicht erhöht. Aber dies betreffe nicht die Endkunden.

Wenn der Ernstfall eintritt

Was, wenn wirklich einmal etwas passiert? Michael Meli, Head of Security bei Swisscom IT Services (SITS), erzählt: "Wir hatten 2008 einen Brand in unserem RZ in Ostermundigen. Damals gab es einen Kurzschluss in einem Schaltschrank einer Klimazentrale." Letztes Jahr habe es ausserdem einen Stromausfall in Zollikofen gegeben, aber das Notstromversorgungssystem habe das ausgleichen können. "Diese beiden Ereignisse hatten keine Auswirkungen auf den Betrieb", so Meli. Im Fall der Unterbrechung sei die Stromversorgung automatisch angelaufen, daher mussten die Mitarbeitenden nicht aktiv eingreifen.

Die Notfallpläne von SITS sind auf den schlimmstmöglichen Fall ausgerichtet. "Wir haben eigentlich nur ein Szenario, nämlich dasjenige, dass das Rechenzentrum vollständig zerstört werden könnte. Alle anderen sind Ableitungen davon." Falls dieser Fall eintritt, haben laut Meli nur diejenigen Kunden ein Problem, die ihre Daten nicht voll redundant gespeichert haben. Für die anderen laufe der Betrieb normal und je nachdem auch unterbrechungsfrei im zweiten Rechenzentrum weiter.

Und was passiert, wenn beide Rechenzentren gleichzeitig aussteigen? "In so einem Fall haben wir vermutlich andere Probleme", gibt Meli zu bedenken. Übrigens haben alle von der Netzwoche befragten Rechenzentrumsbetreiber auf diese Frage die gleiche Antwort gegeben. Der gleichzeitige Ausfall von zwei oder mehreren Rechenzentren scheint demnach ein unrealistisches Szenario zu sein.

Beim Totalausfall eines der beiden Rechenzentren würde SITS an einem anderen Ort eine neue Infrastruktur aufbauen. Wie lange dies dauern würde, konnte Meli nicht sagen. Dies sei von Fall zu Fall verschieden. Um auf den Notfall vorbereitet zu sein, wird, wie bei den anderen Rechenzentrumsbetreibern auch, intern regelmässig geübt. "Wir haben ein Mal im Jahr eine Katastrophenübung intern, und auch für unsere Kunden simulieren wir Unfälle."

Notstromversorgung im RZ

Was die Stromversorgung in den verschiedenen Rechenzentren der befragten Rechenzentrumsbetreiber betrifft, funktionieren alle ähnlich. Sobald die Stromspannung zu sinken beginnt und sich eine Stromunterbrechung abzeichnet, übernimmt automatisch das Notstromversorgungssystem. Dies geschieht zum Beispiel über Batterieanlagen, bis die Netzersatzanlagen, also Dieselgeneratoren, kurz darauf synchronisiert sind und die Last der IT-Verbraucher übernehmen können. Der Treibstoff wird dezentral in riesigen Tanks gelagert. Auf diese Weise kann ein Rechenzentrum mehrere Tage ohne externe Stromversorgung autonom betrieben werden.

Teilweise gibt es innerhalb der Rechenzentren auch Notvorräte. Sanitäre Anlagen und Wasser gehören zum Standard. Nebst Strom sind auch andere Leitungen wie Gas, Wasser und Glasfasern mindestens doppelt beziehungsweise mehrfach vorhanden, damit beim Ausfall eines Anbieters auf die Leistung eines anderen zugegriffen werden kann.

Auch die Entfernung zwischen zwei Rechenzentren muss gut überlegt sein. Die beiden Gebäude sollten sich einerseits nicht in der gleichen Geländekammer befinden, andererseits sollten sie aber auch nicht zu weit voneinander entfernt sein. Denn bei alten Infrastrukturen, also beispielsweise alten Servern, könnten bei grösseren Distanzen Probleme mit der Real-Time-Synchronisierung der Daten auftreten.

Was wollen die Kunden?

Auf was achten Kunden, wenn sie ihre IT oder Daten auslagern wollen? Bruno Schnarwiler, Leiter operationelle Risiken bei der Luzerner Kantonalbank (LUKB), gibt Auskunft. Die LUKB hat praktisch ihren ganzen IT-Betrieb zu SITS ausgelagert. Warum sich die LUKB für SITS entschieden habe, sei historisch begründet, sagt Schnarwiler. Swisscom hatte in den 90er-Jahren den IT-Betrieb der in der AGI-Kooperation zusammengeschlossenen Kantonalbanken von Fribourg, Luzern, St. Gallen, Nidwalden, Obwalden, Glarus, Appenzell Innerrhoden und Thurgau übernommen. Seither habe es keinen Grund gegeben, den Hoster zu wechseln.

Die Verträge laufen jeweils über fünf Jahre. "Wichtige Punkte für uns sind unter anderem das Preis-Leistungs-Verhältnis, die Stabilität des Unternehmens und die Sicherheit der Partnerschaft", so Schnarwiler. Würde eines der Rechenzentren ausfallen, wären die Daten der LUKB redundant geführt. Die Vereinbarungen zwischen den beiden Unternehmen beinhalten unter anderem Disaster-Recovery-Verträge. Darin werden Werte wie Recovery Time Objective (RTO) und Recovery Point Objective (RPO) festgelegt. RTO steht für die maximale Ausfalldauer eines Systems, RPO für den maximalen Datenverlust. Diese Werte variieren je nach Wichtigkeit des Systems. "Bedeutende Systeme sind praktisch ausfallsicher, weniger wichtige Systeme hingegen haben eine höhere RTO-Zeit", so Schnarwiler.

Auch Mathias Koch von Swiss Datenbank weiss, dass den Kunden vor allem zwei Dinge wichtig sind: der Standort und Redundanzen. Grundsätzliche Richtlinien für Disaster Recovery gebe es keine, auch nicht seitens des Bundes. Es gebe zwar Zertifizierungen, diese seien jedoch nur teilweise zu empfehlen, sagt er. Umso wichtiger stuft er die Schulung des Personals ein. "Gerade hier darf nicht gespart werden, da der Mensch die grösste Fehlerquelle ist", sagt er. Daher sei das Monitoring der Menschen ein sehr wichtiger Faktor.

Hohes Risiko für US-Rechenzentren

Viele Rechenzentren (RZ) in den USA befinden sich mitten in Risikogebieten für Naturkatastrophen. Wie das US-amerikanische Multimedia-Magazin Gigaom in einem aktuellen Beitrag schreibt, sind die Risikogebiete in Kalifornien, Texas und Washington gleichzeitig Wirtschaftszentren sowie Standorte wichtiger RZs. So können Daten in ein bis zwei Millisekunden übertragen werden, weil sich die RZs im Umkreis von maximal 80 Kilometern der Wirtschaftsstandorte befinden. Auch die New Yorker Börse ist auf eine ultraschnelle Übertragungsrate angewiesen, weil diese über den Erfolg oder den Misserfolg der Händler entscheiden kann. Gleichzeitig befindet sich auch New York City in einem Risikogebiet und muss auf Katastrophen wie Hurrikan Sandy vorbereitet sein.