Bundesamt für Sicherheit in der Informationstechnik

M 6.157 Entwicklung eines Redundanzkonzeptes für Anwendungen

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, Leiter IT

Besteht bei einem Geschäftsprozess oder bestimmten Informationen hoher Schutzbedarf hinsichtlich des Grundwertes der Verfügbarkeit, so kann hierfür die Erstellung und Umsetzung eines Redundanzkonzeptes sinnvoll sein (allgemeine Informationen zur Redundanz sind in Maßnahme M 1.52 Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur zu finden). Für ein Redundanzkonzept wird auf Grundlage der ergänzenden Sicherheitsanalyse und Risikoanalyse (siehe BSI-Standard 100-3) ermittelt, auf welche Raum- und Gebäudeinfrastrukturen, Systeme, Netzkomponenten und Leitungswege sich der hohe Schutzbedarf des Geschäftsprozesses oder der Informationen auswirkt. Darauf aufbauend wird im Redundanzkonzept festgelegt, mit welchen technischen und organisatorischen Maßnahmen die benötigte Verfügbarkeit sichergestellt werden soll.

Das Redundanzkonzept muss auf Plausibilität mit dem allgemeinen Notfallkonzept (siehe M 6.114 Erstellung eines Notfallkonzepts ) geprüft und bei Bedarf entsprechend den allgemeinen Anforderungen angepasst werden. Die Maßnahmen aus dem Redundanzkonzept müssen getestet und geübt werden. Diese Tests und Übungen sind mit den Tests und Übungen des Notfallmanagements der Institution abzustimmen (siehe M 6.117 Tests und Notfallübungen ). Je nach Anforderung an die Verfügbarkeit der jeweiligen Elemente des Informationsverbundes können die folgenden Ansätze berücksichtigt werden, um deren Ausfälle überbrücken zu können:

Verfahren

  • Es sollten organisatorische Regelungen für einen Notbetrieb erstellt werden. Diese Regelungen können für einige Anwendungen vorsehen, zum papiergestützten Arbeiten zurückzukehren. Zudem sollten Anwendungen priorisiert werden und überlegt werden, Anwendungen, die eine geringere Priorität haben, abzuschalten und die damit freigewordenen Ressourcen höher priorisierten Anwendungen zur Verfügung zu stellen.
  • Es sollte geprüft werden, ob Räumlichkeiten, IT-Systeme und weitere Infrastrukturen von Datenverarbeitungsanlagen in anderen Institutionen genutzt werden können, mit denen eine Kooperation besteht.
  • Es ist für Anwendungen mit höherer Priorität zu prüfen, ob die Anwendungen fähig sind, Redundanz auf der Systemebene zu nutzen. Dazu gehören z. B. Load-Balancing-, Cluster- oder Cloud-Fähigkeiten. Diese können entsprechend genutzt werden, unter Umständen müssen sie auch zunächst hergestellt werden.
  • Es ist für Anwendungen mit höherer Priorität zu prüfen, ob diese Anwendungen fähig sind, Redundanz auf der Diensteebene zu benutzen, z. B. kurzfristiges Schwenken auf eine alternative Datenbank etc. Diese können entsprechend genutzt werden, unter Umständen müssen sie auch zunächst hergestellt werden.

Systeme

  • Teil- oder Vollredundanz auf Komponentenebene: Anwendungen benötigen zum Betrieb eine Reihe von Komponenten. Zur Steigerung der Verfügbarkeit können diese teil- oder vollredundant ausgelegt werden, beispielsweise durch Einsatz von Festplatten- RAID s, redundanten Netzwerkkarten, Netzteilen etc.
  • Es sollte geprüft werden, ob Ersatzsysteme im Cold-, Warm- oder Hot-Standby-System betrieben werden sollten oder System-Cluster eingesetzt werden sollten. Bei Cold-Standby-Systemen sind Ersatzsysteme vorkonfiguriert, aber ausgeschaltet und enthalten nicht alle aktuellen Daten. Bei Warm-Standby-Systemen sind Ersatzsysteme vorkonfiguriert und mit einem Datenbestand aus dem letzten Backup versorgt, aber ausgeschaltet. Bei Hot-Standby-Systemen laufen Ersatzsysteme und übernehmen bei Ausfall die Funktion des Hauptsystems. Zusätzlich enthalten die Ersatzsysteme im Hot-Standby alle nötigen Daten über eine synchrone Spiegelung und können im Idealfall sofort die Arbeit des ausgefallenen Systems übernehmen, ohne dass ein Datenverlust entsteht oder der Anwender den Ausfall bemerkt. Bei System-Clustern wird die Anwendung über mehrere Systeme verteilt, wobei ein oder mehrere Systeme die Lastverteilung vornehmen und die übrigen die Aufgaben bearbeiten. Dies setzt die Clusterfähigkeit der fraglichen Anwendung voraus, siehe M 2.314 Verwendung von hochverfügbaren Architekturen für Server ). Clusterlösungen können auch in Kombination mit Virtualisierung von Maschinen (Hardware-Emulation oder Hardware-Virtualisierung) eingesetzt werden (siehe B 3.304 Virtualisierung ).

Kommunikationsverbindungen

Falls die Anwendung Kommunikationsverbindungen zu ihrem Betrieb benötigt, können zur Steigerung der Verfügbarkeit:

Prüffragen:

  • Sind die im Redundanzkonzept festgelegten Maßnahmen geeignet, die geforderte Verfügbarkeit für die Anwendung sicherzustellen?

  • Wurde das Redundanzkonzept auf Verträglichkeit mit dem Notfallkonzept überprüft und entsprechend angepasst?

  • Werden die Maßnahmen aus dem Redundanzkonzept getestet und geübt?

Stand: 14. EL Stand 2014