RZ-Georedundanz 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bleibt bei seiner aus 2018 stammenden Definition der RZ-Georedundanz. Demnach spricht man von Georedundanz, wenn der Abstand zwischen den sich Redundanz gebenden Standorten mindestens 200 km beträgt. Mit einer Risikoanalyse und einer schriftlichen Begründung sind auch kürzere Entfernungen akzeptabel, allerdings keinesfalls unter 100 km. Gemeint ist die Luftlinie (nicht der Kabelweg), auch wenn das BSI-Papier dies nicht ausdrücklich erwähnt. Mit 200 bzw. 100 km Abstand ist sicherzustellen, dass ein großflächiges Ereignis wie z.B. ein nuklearer Unfall nicht gleichzeitig alle RZ-Standorte betrifft. 

Neu: RZ-Betriebsredundanz 

Neu in der Version 2.0 des BSI-Papiers ist die RZ-Betriebsredundanz in Abgrenzung zur Georedundanz. In dem einen Jahr zwischen den Versionen 1 und 2 müssen das BSI Anregungen für eine solche Differenzierung erreicht haben. Denn viele Organisationen – unter anderem solche, die sich an BSI-Richtlinien orientieren oder gemäß diesen auditiert werden – betreiben RZ-Standorte, die nur wenige Kilometer Luftlinie voneinander entfernt sind. Ein wesentlicher Grund ist das Ziel der Betreiber dieser RZs, die Daten in den RZ-Standorten jederzeit konsistent zu halten. „Jederzeit“ ist durchaus wörtlich zu nehmen und bedeutet eine laufende, bei jeder einzelnen Transaktion sicherzustellende synchrone Replikation. Da sich eine solche Synchronisation auf die Antwortzeiten aller Transaktionen auswirkt, bestimmen die Anwendungen mit den schärfsten Latenzanforderungen den maximalen Abstand zwischen den RZ-Standorten. Nach heutigem Stand darf die Round Trip Time (RTT) zwischen zwei synchronen RZs eine Millisekunde (ms) nicht wesentlich überschreiten. Das entspricht einem Kabelweg von ca. 100 km. Der Kabelweg zwischen zwei RZs ist wesentlich länger als die Luftlinie. Somit schließen sich Georedundanz gemäß BSI-Definition und synchrone Datenhaltung bisher aus. 

Zielkonflikt und Abwägung 

Das neue BSI-Papier wird dem Zielkonflikt zwischen Georedundanz und der Synchronisation insofern gerecht, dass es die Betriebsredundanz zwischen Standorten mit weniger als 100 km Abstand definiert. Den RZ-Betreibern wird nahegelegt, zwischen zwei Zielen (wie immer in solchen Fällen schriftlich dokumentiert) abzuwägen: der Vermeidung jeglichen Datenverlusts und der möglichst kurzen Ausfallzeit, auch nach großflächigen Ereignissen. Ist Ersteres vorrangig, kann man sich für Betriebsredundanz entscheiden. Georedundanz sichert dagegen unter Verzicht auf hundertprozentige Datenkonsistenz, dass der RZ-Betrieb auch nach einem Großereignis wie Erdbeben, Atomunfall etc. fast nahtlos weitergehen kann. Eine Kombination ist natürlich möglich: zwei Standorte mit Betriebsredundanz und ein paar hundert Kilometer weiter ein georedundanter Standort.