Notfallmanagement für KMUs

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 8. Oktober 2013 eine Studie zum „Notfallmanagement mit der Cloud für KMUs“ veröffentlicht. Die Studie soll kleinen und mittleren Firmen Möglichkeiten aufzeigen, wie sie mit Hilfe von Virtualisierung und Cloud-Diensten die Verfügbarkeit ihrer IT-basierten Geschäftsprozesse verbessern und vor Ausfällen und Verlust schützen können.

Kleine und mittlere Unternehmen (KMU) sind häufig genauso abhängig von einer funktionierenden IT wie große Firmen, haben aber in der Regel nicht die Ressourcen für ein umfassendes Notfallmanagement. Die Studie beschreibt allgemein und anhand von Beispielen, wie solche Unternehmen mit Virtualisierung und Service-Angeboten aus der Cloud auch mit kleinem Budget die Verfügbarkeit ihrer Anwendungen und Daten gewährleisten können. Dabei bezieht sich die Studie auf den vom BSI veröffentlichten Standard 100-4 zum Aufbau eines Notfallmanagements und erläutert insbesondere eine an die Bedürfnisse eines KMU angepasste Business Impact Analyse für IT-Prozesse. Anschließend wird beschrieben, wie virtualisierte Infrastrukturen und der Einsatz von Cloud Services das Notfallmanagement beeinflussen und verbessern können. Den Abschluss bilden drei verschiedene Cloud-Szenarien, die zeigen, wie das Notfallmanagement eines kleineren Unternehmens in der Praxis aussehen könnte.

Für Firmen, die Orientierung beim Thema IT-Verfügbarkeit und Notfallmanagement suchen, ist die Studie ein guter Einstieg in das Thema. Auf jeden Fall sensibilisiert sie für die Potenziale, die Virtualisierung und Cloud Computing für IT-getriebene Geschäftsprozesse haben. So können heute auch kleine und mittlere Firmen Verfügbarkeiten erreichen, die sich mit traditioneller Servertechnik nur größere Unternehmen leisten konnten. Die Studie betont den Nutzen der Cloud, ohne das Thema Datenschutz und Datenhoheit auszuklammern. Empfohlen wird hier die Zusammenarbeit mit lokalen Cloud Anbietern mit Rechenzentren in Deutschland. Diese könnten auch viel individueller auf die Anforderungen der Unternehmen eingehen. Außerdem wird darauf hingewiesen, dass das Sicherheits- und Verfügbarkeitsniveau bei einem Cloud Provider nicht selten deutlich höher ist als im Serverraum eines kleineren Unternehmens.

Die Studie gibt allerdings auch einige Empfehlungen, die irritieren und deren Praxistauglichkeit angezweifelt werden darf. So wird einer der größten Vorteile von Virtualisierung und Cloud Computing, nämlich der Betrieb virtueller Maschinen auf einer hochverfügbaren Plattform, als zu kostspielig für KMUs eingestuft. Stattdessen empfiehlt die Studie, zwei oder mehrere Virtualisierungsserver in räumlich abgetrennten Bereichen mit unterschiedlicher Stromversorgung und idealerweise in zwei Brandschutzzonen zu betreiben. Indem regelmäßig Kopien der virtuellen Maschinen erzeugt und auf dem jeweils anderen Server gespeichert werden, kann im Notfall manuell auf den noch verfügbaren Server umgeschwenkt werden. Nun werden die meisten KMUs froh sein, wenn sie wenigstens einen Serverraum haben, der die Mindestanforderungen erfüllt, also abschließbar und klimatisiert ist und über eine unterbrechungsfreie Stromversorgung (USV) verfügt. Ein zweiter, räumlich getrennter Serverstandort in einem anderen Brandschutzbereich dürfte für die meisten dieser Firmen kaum realisierbar sein. Hier wären ein kleines Storage System und eine Virtualisierungslizenz, die Hochverfügbarkeit unterstützt, wahrscheinlich die bessere Investition. Außerdem beeinträchtigt so eine hochverfügbare Lösung auch nicht die Performance der Anwendungen durch das ständige Kopieren der Images. Sehr kleine Firmen, bei denen der Server quasi unterm Schreibtisch steht, dürften mit räumlich getrennten Serverstandorten erst recht überfordert sein. Für diese lautet die Kernbotschaft, dass sie sich mit Virtualisierung und dem Speichern von startfähigen Image-Kopien auf einem Ersatzserver gut gegen längere Hard- oder Software-bedingte Ausfälle schützen können. Gegen den Totalverlust zum Beispiel durch einen Brand oder Wasserschaden schützen zusätzliche Kopien der Daten und Maschinen in der Cloud.

Wenn es darum geht, die Bedeutung diverser Cloud Services für das Notfallmanagement zu erläutern, schwächelt die Studie mit einer ungenauen Differenzierung von Disaster Recovery, Backup und Cloud Storage. So kommt Disaster Recovery as a Service (DRaaS) nach Meinung der Autoren für KMUs eher nicht in Frage. Da entsprechende Angebote zum einen auf den Replikationstools der Storage Hersteller bzw. der Virtualisierungsanbieter basieren und zum anderen auch die physischen Server einbeziehen, übersteigen sie das Budget kleiner und mittlerer Firmen. Da sich die Studie explizit dem Notfallmanagement von virtualisierten Infrastrukturen widmet, hätte man hier eher den Hinweis erwartet, dass es durchaus DRaaS-Angebote speziell für virtuelle Maschinen gibt, die mit eigenen Replikationstechniken und unabhängig von der Storage-Hardware arbeiten. Natürlich gibt es auch diese nicht zum Nulltarif. Sie haben aber das beste Preis-Leistungs-Verhältnis für solche Unternehmen, die auch in einem Notfall kurze Wiederanlaufzeiten für ihre geschäftskritischen Anwendungen brauchen und nicht erst stundenlang neue Maschinen und Netzwerkparameter konfigurieren wollen. Als Alternative empfiehlt die Studie das Anmieten virtueller Ressourcen in der Cloud und das Replizieren und Wiederherstellen in Eigenregie. Da man auch dafür eine geeignete Software und im Notfall ausreichende Kapazitäten und eine sichere Umgebung für seine Ersatzsysteme braucht, ist diese Variante nicht in jedem Fall die preiswerteste.

Beim Online-Backup oder Backup as a Service werden unter anderem die Vorteile für ein zentralisiertes Backup für Unternehmen mit mehreren Standorten hervorgehoben. Allerdings verspricht die Studie, dass die Daten in die Cloud repliziert und konsolidiert werden und dadurch ein „zentraler Knotenpunkt“ entsteht, auf den dann Mitarbeiter mobil oder aus anderen Standorten zugreifen können. Das klingt fantastisch, beschreibt aber meines Wissens nach nicht die gängige Praxis. Virtuelle Maschinen werden für gewöhnlich als Image-basierte Backups gesichert, die anschließend verschlüsselt in der Cloud gespeichert werden. Anders als zum Beispiel beim Cloud Storage, können Anwender nicht direkt auf diese Daten zugreifen und mit ihnen arbeiten. Das ist auch nicht die Funktion eines Backups. Hier geht es vor allem darum, die virtuelle Maschine selbst wiederherstellen zu können, entweder den letzten Stand oder in einer früheren Version. Es gibt auch Online-Backup Services, die dateibasiert arbeiten und einen direkten Zugriff auf einzelne Dateien oder Ordner im Cloud Speicher ermöglichen. Diese Lösungen kommen aber eher für das Daten-Backup von Clients oder bestimmten Anwendungen zum Einsatz und erfordern in den meisten Fällen die Installation eines Agenten. Schließlich gibt es noch spezielle Cloud Attached Storage Angebote, bei denen eine lokale Datenspeicherung auf einer NAS Appliance mit einem Cloud Storage kombiniert wird, der sowohl als Backup-Speicher als auch für den gemeinsamen Zugriff auf ausgewählte Dateien genutzt werden kann.

Im Abschnitt Datensicherung bei IaaS und SaaS behauptet die Studie:

„Da die Hoster von Cloud Lösungen auch für die Datenspeicherung verantwortlich sind, muss sich der Verantwortliche eines KMUs bei der Nutzung von Diensten in der Public-Cloud nicht mehr um die Erstellung eines Datensicherungsplans und die Durchführung des Backups einzelner Systeme kümmern, da diese Disziplin der Notfallvorsorge an den jeweiligen Hoster der Cloud Lösung ausgelagert wird.“ (S. 29)

Das mag für die meisten SaaS-Angebote durchaus zutreffen, für Infrastructure as a Service (IaaS) ist diese Aussage aber falsch. Wenn man Glück hat, sorgt der Cloud Provider dafür, dass die Daten im SAN redundant gespeichert werden und somit für den Kunden auch noch dann verfügbar sind, wenn eine oder mehrere Festplatten bzw. ein Speicherknoten ausfallen sollten. Für das Backup seiner virtuellen Maschinen ist aber der Kunde selbst verantwortlich. Viele Cloud (IaaS) Provider bieten die Datensicherung als optionalen Service an. Bei Dunkel gehört das Backup zum Service-Umfang für das Virtual Data Center, so dass sich der Kunde hier tatsächlich nicht mehr selbst um das Backup seiner Maschinen kümmern muss. Das ist aber weder die Regel, noch ist es die Pflicht des Cloud Providers.

Ich hatte beim Lesen der Studie den Eindruck, dass die Autoren eher sehr kleine Unternehmen im Blick hatten. Gemäß aktueller EU-Definition sind kleine und mittlere Unternehmen (KMU) definiert als Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und einen Jahresumsatz von höchstens 50 Mio. EUR oder eine Jahresbilanzsumme von höchstens 43 Mio. EUR aufweisen. In Deutschland zählen ca. 99 Prozent aller Unternehmen zu dieser Gruppe. Viele von ihnen sind schon heute sehr stark von einer funktionierenden IT abhängig und benötigen für ihre Geschäftsprozesse mehr als nur ein oder zwei Server mit einer Hand voll Anwendungen. Für eine echte Orientierung hinsichtlich der Vor- und Nachteile diverser Cloud Technologien und Services für das Notfallmanagement eines KMU fehlen der Studie an einigen Stellen wichtige Details und eine differenziertere Darstellung des Praxisbezugs.

Die Studie „Notfallmanagement mit der Cloud für KMUs“ kann kostenlos auf den Seiten des BSI heruntergeladen werden.

Mehr Informationen zum Backup und Disaster Recovery aus der Cloud gibt es auch im letzten Blog Artikel „Reicht im Notfall ein Backup in der Cloud?“