![[Illustration]](07-2-059-1.jpg)
Idealerweise ist eine Notfalldokumentation über verschiedene Wege online wie offline zugänglich – notwendige Serverkomponenten sind gegebenenfalls zu spiegeln oder auszulagern.
Im Falle eines IT-Notfalles dürfen aktuelle Informationen und Handlungsanweisungen nur einen Griff oder einen Mausklick weit weg sein, sonst wird aus einem Unglück schnell eine Katastrophe. Dabei sollte man auch in Sachen Notfalldokumentation für alle Eventualitäten gerüstet sein, denn bekanntlich geht immer dann alles schief, wenn es besonders "weh tut". Eine Notfalldokumentation, die man ja erst braucht, wenn schon etwas schief gegangen ist, sollte daher möglichst wenig Anforderungen an externe Systeme stellen und auf möglichst vielen verschiedenen Wegen zugänglich sein.
In einem dem Autor bekannten Fall fielen beispielsweise kurz nacheinander die Stromversorgung des gesamten Stadtgebiets und die Notstromdiesel aus – und die USV hielt nur 15 Minuten. Der ohnehin langwierige Wiederanlauf hätte wohl noch wesentlich länger gedauert, wenn das betroffene Unternehmen nicht trotz völligen Stromausfalls auf eine aktuelle Dokumentation und trainierte Notfallteams hätte zugreifen können. Wäre die Dokumentation nur auf dem zentralen Firmen-Server verfügbar gewesen, wäre das unmöglich gewesen. Die Verfügbarkeit auf einem Laptop ermöglichte jedoch die umgehende Alarmierung der Teams – vorgefertigte Pläne, die Schadensaufnahme und -bewertung dokumentierten, sowie modulare Wiederanlaufpläne für die umfangreichen Systemplattformen und Anwendungen standen als unerlässliches Hilfsmittel permanent zur Verfügung.
Natürlich muss eine Notfalldokumentation (NFD) die richtigen Inhalte aufweisen. Doch auch die beste Vorbereitung nutzt nichts, wenn sie im Ernstfall nicht greifbar ist. Daher soll im Folgenden erörtert werden, welche Vor- und Nachteile sowie Möglichkeiten zur Steigerung der Verfügbarkeit bei verschiedenen NFD-Varianten existieren.
Idealerweise ist eine Notfalldokumentation über verschiedene Wege online wie offline zugänglich – notwendige Serverkomponenten sind gegebenenfalls zu spiegeln oder auszulagern.
Gedruckte Notfall-Handbücher werden auch heute noch in Unternehmen direkt mittels eines Textsystems (Word o. Ä.) erstellt oder von einer Business-Continuity-Management-(BCM)-Software generiert. Oftmals viele hundert Seiten enthalten alle Informationen für einen Wiederanlauf. Die Verfügbarkeit und Mobilität eines gedruckten Handbuchs ist kaum zu schlagen – die Papierform stellt praktisch keine Anforderungen an ihre Einsatzumgebung. Zudem sind Druckwerke auch heute noch ein gutes Hilfsmittel, um einzelne Schritte abzuarbeiten: Checklisten erlauben das "Abhaken" erledigter Vorgänge und somit eine klare Verfolgung und Dokumentation ergriffener Maßnahmen.
Da für alle Szenarien Wiederanlaufpläne vorgehalten werden müssen, enthalten solche Handbücher jedoch zwangsläufig vergleichsweise viel Ballast in Form derjenigen Informationen, die man im konkreten Fall nicht benötigt. Die Folge ist, dass bei der Nutzung leicht das "große Blättern" beginnt, um zu den jeweils benötigten Stellen vorzudringen. Das lässt sich lediglich dadurch umgehen, dass gedruckte Wiederanlaufpläne "pro Szenario" erstellt werden, die dann nur die jeweils benötigten Informationen umfassen.
Allerdings neigen gedruckte Werke zum schnellen Altern und sind kaum mit vertretbarem Aufwand "updatefähig": Jede Änderung erfordert im Prinzip den Ausdruck ganzer Kapitel oder des gesamten Handbuches, inklusiver der Verteilung an die Empfänger. Und die Aktualität der Inhalte ist naturgemäß von enormer Bedeutung! Dazu gehören auch aktuelle Stammdaten.
Beim Einsatz einer BCM-Software werden relevante Informationen in einer zentralen Datenbank abgelegt und stehen den Mitgliedern der Notfallteams darüber (hoffentlich) online zur Verfügung. Veränderungen können permanent eingepflegt werden; dies ist teilweise auch verteilt durch die jeweiligen verantwortlichen Teams möglich. Ein wesentlicher Vorteil bei einer datenbankgestützten Anwendung ist zudem die Vermeidung redundanter Daten, wie sie in der Regel bei "ohne Tool" erstellten Handbüchern anfallen.
Die Vorteile liegen klar auf der Hand: aktuelle Dokumentationen durch redundanzfreie Speicherung der Daten in einer zentralen Datenbank, auch verteilte Teams verfügen über einheitliche Informationen. Und bei Bedarf stehen alle relevanten Angaben – und nur diese – auf Knopfdruck zur Verfügung. Je nach eingesetztem Tool können erforderliche Listen oder Handbuch-Teile auch im Störfall schnell und problemlos ausgedruckt werden.
Einen wesentlichen Nachteil stellen jedoch die Anforderungen an die Verfügbarkeit notwendiger Hard- und Software auch im Störfall dar: Sind die Server, auf denen die Notfalldokumentation gespeichert ist, ebenfalls von einem aufgetretenen Schaden betroffen, ist kein Zugriff auf die erforderlichen Informationen mehr möglich.
Allerdings gibt es – je nach genutztem NFD-Tool – eine ganze Reihe von Möglichkeiten, um diesen Nachteil abzufedern und für eine hohe Verfügbarkeit zu sorgen. Neben klassischen Lösungen zur redundanten oder ausgelagerten Einrichtung serverbasierter Systeme werden hierzu nachfolgend auch verschiedene Möglichkeiten der Offline-Nutzung mit mobilen Geräten behandelt.
Sofern ein Unternehmen über mehrere IT-Standorte verfügt, kann die BCM-Software in getrennten Rechenzentren (RZ) vorgehalten, die Daten können gespiegelt oder repliziert werden. Fällt ein Standort aus, greift man eben auf die redundante Anwendung im anderen Standort zurück, sodass eine permanente Verfügbarkeit sichergestellt ist. Diese Lösung eignet sich praktisch für jede BCM-Software, bedeutet aber auch einen erheblichen Aufwand.
Verfügt das Unternehmen nur über einen RZ-Standort, fällt die vorgenannte Lösung flach. In diesem Fall kann das Hosting der BCM-Anwendung und -Datenbank eine Alternative sein. Die Verfügbarkeit ist dann durch einen Schaden im eigenen RZ nicht betroffen. Allerdings ist vom Notfallarbeitsplatz eine bestehende Verbindung zum genutzten Provider erforderlich, bei fehlender Festnetzverbindung eventuell per UMTS.
Auch diese Variante stellt keine besonderen Anforderungen an die verwendete BCM-Lösung. Vergleicht man die Varianten mit klassischem "Fat"-Client (spezielle Client-Software) oder einem Zugang per Web-Browser, so zeigt sich bezüglich der Erreichbarkeits-Risiken kaum ein Unterschied: Sind Server oder Leitungen nicht verfügbar, ist auch kein Zugriff auf die Notfallpläne möglich. Der Vorteil einer Browser-Lösung liegt in der Installationsfreiheit auf dem Notfall-Arbeitsplatz begründet, da man mit jedem Standard-Browser arbeiten kann. Je nach verfügbarer Bandbreite des Netzes muss man diesen Vorteil jedoch durch Performance-Einbußen bezahlen.
Allerdings zeigt die Erfahrung, dass nicht jedes Unternehmen die Auslagerung ihrer sensitiven Notfalldaten akzeptiert, was ein Fremd-Hosting grundsätzlich ausschließen kann.
Eine Alternative ist die Speicherung von BCM-Software und Datenbank-Duplikat auf einem oder mehreren Laptops. So verfügen die Notfallteams über eine lokale Version der elektronischen Notfalldokumentation, die keinen direkten Zugriff auf die zentrale Datenbank mehr erfordert (Offline-Lösung). Es muss allerdings organisatorisch oder technisch sichergestellt werden, dass immer eine aktuelle Kopie der zentralen Datenbank auf den Laptops vorhanden ist.
Zwei Tipps: Es ist eine gute Idee, mindestens einen solchen Notfall-Laptop auch außerhalb des IT-Gebäudes zu positionieren. Zudem ist bei dieser Lösung auf eine regelmäßige Akku-Wartung zu achten: Wenn im Ernstfall nicht nur der Netzstrom, sondern auch die Laptop-eigene Batterie versagt, ist mit einer lokalen NFD-Kopie nicht viel geholfen.
Die Laptop-Variante eignet sich zudem nur bedingt für rein browserbasierende BCM-Tools: Grundsätzlich ist es zwar denkbar, die Serveranwendung ebenfalls auf dem Laptop zu installieren und dann "lokal" über einen Browser auf die Daten zuzugreifen. Voraussetzung ist aber, dass die BCM-Software dies unterstützt.
Im wahrsten Sinne des Wortes "handliche" Lösungen können zudem USB-Speicher bieten: Die einfachste Methode ist eine Speicherung der Notfalldokumentation als PDF- oder HTML-Datei auf dem USB-Stick. Im Bedarfsfall wird ein beliebiger verfügbarer Rechner genutzt, um die Dokumentation anzuzeigen und gegebenenfalls benötigte Teile auszudrucken. Diese Lösung besticht durch das kleine und updatefähige Medium: Anstatt voluminöse Handbücher zu drucken, zu verteilen und verfügbar zu halten, wird lediglich ein winziges Gerät benötigt, das im Prinzip auch per Netzwerkverbindung aktualisiert werden kann. Ein gewisser organisatorischer oder technischer Aufwand bleibt natürlich, um die Sticks aktuell zu halten.
Wenn Sticks aus Sicherheitsgründen nicht "online" aktualisiert werden, sollten zwei Sätze USB-Speicher zum Einsatz kommen: So kann der Administrator einen Speicher aktualisieren, während der andere im Besitz der Notfallteams ist. Zu einem definierten Zeitpunkt (z. B. jeden Freitag) werden die Systeme dann einfach getauscht.
Eine Variante ist die Speicherung der kompletten BCM-Software inklusive Datenbank auf einem USB-Stick: In diesem Fall steht nicht nur das "vordefinierte" Handbuch als PDF- oder HTML-File zur Verfügung, sondern die komplette BCM-Software mit allen Funktionen. Hierzu muss die eingesetzte Lösung natürlich auf dem USB-Device Platz finden. Zudem muss sie entweder installationsfrei vom Stick arbeiten können oder sich im Notfall von dort ohne Umstände auf einem verfügbaren Arbeitsplatz installieren lassen.
Grundsätzlich sollten aufgrund des großen Verlustrisikos Notfalldaten auf USB-Speichern nur verschlüsselt abgelegt werden; idealerweise ist der Zugriff nur durch hardwaregestützte Biometrie per Fingerabdruck-Scan möglich. Weiterhin muss man darauf achten, dass für die Nutzung am Notfallarbeitsplatz (PC) keine Treiber notwendig sind, da dies unter Umständen an fehlenden Rechten scheitern kann.
Für verschiedene Anforderungen und Lösungsumgebungen gibt es eine Menge Möglichkeiten, die Verfügbarkeit einer Notfalldokumentation zu erhöhen. Welche Lösung ein Unternehmen auch wählt, entscheidend bleibt, dass die Dokumentation
Und nicht zuletzt müssen die Notfallteams regelmäßig in realistischen Szenarien mit der Notfalldokumentation üben, damit ein Störfall sich nicht aufgrund des "Faktors Mensch" doch noch zum Super-GAU auswächst.
Günter Glessmann ist geschäftsführender Gesellschafter der ROG – Gesellschaft für Rechenzentrums-Organisation und -Sicherheit mbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#2, Seite 59
tag:kes.info,2007:art:2007-2-059
| 