Bundesamt für Sicherheit in der Informationstechnik

M 1.71 Funktionstests der technischen Infrastruktur

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Haustechnik

Verantwortlich für Umsetzung: Haustechnik

Im Bereich der technischen Infrastruktur werden leider echte Funktionstests immer noch äußerst selten durchgeführt. So wird z. B. die ordnungsgemäße Funktion der Notenergieversorgung oder das korrekte Zusammenspiel von Klimatisierung und Brandschutz zu selten getestet. In vielen Fällen wird zwar ein hoher Aufwand für die Ausfallvorsorge betrieben, trotzdem werden die umgesetzten Maßnahmen häufig nicht getestet, da Folgeschäden durch die Tests befürchtet werden. Die stattdessen durchgeführten Tests sind aber nicht geeignet, die gesamte Reaktionskette, wie sie im Echtfall ablaufen muss, wirklich zu prüfen. Grundsätzlich gilt jedoch, dass es besser ist, Tests durchzuführen und eventuelle Folgeschäden im Testbetrieb zu behandeln (und daraus zu lernen), als unerwartet von diesen Folgeschäden im Echtbetrieb getroffen zu werden, wenn Notfallmaßnahmen aktiviert werden. Eine Inspektion der technischen Infrastruktur beschränkt sich in aller Regel jeweils auf die einzelne betrachtete technische Einrichtung, z. B. die Energieversorgung. Allenfalls werden noch die Schnittstellen zu funktional benachbarten Einrichtungen behandelt. Eine umfassende Betrachtung ganzer Funktionsketten erfolgt hingegen meist nicht. Eine typische Funktionskette ist die Aufeinanderfolge der Reaktionen "Stromnetz fällt aus, NEA läuft automatisch an". Diese Funktionskette kann nicht hinreichend getestet werden, indem ein Handstart der NEA durchgeführt und anschließend die Energieversorgung weggeschaltet wird, da damit nicht kontrolliert wurde, wie bei einem spontanen Ausfall der Primärenergie die Funktionskette reagiert.

Generell kann durch eine klassische Inspektion die ordnungsgemäße Funktion komplexer Reaktionsketten nicht mit ausreichender Sicherheit festgestellt werden. So kommt es immer wieder dazu, dass trotz optimaler Inspektion und Wartung aller einzelnen Einheiten, das Gesamtsystem im Fall eines Ausfalls nicht wie geplant funktioniert.

Beispiel: In einem konkreten Fall war die NEA sowie die Netzausfallerkennung einschließlich des angesetzten Signals als funktionsfähig inspiziert worden. Bei einem Stromausfall hat dann auch die Netzausfallerkennung richtig reagiert und ein Signal an die Netzersatzanlage (NEA) abgesetzt. Diese hat aber aus unbekannten Gründen das Signal nicht richtig interpretiert und ist daher nicht gestartet, obwohl die NEA bei der Inspektion mit dem vom NEA-Hersteller vorgesehenen Signal angesteuert wurde und bei diesem Einzeltest ordnungsgemäß reagiert hat.

Es ist daher unerlässlich, Reaktionsketten einem echten Funktionstest (Echttest) zu unterziehen. Das heißt, dass die zu testenden Einrichtungen als komplettes System gezielt mit dem Problem konfrontiert werden, zu dessen Bewältigung sie vorgesehen sind. Da es Zweck eines solchen Echttests ist, nur im Gesamtsystem erkennbare Fehler festzustellen, muss damit gerechnet werden, dass eben solche Fehler auftreten, und die Reaktion nicht in der geplanten Weise erfolgt.

Daher sollten Echttests nicht in Hauptbetriebszeiten durchgeführt und Vorbereitungen getroffen werden, um die Folgen eventuell auftretender Fehler beherrschen zu können. Letzteres sollte ohnehin Teil der Notfallvorsorge sein.

Echttests der technischen Infrastruktur eines Rechenzentrums sollten alle ein bis zwei Jahre sowie nach Systemumbauten und umfangreichen Reparaturen durchgeführt werden.

Prüffragen:

  • Werden für alle wesentlichen Reaktionsketten echte Funktionstest durchgeführt?

  • Werden die Funktionstests in regelmäßigen Abständen durchgeführt?

Stand: 11. EL Stand 2009