12. HV-Manahmenkataloge

12. HV-Maßnahmenkataloge

Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 228 99 9582-0 E-Mail: [email protected] Internet: http://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2009

12 HV-Maßnahmenkataloge HV-Kompendium V 1.2

Inhaltsverzeichnis

Einführung und Begriffsdefinitionen 7

Maßnahmenkataloge 9 Allgemeine Maßnahmen 9 IT-Organisation und Personal 16 Planung und Organisation 17 Beschaffung und Implementierung 22 Leistungserbringung und Unterstützung 25 Überwachung und Bewertung 31 Netzwerk 34 Komponenten 35 Leitungsführung 39 Protokolle 43 Architekturen 45 Cluster 48 Lastverteilung 49 Gruppierungsarten 50 Topologien und Arbitration 52 Ressourcenverteilung 56 Server 57 Architektur 58 Wartbarkeit und Skalierbarkeit 60 Speichertechnologien 63 Festplatten und Schnittstellen 64 Speicherarchitekturen 66 Dateisysteme 70 Datensicherungs- und Wiederherstellungsverfahren 78 Virtualisierung, Optimierung und Management 92 IT-Dienste 99 Dienst-Management 100 Dienst-Design 102 Diensteredundanz 104 Dienstorientierte Architekturen (SOA) 105 Dienstfindung 107 Datenbanken 109 Datenbank-Design und Architektur 110 Datenhaltung 114 Datenintegrität 117 Virtualisierung 119 Überwachung 121

Bundesamt für Sicherheit in der Informationstechnik 3

HV-Kompendium V 1.2 12 HV-Maßnahmenkataloge

4 Bundesamt für Sicherheit in der Informationstechnik

Software 123 Anforderungsdefinition und Design 124 Entwicklung und Test 127 Implementierung und Betrieb 133 Notfallvorsorge und -behandlung 139 Überwachung 145 Strategie und Management 146 Erfassung und Darstellung 150 Auswertung und Analyse 158 Reaktion und Steuerung 163 Infrastruktur 164 Planung und Organisation 165 Gebäude 166 Räume 170 Türen und Fenster 172 Baulicher Brandschutz 173 Energieversorgung 175 Energieverteilung 178 Blitz- und Überspannungsschutz 183 Klimatisierung 184 Zutrittskontrolle 185 Brandmeldung und -Löschung 188 Leckage 191 Einbruchsmeldung 192


Tabellenverzeichnis Tabelle 1: Maßnahmenkatalog Allgemeine Maßnahmen ......................................................................15 Tabelle 2 Maßnahmenkatalog IT-Organisation und Personal: Planung und Organisation....................21 Tabelle 3 Maßnahmenkatalog IT-Organisation und Personal: Beschaffung und Implementierung......24 Tabelle 4 Maßnahmenkatalog IT-Organisation und Personal: Leistungserbringung u. Unterstützung.30 Tabelle 5 Maßnahmenkatalog IT-Organisation und Personal: Überwachung und Bewertung .............33 Tabelle 6 Maßnahmenkatalog Netzwerk: Komponenten.......................................................................38 Tabelle 7 Maßnahmenkatalog Netzwerk: Leitungsführung...................................................................42 Tabelle 8 Maßnahmenkatalog Netzwerk: Protokolle ............................................................................44 Tabelle 9 Maßnahmenkatalog Netzwerk: Architekturen .......................................................................47 Tabelle 10 Maßnahmenkatalog Cluster: Lastverteilung ........................................................................49 Tabelle 11 Maßnahmenkatalog Cluster: Gruppierungsarten .................................................................51 Tabelle 12: Maßnahmenkatalog Cluster: Topologien und Arbitration..................................................55 Tabelle 13 Maßnahmenkatalog Cluster: Ressourcenverteilung.............................................................56 Tabelle 14: Maßnahmenkatalog Server: Robustheit und Fehlertoleranz...............................................59 Tabelle 15: Maßnahmenkatalog Server: Wartbarkeit und Skalierbarkeit..............................................62 Tabelle 16: Maßnahmen Speichertechnologien: Festplatten und Schnittstellen....................................65 Tabelle 17 Maßnahmen Speichertechnologien: Speicherarchitekturen.................................................69 Tabelle 18 Maßnahmen Speichertechnologien: Dateisysteme ..............................................................77 Tabelle 19 Maßnahmen Speichertechnologien: Datensicherungs- und Wiederherstellungsverfahren..91 Tabelle 20 Maßnahmen Speichertechnologien: Virtualisierung, Optimierung und Management.........98 Tabelle 21 Maßnahmen IT-Dienste: Dienst-Management...................................................................101 Tabelle 22 Maßnahmen IT-Dienste: Dienst-Design ............................................................................103 Tabelle 23 Maßnahmen IT-Dienste: Dienstredundanz ........................................................................104 Tabelle 24 Maßnahmen IT-Dienste: Dienstorientierte Architekturen .................................................106 Tabelle 25 Maßnahmen IT-Dienste: Dienstfindungsprotokolle ..........................................................108 Tabelle 26 Maßnahmen Datenbanken: Datenbank-Design und Architektur .......................................113 Tabelle 27 Maßnahmen Datenbanken: Datenhaltung..........................................................................116 Tabelle 28 Maßnahmen Datenbanken: Datenintegrität .......................................................................118 Tabelle 29 Maßnahmen Datenbanken: Virtualisierung .......................................................................120 Tabelle 30 Maßnahmen Datenbanken: Überwachung.........................................................................122 Tabelle 31 Maßnahmen Software: Anforderungsdefinition und Design .............................................126 Tabelle 32 Maßnahmen Software: Entwicklung und Test...................................................................132 Tabelle 33 Maßnahmen Software: Implementierung und Betrieb.......................................................138 Tabelle 34 Maßnahmen Software: Notfallvorsorge und -behandlung.................................................144 Tabelle 35 Maßnahmen Überwachung: Strategie und Management ...................................................149 Tabelle 36 Maßnahmen Überwachung: Erfassung und Darstellung ...................................................157 Tabelle 37 Maßnahmen Überwachung: Auswertung und Analyse .....................................................162 Tabelle 38 Maßnahmen Überwachung: Reaktion und Steuerung .......................................................163 Tabelle 39 Maßnahmenkatalog Infrastruktur: Organisation................................................................165 Tabelle 40 Maßnahmenkatalog Infrastruktur: Gebäude ......................................................................169 Tabelle 41 Maßnahmenkatalog Infrastruktur: Räume .........................................................................171 Tabelle 42 Maßnahmenkatalog Infrastruktur: Fenster und Türen .......................................................172


HV-Kompendium V 1.2 12 Maßnahmenkataloge

Tabelle 43 Maßnahmenkatalog Infrastruktur: Baulicher Brandschutz ................................................174 Tabelle 44 Maßnahmenkatalog Infrastruktur: Energieversorgung ......................................................177 Tabelle 45 Maßnahmenkatalog Infrastruktur: Energieverteilung........................................................182 Tabelle 46 Maßnahmenkatalog Infrastruktur: Biltz- und Überspannungschutz ..................................183 Tabelle 47 Maßnahmenkatalog Infrastruktur: Klimatisierung.............................................................184 Tabelle 48 Maßnahmenkatalog Infrastruktur: Zutrittskontrolle ..........................................................187 Tabelle 49 Maßnahmenkatalog Infrastruktur: Brandmeldung und -Löschung....................................190 Tabelle 50 Maßnahmenkatalog Infrastruktur: Leckage .......................................................................191 Tabelle 51 Maßnahmenkatalog Infrastruktur: Einbruchsmeldung ......................................................194



Einführung und Begriffsdefinitionen

Zur Sicherstellung der Verfügbarkeit kritischer Geschäftsprozesse hat das BSI das Hochverfügbar-keitskompendiums erstellt. Das Kompendium beinhaltet methodische Ansätze für die HV-Analyse und Konzeption (Band 1) sowie Verfahren und Technologien zur Realisierung hoher Verfügbarkeit auf allen Ebenen einer IT-Dienstleistung (Band 2 und 3). Das vorliegende Dokument fasst die im Band 2 ausführlich dargestellten HV-Lösungen in Maßnah-menkatalogen zusammen. Die Darstellung der Kataloge sowie deren Struktur sind auf die Anwendung der HV-Methodik ausgerichtet. Die enthaltenen Maßnahmen lassen sich aber auch losgelöst von der Methodik zur Konzeption, Realisierung und Optimierung der HV-Eigenschaften einer IT-Dienstleistung bzw. einer HV-Architektur einsetzen. Die Aufteilung der einzelnen Maßnahmenkataloge orientiert sich an den Modulen des HV-Kompendiums und liefert zu jedem der nachfolgend aufgeführten behandelten Themenbereiche (Do-mänen) eine Auflistung von HV-spezifischen Verfahren und Technologien:

• Allgemeine Maßnahmen

• IT-Organisation und Personal

• Netzwerk

• Cluster

• Server

• Speichertechnologien

• IT-Dienste

• Datenbanken

• Software

• Überwachung

• Infrastruktur

Jede der zuvor aufgeführten HV-Domänen enthält wiederum eine oder mehrere Subdomänen, welche Maßnahmencluster zu abgrenzbaren Teilkomponenten einer HV-Architektur im Sinne von HV-Objekten enthalten und beschreiben. In Anlehnung an und in Ergänzung zu den Maßnahmenkatalogen des IT-Grundschutzes des BSI kön-nen so zu jeder der aufgeführten Teilkomponenten einer Architektur Maßnahmen identifiziert werden, die direkte oder indirekte Auswirkungen auf die Verfügbarkeit des HV-Verbundes haben. Die Auflis-tung konzentriert sich hierbei auf Maßnahmen, die vorbeugend oder „heilend“ in gezielter Weise auf die Verfügbarkeit wirken. Dies können auch Maßnahmen des IT-Grundschutzes sein, sofern sie in ei-ner HV-spezifischen Ausprägung in der zuvor beschriebenen Art und Weise auf die Verfügbarkeit wirken. Die Maßnahmenkataloge sind in einer einheitlichen Form aufgebaut und enthalten die nachfolgenden Informationen : Nr.: Laufende Nummerierung der Einzelmaßnahme. Die erste Ziffer der Maß-

nahmennummer kennzeichnet hierbei das zugehörige Kapitel in diesem Do-kument. Die Abkürzung „VM“ steht für „Verfügbarkeitsmaßnahme“.

Maßnahme: Kurzbezeichnung sowie Beschreibung der Maßnahme bzw. des zugrunde liegenden Verfahrens. Eine ausführliche Beschreibung ist im referenzierten Modul des HV-Kompendiums oder in anderen Standard-Werken enthalten. Die jeweilige Referenzierung steht in der Spalte „Querverweis“.


http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/2_1_HV-AnalysePhasenuebersicht.pdf



Umsetzungsphase: Phase des „Lebenszyklus“ eines HV-Objektes, innerhalb derer die Maßnah-me wirksam umgesetzt werden kann. Die Maßnahme wird hierbei einer (oder mehrerer) der Phasen „Planung und Konzeption“, „Beschaffung“, „Umsetzung“, „Betrieb“ und „Aussonderung“ zugeordnet. Diese Phasen ori-entieren sich an den in den IT-Grundschutz-Katalogen enthaltenen Umset-zungsphasen von Maßnahmen und erlauben eine Integration der HV-Maßnahmen in den Gesamtprozess der Realisierung einer IT-Dienstleistung.

Prinzip: Eines oder mehrere, der Maßnahme zugrunde liegenden Verfügbarkeits-prinzipien, welche durch die zugehörige Maßnahme umgesetzt bzw. ange-wendet werden. Die grundlegenden Prinzipien „Transparenz“, „Fehlertole-ranz“, „Redundanz“, „Separation“, „Robustheit“, „Skalierbarkeit“, „Virtuali-sierung“, „Automatismen“ und „Autonomie“ bilden in ihrer Gesamtheit die methodische Grundlage der HV-Konzeption. Diese Prinzipien werden im Beitrag „Prinzipien der Verfügbarkeit“ des HV-Kompendiums ausführlich erläutert und stellen auch die Basis für die im methodischen Teil entwickelte Analyse und Bewertungsmethodik dar. Durch den Verweis auf die realisier-ten Verfügbarkeitsprinzipien können gezielt Maßnahmen zur Umsetzung oder Optimierung ausgewählter Prinzipien identifiziert werden.

Kriterien: Die Spalte „Kriterium“ stellt eine weitere Detaillierung des umgesetzten Verfügbarkeitsprinzips dar und liefert eines oder mehrere von der Maßnah-me beeinflusste Einzelkriterien. Diese Einzelkriterien können für eine HV-Bewertung herangezogen werden. Festgestellte Defizite bei der Abdeckung einzelner Bewertungskriterien können so durch gezielte Auswahl von spezi-fischen HV-Maßnahmen ausgeglichen werden. Durch die in der Spalte „Kri-terium“ enthaltene Information können darüber hinaus auch gezielt Maß-nahmen für ein auf spezielle Einzelkriterien ausgerichtetes HV-Design iden-tifiziert und ausgewählt werden.

Wirkt gegen: Die Spalte „Wirkt gegen“ enthält Informationen zu jeweiligen Gefährdungen der Verfügbarkeit, denen einzelne Maßnahmen entgegenwirken. So können Maßnahmen zur Abwehr einzelner Bedrohungen identifiziert werden, aber ebenfalls auch Maßnahmenpakete für eine breite Gefährdungsabwehr zu-sammengestellt werden.

Querverweis: Verweis auf das Modul im HV-Kompendium (HVK), die IT-Grundschutz-Kataloge (GSK), die Kontrollobjekte in CobiT und weitere Standardwerke, in denen die Maßnahme ausführlich beschrieben oder entwickelt wird. Zu-sätzlich zu den o. g. Verweistypen beinhaltet die Spalte Querverweis an manchen Stellen einen Verweis auf andere Verfügbarkeitsmaßnahmen aus den vorliegenden Katalogen. In der Regel bestehen gewisse Abhängigkeiten zwischen den Einzelmaßnahmen (z. B. die Umsetzung der Maßnahme x ist Voraussetzung für die Maßnahme y). Der Querverweis auf andere Verfüg-barkeitsmaßnahmen stellt einen ersten Ansatz dar, diese Abhängigkeiten in einer einfachen Form im Maßnahmenkatalog abzubilden.

Weder die Anzahl der Einzelkataloge noch die darin enthaltene Auflistung von Maßnahmen ist als vollständig anzusehen, da die Thematik der Realisierung hochverfügbarer IT-Dienstleistungen und IT-Architekturen ständigen Veränderungen sowohl auf der technischen als auch der organisatorischen Ebene unterworfen ist. Die nachfolgenden Inhalte und Maßnahmen sind daher als Einstieg sowie als Unterstützung für die Realisierung von HV-Architekturen einsetzbar, müssen aber, ebenso wie das HV-Design selber, einem ständigen Prozess der Vervollständigung und Optimierung unterworfen sein.

http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/3_Prinzipien_Verfuegbarkeit.pdf



12 Maßnahmenkataloge HV-Kompendium V 1.2

Maßnahmenkataloge

Allgemeine Maßnahmen

In diesem Abschnitt sind Maßnahmen beschrieben, die Design-Prinzipien anwenden und zur allgemeinen Planung und Konzeption der HV-Architektur heran-gezogen werden bzw. übergeordneter Natur sind und sich keiner HV-Domäne eindeutig zuordnen lassen. In der Planungs- und Konzeptionsphase muss früh-zeitig festgelegt werden, welche HV-Prinzipien zur Anwendung gelangen und in die Planung der resultierenden HV-Architektur einfließen.

Nr. Maßnahme Auswahl einer geeigneten Redundanz-Hierarchie. Eine geeignete Redundanz-Hierarchie muss bereits in Planungs- und Konzeptionsphase gewählt werden. Redundante Teilarchitekturen müssen so zu redundanten Gesamtsystemen kombiniert werden, dass eine Redundanzhierarchie entsteht, die „Single Points of failure“ vermeidet. Die einzelnen Redundanzebenen müssen hierbei aufeinander aufbauen. Die Hierarchie muss hinsichtlich ihrer HV-Eigenschaften lückenlos sein, d. h. sie muss alle funktionalen Teilbereiche einbeziehen. Die Umsetzung der Redundanzhierarchie kann entweder vollredundant oder strangre-dundant erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.1

Planung und Konzeption Redundanz SpoF Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software

HVK (Prinzipien)




Auswahl geeigneter Automatismen In der Planungs- und Konzeptionsphase müssen geeignete Automatismen, die automatisch (und ohne menschliches Zutun) ablaufende Vorgän-ge innerhalb der HV-Architektur darstellen, ausgewählt werden. Diese automatischen Prozesse sind in der Regel systemimmanent für HV-Komponenten und sorgen innerhalb der Komponente durch eine ständige Überwachung für eine automatisierte, unverzügliche Reaktion auf Fehlersituationen und gewährleisten die Verfügbarkeitsanforderungen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.2

Planung und Konzeption Automatismen Automatisierungsgrad Überwachung Reaktionszeit

Menschliches Versagen Technische Ermüdung Fehler in Hard- oder Software

HVK (Prinzipien)

Priorisierung des IT-Einsatzes Vor dem Hintergrund der Erzielung einer geforderten Hochverfügbarkeit bei begrenzten Betriebsmitteln und Ressourcen muss der IT-Einsatz in Planungs- und Konzeptionsphase priorisiert werden. Bei der Priorisierung wird zunächst eine quantitative Bewertung anhand einheitlicher Kriterien durchgeführt. Anschließend erfolgt eine Gruppierung oder Sortierung im Hinblick auf die Wichtigkeit für ein bestimmtes Ziel.

Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.3

Planung und Konzeption Priorisierung Priorisierung Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Prinzipien)





Anwendung des Design-Prinzips Skalierung Hochverfügbare Architekturen müssen gut skalierbar (Skalierungsfaktor ≤ 1) sein. Gut skalierbare IT-Infrastrukturen sind in der Lage, flexibel, effizient, schnell und zuverlässig auf wachsende Lasten und Anforderungen zu reagieren. Die Anforderungen für eine gute Skalierbarkeit sind nicht nur im technischen sondern auch im organisatorischen Bereich bereits in der Planungs- Konzetionsphase zu berücksichtigen.


VM.1.4

Planung und Konzeption Skalierbarkeit Skalierungsfaktor Geplante Ausfallzeiten HVK (Prinzipien)

Einsatz autonomer Systeme In HV-Architekturen eingesetzte Systeme müssen so beschaffen sein, dass sie eine Selbstständigkeit im Hinblick auf Selbstverwaltung und Entscheidungsfreiheit aufweisen und eigenständig die Verfügbarkeitsanforderungen erfüllen.


VM.1.5

Planung und Konzeption Beschaffung Implementierung

Autonomie Systemautonomie Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Prinzipien)





Präventive Maßnahmen für kritische Geschäftsprozesse Durch eine wirksame Prävention lassen sich sowohl im Vorfeld als auch während der Dienstleistungserbringung Risiken für die Verfügbarkeit vermeiden oder zumindest die Auswirkungen (Ausfallzeiten) einer Nichtverfügbarkeit bei kritischen Geschäftsprozessen reduzieren. Bedeuten-de Wiederholbare Maßnahmen sind nachfolgend angeführt: Risikoanalyse, Monitoring, Wartung, Kapazitätsplanung, Notfallplanung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.6

Planung und Konzeption Implementierung Betrieb Notfallvorsorge

Automatismen Autonomie Priorisierung Redundanz Separation Skalierbarkeit Virtualisierung

KPI Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Pers&Org) BSI 100-4

Durchführung eines HV-Projektes Zur Planung und Umsetzung einer hoch verfügbar ausgelegten IT-Architektur muss ein geeignetes Projekt initiiert und durchgeführt werden. Die gewählte Vorgehensweise sowie die zugrunde liegende Organisation müssen in der Lage sein, die bestehenden Anforderungen aufzuneh-men, zielgerichtet zu analysieren und in Form geeigneter IT-Komponenten umzusetzen. Einen leistungsfähigen Ansatz für die Analyse, Kon-zeption und Realisierung von IT-Infrastrukturen und IT-Prozessen bietet der Beitrag HV-Analyse im HV-Kompendium und das international anerkannte Framework CobiT. Letzteres ist ein Rahmenwerk für die Gestaltung von Prozessen und IT-Strukturen zur Umsetzung von Anwen-dungen oder Architekturen und bietet daher ein Rahmenwerk zur Einbettung des Themas „Hochverfügbarkeit“ in bestehende oder geplante IT-Verfahren, insbesondere vor dem Hintergrund der weiteren Aspekte der IT-Sicherheit, die auch bei hoch verfügbaren Anwendungen eine ent-scheidende Rolle spielen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.7

Planung und Konzeption Automatismen Autonomie Priorisierung Redundanz Separation Skalierbarkeit Virtualisierung

KPI Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (HV-Analyse) HVK (Pers&Org) CobiT


http://www.bsi.bund.de/literat/bsi_standard/standard_1004.pdf


http://www.isaca.org/cobit


http://www.isaca.org/cobit


Wartung und Reparaturarbeiten außerhalb der Servicezeit Um einen reibungslosen Prozessablauf zu gewährleisten müssen Wartungs- und Reparaturarbeiten außerhalb des normalen Dienstbetriebes durchgeführt werden bzw. Wartungs- und Reparaturzeiträume genau definiert werden. Besonders zu beachten ist hierbei auch die Ausrichtung der Dienstpläne des IT-Wartungspersonals, da diese Arbeiten auch nachts- an Wochenenden- an Feiertagen erfolgen können.


VM.1.8

Planung und Konzeption Betrieb

Separation Organisatorisch Personell

Geplante Ausfallzeiten HVK (Pers&Org)

Etablierung einer IT-Organisation, die den Anforderungen der HV gerecht wird. Insbesondere: Handlungsanweisungen, Dienstpläne, Konzepte etc. die für Gestaltung und die ordnungsgemäße Aufrechterhaltung des IT-Betriebs erforderlich sind (Architekturkonzept, Betriebskonzept, Notfallpläne etc.). Im Bereich der IT-Sicherheit: Policies, Nutzungs- und Rechte-Konzepte, Kryptokonzept, etc. Zur Optimierung der Verfügbarkeit: Notfallvorsorgekonzepte, Datensicherungskonzepte, Wiederanlaufpläne, etc. Aus- und Fortbildung Planung, Beschaffung, Implementation Qualitätssicherung, Prozessüberwachung Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.9


Separation KPI Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Pers&Org)



Festlegung der Sollverfügbarkeit aufgrund des Verfügbarkeitsbedarfs Bereits in Phase S (Soll) der Umsetzung eines HV-Projektes erfolgt die Zieldefinition, in diesem Fall die Ermittlung des Verfügbarkeitsbedarfs eines bestimmten Prozesses oder einer Fachanwendung aus Sicht der Behördens- oder Unternehmensleitung in Zusammenarbeit mit den betei-ligten Fachbereichen. Diese Zieldefinition im Hinblick auf die Verfügbarkeit erfolgt hierbei aus Sicht der Prozesse, also in einer, von der tech-nischen Sicht weitestgehend unabhängigen Form. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.10

Planung und Konzeption Skalierbarkeit Priorisierung

Priorisierung Skalierungsfaktor

Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Pers&Org) Phase S

Modellierung der Applikation Der erste Schritt zur angestrebten Hochverfügbarkeit ist eine vollständige Analyse und Modellierung des Service bzw. der Applikation aus Sicht der Prozesse.


VM.1.11

Planung und Konzeption Skalierbarkeit Priorisierung



HVK (Pers&Org) VM.1.7 Phase M


http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/2_2_Phase_S_Uebersicht.pdf

http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/2_2_Phase_S_Uebersicht.pdf

http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/2_4_Phase_M.pdf


Dokumentation der Verfügbarkeitsanforderungen Für die relevanten Komponenten des HV-Verbundes sollte eine Übersicht über Verfügbarkeitsanforderungen erstellt werden. Hierdurch werden besonders zeitkritische Komponenten des Verbundes ausfindig gemacht. Im Falle eines (Teil-) Ausfalls gibt das Dokument Auskunft über die tolerierbaren Ausfallzeiten und erleichtert die Priorisierung von Fehlerbehebungsmaßnahmen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.12

Planung und Konzeption Priorisierung Separation

Priorisierung Menschliches Versagen Fehler in Hard- oder Software Sabotage, Manipulation

HVK (Software) Phase S: Datenblatt Ver-fügbarkeitsanforderungen

Hohe Robustheit Es sollen grundsätzlich nur Produkte mit hoher Robustheit eingesetzt werden. Komponenten erhalten ihre Robustheit etwa weil hochwertige Materialien verwendet wurden oder spezielle Vorrichtungen zum Schutz gegen Umwelteinflüsse (z. B. Staub, Wasser oder Überhitzung) integ-riert wurden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.1.13

Planung und Konzeption Beschaffung

Robustheit Wartung Klimabeständigkeit Stoßfestigkeit EMV

Technische Ermüdung Fehler in Hard- oder Software

HVK (Prinzipien) HVK (Server)

Tabelle 1: Maßnahmenkatalog Allgemeine Maßnahmen


http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/10_Software.pdf


http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/6_Server_Hardware.pdf


IT-Organisation und Personal Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für die Realisierung einer im Sinne der Hochver-fügbarkeit funktionsfähigen IT- und Personal-Organisation. Diese bildet einen zentralen Bestandteil der HV-Architektur, da sie deren HV-gerechte Planung und Inbetriebnahme sowie die Aufrechterhaltung, Steuerung und Optimierung des Betriebs im Rahmen der Prozesse gewährleistet.

Die HV-Domäne „IT-Organisation und Personal“ beinhaltet die folgenden Subdomänen, deren Maßnahmen in weiten Teilen den ITIL und CobiT Frameworks entnommen sind:

• Planung und Organisation

• Beschaffung und Implementierung

• Leistungserbringung und Unterstützung

• Überwachung und Bewertung



Planung und Organisation

Nr. Maßnahme Definition von IT-Prozessen Um die IT-Dienstleistungen entsprechend der vereinbarten Service Levels erbringen zu können, müssen IT-Prozesse definiert werden, die einen effektiven und hochverfügbaren IT-Betrieb sicherstellen. Beispielsweise CobiT (PO4) oder IT-Service-Management nach ITIL. Der Prozess „Definiere die IT-Prozesse, Organisation und Beziehungen“ innerhalb der CobiT-Domäne Plan&Organize (PO4) besitzt besondere Relevanz zur Gewährleistung hoher und höchster Verfügbarkeiten. Im Rahmen des HV-Assessment wird dessen Reifegrad in die Benchmark aufgenom-men. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.1

Planung und Konzeption Betrieb Notfallvorsorge

Skalierbarkeit Priorisierung Separation

Reifegrade KPI


HVK (Pers&Org) ITIL CobiT VM.1.9

IT-Prozess Organisation Eine IT-Organisation muss unter Berücksichtigung der Anforderungen für Personal, Qualifikationen, Funktionen, Verantwortung, Entschei-dungsbefugnis, Rollen, Zuständigkeiten und Überwachung festgelegt werden. Diese Organisation muss in ein IT-Prozess-Framework integriert werden, welches Transparenz und Steuerung sowie die Beteiligung der Geschäftsführung und Unternehmensleitung sicherstellt.


VM.2.2


Separation Reifegrade KPI


HVK (Pers&Org) ITIL CobiT 4.0 PO4 GSK (1.0) VM.1.9




Nr. Maßnahme Strategische IT-Planung Eine strategische IT-Planung wird benötigt, um alle IT-Ressourcen in Übereinstimmung mit der Unternehmensstrategie und deren Prioritäten zu managen und zu steuern


VM.2.3



Reifegrade KPI


CobiT, PO1

Technologische Ausrichtung Die IT sollte die technologische Ausrichtung zur Unterstützung des Kerngeschäfts festlegen. Dies erfordert die Erstellung eines technologi-schen Infrastrukturplans und die Einrichtung eines Architekturgremiums, das klare und realistische Erwartungen darüber erzeugt und steuert, was Technologie durch Produkte, Services und Betriebsmechanismen anbieten kann.


VM.2.4



Reifegrade KPI


CobiT, PO3


HV-IT-Organisation Eine IT-Organisation muss unter Berücksichtigung der HV-Anforderungen für Personal, Qualifikationen, Funktionen, Verantwortung, Ent-scheidungsbefugnis, Rollen, Zuständigkeiten und Überwachung festgelegt werden. Diese Organisation muss in ein IT-Prozess-Framework in-tegriert werden, welches Transparenz und Steuerung sowie die Beteiligung der Geschäftsführung und Unternehmensleitung sicherstellt.


VM.2.5



Reifegrade KPI


CobiT, PO4 VM.1.9

HV-Personal Beschaffe, unterhalte und motiviere kompetente Arbeitskräfte für die Erstellung und den Betrieb von HV-IT-Services.


VM.2.6



Reifegrade KPI

Menschliches Versagen Geplante Ausfallzeiten

CobiT, PO7



HV- Qualitätsmanagementsystem Ein HV-Qualitätsmanagementsystem (HV-QMS) sollte entwickelt und unterhalten werden, welches bewährte Entwicklungs- und Beschaf-fungsprozesse und –standards umfasst. Dies wird durch die Planung, Implementierung und Unterhalt des Qualitätsmanagementsystems und durch die Erstellung von klaren Qualitätsanforderungen, Verfahren und Richtlinien erreicht. Zur Messung, Bewertung und Steuerung benötigt das Qualitätsmanagementsystem Indikatoren, welche die Zielereichung dokumentieren bzw. Abweichungen frühzeitig kenntlich machen. Ziel eines HV-QMS ist die Implementierung eines kontinuierlichen Verbesserungsprozesses. Die Indikatoren werden in der CobiT-Domäne „Moni-tor & Evaluate“ an internen Kontrollzielen überwacht. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.7



Reifegrade KPI


CobiT, PO8 Domäne Monitor & Eva-luate ME 1 – ME 4

Risikomanagement Ein Risikomanagement-Framework sollte erstellt und unterhalten werden. Das Framework dokumentiert ein allgemeines und vereinbartes Ni-veau von IT-(HV)Risiken, Strategien zur Risikoreduktion und vereinbarten Restrisiken. Alle potentiellen Einflüsse auf die Ziele der Organisa-tion, die durch ein ungeplantes Ereignis hervorgerufen werden, sollten identifiziert, analysiert und bewertet werden. Strategien der Risikoreduk-tion sollten umgesetzt werden, um das Restrisiko auf ein akzeptiertes Niveau zu reduzieren. Die Strategien sind Bestandteil des Notfallvorsor-gekonzeptes. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.8



Reifegrade KPI


HVK (Phase M) CobiT, PO9 BSI 100-4


http://www.bsi.bund.de/fachthem/hochverfuegbarkeit/2_4_Phase_M.pdf



HV-Programm- und Projektmanagement-Framework Ein HV-Programm- und Projektmanagement-Framework für das Management sämtlicher IT-Projekte sollte erstellt werden. Das Framework sollte die korrekte Priorisierung und Koordination aller Projekte sicherstellen. Das Framework sollte einen Masterplan, die Zuweisung von Res-sourcen, die Festlegung von Ergebnissen, die Freigaben durch Benutzer, eine phasenorientierten Ansatz bis zur Ablieferung, Qualitätssiche-rung, einen formalen Testplan, sowie Tests und einen Review nach Projektabschluss umfassen, um ein Projektrisikomanagement und einen Wertbeitrag für das Business sicherzustellen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.9



Reifegrade KPI


CobiT, PO10 VM.1.7

Tabelle 2 Maßnahmenkatalog IT-Organisation und Personal: Planung und Organisation



Beschaffung und Implementierung

Nr. Maßnahme Prozesse für die Beschaffung, Implementierung und Erneuerung der technischen Infrastruktureinrichtungen Es sollten Prozesse für die Beschaffung, Implementierung und Erneuerung der technischen Infrastruktureinrichtungen existieren. Dies erfordert eine geplante Vorgehensweise für Beschaffung, Unterhalt und Schutz der Infrastruktur, die mit den vereinbarten technologischen Strategien im Einklang steht, sowie die Bereitstellung von Entwicklungs- und Testumgebungen. Dies stellt sicher, dass ein technischer Support für die An-wendungen permanent zur Verfügung steht. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.10

Planung und Konzeption Beschaffung Betrieb

Skalierbarkeit Reifegrade KPI

Fehler in Hard- oder Software Geplante Ausfallzeiten

CobiT, AI3

Dokumente, Handbücher und Schulungen für User und die IT Das Wissen um neue Systeme muss zur Verfügung gestellt werden. Dieser Prozess erfordert die Entwicklung von Dokumenten und Handbü-chern für User und die IT und stellt Schulungen zur Verfügung, um die korrekte Verwendung und den Betrieb von Anwendungen und Infra-struktur sicherzustellen.


VM.2.11

Beschaffung Betrieb Notfallvorsorge

Transparenz Reifegrade KPI

Menschliches Versagen CobiT, AI4



Beschaffung von IT-Ressourcen IT-Ressourcen (Personal, Hardware, Software und Dienstleistungen) müssen beschafft werden. Dies erfordert, dass Beschaffungsverfahren für die Auswahl von Anbietern, die Erstellung von vertraglichen Vereinbarungen und die eigentliche Beschaffung festgelegt und durchgesetzt wer-den. Dadurch wird sicher gestellt, dass der Organisation sämtliche erforderlichen IT-Ressourcen zeitnah und in kostenwirksamer Weise zur Verfügung stehen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.12

Beschaffung Implementierung Betrieb Notfallvorsorge

Transparenz Fehlertoleranz Skalierbarkeit

Reifegrade KPI


CobiT, AI5

Gesteuerte Veränderung (Changes) von IT-Ressourcen Alle Changes an der Infrastruktur und den Anwendungen in der produktiven Umgebung, inklusive Notfalls-Changes und Patches, müssen for-mell auf eine gesteuerte Art und Weise vorgenommen werden. Jeder Change (inklusive an Verfahren, Prozesse, Systemen und Service-Parametern) müssen vor der Implementierung aufgezeichnet, bewertet und autorisiert sowie nach der Implementierung an Hand der geplanten Ergebnisse überprüft werden. Dies stellt die Verminderung von Risiken sicher, die sich negativ auf die Stabilität und Integrität der Produktiv-umgebung auswirken. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.13

Beschaffung Betrieb Notfallvorsorge

Skalierbarkeit Reifegrade KPI

Menschliches Versagen Geplante Ausfallzeiten

CobiT, AI6 ITIL (Change Manage-ment)



Zulassung und Inbetriebnahme von Systemen Nachdem die Entwicklung abgeschlossen ist, müssen neue Systeme in Betrieb genommen werden. Dies erfordert sorgfältige Tests mit relevan-ten Testdaten in einer dedizierten Umgebung, Festlegung von Rollout- und Migrationsanweisungen, eine Release- Planung, die eigentliche In-betriebnahme sowie ein Post-Implementation Review. Dies stellt sicher, dass operativ eingesetzte Systeme den vereinbarten Erwartungen und Ergebnissen entsprechen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.14

Beschaffung Implementierung Betrieb

Fehlertoleranz Transparenz

Reifegrade KPI

Menschliches Versagen Fehler in Hard- oder Software

CobiT, AI7 ITIL (Release Manage-ment)

Tabelle 3 Maßnahmenkatalog IT-Organisation und Personal: Beschaffung und Implementierung



Leistungserbringung und Unterstützung

Nr. Maßnahme Dokumentierte Ausgestaltung und Vereinbarung von IT-Services und Service Levels. Eine effektive Kommunikation zwischen dem IT-Management und den Kunden im Unternehmen über die erforderlichen Services wird durch die dokumentierte Ausgestaltung und Vereinbarung von IT-Services und Service Levels ermöglicht. Dieser Prozess enthält ebenso die Überwa-chung und die zeitnahe Berichterstattung an die Interessensvertreter über die Erreichung von Service Levels. Der Prozess erlaubt die Anglei-chung zwischen IT-Services und den entsprechenden Anforderungen aus Sicht der Geschäftsprozesse. Der CobiT-Prozess „Definiere und Ma-nage Service Level“ (DS1) besitzt besondere Relevanz zur Gewährleistung hoher und höchster Verfügbarkeiten. Im Rahmen des HV-Assessment wir dessen Reifegrad in die Bechmark aufgenommen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.15

Planung und Konzeption Beschaffung Betrieb Notfallvorsorge



CobiT, DS1 ITIL (Service Level Man-agement) VM.1.8, VM.7.2, VM.7.3

Leistungen von Dritten Das Erfordernis sicherzustellen, dass die von Dritten erbrachten Leistungen den Unternehmenserfordernissen entsprechen, setzt einen wirksa-men Prozess voraus. Dieser Prozess wird zustande gebracht, indem klare Rollen, Aufgaben und Erwartungen in den Vereinbarungen mit Drit-ten festgehalten werden und auch diese Vereinbarungen auf Wirksamkeit und Compliance überprüft und überwacht werden. Ein wirksames Management der Leistungen von Dritten reduziert Unternehmensrisiken, die auf notleidenden Lieferanten beruhen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.16


Automatismen Transparenz

Reifegrade KPI

Fehler in Hard- oder Software

CobiT, DS2 VM.7.2, VM.7.3



Performance und Kapazität der IT-Ressourcen Das Erfordernis, die Performance und Kapazität der IT-Ressourcen zu managen, bedingt einen Prozess, mit dem periodisch die aktuelle Per-formance und Kapazität der IT-Ressourcen beurteilt wird. Dieser Prozess berücksichtigt die Prognose künftiger Bedürfnisse, basierend auf den Anforderungen an die Arbeitslast, den Speicher und an die Sicherstellung des störungsfreien Betriebs (engl.: contingency). Dieser Prozess bie-tet die Bestätigung, dass die Unternehmenserfordernisse unterstützende Informations-Ressourcen kontinuierlich zur Verfügung stehen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.17

Planung und Konzeption Beschaffung Implementierung Betrieb

Transparenz Skalierbarkeit

Reifegrade KPI


CobiT, DS3 ITIL

IT-Kontinuitätspläne IT-Kontinuitätspläne sollten entwickelt, aufrechterhalten und getestet werden. Dieses beinhaltet die ausgelagerte Aufbewahrung von Backup und das regelmäßige Training des Notfallvorsorgeplans. Ein wirksamer Prozess für kontinuierliche Services minimiert die Wahrscheinlichkeit von bedeutenden Unterbrechungen von IT-Services und deren Auswirkung auf wesentliche Unternehmensfunktionen und –prozesse. Der CobiT-Prozess „Stelle den Kontinuierlichen Betrieb sicher“ (DS4) besitzt besondere Relevanz zur Gewährleistung hoher und höchster Verfügbarkeiten. Im Rahmen des HV-Assessment wir dessen Reife-grad in die Bechmark aufgenommen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.18




CobiT, DS4 BSI 100-4


http://www.bsi.de/literat/bsi_standard/standard_1004.pdf


Schulung aller Benutzer Die wirksame Schulung aller Benutzer von IT-Systemen, inklusive jenen innerhalb der IT, erfordert die Identifikation des Schulungsbedarfs für jede Benutzergruppe. Zusätzlich umfasst dieser Prozess die Festlegung und Umsetzung einer Strategie für wirksame Schulungen und die Mes-sung der Ergebnisse. Ein wirksames Ausbildungsprogramm verbessert die wirkungsvolle Nutzung von Technologie durch die Reduktion von Anwenderfehlern, die Erhöhung der Produktivität und eine erhöhte Compliance mit wesentlichen Controls, wie benutzerbezogene Sicherheits-maßnahmen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.19


Fehlertoleranz Transparenz

Reifegrade KPI

Menschliches Versagen CobiT, DS7

Service Desk- und Incident-Management Die rechtzeitige und wirksame Beantwortung von Anfragen und Problemen von IT-Anwendern erfordert einen gut konzipierten und umgesetz-ten Service Desk- sowie Incident-Management-Prozess. Dieser Prozess umfasst die Etablierung einer Service Desk- Funktion mit Entgegen-nahme, Incident-Eskalation, Trend- und Ursachenanalyse sowie Lösung. Der Nutzen für das Kerngeschäft beinhaltet eine erhöhte Produktivität durch die rasche Lösung von Benutzeranfragen. Die Klassifizierung von Incidents ist Voraussetung für eine schnelle Problembehandlung gege-benenfalls durch die Bereitstellung von Workarounds. Der CobiT-Prozess „Manage den Service Desk und Incidents“ (DS8) besitzt besondere Relevanz zur Gewährleistung hoher und höchster Verfügbarkeiten. Im Rahmen des HV-Assessment wird dessen Reifegrad in die Bechmark aufgenommen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.20

Betrieb Automatismen Fehlertoleranz

Reifegrade KPI


CobiT, DS8 ITIL (Service Desk / Inci-dent Management)



Konfigurationsmanagement Um die Integrität der Hard- und Softwarekonfiguration sicherzustellen, sind die Entwicklung und der Unterhalt eines Repository mit richtigen und vollständigen Konfigurationsinformationen erforderlich. Dieser Prozess umfasst die initiale Sammlung von Konfigurationsinformationen, die Erstellung einer Basis-/Referenzkonfiguration (engl.: baseline), die Verifikation und Überprüfung der Konfigurationsinformation sowie die Aktualisierung des Repository der Konfigurationsdaten bei Bedarf. Ein effektives Konfigurationsmanagement unterstützt eine höhere System-verfügbarkeit, minimiert Fehler in der Produktion und löst Fragen (engl.: issues) schneller. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.21

Planung und Konzeption Beschaffung Implementierung Betrieb Notfallvorsorge

Transparenz Skalierbarkeit Automatismen

Reifegrade KPI


CobiT, DS9

Problem-Management Ein wirksames Problem-Management erfordert die Identifikation und Klassifikation von Problemen, die Grundursachenanalyse (engl.: root cause analysis) und die Lösung von Problemen. Der Problem-Management-Prozess umfasst außerdem die Identifikation von Verbesserungs-empfehlungen, die Verwaltung der Problemaufzeichnungen und die Überprüfung des Status von korrigierenden Maßnahmen. Ein wirksamer Problem-Management Prozess verbessert Service Levels, reduziert Kosten und verbessert den Komfort und die Zufriedenheit der Benutzer. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.22

Betrieb Transparenz Fehlertoleranz Automatismen

Reifegrade KPI

Menschliches Versagen Technische Ermüdung Fehler in Hard- oder Software

CobiT, DS10 ITIL



Datenmanagement Ein wirksames Datenmanagement erfordert die Identifikation der Anforderungen an die Daten. Der Datenmanagement-Prozess umfasst auch die Entwicklung wirksamer Verfahren zum Management der Medien-Bibliothek, der Sicherung und Wiederherstellung von Daten sowie die sorgsame Vernichtung von Medien. Eine wirksames Datenmanagement hilft, die Qualität, Aktualität und Verfügbarkeit von Geschäftsdaten zu gewährleisten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.23


Transparenz Automatismen Fehlertoleranz

Reifegrade KPI

Menschliches Versagen Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

CobiT, DS11

Management der physischen Umgebung Der Schutz von Computer-Ausrüstung und Personal erfordert eine gut konzipierte und verwaltete physische Einrichtungen. Der Prozess für das Management der physischen Umgebung umfasst die Festlegung der Anforderungen an den physischen Standort, die Auswahl geeigneter Ein-richtungen und das Design wirksamer Prozesse zur Überwachung von Umweltfaktoren und des Management des physischen Zutritts. Ein wirk-sames Management der physischen Umgebung reduziert Unterbrechungen der Kerngeschäftsprozesse durch Schäden an Computer-Ausrüstung und Personal. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.24


Transparenz Automatismen Fehlertoleranz

Reifegrade KPI

Naturkatastrophen Sabotage, Manipulation

CobiT, DS12 HVK (Infrastruktur)


http://www.bsi.de/fachthem/hochverfuegbarkeit/11_Infrastruktur.pdf


Betriebsmanagement Die vollständige und richtige Verarbeitung von Daten erfordert ein effektives Management der Datenverarbeitung und Wartung von Hardware. Dieser Prozess umfasst die Festlegung von Betriebsanweisungen sowie Verfahren zum wirksamen Management der zeitgesteuerten Verarbei-tung, den Schutz von sensitivem Output, die Überwachung der Infrastruktur und vorbeugende Wartung von Hardware. Ein wirksames Be-triebsmanagement hilft, die Datenintegrität zu erhalten, und reduziert Verzögerungen der Abläufe und operative IT-Betriebskosten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.25

Betrieb Automatismen Reifegrade KPI

Naturkatastrophen Menschliches Versagen Fehler in Hard- oder Software Geplante Ausfallzeiten

CobiT, DS13

Tabelle 4 Maßnahmenkatalog IT-Organisation und Personal: Leistungserbringung und Unterstützung



Überwachung und Bewertung

Nr. Maßnahme Überwachungsprozess für die Managementprozesse Ein wirksames Management der IT-Performance erfordert einen Überwachungsprozess. Dieser Prozess umfasst die Festlegung von relevanten Performance-Indicators, eine systematische und zeitnahe Berichterstattung der Performance und promptes Handeln im Fall von Abweichungen. Eine Überwachung ist erforderlich, um sicherzustellen, dass die richtigen Aufgaben entsprechend der vereinbarten Ausrichtung und Richtlinien wahrgenommen werden. Im Rahmen des HV-Assessment wird der Reifegrad des IT-Prozesses „Monitore & Überwache IT-Performance“ (ME1) in die Benchmark aufgenommen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.26

Planung und Konzeption Transparenz Automatismen

Reifegrade KPI


CobiT, ME1

Überwachungsprozess für internen Kontrollprozess Die Einrichtung eines wirksamen Internal Control Programms für die IT erfordert einen wohl-definierten Überwachungsprozess. Dieser Pro-zess umfasst die Überwachung von Abweichungen bei Controls, Ergebnissen von Self-Assessments und externen Reviews sowie die Berichter-stattung. Ein wesentlicher Nutzen der Überwachung von Internal Controls ist, eine Bestätigung über den wirksamen und wirtschaftlichen Be-trieb und die Einhaltung der entsprechenden Gesetze und Vorschriften zu erhalten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.27


Transparenz Automatismen

Reifegrade KPI


CobiT, ME2



Unabhängige Review-Prozesse Eine wirksame Aufsicht erfordert die Einrichtung eines unabhängigen Review-Prozesses, um die Einhaltung von Gesetzen und Vorschriften sicherzustellen. Dieser Prozess umfasst die Definition einer Audit Charter, die Unabhängigkeit des Auditors, berufsbezogene ethische Grundla-gen und Standards sowie die Planung, Durchführung, Berichterstattung und Nachverfolgung von Prüfungsaktivitäten. Das Ziel dieses Prozesses ist, in Bezug auf die IT eine positive Bestätigung der Einhaltung von Gesetzen und Vorschriften zu erhalten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.28



Reifegrade KPI


CobiT, ME3

Governance-Frameworks Die Einrichtung eines wirksamen Governance-Frameworks umfasst die Festlegung von Organisationsstrukturen, Prozessen, Führung, Rollen und Verantwortlichkeiten, um sicherzustellen, dass IT-Investitionen der Unternehmen an den Unternehmensstrategien und -zielen ausgerichtet sind und umgesetzt werden.


VM.2.29



Reifegrade KPI


CobiT, ME4



Durchführung von Verfügbarkeit- und Lasttests Mit der Durchführung von Verfügbarkeits- und Lasttests können übergeordnete Status- und Zustandsinformationen über die Qualität der HV-Architektur oder einzelner Komponenten gewonnen werden. Da diese Tests in der Regel mit einer erheblichen Belastung des HV-Verbundes einhergehen müssen sie sorgfältig geplant und aus den Tests resultierende Beeinträchtigungen des Betriebs bzw. der Verfügbarkeit der Gesamt-architektur in jedem Fall vermieden werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.2.30

Betrieb Notfallvorsorge

Robustheit Verfügbarkeit Lastverhalten Reifegrad


HVK (Software) HVK (Netzwerk) HVK (Server) HVK (Storage) HVK (Datenbanken) CobiT, DS3

Tabelle 5 Maßnahmenkatalog IT-Organisation und Personal: Überwachung und Bewertung


http://www.bsi.de/fachthem/hochverfuegbarkeit/10_Software.pdf

http://www.bsi.de/fachthem/hochverfuegbarkeit/4_Netzwerk.pdf

http://www.bsi.de/fachthem/hochverfuegbarkeit/6_Server_Hardware.pdf

http://www.bsi.de/fachthem/hochverfuegbarkeit/7_Speichertechnologien.pdf

http://www.bsi.de/fachthem/hochverfuegbarkeit/9_Datenbanken.pdf


Netzwerk Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für die Realisierung hoch verfügbarer Netzwerkar-chitekturen. Dies umfasst die folgenden Subdomänen:

• Komponenten

• Leitungsführung

• Protokolle

• Architekturen



Komponenten

Nr. Maßnahme Einsatz hochwertiger Kabel und Lichtwellenleiter Der Einsatz hochwertiger Kabel und Lichtwellenleiter gewährleistet garantierte Datenraten auf einem hohen Niveau (z. B. CAT-5-6-7). Die Beschaffung sowie der Einsatz solcher hochwertiger Komponenten in der Verkabelung tragen zur Zuverlässigkeit und Robustheit der Netzinf-rastruktur bei. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.1

Beschaffung Implementierung

Robustheit Durchsatz EMV Klimabeständigkeit


HVK (Netzwerk) VM.11.29

Verwendung entstörter Geräte im Gebäude Der Betrieb nicht ordnungsgemäß entstörter Geräte in Gebäuden (auch im Umfeld der Betriebsumgebung) kann Einfluss auf die Übertragungs-qualität einer kabellosen Übertragung haben. Daher sollten nur ordnungsgemäß entstörte Komponenten beschafft und installiert werden. (z. B. Aufzug, Klimatisierung, Lüftung, etc.) um die Zuverlässigkeit und Betriebssicherheit der technischen Infrastruktur nicht durch Störeinflüsse zu beeinträchtigen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.2

Beschaffung Robustheit EMV Sabotage, Manipulation Fehler in Hard- oder Software

HVK (Netzwerk)





Einsatz von Fibre Channel oder iSCSI. In vielen Teilbereichen der HV-Architektur sind harte Garantien für den Netzdurchsatz nötig. Um diese zu erreichen, stehen spezialisierte Übertragungsprotokolle wie Fibre Channel oder iSCSI zur Verfügung, die einen hohen Durchsatz bei guter Zuverlässigkeit sicher stellen kön-nen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.3


Robustheit Fehlertoleranz

Durchsatz Fehler in Hard- oder Software

HVK (Netzwerk) HVK (Storage)

Einsatz von Fibre Channel-Switches In SANs müssen Fibre Channel-Switches (FC-Switches) eingesetzt werden. Sie bilden das Rückgrat eines SANs, steuern den Datenfluss bei hohem Durchsatz und sind für die reibungslose und zuverlässige Kommunikation innerhalb des SANs verantwortlich. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.4




HVK (Netzwerk) HVK (Storage)

Einsatz von Switches für Punkt-zu-Punkt-Verbindung Um die technologieimmanente Gefahr von Kollisionen zu vermeiden, müssen leistungsstarke Switches eingesetzt werden, die praktisch eine Punkt-zu-Punkt-Verbindung zwischen den Netzgeräten herstellen. Durch die Vermeidung von Kollisionen werden sowohl die Zuverlässigkeit als auch der Durchsatz der Netzkommunikation erhöht. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.5




HVK (Netzwerk)








Einsatz von NICs mit Diagnoseeinheiten Es müssen NICs beschafft und eingesetzt werden, welche mittels Diagnoseschnittstellen die Funktionsbereitschaft (etwa ein Carrier-Signal) an das darüber liegende Betriebssystem melden und so den Einsatz von Automatismen im Monitoring erlauben. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.6

Beschaffung Automatismen Überwachung Fehler in Hard- oder Software

HVK (Netzwerk) VM.10.2

Einrichtung breitbandiger Uplinks der Switche mittels Trunking Die breitbandigen Uplinks der Switche dürfen nicht nur über einen einzelnen Port erfolgen, sondern müssen über mehrere Ports miteinander gekoppelt werden. Dieses oft Trunking genannte Verfahren ermöglicht es dem Switch, die Verbindungen über mehrere Ports und mehrere phy-sikalische Medien gleichzeitig zu führen. Darüber hinaus muss eine Logik zum Erkennen und Ausführen eines (Echtzeit-) Fail-Overs bereits im Switch realisiert (Hot-Stand-By). Durch diese Redundanz können SPoF vermieden werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.7

Planung und Konzeption Redundanz SpoF Fehler in Hard- oder Software

HVK (Netzwerk)

Einsatz von SSL-Proxies Zur Erlangung einer Session-Transparenz verschlüsselter Sitzungen müssen SSL-Proxies eingesetzt werden. Diese erlauben bei einem Fail-Over redundanter Server im Cluster eine Fortführung bestehender Sessions und führen zu einer Minimierung der Aktivierungszeit der Redun-danz. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.8

Planung und Konzeption Redundanz Aktivierungszeit Fehler in Hard- oder Software

HVK (Netzwerk)






Einsatz von Layer-4-Switches Als präventive Maßnahme zur transparenten Lastverteilung sollten Layer-4-Switches eingesetzt werden, da sie eine Ende-zu-Ende-Betrachtung von Sitzungen gewährleisten können. Sie sind allerdings häufig nur für fest definierte Protokolle, wie insbesondere HTTP verfügbar. Sie erhö-hen die Zuverlässigkeit sowie den Durchsatz der über das Protokoll abgewickelten Kommunikation. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.9




HVK (Netzwerk)

Tabelle 6 Maßnahmenkatalog Netzwerk: Komponenten




Leitungsführung

Nr. Maßnahme Errichtung redundanter Netzanschlüsse Topographisch sind geswitchte Netze zunächst sternförmig angeordnet, d. h. alle Server im Segment sind in der Regel an einem Switch zentral gekoppelt. Dies führt jedoch klassisch zu einem SPoF und ist daher zu vermeiden.Für Server-Systeme sollen idealerweise pro IT-System meh-rere redundante Netzanschlüsse vorgesehen werden, die über dedizierte Kabel zu unabhängigen Switches führen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.10


Redundanz SpoF Fehler in Hard- oder Software

HVK (Netzwerk)

Herstellung wechselseitiger Raumverkabelung Eine wechselseitige Raumverkabelung der Client-Systeme zur Vermeidung von SPoF mittels unabhängiger Switches muss hergestellt werden. So können die Server bei Ausfall eines Switches noch von der verbleibenden Hälfte der Clients erreicht werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.11


HVK (Netzwerk)

Unterschiedliche Wegstrecken der Kabelführung Um die Gefahr der Nichtverfügbarkeit durch mechanische Unterbrechungen der Kabelführung zu minimieren, müssen unterschiedliche Weg-strecken der Kabelführung durch redundante Verkabelung realisiert und SPoF vermieden werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.12

Planung und Konzeption Implementierung

Redundanz SpoF Strukturell

Naturkatastrophen Menschliches Versagen

HVK (Netzwerk)






Einsatz alternativer Übertragungsstrecken/-technik Zur Wiederherstellung einer Verbindung sollte eine alternative Übertragungsstrecke und Übertragungstechnik eingerichtet werden (z. B. Richt-funk, Wireless LAN nach IEEE 802.11a/b/g und WiMax). Die Diversität der eingesetzten Redundanz erhöht die Zuverlässigkeit der Kommu-nikation und reduziert die Gefahr der Kommunikationsstörung durch den Ausfall einer Strecke bzw. einer Kommunikationstechnik. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.13


Redundanz SpoF Diversität

Naturkatastrophen Menschliches Versagen Sabotage, Manipulation

HVK (Netzwerk)

Erzeugung von Mehrpfadigkeit durch Switch-Redundanz Zur Realisierung einer Pfadredundanz müssen mehrere Switche eingesetzt werden, die es ermöglichen, alternative Pfade zwischen zwei Netz-geräten anzubieten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.14


HVK (Netzwerk)





Errichtung redundanter Trassenführung Redundante Trassenführung bedeutet eine parallele, aber unabhängige Topographie der Übertragungsmedien. So können Kabel unterschiedlich geführt werden. Dabei kann die Topologie auch über unterschiedliche Vermittlungsstellen erfolgen. Sehr wirkungsvoll ist hier die Ringtopolo-gie, da von jedem Standort zu jedem anderen Standort stets zwei Wege bei geringem Aufwand bereitstehen. Auch bei Richtfunk oder Satelli-tenfunk ist eine Verbindung zu verschiedenen Vermittlungssystemen denkbar. Richtfunkstrecken können bei Einsatz von Relais über topogra-phisch unterschiedliche Trassen geführt werden. Durch diese Redundanz werden SPoF vermieden sowie die Anfälligkeit der Kommunikations-architektur gegenüber Störeinflüssen reduziert. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.15


Redundanz SpoF Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software

HVK (Netzwerk)

Entwicklung eines Hierarchiekonzepts für alternative Kommunikationswege Es muss eine hierarchische Architektur der alternativen Kommunikationsgesamtlösung entwickelt werden, die in Abhängigkeit von der durch die Kommunikation zu überbrückende Distanz unterschiedliche Basis-Technologien zum Einsatz bringt. Den hierbei zum Einsatz kommenden Basis-Technologien liegt hierbei eine Clusterung der Kommunikation hinsichtlich bestimmter Hierarchie-Ebenen zugrunde, die sich an der räumlichen Lokation orientiert. Durch geeignete Auswahl und Separation der Kommunikationswege können so SPoF vermieden und die Akti-vierungszeit der Redundanz im Fehlerfall erheblich reduziert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.16


Redundanz Separation

SpoF Aktivierungszeit

Naturkatastrophen Sabotage, Manipulation Fehler in Hard- oder Software

HVK (Netzwerk)





Verwendung alternativer Übertragungsmedien Es müssen Alternativmedien verwendet werden, welche unempfindlich gegen eine oder mehrere Gefährdungen des im Normalbetrieb genutz-ten Übertragungsmediums sind. Die implementierte Redundanz sollte eine weitestmögliche Diversität aufweisen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.17


Redundanz SpoF Naturkatastrophen Sabotage, Manipulation Fehler in Hard- oder Software

HVK (Netzwerk)

Vermeidung von Lagehinweisen Kommunikationskabel müssen so verlegt werden, dass keine unmittelbaren Lagehinweise ersichtlich sind. Die Vermeidung von Lagehinweisen dient zur Erschwerung von gezielten Angriffen auf die Übertragungsmedien. Zu dieser Maßnahme gehört auch die unauffällige Installation von technischem Equipment im Freien oder an entfernten Orten (z. B. Relais). Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.18


Robustheit Resistent Sabotage, Manipulation GSK M 1.12

Tabelle 7 Maßnahmenkatalog Netzwerk: Leitungsführung



http://www.bsi.de/gshb/deutsch/m/m01012.htm


Protokolle

Nr. Maßnahme Verwendung von Spanning-Tree-Protocol (STP) Das Spanning-Tree-Protocol (STP, IEEE Std 802.1D-2004) wird zur Vermeidung von Netzwerkblockaden verwendet und erlaubt darüber hin-aus mittels Heartbeat-Mechanismus und HELLO-Paketen die Auswahl alternativer Pfade. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.19


HVK (Netzwerk)

Verwendung von RSTP oder MSTP Es können verbesserte Alternativen zu STP eingesetzt werden, welche die Konvergenzzeit deutlich reduzieren. Mit RSTP (IEEE 802.1w) und MSTP (IEEE 802.1s, besonders im Umfeld des Einsatzes von VLANs) wurden leistungsfähigere Nachfolger entworfen, die eine durchschnittli-che Fail-Over-Zeit von circa einer Sekunde ermöglichen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.20


HVK (Netzwerk)





Dynamisches Routing mit BGP (äußeres Fail-Over) Die Wegewahl zwischen Übergabepunkten von Autonomen Systemen kann über spezialisierte Protokolle wie dem Exterior Gateway Protocol (EGP) bzw. seiner fast ausschließlich anzutreffenden Realisierung durch das Border Gateway Protocol (BGP) realisiert werden (s. RFC 1654 (BGP-4)). Durch die Verwendung dieser Protokolle wird auch ein dynamisches Routing ermöglicht, welches die Zusendung von Datenpaketen über verschiedene Service Provider ohne Änderung der IP-Adressen erlaubt. So kann eine erhebliche Reduzierung der Aktivierungszeit im Feh-ler- bzw. Störfall erreicht werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.21


HVK (Netzwerk)

Tabelle 8 Maßnahmenkatalog Netzwerk: Protokolle




Architekturen

Nr. Maßnahme Entwicklung eines Router Cluster Bei einem Router Cluster werden zwei oder je nach Verfügbarkeitsanforderungen mehrere funktional gleichartige Router mit jeweils eigenen IP-Adressen in einem Subnetz aufgebaut. Zusätzlich wird eine virtuelle IP-Adresse vergeben, die funktional den gesamten Cluster abbildet, unabhängig davon, welcher Cluster-Knoten gegenwärtig aktiv ist. Die einzelnen Knoten stehen über ein Heartbeat-Protokoll in dauerhaftem Kontakt. Fällt der aktive Knoten aus, so übernimmt ein bis dahin passiver Knoten innerhalb kürzester Zeit die IP-Adresse des Clusters. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.22


Redundanz Aktivierungszeit Fehler in Hard- oder Software

HVK (Netzwerk)

Fail-Over-Protokolle (internes Fail-Over) Zur Realisierung eines Cluster-internen Fail-Overs können die folgenden Fail-Over-Protokolle verwendet werden: VRRP (Virtual Router Re-dundancy Protocol), HSRP (Hot Stand-By Routing Protocol) oder in begrenztem Umfang CARP (Common Address Redundancy Protocol). Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.23

Planung und Konzeption Automatismen Aktivierungszeit Fehler in Hard- oder Software

HVK (Netzwerk)





Errichtung von Round Robin DNS Wenn Web-Server in einem Cluster betrieben werden, muss erreicht werden, dass eine gleichmäßige Verteilung der Web-Anfragen mittels HTTP (Hypertext Transfer Protocol) stattfindet. Im Domain Name Service können zu diesem Zweck unter einem Namen mehrere IP-Adressen abgelegt werden. Diese werden theoretisch in undeterministischer Weise bei Abfragen zurückgeliefert und führen zu einer Lastverteilung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.24


Automatismen Durchsatz Fehler in Hard- oder Software

HVK (Netzwerk)

Errichtung einer Cluster-fähigen Firewall Eine Firewall muss umfangreiche Statusinformationen sammeln, die sie für ihre Funktionsweise benötigt. Die innerhalb der HV-Architektur eingesetzte Firewall muss cluster-fähig sein, d. h. sie muss Status- und Zustandsinformationen mit den weiteren Firewalls im Cluster austau-schen können. Im Fail-over muss eine andere Firewall im Cluster die Steuerung der Sitzung mit einer für den Benutzer hinreichenden Sitzungs-transparenz innerhalb kürzester Zeit übernehmen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.25



HVK (Netzwerk)





Redundanz statischer Schlüssel im Gateway-Cluster Statische Schlüssel (Preshared Keys, PSK) müssen optimalerweise schon a priori auf die Stand-By-Systeme aufgebracht werden, damit diese bei einem Fail-Over unmittelbar eingesetzt werden können. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.26



HVK (Netzwerk)

Einsatz eines DNS Baum-Cluster Bei DNS-Servern sollte das Konzept des „Versteckten Primärservers“ (Hidden primary) verwendet werden. Von dem Primär-Server erfolgt hierbei ein Zonentransfer auf alle Sekundär-Server, die so alle auf dem gleichen Stand gehalten werden und die Client-Anfragen bearbeiten. Es handelt sich dabei um eine Ausprägung eines Baum-Clusters, bei dem jedoch auf den Wurzel-Knoten nicht zugegriffen wird. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.3.27


Redundanz SpoF Fehler in Hard- oder Software

HVK (Netzwerk)

Tabelle 9 Maßnahmenkatalog Netzwerk: Architekturen





Cluster Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für die Realisierung hoch verfügbarer Cluster als Bündelung gleichartiger IT-Systemes innerhalb eines hoch verfügbaren IT-Verbundes. Die Subdomänen:

• Lastverteilung

• Gruppierungsarten

• Topologien und Arbitration

• Ressourcenverteilung

formulieren wesentliche Aspekte und Prinzipien für das Design HV-gerechter Clusterarchitekturen.



Lastverteilung

Nr. Maßnahme Realisierung eines Hochverfügbarkeits-Cluster Zur Realisierung eines Hochverfügbarkeits-Clusters auf der Basis eines Lastverteilungs-Clusters werden zwei oder je nach Verfügbarkeitsan-forderungen mehrere funktional gleichartige IT-Systeme aufgebaut. Neben der eigentlichen Wirkfunktion verfügt ein Cluster in seiner Gesamt-heit über zusätzliche Arbitrierungsfunktionen, die die Synchronisation der Einzelsysteme sicherstellen. Angesprochen wird ein Cluster i. d. R. über die Adresse der Arbitrier-Einheit. Lastverteilungs-Clusters sind besonders geeignet, wenn eine hohe Verfügbarkeit für einen Dienst bei Gewährleistung einer Mindestdienstgüte erreicht werden muss. Ein solcher Cluster realisiert Redundanz bei guter Skalierbarkeit und vermeidet SPoFs bei minimaler Aktivierungszeit der Redundanz. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.1


Redundanz Skalierbarkeit

SpoF Skalierungsfaktor Aktivierungszeit


HVK (Cluster) VM.1.1

Tabelle 10 Maßnahmenkatalog Cluster: Lastverteilung


http://www.bsi.de/fachthem/hochverfuegbarkeit/5_Cluster-Architekturen.pdf


Gruppierungsarten

Nr. Maßnahme Gruppierung als N-in-1 Cluster Für die Realisierung eines N-in-1 Cluster werden N logische Einheiten auf einer physikalischen Einheit kombiniert. Die Art der logischen Ein-heit differiert je nach Anwendungsfall. Es kann sich dabei um eine vollständige Betriebssystem-Instanz handeln, wie sie etwa bei Hardwarevir-tualisierungen anzutreffen ist. Es kann sich aber auch lediglich um die mehrfache Ausführung einzelner Dienste auf einer Instanz wie bei Web-server-Farmen handeln. Ein N-in-1 Cluster verfügt zwar über funktionale, aber nicht über strukturelle Redundanz. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.2






Gruppierung als 1-in-M Cluster Eine logische Einheit wird auf M verschiedene Hardwareeinheiten verteilt, so dass bei Einzelsystemausfällen strukturelle Redundanz vorhan-den ist. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.3










Gruppierung als N-in-M Cluster N logische Einheiten werden auf M physikalischen Einheiten kombiniert, so dass diese Clustervariante in der Lage ist, unterschiedliche logi-sche Einheiten auf mehrere physikalische Einheiten zu verteilen und sowohl strukturelle als auch funktionale Redundanz zu realisieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.4






Einsatz von Grid-Computing Das Grid-Computing bildet eine Sonderform des Clusters, in dem eine große Zahl von lose gekoppelten, in der Regel heterogenen Systemen, für verteilte Aufgaben eingesetzt wird. Aufgrund der losen Kopplung sowie der geographischen und funktionalen Diversität bietet diese Archi-tektur im HV-Umfeld eine hohe Robustheit gegenüber äußeren Störeinflüssen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.5


Redundanz Skalierbarkeit Autonomie Robustheit

Kopplungsgrad Diversität

Menschliches Versagen Technische Ermüdung Fehler in Hard- oder Software Naturkatastrophen Sabotage, Manipulation


Tabelle 11 Maßnahmenkatalog Cluster: Gruppierungsarten





Topologien und Arbitration

Nr. Maßnahme Errichtung eines Shared-Memory-Cluster Bei einem Shared-Memory-Cluster wird der Gesamtverbund aus einem Multiprozessor-System gebildet. Je nach Variation bieten derartige Sys-teme unterschiedliche Leistungsmerkmale, deren wesentliche Kenngrößen die Anzahl der parallelen CPUs und die einfache Austauschbarkeit von Teilkomponenten durch Ersatzkomponenten im laufenden Betrieb sind. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.6



SpoF Skalierungsfaktor Aktivierungszeit Synchronisation Arbitration



Einsatz von active-active Paar-Cluster Ein Paar-Cluster besteht aus zwei (oder prinzipiell auch mehreren) Einzel-Systemen, die quasi gleichwertig sind. Ein active-active betriebenes System zeichnet sich dadurch aus, dass beide Elemente gleichzeitig produktiv arbeiten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.7


Redundanz SpoF Skalierungsfaktor Aktivierungszeit Synchronisation Arbitration







Einsatz von active-passive Paar-Cluster Ein Paar-Cluster besteht aus zwei (oder prinzipiell auch mehreren) Einzel-Systemen, die quasi gleichwertig sind. Die active-passive-Betriebsart zeichnet sich dadurch aus, dass immer nur ein System zu einem Zeitpunkt produktiv arbeitet, was im Fehlerfall zu einer höheren Aktivierungs-zeit der Redundanz führen kann. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.8


Redundanz SpoF Skalierungsfaktor Aktivierungszeit Synchronisation Arbitration



Einsatz von vermaschten Cluster Beim vermaschten Cluster handelt es sich um ein teil- oder vollvermaschtes Netz, das nur für spezielle parallelisierbare Anwendungen einge-setzt werden kann. Auf den Cluster kann typischerweise nur über gesonderte APIs (Programmierschnittstellen) zugegriffen werden. Durch die Vermaschung werden ein verbesserter Durchsatz sowie eine erhöhte Zuverlässigkeit erreicht. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.9


Fehlertoleranz Skalierbarkeit

Durchsatz Synchronisation Arbitration



Einsatz von Baum-Cluster mit Dispatcher Der Baum-Cluster besteht aus einer zweistufigen Baumstruktur, bei der immer eine zusätzliche Komponente notwendig ist, nämlich der Dispatcher. Diese erste Stufe sorgt für die Verteilung der Daten oder Aufträge an die einzelnen operativen Cluster-Elemente. Die Dispatcher-Stufe muss ebenfalls redundant ausgelegt werden um einen SPoF innerhalb der Clusterarchitektur zu vermeiden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.10




Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten







Synchronisation der Cluster-Elemente Es müssen Clustervarianten eingesetzt werden, bei denen der Dispatcher Zustandsinformationen mitprotokolliert und im Falle eines Ausfalls die gerade durchgeführte Aktion auf ein verbliebenes System umleitet. So wird eine Minimierung der Aktivierungszeit der Redundanz bei wei-testgehender Transparenz für die Anwender erreicht. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.11






Loadbalancer als Dispatcher Ein Loadbalancer muss derart als Dispatcher eingesetzt werden, dass er die Verteilung der Daten oder Aufträge auf die einzelnen Knoten durchführt. Er muss hierbei Sessions gleichmäßig verteilen und auf die Auslastung der Knoten reagieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.12






Einsatz eines Bus-Cluster Typischerweise übernimmt ein System am Bus die Arbitration der Cluster-Kommunikation. Da ein System das primäre System ist, werden die Daten von diesem System angenommen und auf die übrigen Systeme, die die so genannten sekundären Systeme sind, verteilt. Der Verteilvor-gang erfolgt gegebenenfalls durch erneutes Senden der Nutzdaten über den gemeinsamen Bus. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.13











Einsatz von Content Switching In Ergänzung zum Einsatz von Load-Balancern (in der Regel Layer 2-3) sowie zu deren Erweiterung kann ein Content-Switching auf den Lay-ern 4-7 innerhalb eines Clusters erfolgen. Dies erlaubt eine auf den Inhalt basierte Lastverteilung innerhalb des Clusters, die insbesondere für Webserver eingesetzt werden kann. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.14

Planung und Konzeption Implementierung Betrieb





Tabelle 12: Maßnahmenkatalog Cluster: Topologien und Arbitration




Ressourcenverteilung

Nr. Maßnahme Errichtung eines Multiple-Site-Clusters Für die Errichtung eines Multiple-Site-Clusters werden die Cluster-Knoten oft mehrere Kilometer auseinander in verschiedenen Rechenzentren platziert. Diese Art von Cluster nennt man auch „stretched Cluster“ oder geographisch verteilte Cluster. Sie realisieren insbesondere geographi-sche Redundanz. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.15

Planung und Konzeption Implementierung Notfallvorsorge

Redundanz Skalierbarkeit Separation

SpoF Skalierungsfaktor Aktivierungszeit Geographisch



Errichtung eines Heterogenen Clusters Bei heterogenen Cluster muss neben unterschiedlichen Betriebssystemen und Hardware die Funktionalität in einer anderen Ausprägung, z. B. durch Mehrfachprogrammierung, redundant ausgelegt werden. So wird eine größtmögliche Diversität der Redundanz erreicht. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.4.16

Planung und Konzeption Implementierung Notfallvorsorge

Redundanz SpoF Diversität



Tabelle 13 Maßnahmenkatalog Cluster: Ressourcenverteilung





Server Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen für den Einsatz von Serverkomponenten innerhalb einer hoch verfügbaren IT-Architektur. Die Maßnahmenbündel der Subdomänen beinhalten Verfahren und Lösungen, die auf den Verfügbarkeitsprinzipien Robustheit, Fehlertoleranz sowie Wart-barkeit und Skalierbarkeit. Die Subdomänen:

• Architektur

• Wartbarkeit und Skalierbarkeit



Architektur

Nr. Maßnahme Fehlertolerante Hardware Für den Einsatz in der HV-Umgebung sollten Komponenten eingesetzt werden, deren Architektur fehlertolerante Hardware aufweist. Diese zeichnen sich im Wesentlichen durch Redundanz der Bauteile und einen entsprechende Architektur aus. Die Komponenten können über redun-dante Lüfter, redundante Netzwerkkarten, redundante Netzteile, redundante Boards, Hot-Swap-Technik und Watchdogs verfügen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.1


Fehlertoleranz Fehlertolerant Technische Ermüdung Fehler in Hard- oder Software

HVK (Server)

Server mit Core-Architektur Die CPU-Core-Architektur bietet im Vergleich zu herkömmlichen Standard-CPU-Architekturen eine deutliche verbesserte Takt-Effizienz bei wesentlich reduziertem Energieverbrauch. Multi-Core-Architekturen bilden die Basis für die Parallelisierung von Anwendungen bei guter Ska-lierbarkeit und hohem Datendurchsatz. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.2



Energieverbrauch Takteffizienz

Technische Ermüdung Geplante Ausfallzeiten

HVK (Server)





Einsatz eines Virtual Machine Monitor (VMM) Ein Virtual Machine Monitor (auch als Hypervisor bezeichnet) realisiert eine Hardwarevirtualisierung und steuert die Verteilung und Zuwei-sung der zur Verfügung stehenden Hardware-Ressourcen auf die jeweiligen Gastsysteme. So können die, die Hardware-Virtualisierung nutzen-den Betriebssysteme nahezu unverändert auf den Wirtservern betrieben werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.3

Betrieb Notfallvorsorge Implementierung

Skalierbarkeit Redundanz Robustheit Separation Autonomie

Skalierungsfaktor Aktivierungszeit

Technische Ermüdung Geplante Ausfallzeiten Naturkatastrophen Menschliches Versagen Fehler in Hard- oder Software

HVK (Server)

Tabelle 14: Maßnahmenkatalog Server: Robustheit und Fehlertoleranz




Wartbarkeit und Skalierbarkeit

Nr. Maßnahme Hot-Swap-Technik Es müssen IT-Systemen mit Hot-Swap-Technik eingesetzt werden. Die Hot-Swap-Technik beschreibt die Möglichkeit, einzelne Komponenten auch im laufenden Betrieb zu wechseln. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.4


Skalierbarkeit Fehlertolerant Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Server)

Einsatz virtueller Maschinen Virtuelle Maschinen müssen in HV-Umgebungen dann eingesetzt werden, wenn Server schnell räumlich verlagert werden müssen. Virtuelle Maschinen stellen eine Möglichkeit dar, mehrere, logisch getrennte Server auf einem einzigen physischen Server zur Verfügung zu stellen. Bei Bedarf können virtuelle Maschinen schnell zu einem anderen physischen Server transferiert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.5


Virtualisierung SpoF Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Server)





Einsatz von Blade-Server In HV-Umgebungen können Server mit Blade-Architektur eingesetzt werden. Die Blade-Architektur ist dadurch gekennzeichnet, dass ein voll-ständiger physischer Server (CPU, Hauptspeicher, E/A) auf einer Hauptplatine zusammengefasst wird. Diese Einheit kann dann in ein vertika-les, so genanntes Sub-Chassis, gesteckt werden. Die einzelnen physischen Blade-Server können bei einem Ausfall durch Ziehen der Steckkarte einfach und schnell ausgetauscht werden. So wird eine verbesserte Wartbarkeit und Zuverlässigkeit des Gesamtsystems erzielt. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.6


Skalierbarkeit Skalierungsfaktor Aktivierungszeit

Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Server)

Einsatz eines Out-of-Band Management Beim In-Band Management erfolgt das Systemmanagement über die bereits vorhandenen Standard-Netzwerke, die auch zur Übermittlung der Nutzdaten verwendet werden. Im HV-Umfeld sollte ein Out-of-Band Management realisiert werden, welches im Unterschied zum In-Band Management ein separates, in der Regel physikalisch getrenntes Administrationsnetz verwendet. Dieses erlaubt auch bei Ausfall oder Störung der Infrastruktur des Nutznetzes das Management der Systemkomponenten sowie eine Diagnose und Fehlerbehebung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.7


Skalierbarkeit Redundanz Robustheit Separation Autonomie

Aktivierungszeit SpoF

Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten Naturkatastrophen Menschliches Versagen Sabotage, Manipulation

HVK (Netzwerk) HVK (Server)






Vorhaltung standardisierter Komponenten und Konfigurationen Die den Einsatz sowie die Vorhaltung von standardisierten Komponenten und Standardkonfigurationen im Cold-Standby lassen sich im HV-Umfeld sowohl geplante Ausfallzeiten als auch Wiederherstellungszeiten im Störungsfall (Aktivierungszeit der Redundanz) erheblich reduzie-ren. Die Verwendung von erprobten Standardkomponenten und Standardkonfigurationen reduziert darüber hinaus mögliche, aus mangelnder Kompatibilität oder fehlerhafter Konfiguration resultierende Störungen der Implementierung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.5.8


Redundanz Robustheit

Aktivierungszeit Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten Naturkatastrophen Menschliches Versagen

CobiT, AI5 CobiT, DS4

Tabelle 15: Maßnahmenkatalog Server: Wartbarkeit und Skalierbarkeit



Speichertechnologien Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für die Realisierung von Systemen zur Speicherung für die aktive Verarbeitung sowie zur Sicherung und Wiederherstellung von Daten.

Die Strukturierung der Maßnahmen erfolgt in Form von Maßnahmenclustern für die nachfolgend aufgeführten Subdomänen der HV-Domäne „Speichertech-nologien“:

• Festplatten und Schnittstellen

• Speicherarchitekturen

• Dateisysteme

• Datensicherungs- und Wiederherstellungsverfahren

• Virtualisierung, Optimierung und Management



Festplatten und Schnittstellen

Nr. Maßnahme Festplatten-Technik Die Auswahl einer geeigneten Festplatten-Technik muss anhand der Produkteigenschaften der einzelnen Festplatten erfolgen. Dies gilt insbe-sondere in der Auslegung der Zugriffszeiten, Zuverlässigkeit der Komponenten oder eingesetzten Cache-Mechanismen. Zur Auswahl stehen hierbei Einsatz von SAS (Serial Attached SCSI) zur Erzielung eine Höchstleistungs-Plattenanbindung mit hoher Skalierbarkeit, der Einsatz von iSCSI zur Realisierung virtueller Ende-zu-Ende Verbindungen über TCP/IP unter Nutzung vorhandener Netzwerkkomponenten sowie eines SCSI-Routers und der Einsatz von FC (Fibre Channel) für die Erzielung hoher Übertragungsraten, Kabellängen und einer großen Anzahl von Festplatten am Bussystem.


VM.6.1

Beschaffung Planung und Konzeption

Fehlertoleranz Robustheit Skalierbarkeit

Übertragungsgeschwin-digkeit Datenbusbreite Maximale Kabellänge Maximale Anzahl Fest-platten

Fehler in Hard- oder Software Technische Ermüdung

HVK (Speichertechnolo-gien)

Festplatten-Sub-System Auswahl eines geeigneten Festplatten-Sub-Systems. Festplattensubsysteme bestehen aus mehreren einzelnen Festplatten sowie RAID-Controllern und sind auf Modularität, Skalierbarkeit und Verfügbarkeit optimiert. Die Systemkomponenten, wie Stromversorgung, Lüfter und Controller-Baugruppen, müssen redundant ausgeführt sein. Hier können Festplattensubsysteme mit RAID-Controllern und ein bis zwei Fest-plattenkanälen sowie physikalisch mehrpfadige Anschlüsse zur Erzielung einer Redundanz der Datenverbindungen realisiert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.2

Beschaffung Betrieb Planung und Konzeption

Automatismen Autonomie Fehlertoleranz Redundanz Robustheit Skalierbarkeit

Redundanz der System-komponenten Grad der Mehrpfadigkeit Kopplungsprinzip


HVK (Speichertechnolo-gien) VM.6.1








Nr. Maßnahme RAID Durch den Einsatz eines RAID kann sowohl eine Erhöhung der Datensicherheit durch Redundanz, als auch eine Steigerung der Qualitätsmerk-male, wie Transferrate oder Latenz, durch gleichzeitige Ansteuerung von mehreren Festplatten erreicht werden. Hierbei kommen mehrere Re-dundanzverfahren zum Einsatz. Neben der strukturellen Redundanz werden funktionelle Redundanz sowie Informationsredundanz eingesetzt, um eine (nach außen) fehlertolerante Komponente als Gesamtsystem zu realisieren. Hierbei kommen neben Software-RAIDs hauptsächlich Hardware-RAIDs mit Hot-Plug und Hot-Spare-Funktion der RAID-Level 2, 5 oder 6 zum Einsatz. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.3

Beschaffung Planung und Konzeption

Automatismen Autonomie Fehlertoleranz Redundanz Robustheit Skalierbarkeit Virtualisierung

Redundanzverfahren Performanz Ausfallsicherheit

Fehler in Hard- oder Software Geplante Ausfallzeiten Technische Ermüdung


Tabelle 16: Maßnahmen Speichertechnologien: Festplatten und Schnittstellen




Speicherarchitekturen

Nr. Maßnahme Direct Attached Storage (DAS) Einsatz von Direct Attached Storage – Speicher. Als Direct Attached Storage (DAS) werden Massenspeicher bezeichnet, die direkt an ein Rechnersystem angeschlossen sind. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.4

Beschaffung Betrieb Planung und Konzeption

Robustheit Separation

Performanz Administrierbarkeit Skalierbarkeit



Network Attached Storage (NAS) Einsatz eines Network Attached Storage. Das Konzept von Network Attached Storage (NAS) basiert auf einer zentralisierten Datenhaltung und ist eine an das lokale Netz angeschlossene Massenspeichereinheit. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.5

Beschaffung Betrieb Planung und Konzeption Implementierung

Autonomie Fehlertoleranz Separation Skalierbarkeit Virtualisierung


Fehler in Hard- oder Software Technische Ermüdung Sabotage, Manipulation








Storage Area Network (SAN) Einsatz von Storage Area Network – Speicher. Ein Storage Area Network (SAN) ist unabhängig vom lokalen Netz und beinhaltet ausschließ-lich Speichersysteme. Ein SAN basiert auf Glasfasertechnologie und erlaubt sehr hohe Transferraten (bis zu 2 Gbps) zwischen Host und Daten-speicher. Die Errichtung eines SANs schafft die Voraussetzungen für Skalierbarkeit, Speicher-Redundanz, und geographische Separation.


VM.6.6

Beschaffung Betrieb Notfallvorsorge Planung und Konzeption Implementierung

Autonomie Fehlertoleranz Redundanz Robustheit Separation Skalierbarkeit


Fehler in Hard- oder Software Technische Ermüdung Sabotage, Manipulation Geplante Ausfallzeiten


SAN-Topologie Auswahl einer geeigneten SAN-Topologie. Speichernetze (SAN) stellen topologisch eine Direktverbindung zwischen einem Server- und einem Speichersubsystem dar. Es wird zwischen drei verschiedenen Topologien unterschieden: Direkte Verbindung (engl. Point-to-Point), Fibre Channel Arbitrated Loop (FC-AL) und Switched Fabric.


VM.6.7

Planung und Konzeption Autonomie Fehlertoleranz Redundanz Robustheit Separation Skalierbarkeit

Bandbreite Maximale Distanz Ausfallsicherheit Vermaschungsgrad

Fehler in Hard- oder Software Geplante Ausfallzeiten Naturkatastrophen Sabotage, Manipulation Technische Ermüdung








Auswahl eines Arbitrationsverfahrens Die Arbitration beschreibt Verfahren, bei denen sich die Nutzer nach einer gegenseitigen Vereinbarung das Zugangsrecht für eine Ressource bestimmen. Das LUN-Masking realisiert die Zugriffssteuerung innerhalb eines SANs über Logical Unit Numbers (LUNs), die eine feste Bezie-hung zwischen Server- und logischer Speichereinheit bilden. Beim Zoning wird zur Zugriffssteuerung festgelegt, welche FC-Ports miteinander kommunizieren dürfen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.8


Automatismen Fehlertoleranz Priorisierung Robustheit Separation Skalierbarkeit

Verklemmung Priorisierung







Fibre-Channel-Kopplung Fibre Channel ist eine serielle Verbindungstechnik, die von ANSI (ANSI X3T11) standardisiert wurde. Der Fibre Channel hat weder eine ka-naltypische Architektur noch eine netzwerktypische; er kombiniert die Vorteile beider Architekturen in einer einzigen I/O-Schnittstelle mitein-ander. Die Fibre Channel-Verbindungen sind Punkt-zu-Punkt-Verbindungen zwischen zwei Fibre Channel-Controllern des Servers und des Speichergerätes. Fibre Channel hat sich im High-End-Bereich des Hochgeschwindigkeitstransfers etabliert und ist weniger für den universellen LAN-Einsatz mit wechselnden Verkehrsprofilen geeignet. Ideal ist diese Verbindungstechnik für Speichernetze und wegen der vorhersagbaren Übertragungszeiten auch für Video-Übertragungen. Insbesondere für den Aufbau von HV-Architekturen werden vermaschte Strukturen reali-siert, da diese eine höhere Ausfallsicherheit bieten. Sie erfordern allerdings eine aufwändige, von den einzelnen Switches abzuwickelnde Über-tragungssteuerung, was sich negativ auf Latenzzeiten und Performanz auswirken kann. Die Multi-Path-Funktionalität stellt auf einem Server-system redundante Datenpfade zum Speicherlaufwerk zur Verfügung und beugt auf diesem Weg einem Ausfall vor. Auf einem Serversystem wird Multi-Path mit Hilfe redundanter Host-Bus-Adapter und dem dazugehörigen Treiber mit Multi-Path-Unterstützung realisiert.


VM.6.9


Automatismen Fehlertoleranz Priorisierung Robustheit Separation Skalierbarkeit

Performance Echtzeitverhalten Mehrpfadigkeit Latenzzeiten



Tabelle 17 Maßnahmen Speichertechnologien: Speicherarchitekturen





Dateisysteme

Nr. Maßnahme Auswahl geeigneter Dateisysteme Das Dateisystem realisiert als Schicht zwischen Festplattensubsystem und Anwendung das Ordnungs- und Zugriffssystem für die Daten. Für die HV-Umgebung hat die Auswahl der geeigneten Dateisysteme eine große Bedeutung um Zuverlässigkeit und Robustheit der Datenspeiche-rung sowohl lokal als auch in verteilten Architekturen zu gewährleisten.


VM.6.10


Automatismen Fehlertoleranz Redundanz Robustheit Skalierbarkeit

Protokoll Locking Caching Multipathing Journaling Eignung LAN/WAN Maximale Dateigröße Recovery Redundanz Snapshots Lastverteilung Skalierbarkeit


HVK (Speichertechnolo-gien) CobiT, PO2





Einsatz des Universal Disk Format UDF steht für „Universal Disk Format“ und wurde insbesondere für optische Speichermedien entwickelt. Es gewährleistet durch eine gleich-mäßige Belastung des Mediums eine möglichst hohe Lebensdauer und bietet darüber hinaus ein Defekt-Management zur Ausblendung bereits verbrauchter (überbelasteter, defekter) Bereiche des verfügbaren Speicherbereichs. Das Medium kann so weiter verwendet werden, auch wenn bereits Teile davon defekt sind.


VM.6.11


Automatismen Fehlertoleranz Robustheit








Einsatz des Distributed File Systems Ein Distributed File System (DFS) stellt ein Netzwerkprotokoll dar, welches den Zugriff auf Dateien über ein Rechnernetz ermöglicht. Die Da-teispeicherung erfolgt dabei auf mehreren Servern im Netz. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.12


Fehlertoleranz Protokoll Locking Caching Multipathing Journaling Eignung LAN/WAN Maximale Dateigröße Recovery Redundanz Snapshots Lastverteilung Skalierbarkeit

Fehler in Hard- oder Software Geplante Ausfallzeiten Menschliches Versagen Naturkatastrophen Sabotage, Manipulation Technische Ermüdung






Einsatz des Andrew File Systems Das Andrew File System (AFS) bietet eine gute Skalierbarkeit und kann die verfügbaren Ressourcen über das gesamte Internet transparent verwalten. Das AFS-Konzept ist eher ganzheitlich orientiert und ermöglicht es, Sekundärspeicher ohne Unterbrechung aufzurüsten. Einem Fi-leserver können mehrere IP-Adressen zugeordnet werden, sodass beim Ausfall einer Netzwerkschnittstelle ein Wechsel zu einer anderen Schnittstelle erfolgen kann. Aufgrund der dezentralen Steuerung des AFS sowie der autonomen Volumeninstanzen können Totalausfälle wir-kungsvoll vermieden werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.13


Automatismen Fehlertoleranz Redundanz Robustheit Skalierbarkeit








Einsatz eines Clusterdateisystems Die Clusterdateisysteme GFS und GPFS bieten auf den Einsatz von Clustersystemen optimierte Mechanismen und unterstützen die Verwaltung konkurrierender paralleler Zugriffe durch Sperrmechanismen, die transparente Bereitstellung von redundanten Festplattensystemen, transparen-te Trennung ausgefallener Server, clusterweite Management-Interfaces, Snapshots und synchrone Spiegelung.


VM.6.14


Automatismen Autonomie Fehlertoleranz Redundanz Robustheit Separation Skalierbarkeit








Einsatz des Network File System Das Network File System NFS ermöglicht das Zuordnen von Dateisystemen entfernter Rechner sowie entfernter Ressourcen wie z. B. Drucker auf lokale Dateisysteme bzw. lokale Anwender. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.15


Separation Skalierbarkeit








Nutzung des Common Internet File System Das Common Internet File System (CIFS) ergänzt und verbessert die Standardprotokolle FTP und HTTP und stellt als Netzwerk-Dateisystem für Internet-Anwendungen den Benutzern im ganzen Netzwerk bezeichnete Festplattenbereiche zur Verfügung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.16


Fehlertoleranz Redundanz Robustheit Separation Skalierbarkeit Virtualisierung








Verwendung des Direct Access Filesystem Das Direct Access Filesystem (DAFS) bietet eine gegenüber NFS und CIFS verbesserte Verfügbarkeit, Performanz und Zuverlässigkeit und erlaubt einen direkten Datentransfer vom Speicher eines Systems auf ein anderes System. So kann eine Steigerung der Performanz bei geringer Belastung der CPU erreicht werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.17


Automatismen Autonomie Fehlertoleranz Robustheit




Tabelle 18 Maßnahmen Speichertechnologien: Dateisysteme





Datensicherungs- und Wiederherstellungsverfahren

Nr. Maßnahme HV-Datensicherungskonzept Ein HV-Datensicherungskonzept muss entwickelt und umgesetzt werden. Um die Verfügbarkeit der Daten bei einem Komponentenausfall in einem HV-Betrieb zu gewährleisten ist eine Spiegelung der Daten auf einem weiteren Speichersystem erforderlich. Diese Maßnahme ist zwecklos bei Totalverlust, Fehlbedienung, Sabotage, Malware oder Softwarefehler (z. B. Blockkorruption), da sich diese Beeinträchtigung auch auf die gespiegelten Daten auswirkt. Im IT-Notfall muss auf eine zuverlässige Datensicherung zurückgegriffen werden können. Das Datensi-cherungskonzept im HV-Umfeld muss deshalb den folgenden Anforderungen genügen:

a. persistente (zeitlich dauerhafte) und konsistente (unanfällig gegen Datenverluste) Datenhaltung, b. die Datensicherungsmechanismen dürfen den HV-Betrieb nicht wesentlich beeinträchtigen (z. B darf ein Dienst während des

Backups nicht deaktiviert werden), c. die Datensicherung muss eine ausreichende Aktualität gewährleisten um den potentiellen Datenverlust zu minimieren, d. die Datensicherung muss hinreichende Historie ermöglichen, e. externer Lagerort der Datensicherung (geographische Trennung), f. schnelle Wiederherstellung der Daten.


VM.6.18

Aussonderung Beschaffung Betrieb Notfallvorsorge Planung und Konzeption Implementierung

Automatismen Autonomie Fehlertoleranz Priorisierung Redundanz Robustheit Separation Skalierbarkeit Virtualisierung

Dauer der Wiederherstel-lung Aktualität der Sicherungs-daten Persistenz Konsistenz Unterbrechungsdauer des Betriebs Historie Geographische Trennung Reifegrad


HVK (Speichertechnolo-gien) CobiT, DS4 GSK M 6.33







Nr. Maßnahme Datenwiederherstellung Neben der Festlegung der Datensicherungsstrategie stellt die Festlegung des Wiederherstellungsprozesses der Daten einen wichtigen Bestand-teil der HV-Konzeption dar. Hierbei ist zu berücksichtigen, dass die Wiederherstellung der Daten zwar in der Regel den größten Zeitaufwand beansprucht, sie aber, neben der Fehleranalyse und der Wiederherstellung der Anwendung selbst, nur ein Bestandteil des gesamten Wiederher-stellungsprozesses ist. Bei der Festlegung der Datenwiederherstellungsstrategie sind folgende Aspekte zu berücksichtigen:

g. In welcher Zeit müssen Daten nach einem Ausfall wiederhergestellt (Recovery Time Objective – RTO) werden? h. Wie aktuell müssen die wiederhergestellten Daten sein? Wie viel Datenverlust kann in Kauf genommen werden (Recovery

Point Objective – RPO)? i. Wie groß ist die zu sichernde Datenmenge?

Welche Backup-Medien / -Orte stehen zur Verfügung? Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.19



Dauer der Wiederherstel-lung Aktualität der Sicherungs-daten Persistenz Konsistenz Unterbrechungsdauer des Betriebs Historie Geographische Trennung Reifegrad


HVK (Speichertechnolo-gien) CobiT, DS4


Offline Datensicherung auf Band Eine Offline-Datensicherung muss durchgeführt werden. Bei einer Offline-Sicherung werden alle Benutzer, die eine Verbindung mit dem zu sichernden Server haben, vom Netz getrennt. Für die Dauer der Sicherung können sich Benutzer nicht am System anmelden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.20


Priorisierung Redundanz Skalierbarkeit

Dauer der Wiederherstel-lung Aktualität der Sicherungs-daten Persistenz Konsistenz Unterbrechungsdauer des Betriebs Historie Geographische Trennung

Fehler in Hard- oder Software Menschliches Versagen Naturkatastrophen Sabotage, Manipulation Technische Ermüdung


Online Datensicherung auf Band Eine Online-Datensicherung muss durchgeführt werden. Bei der Online-Sicherung bleibt die Verbindung zum Server für die Benutzer erhalten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.21


Priorisierung Redundanz Skalierbarkeit










Spiegelung Die Festplattensysteme müssen gespiegelt werden. Die Datenspiegelung ist der Prozess, Daten simultan auf zwei Festplatten (Subsysteme) zu schreiben. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.22


Automatismen Fehlertoleranz Redundanz Robustheit




IP-Mirroring Das IP-Mirroring erlaubt die unmittelbare Spiegelung von Daten über das IP-Netzwerk. Während der Einsatz eines synchronen IP-Mirroring die Konsistenz von Original und Spiegel gewährleistet, ist dessen Einsatz aufgrund von Performanceeinbußen auf hohe Übertragungsbandbrei-ten sowie kurze Entfernungen begrenzt. Beim asynchronen IP-Mirroring können durch den Einsatz von Pufferspeichern sowie den Verzicht auf die vollständige Konsistenz auch große Entfernungen für die Erzeugung von geographisch separierten Spiegeln überbrückt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.23


Automatismen Redundanz Robustheit










Synchrone Replikation Die Datensätze werden synchron repliziert. Wenn die Primärdaten und Replikate gleiche Datensätze haben, also keine Latenz vorhanden ist, spricht man von Synchronität. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.24






Asynchrone Replikation Die Datensätze werden asynchron repliziert. Wenn zwischen der Bearbeitung der primären Daten und der Replizierung eine Latenz liegt, spricht man von Asynchronität. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.25












Snapshot, Abbild der Festplattendaten Ein Snapshot ist ein lokal gespeichertes Abbild der Festplattendaten zu einem bestimmten Zeitpunkt. Ein Snapshot kann in kurzer Zeit erstellt werden und eignet sich sehr gut für die Zwischenspeicherung von Daten. Die Snapshot-Technik wird im NAS- und SAN-Umfeld eingesetzt. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.26






Datensicherung, Split Mirror Zunächst wird für eine anstehende Datensicherung der Hardware-Spiegel kurzzeitig aufgetrennt (Split Mirror). Anschließend wird der Daten-spiegel innerhalb eines SANs mit großer Geschwindigkeit an ein Backup-Rechner-System übergeben (Replikation auf ein weiteres System). Danach wird die Trennung des Hardware-Spiegels aufgehoben und der Spiegel resynchronisiert sich mit dem primären System. Die folgende (eigentliche) Datensicherung auf ein Band kann nun zeitunkritisch erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.27


Automatismen Autonomie Fehlertoleranz Priorisierung Redundanz Robustheit Separation Skalierbarkeit










Vollsicherung Bei einer Vollsicherung werden sämtliche Daten eines Servers, einer Festplatte, einer Partition oder eines Verzeichnisses gesichert.


VM.6.28






Differentielle Sicherung Bei der differentiellen Sicherung werden alle Daten, die nach der letzten Vollsicherung entstanden sind oder verändert wurden, bei jedem Si-cherungslauf erneut erfasst.


VM.6.29


Automatismen Fehlertoleranz Priorisierung Redundanz Robustheit Separation Skalierbarkeit










Inkrementelle Sicherung Die inkrementelle Sicherung setzt auf der Vollsicherung auf und sichert nur die Dateien die seit der letzten Sicherung (voll oder inkrementell) veränderten wurden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.30






Virtuelle Vollsicherung Die virtuelle Vollsicherung ist ein Backup, das aus einem Full Backup und darauf aufbauenden inkrementellen Backups zusammengestellt wird. Zuerst wird ein Full Backup erstellt. Zu einem späteren Zeitpunkt wird ein inkrementelles Backup erzeugt. Anschließend bildet die Back-up-Software aus dem Full Backup und dem inkrementellen Backup, durch einpflegen der entsprechenden geänderten Blöcke ein neues (virtuel-les) Full Backup. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.31


Automatismen Fehlertoleranz Priorisierung Redundanz Robustheit Separation Skalierbarkeit Virtualisierung










Image-Sicherung Die Image-Sicherung entspricht grundsätzlich der Vollsicherung, da sämtliche Daten gesichert werden. Bei der Image-Sicherung werden aber nicht die einzelnen Dateien und Verzeichnisse einer Festplatte gesichert, sondern die physikalischen Sektoren der Festplatte, d. h. es wird eine ganze Festplatte oder eine ganze Partitionen gesichert. Beim Recovery wird ebenfalls die Festplatte oder die Partition komplett wiederherge-stellt. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.32










Bandrotation Die Bandrotation bestimmt bei Bandsicherungen im entscheidenden Maße sowohl die Sicherungs- als auch die Wiederherstellungszeit. Mit ihrer Hilfe wird das Datensicherungsintervall in Verbindung mit der Datensicherungsstrategie geplant. Hierfür stehen grundsätzlich folgende Strategien zur Verfügung:

j. Sechs-Tage-Rotation k. Grandfather-Father-Son l. Towers of Hanoi


VM.6.33



Anzahl benötigter Bänder Komplexität des Verfah-rens Sicherungszeitraum Dauer der Wiederherstel-lung Aktualität der Sicherungs-daten Persistenz Konsistenz Unterbrechungsdauer des Betriebs Historie Geographische Trennung







Lokale Datensicherung Die lokale Datensicherung sichert mit Hilfe eines direkt am Rechnersystem angeschlossenen Sicherungslaufwerks die lokalen Festplatten. Die-se dezentrale Topologie bietet einen guten Datendurchsatz, ist aber relativ unflexibel, weil immer nur ein System gesichert werden kann. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.34






Netz-Datensicherung Eine Netz-Datensicherung muss durchgeführt werden. Die Netz-Datensicherung ist ein zentraler Sicherungsansatz. Die zu sichernden Rechner-systeme werden über die Netzinfrastruktur auf ein zentrales Sicherungslaufwerk gesichert. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.35












SAN-Datensicherung Eine SAN-Datensicherung muss durchgeführt werden. Storage Area Network (SAN) sind dedizierte hoch performante Speichernetze, die aus-schließlich für die Übertragung von Daten zu Massenspeichern gedacht sind. Festplattensubsysteme und Datensicherungssysteme werden über spezielle Protokolle wie Fibre Channel oder iSCSI direkt miteinander gekoppelt, so dass Daten zentral gesichert werden können.


VM.6.36






Disk-to-Disk-Backup Eine Disk-to-Disk-Sicherung muss durchgeführt werden. In dieser Sicherungsarchitektur werden die Daten vom primären auf ein sekundäres Festplattensystem kopiert. Dieses zweite Festplattensystem muss aus Gründen der Ausfallsicherheit unabhängig vom primären System sein. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.37












Disk-to-Tape-Backup Die Disk-to-Tape-Sicherung ist die klassische Datensicherung von Festplattendaten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.38


Fehlertoleranz Priorisierung Redundanz Robustheit Separation Skalierbarkeit




Disk-to-Disk-to-Tape-Backup Die Sicherung von Disk-to-Disk-to-Tape verbindet die Vorteile Disk-to-Disk und Disk-to-Tape. Mit Hilfe einer performanten Festplattensiche-rung werden die Daten für eine sichere Bandsicherung zwischengespeichert. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.39












Disk-to-Disk-to-Any-Backup Bei der Disk-to-Disk-to-Any wird ein Festplattenmedium zur Zwischenspeicherung der Daten benutzt. Das Medium, auf dem die Daten letzt-endlich gesichert werden, kann je nach Anforderung und Anwendung variieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.40






Tabelle 19 Maßnahmen Speichertechnologien: Datensicherungs- und Wiederherstellungsverfahren





Virtualisierung, Optimierung und Management

Nr. Maßnahme Virtualisierung von Storage Die Speicher-Virtualisierung stellt Betriebssystem und Applikation einen virtuellen Speicherbereich zur Verfügung, der unabhängig von der physikalischen Ausprägung verwendet werden kann. Die Nutzung des Storage ist insbesondere unabhängig von der Art, der tatsächlichen Grö-ße und Standort des physikalischen Speichersystems.


VM.6.41

Betrieb Planung und Konzeption Implementierung

Automatismen Fehlertoleranz Priorisierung Redundanz Robustheit Separation Skalierbarkeit Virtualisierung

Grad der Zentralisierung der Steuerung







Einsatz von Speichervirtualisierung Bei der Speichervirtualisierung werden die verschiedenen physischen Speichermedien zu einem virtuellen Speicherpool zusammengefasst. Aus diesem Speicherpool kann bedarfsabhängig virtueller Speicher zusammengestellt werden, der vom Host als lokale Speichereinheit verwaltet wird. Die Speichervirtualisierung schafft damit die Voraussetzung für die zentrale und flexible Verwaltung heterogener Speicherarchitekturen. Hierbei kommen die nachfolgenden Ansätze zur Anwendung:

m. In-Band n. Out-of-Band o. Host-basierende Virtualisierung p. Speichersystem-basierende Virtualisierung q. FC-Switch Virtualisierung


VM.6.42



Grad der Zentralisierung der Steuerung







Konzeption und Umsetzung eines Speichermanagement Das Speichermanagement als zentraler Bestandteil der HV-Speicherlösung hat die Sicherstellung der Sicherheit, der Verwaltbarkeit sowie der Effizienz der Datenhaltung zum Ziel. Dies beinhaltet die Verwaltung und Organisation der Speicherkomponenten, die dynamische Zuteilung von Ressourcen, die Datensicherung und Wiederherstellung, die Archivierung sowie die Optimierung der Speicherinfrastruktur. Das Speicher-Management stellt darüber hinaus Schnittstellen zu anderen IT-Prozessen sowie zur übergeordneten IT-Organisation zur Verfügung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.43



Sicherheit der Daten Grad der Verwaltbarkeit Effizienz der Datenhal-tung Reifegrad


HVK (Speichertechnolo-gien) CobiT, DS3 CobiT, DS4

Realisierung eines Speicher-Ressourcen-Management Das Speicher-Ressourcen-Management (Storage Ressource Management – SRM) realisiert als einer der Bausteine des Speicher-Managements die Steuerung und Überwachung der Speicher-Ressourcen. Durch den Einsatz von Speicher-Management-Tools kann automatisiert auf Ereig-nisse reagiert sowie netzwerkweite und plattformunabhängige Zuweisung und Nutzung der Ressourcen realisiert werden.


VM.6.44



Grad der Katalogisierung Grad der Überwachung Grad der AutomatisierungKopplungsgrad der Res-sourcen Reifegrad


HVK (Speichertechnolo-gien) CobiT, DS3







Aufbau einer Speicherhierarchie Die geeignete Priorisierung der Datenbestände und Anordnung der Primär-, Sekundär- und Tertiärspeicher ermöglicht neben der Optimierung des Kosten-/Nutzen-Verhältnisses der Speicherarchitektur eine konfigurierbare Berücksichtigung der Wertigkeiten und HV-Anforderungen der Daten sowie eine optimale Anpassung an Archivierungs- und Backup-Anforderungen.


VM.6.45



Grad der Priorisierung Homogenität des Daten-pools Grad der Effizienz Reifegrad



Einsatz von Automatismen Durch den Einsatz von Hersteller- und geräteunabhängigen Automatismen zum Aufbau, zur Verwaltung und zum Betrieb der Speicherstruktu-ren kann in einer virtualisierten Speicherumgebung die automatisierte Verteilung und Bewegung der Daten auf Basis der benötigten Verfügbar-keit und der geforderten Antwortzeit realisiert werden.


VM.6.46



Automationsgrad Fehler in Hard- oder Software Geplante Ausfallzeiten Menschliches Versagen Naturkatastrophen Sabotage, Manipulation Technische Ermüdung








Etablierung und Aufrechterhaltung eines Informations-Management Das Informations-Management führt eine Betrachtung, Klassifizierung und Kategorisierung der Informationen aus Sicht der Geschäftsprozesse durch und stellt den Rahmen für Information-Lifecycle-Management-Lösungen (ILM) zur Verfügung. Das Informations-Management definiert die Basis für die Regelwerke der SRM-Automatismen zur effizienten Verteilung der Daten auf die Speicherhierarchie. Insbesondere die Klassi-fizierung ist für einen differenzierten Umgang mit den Daten unerlässlich und kann manuell sowie teilweise auch automatisiert anhand der Kri-terien Zugriffshäufigkeit, Alter, Dateityp oder Dateiinhalt erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.47



Grad der Klassifizierung Automationsgrad der Klassifizierung Aktualität der Klassifizie-rung Reifegrad



Etablierung eines Information Lifecycle Management Im Idealfall verwaltet das Speicher-Management-System den gesamten Speicher-Lifecycle von Design und Implementierung der Konfiguration bis hin zur Kapazitätskontrolle und Optimierung der Performanz. Diesen Lösungsansatz bildet die Methodensammlung des Information Life-cycle Managements (ILM) durch eine Kombination aus Prozessen und Technologien.


VM.6.48



Ganzheitlichkeit Fehler in Hard- oder Software Geplante Ausfallzeiten Menschliches Versagen Naturkatastrophen Sabotage, Manipulation Technische Ermüdung








Realisierung einer Management-Dienstleistung Ein konsequent ausgestaltetes Speicher-Management ermöglicht durch Standardprozesse und –rollen eine nahtlose Einbindung in die Gesamt-organisation (z. B. nach ITIL oder CobiT) der IT-Ressourcen. Durch die gemeinsame Nutzung aller Schnittstellen und wichtiger Funktionen in Form von „Common Services“ beeinflussen Ereignisse aus anderen Bereichen so auch immer das Speicher-Management und bilden die Vor-aussetzung für ganzheitliche hoch verfügbare Speicherlösungen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.49



Grad der Standardisierung der Prozesse Dokumentationsgrad der Aktionen und Schnittstel-len Grad der Gemeinsamkeit der Nutzung



Kombinierte Datensicherungsverfahren Erst die Einführung der Speichervirtualisierung und des zentralisierten Speicher-Managements schafft die Bedingungen für eine nahezu belie-bige Kombination von Datensicherungsverfahren. Die Ausprägung und Eignung der jeweiligen Kombination der Verfahren ist dabei abhängig vom konkreten Anwendungsszenario. Einen möglichen Lösungsansatz zur Berücksichtigung der unterschiedlichen Aspekte stellt die Methode des Continous Data Protection (CDP) dar. Sie erlaubt es, Datensätze beliebiger Zeitpunkte zu rekonstruieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.50

Aussonderung Beschaf-fung Betrieb Notfallvorsorge Planung und Konzeption Implementierung


Grad der Störung des Pro-duktivsystems Grad der Klassifizierung Reifegrad des Recovery-Plans Grad der geographischen Trennung Kontinuität der Speiche-rung

Fehler in Hard- oder Software Geplante Ausfallzeiten Menschliches Versagen Naturkatastrophen Sabo-tage, Manipulation Tech-nische Ermüdung








Einsatz SMI-S fähiger Produkte Dem Bestreben nach Vereinheitlichung und zentraler Verwaltung der Speicherarchitektur im HV-Umfeld steht die Vielzahl an verfügbaren Technologien, Produkten und Anbietern entgegen. Die Storage Management Initiative (SMI) innerhalb der Hersteller-Organisation SNIA (Sto-rage Networking Industry Association) bemüht sich hierbei um einheitliche Terminologie und einheitliche Schnittstellen für Speicher-Management-Produkte. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.51



Grad der SNIA-Konformität



Einsatz von Error-Correction-Codes (ECC) Im Rahmen der Datenspeicherung und Übermittlung sollten grundsätzlich Fehlererkennende und Fehlerkorrigierende Codes zum Einsatz kommen. Diese gewährleisten durch die Verwendung redundanter Bits (Informationsredundanz) neben der Erkennung von fehlerhaften Bits auch deren Korrektur. Grundsätzlich ist hierbei zu beachten, dass in Abhängigkeit vom eingesetzten Verfahren Fehler nur mit einer begrenzten Wahrscheinlichkeit erkannt und auch nur in begrenzter Größenordung behoben werden können. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.6.52


Robustheit Redundanz

Erkennungsrate Behebungsrate Grad der Redundanz

Technische Ermüdung Fehler in Hard- oder Software Naturkatastrophen


Tabelle 20 Maßnahmen Speichertechnologien: Virtualisierung, Optimierung und Management







IT-Dienste Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für die Realisierung von IT-Diensten im HV-Umfeld. Die Strukturierung der Maßnahmen erfolgt in Form von Maßnahmenclustern für die nachfolgend aufgeführten Subdomänen der HV-Domäne „IT-Dienste“:

• Dienst-Management

• Dienst-Design

• Dienstredundanz

• Dienstorientierte Architekturen

• Dienstfindung



Dienst-Management

Nr. Maßnahme Dienstbeschreibung Der zu realisierende Dienst muss exakt beschrieben werden. In der Regel erfolgt die Beschreibung in einem Service Level Agreement (VM.7.3). Aus Sicht der Verfügbarkeit gehören dazu: • Die Darstellung der Funktionalität des Dienstes, d. h. zum einen die Festlegung der durch den Dienst zu erbringenden Leistung (Nutzungs-

funktionalität), zum anderen die zur Konfiguration oder Überwachung des Dienstes erforderlichen Funktionen (Management-Funktionalität).

• ·Die Darstellung der Zeiten, an denen der Dienst zur Verfügung steht. • ·Die Darstellung von Kriterien zur Bewertung der Dienstgüte (VM.7.2). • Die Beschreibung des Dienstzugangspunktes (Service Access Point) genannt, an dem der Dienst dem Dienstnutzer durch den Dienstanbie-

ter zur Verfügung gestellt wird. • Die Definition der Schnittstelle, über die dem Dienstnutzer die Management-Funktionalität ermöglicht wird (Management-

Dienstzugangspunkt). Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.1


Robustheit Resistent Beschreibungsgrad


HVK (Dienste)


http://www.bsi.de/fachthem/hochverfuegbarkeit/8_IT-DiensteundDienstleistungen.pdf



Nr. Maßnahme Definition von Dienstgüteparametern Die qualitativen Eigenschaften eines Dienstes müssen mit den Dienstgüteparametern beschrieben werden. Sie geben die Anforderungen vor, die der Anbieter eines Dienstes im Rahmen seiner Leistungserbringung zu erfüllen hat z. B: Verfügbarkeit (Bereitstellungszeit, maximale Aus-fallzeiten, Ausfallhäufigkeiten, Initialierungszeit), Bandbreite (Datenübertragungsrate), Latenzzeit, Jitter, Fehlerrate.


VM.7.2


Robustheit Resistent Beschreibungsgrad


HVK (Dienste)

Erstellung von Dienstvereinbarungen (Service Level Agreements) Mittels vertraglicher Vereinbarungen zwischen Dienstnutzer und Dienstanbieter müssen die Rahmenbedingungen zur Diensterbringung festge-legt werden. Hierzu gehören z. B. die Dienstfunktionalitäten und die Dienstgüteparameter. Darüber hinaus müssen die Parameter für das Moni-toring des Dienstes festgelegt werden.


VM.7.3


Robustheit Resistent Beschreibungsgrad Reifegrad


HVK (Dienste) CobiT, DS1

Tabelle 21 Maßnahmen IT-Dienste: Dienst-Management




Dienst-Design

Nr. Maßnahme Modellierung der Dienste Dienste müssen modelliert werden. Mit der Modellierung erfolgt die Definition dieser IT-Dienste. Die Modellierung beschreibt, mit welchen IT-Ressourcen eine IT-Dienstleistung erbracht wird, d. h., welche Hardware- und Software-Komponenten, aber auch welche Dienstleistungen aus IT-Organisation (insbesondere IT-Management-Prozesse), IT-Personal und IT-Infrastruktur benötigt werden.


VM.7.4

Planung und Konzeption Skalierbarkeit Priorisierung Robustheit



HVK (Dienste) HVK (Methodik)

Ermittlung von Dienstabhängigkeiten Dienstabhängigkeiten beschreiben prozessuale Abhängigkeiten zwischen IT-Diensten. Diese Abhängigkeiten müssen in der Planungs- und Konzeptionsphase ermittelt werden. Für den Anbieter einer IT-Dienstleistung ist die Kenntnis von Dienstabhängigkeiten wichtig, weil er da-durch erforderliche Informationen für Analyse, Konzeption und Betrieb der IT-Ressourcen erhält. Die Dienstabhängigkeiten sollten mittels Ab-hängigkeitsmodell dargestellt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.5

Planung und Konzeption Skalierbarkeit Priorisierung Robustheit



HVK (Dienste)



http://www.bsi.de/fachthem/hochverfuegbarkeit/2_4_Phase_M.pdf




Nr. Maßnahme Dienstpriorisierung Zeitkritische Dienste müssen mittels Dienstpriorisierung Vorzug gegenüber anderen Diensten erhalten. Im Fall von Lastschwankungen oder im Notbetrieb werden hierbei den Diensten mit höherer Priorität mehr Ressourcen als den anderen Diensten zur Verfügung gestellt, um zumindest den Betrieb der wichtigeren Dienste aufrechterhalten zu können. Die Dienstpriorisierung greift ebenso bei einem Systemausfall, indem die Dienste beim Wiederanlaufen entsprechend der zuvor festgelegten Prioritäten gestartet werden. Die zeitkritischen Dienste müssen ermittelt werden und in einer abgestimmten Priorisierungsliste dokumentiert werden. Wiederanlauf- oder Ressourcenpläne müssen auf dieser Priorisierungsliste basieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.6

Planung und Konzeption Notfallvorsorge

Priorisierung Priorisierung Naturkatastrophen Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Dienste) VM.1.3

Tabelle 22 Maßnahmen IT-Dienste: Dienst-Design



Diensteredundanz

Nr. Maßnahme Strukturelle Dienst-Redundanz Funktionsgleiche IT-Dienste, die der gleichen Aufgabenerfüllung dienen, müssen mehrfach vorhanden sein. Durch redundant ausgelegte Diens-te werden nicht nur „Single Points of Failure“ auf Diensteebene vermieden, vielmehr ist die Dienst-Redundanz eine Grundvoraussetzung für eine Notfallvorsorge. In einer dienstorientierten Architektur lässt sich die Dienst-Redundanz beispielsweise mithilfe des Enterprise-Service-Bus realisieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.7


Redundanz SpoF Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Dienste)

Geografische Dienst-Redundanz Im Rahmen der Notfallvorsorge müssen die (strukturell) redundanten Dienste räumlich ausreichend weit voneinander erbracht werden. Für Organisationen mit unterschiedlichen Standorten bietet es sich an, die damit ohnehin vorhandene strukturelle Redundanz durch eine Vertei-lung der Diensterbringung auf die unterschiedlichen Standorte um die geografische Redundanz zu erweitern. Eine Herausforderung unter dem Gesichtspunkt der Hochverfügbarkeit stellt hierbei die Aktualität des zur Diensterbringung benötigten Daten-materials dar, das bei dem Ausfall eines Standortes am anderen Standort benötigt wird. Um dies zu realisieren, muss in möglichst kurzen Ab-ständen ein regelmäßiger Datenabgleich erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.8



SpoF Distanz


HVK (Dienste)

Tabelle 23 Maßnahmen IT-Dienste: Dienstredundanz





Dienstorientierte Architekturen (SOA)

Nr. Maßnahme Einsatz von dienstorientierten Architekturen (SOA) Funktionalitäten und Aufgaben werden als lose gekoppelte, unabhängige, austauschbare Dienste über Definierte Schnittstellen von einem Ser-vice- Provider angeboten. Durch eine Minimierung der bestehenden Abhängigkeiten zwischen den Diensten untereinander wird die Interoperabilität als Grundlage für Redundanz und Skalierbarkeit gewährleistet. Die Interoperabilität ermöglicht es beispielsweise den Dienstnutzern im Bedarfsfall auf vergleich-bare redundante Dienste (z. B. eines anderen Dienstanbieters) schnell und unkompliziert zu wechseln. Der Anbieter eines Dienstes muss den Dienst autonom anbieten. Der Dienst sollte ein in sich abgeschlossenes Konstrukt und damit in der Lage sein, seine Funktionalität unabhängig von anderen Diensten erbringen zu können. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.9


Redundanz Skalierbarkeit Automatismen

SpoF Aktivierungszeit Automatisierungsgrad Diversität Geographisch Grad Systemautonomie


HVK (Dienste) SOA-Security-Kompendium



http://www.bsi.bund.de/literat/studien/soa/SOA-Security-Kompendium.pdf

http://www.bsi.bund.de/literat/studien/soa/SOA-Security-Kompendium.pdf



Nr. Maßnahme Service-Repository Das Service-Repository muss redundant implementiert und betrieben werden. Das Service-Repository ist eine Grundlage für Redundanz der Dienste, indem es die Dienstanfragen der Nutzer „managt“. Gleichzeitig ist in einer dienstorientierten Architektur ist das Auffinden der Dienste nur über das Service-Repository möglich und stellt somit einen „Single Point of Failure“ dar. Darüber hinaus leistet das Service-Repository einen wichtigen Beitrag zur Skalierbarkeit, da in diesem die einzelnen Dienste gesammelt bereitgestellt werden, die durch die Orchestrierung zu neuen Diensten zusammengesetzt werden können. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.10


Redundanz Skalierbarkeit Automatismen

SpoF Aktivierungszeit Diversität Geographisch Grad Systemautonomie


HVK (Dienste)

Enterprise-Service-Bus (ESB) Zur Dienstanforderung in einer dienstorientierten Architektur muss ein Enterprise-Service-Bus verwendet werden. Der Enterprise-Service-Bus übernimmt die Weiterleitung der Nachrichten vom Dienstnutzer zum Diensterbringer, wandelt Nachrichtenformate um und ruft automatisch bestimmte Konnektoren zur Anpassung von Schnittstellen auf. Zusätzlich übernimmt der Enterprise-Service-Bus Aufgaben wie Orchestrierung, Kommunikation, Verschlüsselung, Load-Balancing und weitere Querschnittsdienste. Um Leistungsengpässe zu vermeiden und Ausfallsicherheit zu gewährleisten muss die ESB-Architektur als verteilte Architektur implementiert und betrieben werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.11


Automatismen SpoF Aktivierungszeit Diversität Geographisch Grad Systemautonomie


HVK (Dienste)

Tabelle 24 Maßnahmen IT-Dienste: Dienstorientierte Architekturen




Dienstfindung

Nr. Maßnahme Einsatz von Universal Plug and Play (UPnP) Um Ad-hoc-Kommunikation von Geräten und Diensten zu ermöglichen, müssen UPnP-fähige Geräte und Dienste eingesetzt werden. Hierbei existiert keine zentrale Anlaufstelle, bei der die angebotenen Dienste registriert werden. UpnP-Geräte und Dienste können mit anderen UpnP-Geräten und Diensten innerhalb eines IP-basierten Netzwerkes in Verbindung treten. Der Informationsaustausch erfolgt über die Proto-kolle IP, TCP, UDP und HTTP. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.7.12


Skalierbarkeit Automatismen

Aktivierungszeit Systemautonomie


HVK (Dienste)

Service Location Protocol (SLP) Zur Auffindung von Diensten in IP-basierten lokalen Netzen muss das UDP und TCP basierende Dienstfindungsprotokoll „Service Location Protocol“ verwendet werden.


VM.7.13


Automatismen Aktivierungszeit Systemautonomie


HVK (Dienste)





Java Intelligent Network Interface (Jini) Zur Auffindung von Diensten muss das Dienstfindungsprotokoll „Java Intelligent Network Interface“ verwendet werden. Jini ermöglicht Gerä-ten, sich selbstständig in einem Netz anmelden und ihre Dienste automatisch ohne Installationsaufwand dem Nutzer zur Verfügung stellen.


VM.7.14

Planung und Konzeption Implementierung Beschaffung

Automatismen Aktivierungszeit Systemautonomie


HVK (Dienste)

Tabelle 25 Maßnahmen IT-Dienste: Dienstfindungsprotokolle




Datenbanken Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für die Realisierung von hoch verfügbaren Daten-banken und Datenbankmanagementsystemen. Die Darstellung der Maßnahmen erfolgt in Form von Maßnahmenclustern für die nachfolgend aufgeführten Subdomänen der HV-Domäne „Datenbanken“:

• Datenbank-Design und -Architektur

• Datenhaltung

• Datenintegrität

• Virtualisierung

• Überwachung



Datenbank-Design und Architektur

Nr. Maßnahme ANSI-SPARC 3-Schema-Konzept Zur Verbesserung der Verfügbarkeit von Datenbanken sollte diese nach ANSI-SPARC 3-Schema konzeptioniert sein. So kann auf jeder Ebene Technik zum Einsatz kommen, die jede für sich die geforderte Verfügbarkeit garantieren und weiterhin über die komplette Kommunikations-strecke hinweg eine bedarfsgerechte Gesamtverfügbarkeit sicherstellen. Bei bestehenden Datenbanken ist zu prüfen, welche Techniken bereits zum Funktionsumfang gehören und welche zusätzlich konzipiert und umgesetzt werden müssen (Individualentwicklung). Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.1


Skalierbarkeit Redundanz Automatismen Separation

Fehlertolerant Aktivierungszeit SpoF


HVK (Datenbanken)

Verteilte Datenbankmanagementsysteme (VDBMS) Datenbankmanagementsysteme müssen auf verschiedenen und üblicherweise geografisch verteilten Rechnern laufen. Bei verteilten Systemen betrifft ein Rechnerausfall lediglich die von ihm verwaltete Datenmenge, die DB-Verarbeitung auf den übrigen Rechnern (an anderen Orten) bleibt davon unberührt. VDBMS gestatten eine Anpassung der Systemstruktur an die jeweilige Organisationsstruktur, ohne die Konsistenz der Datenbank zu beeinträchtigen. Eine weitere Steigerung der Verfügbarkeit wird erreicht, wenn Teile der Datenbank – unter Kontrolle der DBMS – repliziert gespeichert werden. Damit kann nach einem Rechnerausfall weiterhin auf die gesamte Datenbank zugegriffen werden, wenn die vom Ausfall betroffenen Daten auf einem weiteren Rechner vorliegen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.2




Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Datenbanken)





Mehrrechner-Datenbanksysteme (Rechner-Cluster) Datenbanksysteme müssen als Mehrrechner-Datenbanksysteme konzipiert und betrieben werden. Mehrrechner-Datenbanksysteme zeichnen sich dadurch aus, dass mehrere Prozessoren oder DBMS-Instanzen an der Verarbeitung von DB-Operationen beteiligt sind. Der Speicher eines Mehrrechner-Datenbanksystems muss auf einer Shared-Disk-Architektur basieren. Die Shared-Disk-Architektur ermöglicht eine hohe Verfüg-barkeit bei gleichzeitiger Lastverteilung. Die Skalierbarkeit erfolgt in Mehrrechner-Datenbanksystemen auf zwei Ebenen, der Ausbau einzelner Rechner und Ausbau des Rechner-Clusters. Aus dieser Architektur ergeben sich unter Betrachtung von Verfügbarkeitsaspekten insbesondere Vorteile beim Ausfall einzelner Rechner-Cluster. Das Gesamtsystem kann auch in diesem Fall weiter betrieben werden, allerdings nur mit ein-geschränkter Performance. Diese Architektur ist nicht nur fehlertolerant gegenüber dem Ausfall einzelner Rechner, sondern erlaubt z. B. auch die Wartung einzelner Rechner bei gleichzeitiger Verfügbarkeit des Gesamtsystems. Neben diesen Verfügbarkeitsaspekten bietet diese Archi-tektur auch Vorteile hinsichtlich der Erweiterung des Gesamtsystems. Das Hinzufügen weiterer Rechner zum Cluster ist in der Regel im lau-fenden Betrieb möglich. Werden Änderungen an der Clusterverteilung durchgeführt, so können diese auch für Verbesserungen in der Lastver-teilung eingesetzt werden, um einen optimalen Betrieb zu gewährleisten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.3


Skalierbarkeit Redundanz

Fehlertolerant Aktivierungszeit


HVK (Datenbanken) VM.4.1

Datenbank-Cluster Aus mehreren aktiven Rechnerknoten (Rechner-Cluster) muss mittels einem DMBS ein Datenbank-Cluster errichtet werden. Das DMBS muss für den Cluster-Betrieb geeignete Unterstützung bieten. In dieser Betriebsart (Aktiv/Aktiv) müssen alle Knoten gleichzeitig aktiv sein. Im Normalbetrieb werden alle Knoten genutzt und die Last wird gleichmäßig über alle verteilt. Bei dem Ausfall eines Knoten wird die Last über die verbleibenden Knoten verteilt. Aufgrund dieser Architektur entstehen praktisch keine Ausfallzeiten. Die Überwachung des Clusters muss mittels spezieller Cluster-Agenten erfolgen, die in der Regel Bestandteil des DBMS sind. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.4


Redundanz Automatismen








Cold-Standby Datenbank-Cluster (Failover-Cluster) Zur Errichtung eines Cold-Standby Datenbank-Clusters muss für den Fehlerfall ein Ersatzsystem zur Verfügung gestellt werden. In dieser Betriebsart (Aktiv/Passiv, Failover-Cluster) ist nur ein Rechnerknoten im Cluster aktiv. Bei einem Ausfall des aktiven Knotens wird ein anderer (passiver) Knoten aktiv. Dabei wird der Status der Knoten überwacht und im Fehlerfall aktiviert eine geeignete Cluster-Software den zweiten Knoten. Hierzu müssen zwischen den Cluster-Knoten Statusinformationen ausgetauscht werden, die für den Betrieb des Clusters notwendig sind. Die Kommunikation muss über ein dediziertes Netzwerk verlaufen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.5






Geo-Cluster Zur Gewährleistung der Verfügbarkeit eines Datenbank-Systems bei dem Ausfall eines Rechenzentrums (z. B. durch Naturkatastrophen oder Sabotage) müssen die Knoten eines Clusters auf verschiedene Rechenzentren geografisch verteilt werden. Dazu müssen Synchronisations- und Replikationsmechanismen eingesetzt werden, die eine geografische Verteilung von 100 km und mehr (über Kontinente hinweg) unterstützten.


VM.8.6




Naturkatastrophen Sabotage, Manipulation Fehler in Hard- oder Software Geplante Ausfallzeiten






Leseoptimierte Abfragearchitektur Sollen Antworten eines DBMS innerhalb kürzester Zeit vorliegen, muss ein Baum-Cluster mit einem Loadbalancer und mehreren Datenbank-Instanzen realisiert werden. Änderungen finden im Vergleich zu den Leseoperationen nur selten statt und können im Zuge des Anfrage-Schedulings so mit niedrigerer, aber nicht unbestimmter Priorität bearbeitet werden. Der Schreibzugriff für Änderungen und Ergänzungen des Datenbestandes wird separat gehandhabt. Die Änderungen werden nur auf einer dedizierten Datenbank-Instanz vorgenommen und dort zwi-schengespeichert. Wenn die Anfragelast dies erlaubt, wird über einen Replikationsmechanismus der Datenstand zwischen den einzelnen Instan-zen abgeglichen. Um einen SpoF für Schreibzugriffe zu vermeiden, ist prinzipiell jede Instanz dazu in der Lage, wobei während des Betriebes nur eine Datenbankinstanz Schreibanfragen entgegen nimmt. Erst wenn alle Daten zwischen den Instanzen ausgetauscht und bestätigt sind, werden diese für die Lesezugriffe frei geschaltet. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.7


Skalierbarkeit Automatismen



HVK (Datenbanken)

Tabelle 26 Maßnahmen Datenbanken: Datenbank-Design und Architektur




Datenhaltung

Nr. Maßnahme Datenbankspiegelung Zur Vermeidung von Datenverlusten muss die Datenbank vollständig gespiegelt werden. In festgelegten Intervallen muss ein kompletter Abzug der Daten des DBMS auf ein (fernes) System überspielt werden. Dazu muss üblicherweise der normale Betrieb kurzzeitig unterbrochen wer-den, um die Datenintegrität zu wahren. Durch die Spiegelung wird im Wesentlichen ein normales Backup nachgebildet. Das ferne System wird in diesem Fall typischerweise als Cold-Standby betrieben und in einer Ausnahmesituation muss der Abzug zurückgespielt werden. In diesem Fall gehen maximal die geänderten Daten eines Sicherungsintervalls verloren. Daher sollte das Sicherungsintervall möglichst klein gewählt werden. Verkleinert man das Sicherungsintervall jedoch zu stark, so ist dieses Verfahren nicht mehr praktikabel, da die Datenverbindungen fast nur noch zur Übertragung der Daten verwendet werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.8



Fehlertolerant Aktivierungszeit SpoF Reifegrad

Naturkatastrophen Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Datenbanken) CobiT, DS4




Synchrone Replikation Die synchrone Replikation der Daten zu einem Sekundärsystem muss realisiert werden, wenn die Menge der übertragenen Daten zu minimieren ist und so zeitnah wie möglich erfolgen soll. Zu diesem Zweck muss das DBMS bei jeder atomaren Operation diese an das entfernte System weiterreichen und führt sie gleichzeitig im eigenen System aus. Das primäre (aktive) System blockiert solange, d. h. es hält eine positive Bestä-tigung so lange zurück, bis es eine positive Bestätigung vom Sekundärsystem (synchrones Commit) erhalten hat. Dieses Verfahren bietet die größtmögliche Sicherheit vor dem Verlust von Daten, da bei einem Ausfall des aktiven Systems maximal die zuletzt bearbeitete Transaktion verloren gehen kann. Andererseits kann das Verfahren der synchronen Replikation erhebliche Auswirkungen auf das Latenzzeitverhalten der Datenbankanwendung haben, insbesondere wenn zur Übertragung der Daten große Entfernungen, etwa in ein Backup-Rechenzentrum, zu überwinden sind. Wird die synchrone Replikation eingesetzt, so ist darauf zu achten, dass die Synchronität auch für nachgeordnete Redundanzhierarchien erfüllt ist. Daher sollen verschiedene Synchronisationsansätze wie ROWA, Voting oder das Primärkopien-Verfahren sicherstellen, dass eine durch-gängige Synchronisation gegeben ist. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.9





HVK (Datenbanken) CobiT, DS4 VM.8.8




Asynchrone Replikation Soll die Replikation der Daten zu einem Sekundärsystem ohne eine Einschränkung der Performance oder der Latenzzeit erfolgen, müssen die Schreibvorgänge asynchron repliziert werden. Das primäre System arbeitet unabhängig von der Bestätigung des Sekundärsystems und kann daher ohne eine Einschränkung der Performance oder der Latenzzeit arbeiten. Da die Schreibvorgänge auf dem Sekundärsystem in der Regel zeitverzögert erfolgen, erhöht sich dadurch die Anzahl der bei Ausfall der Primär-Datenbank verlorenen Transaktionen. Neben synchroner und asynchroner Replikation existieren ebenfalls Mischrealisierungen, die beispielsweise Schreiboperationen in (schnellen) Zwischenspeichern (Caches) ablegen um diese periodisch an die Sekundärsysteme weiter zu leiten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.10





HVK (Datenbanken) CobiT, DS4 VM.8.8

Tabelle 27 Maßnahmen Datenbanken: Datenhaltung




Datenintegrität

Nr. Maßnahme Transaktions-Recovery Muss die die Atomarität der Transaktionen garantiert werden, muss ein Transaktions-Recovery realisiert werden. Um inkonsistente Zustände zu vermeiden, müssen alle abgebrochenen Transaktionen entfernt werden und ein Rollback muss durchgeführt werden. Ferner ist ein Zurücksetz-ten einzelner, noch nicht abgeschlossener Transaktionen im laufenden Betrieb erforderlich. Hierzu kann entweder ein vollständiges Zurücksetz-ten auf den Transaktionsbeginn oder ein partielles Zurücksetzten auf einen Rücksetzpunkt (Checkpoint) innerhalb einer Transaktion erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.11


Redundanz Fehlertolerant Aktivierungszeit Checkpoints Reifegrad



Crash-Recovery Um zu verhindern, dass korrupte Transaktionen in die Datenbank gelangen oder dort verbleiben, muss ein Crash-Recovery unternommen wer-den. Durch ein Crash-Recovery kann versucht werden, die Atomarität und Persistenz von Transaktionen auch im Fehlerfall sicherzustellen. Dies kann zum Beispiel der Fall sein, wenn durch ein Betriebssystem- oder Anwendungsfehler eine/mehrere Transaktionen nicht vollständig ausgeführt werden konnten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.12


Redundanz Fehlertolerant Aktivierungszeit Atomarität Reifegrad







Medien-Recovery Um die Daten nach dem Eintreten von Schadensereignissen, wie beispielsweise Hardwarefehler, Brand oder Manipulation wiederherzustellen, muss ein Medien-Recovery durchgeführt werden. Das Medien-Recovery, das auch als Langzeit-Recovery bezeichnet wird, baut auf Backupver-fahren wie „Online und Offline Backup“ auf. Wenn im Wiederherstellungsfall kein komplettes Backup zurückgespielt werden soll, sondern eine granulare Steuerung des Wiederherstellungszeitraumes möglich sein soll, müssen in regelmäßigen Abständen Checkpoints (Sicherungs-punkte) „gezogen“ werden. Dadurch gehen weniger Daten als bei einem vollständigen Rücksetzen verloren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.13


Redundanz Fehlertolerant Aktivierungszeit Reifegrad



Katastrophen-Recovery Um in einem Katastrophenfall die Daten wiederherstellen zukönnen, muss ein Katastrophen-Recovery durchgeführt werden. Bei der Durchfüh-rung eines Katastrophen-Recoverys wird auf eine Archivkopie zurückgegriffen, die an einem geografisch weit entfernten Ort vom Rechenzent-rum aufbewahrt wird. Ferner kann im Rahmen des Wiederanlaufs auf diese Archivkopie zurückgegriffen und die Verarbeitung in einem ande-ren Rechenzentrum fortgesetzt werden. Um ein Katastrophen-Recovery zu ermöglichen müssen die Speichermedien des Backups an einem geographisch getrennten Ort aufbewahrt werden (Auslagerung der Medien). Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.14


Redundanz Fehlertolerant Aktivierungszeit Distanz Reifegrad

Naturkatastrophen Sabotage, Manipulation Fehler in Hard- oder Software


Tabelle 28 Maßnahmen Datenbanken: Datenintegrität





Virtualisierung

Nr. Maßnahme Virtuelle DB Eine virtuelle Datenbank auf der logischen Schicht besteht aus individuellen Tabellensätzen, Sichten und gespeicherten Prozeduren mehrerer Datenquellen. Für die aufrufende Anwendung erscheint eine virtuelle Datenbank wie eine einzelne Datenbank. Die aufrufende Anwendung kann jedoch nicht auf die zugrunde liegenden Datenquellen zugreifen, wodurch der Zugang auf andere Unternehmensdaten verhindert wird. Der Anwender erhält nur den Zugriff auf die Daten, die für die Erledigung seiner Aufgaben innerhalb des Gesamtprozesses erforderlich sind. Nach dem Prinzip der Separation werden die Daten aus dem gesamten Datenpool spezifisch für Anwender und Anwendung zugewiesen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.15


Skalierbarkeit Redundanz Automatismen Virtualisierung


Naturkatastrophen Sabotage, Manipulation Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Datenbanken)

Virtuelle IP-Adresse (VIP) Das Public Interface eines Datenbank-Clusters muss über eine virtuelle IP-Adresse angesprochen werden. Die virtuelle IP-Adresse muss mittels geeigneter Cluster-Software verwaltet werden und dient als logische Adresse für den gesamten Cluster.


VM.8.16


Skalierbarkeit Redundanz Automatismen Separation Virtualisierung

Aktivierungszeit Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Datenbanken)





Virtuelle Verzeichnisse Durch die Bereitstellung von Virtuellen Verzeichnissen erfolgt der Zugriff auf Ressourcen nicht über eine eindeutige Verzeichniszuordnung, sondern über einen Aliasnamen. Der Einsatz von virtuellen Verzeichnissen entkoppelt die direkte Zuordnung zwischen DBMS und Speicherort. Das DBMS greift mittels eines Aliasnamen und nicht mehr mit einer konkreten Adresse auf die Ressourcen zu. Dabei verhält sich die Darstel-lung des Aliasnamens des Verzeichnisses für das DBMS vollkommen transparent. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.17


Skalierbarkeit Automatismen Virtualisierung



HVK (Datenbanken)

Tabelle 29 Maßnahmen Datenbanken: Virtualisierung




Überwachung

Nr. Maßnahme Replikationsmonitors Im Fall eines Datenbank-Clusters oder Standby-Systems muss die Replikation überwacht werden. Durch den Einsatz eines Replikationsmoni-tors kann die Replikation überwacht und deren Zustand ermittelt werden. Dieser Monitor überwacht permanent den Zustand des Clusters, mel-det Fehler und versucht Probleme sofort zu beseitigen, indem er, wenn möglich automatisch, Entscheidungen trifft.


VM.8.18


Automatismen Überwachung Reaktionszeit

Sabotage, Manipulation Fehler in Hard- oder Software


Verklemmungs-Erkennung Zur Vermeidung von Verklemmungen und damit von Performanzeinbußen muss eine Verklemmungs-Erkennung durchgeführt werden. Auf der Basis der Sperrinformationen (global/lokal) können drei unterschiedliche Mechanismen zum Einsatz kommen, die der Erkennung von Ver-klemmungen dienen: • Timeout-Verfahren • Zentralisierte Verklemmungserkennung • Dezentralisierte Verklemmungserkennung


VM.8.19










Nr. Maßnahme Verklemmungs-Vermeidung Der Ansatz der Verklemmungs-Vermeidung basiert im Wesentlichen auf Nutzung nichtsperrbasierter Synchronisationsverfahren. Hier bieten zeitstempelbasierte Verfahren oder das Verfahren der optimistischen Synchronisation Ansätze zur Verklemmungsvermeidung. Kennzeichnend für die optimistische Synchronisation ist die Aufteilung in drei Phasen: • Lesephase • Validierungsphase • Schreibphase


VM.8.20




HVK (Datenbanken)

Überwachung des DBMS Zur Überwachung eines DBMS müssen die aktiven Mechanismen eines DBMS genutzt werden. Die ereignisbasierte Überwachung liefert de-taillierte Informationen über Datenbanken, Tabellen, Deadlocks, Table Spaces, Buffer Pools, Connections oder Transaktionen. Beispielsweise triggert jede Datenmanipulation eine Funktion, die geänderte Datensätze in eine Datei oder eine andere Datenstruktur schreibt und den Vorgang „loggt“. Ferner wird jedem Datensatz ein Zeitstempel zugeordnet, der im Fall einer Änderung auf den Zeitpunkt der Änderung gesetzt wird. An Hand der Zeitstempel kann später entschieden werden, welcher Datensatz sich nach dem Zeitpunkt der letzten Extraktion geändert hat. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.8.21




HVK (Datenbanken) VM.10.1 VM.10.14

Tabelle 30 Maßnahmen Datenbanken: Überwachung




Software

Die nachfolgenden Maßnahmenkataloge beschreiben Verfahren und Lösungen für die Entwicklung und den Einsatz von hoch verfügbaren Softwarekompo-nenten. Die Strukturierung der Maßnahmen erfolgt in Form von Maßnahmenclustern für die am Lebenszyklus der Software ausgerichteten Subdomänen der HV-Domäne „Software“:

• Anforderungsdefinition und Design

• Entwicklung und Test

• Implementierung und Betrieb

• Notfall-Vorsorge und -Behandlung



Anforderungsdefinition und Design

Nr. Maßnahme Bewertung des Reifegrades der Entwicklungsprozesse Die Orientierung der Softwareentwicklung an einem prozessorientierten Referenzmodell ist Garant für die Ableitung der geforderten funktiona-len und nicht funktionalen Eigenschaften aus den zuvor erhobenen Anforderungen. Für die Ermittlung und Bewertung der Qualität der Ent-wicklungsprozesse liegen etablierte Referenzmodelle (CMMI/SPICE) vor, die über Fähigkeits-/Reifegrade die Prozessqualität bewerten und einer Optimierung zugänglich machen. So können Fehler im Wirkbetrieb der Software vermieden und eine Verbesserung der Verfügbarkeit erreicht werden. Eine geeignete Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist deren Prüfung und Bewertung nach einheitlichen Kriterien durch unabhängige Prüfstellen. Die geprüfte Sicherheitsleistung wird durch ein Zertifikat bestätigt. Als Maßstab zur Beurteilung der Sicherheit informationstechnischer Systeme dienen die Kriteriender ITSEC oder Common Criteria für die Prüfung und Bewertung der IT-Sicherheit. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.1


Zuverlässigkeit Fehlertoleranz Robustheit

Reifegrad Fähigkeitsgrad Funktionalität Zuverlässigkeit

Menschliches Versagen Fehler in Software

HVK (Software) CobiT, PO8 CMMI SPICE http://www.bsi.bund.de/zertifiz/zert/report.htm

Anforderungsdefinition Die Anforderungsdefinition legt den Grundstein für die spätere Systemimplementierung und dient der Ermittlung der Systemanforderungen und der Umgebungen des zu entwickelnden Systems. In dieser Phase der Entwicklung ist es wichtig, die systemrelevanten Unternehmensprozesse zu verifizieren und zu analysieren, um spätere Fehler aufgrund falscher Annahmen und Ausgangsbedingungen zu verhindern. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.2


Priorisierung Separation Skalierbarkeit

Schnittstellen Systemgrenzen

Menschliches Versagen Sabotage, Manipulation

HVK (Software)



http://www.bsi.bund.de/zertifiz/zert/report.htm

http://www.bsi.bund.de/zertifiz/zert/report.htm



Durchgängige Daten- und Parameterprüfung Jedes Modul sowie jede Funktion innerhalb der Software ist für die Prüfung von eingehenden und ausgehenden Daten und Parameter selber verantwortlich. Es darf grundsätzlich nicht davon ausgegangen werden, dass übergeordnete Methoden oder Prozesse eine Fehlerfreiheit der Da-ten garantieren. Zur Gewährleistung der Korrektheit der Prüfungen muss für jedes Modul genau spezifiziert werden, welche Daten bzw. Para-meter hinsichtlich ihres Formats und Inhalts als gültig zu gelten haben. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.3


Fehlertoleranz Automatismen Autonomie

Überwachung Systemautonomie Fehlertolerant Fehlbedienungstolerant Daten-/Parameterprüfung

Menschliches Versagen Fehler in Hard- oder Software Sabotage, Manipulation

HVK (Software)

Qualitätsbewertung nach DIN ISO 9126 Durch die Ermittlung und Bewertung der Softwarequalität anhand der in DIN ISO 9126 definierten Qualitätsmerkmale können Fehler im Wirkbetrieb der Software vermieden und so eine Verbesserung der Verfügbarkeit erreicht werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.4


Zuverlässigkeit Fehlertoleranz Separation Priorisierung Robustheit

Funktionalität Zuverlässigkeit (Reife, Fehlertoleranz, Robustheit, Konformität) Benutzbarkeit Effizienz Änderbarkeit Übertragbarkeit Reifegrad


HVK (Software) CobiT, PO8 DIN ISO 9126

VM.9.5 Bestimmung des Code-Quality-Index Der Code-Quality-Index stellt ein definiertes Qualitätsmodell zur Verfügung, welches auf Basis des Forschungsprojektes „Qbench“ entwickelt wurde. Es beruht auf empirischem Material und leitet aus ausführlichen Untersuchungen bestehender Projekte Qualitätsindikatoren für konkrete Implementierungen ab. Durch die Bestimmung und Analyse des Code-Quality-Index können fehlerhafte Implementierungen erkannt und Ver-fügbarkeitsverluste vermieden werden.







Transparenz Fehlertoleranz

Code-Quality-Index Menschliches Versagen Fehler in Hard- oder Software

HVK (Software)

Redundanz von Softwarekomponenten Der Ausfall einer Softwarekomponente kann durch verschiedene Faktoren hervorgerufen werden. Durch die Verwendung redundanter Soft-warekomponenten kann einem Ausfall entgegengewirkt werden, sofern es sich nicht um einen systematischen Fehler der Implementierung han-delt. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.6


Redundanz Aktivierungszeit Grad Aktivierung Funktionell Diversität Hierarchie Synchronität


HVK (Software)

Tabelle 31 Maßnahmen Software: Anforderungsdefinition und Design





Entwicklung und Test

Nr. Maßnahme Entwicklungs- und Produktionsprozess Der Einsatz eines geeigneten Modells zur Analyse und Bewertung des Entwicklungs- und Produktionsprozesses von Software wie z. B. CMMI erhöht die Zuverlässigkeit der Software und reduziert Anfälligkeiten der Implementierung, die auf Entwicklungsschwächen beruhen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.7



CMMI – Level Menschliches Versagen Fehler in Hard- oder Software

HVK (Software) CMMI

Verwendung von Standard-Architekturmustern Architekturmuster definieren die fundamentalen Strukturen eines Softwaresystems. Zur Reduzierung der Komplexität der Systemarchitektur sowie zur Verbesserung der Wartbarkeit und Erweiterbarkeit ist die Verwendung von Architekturmustern im Softwaredesign empfehlenswert. Bei der Wahl des Architekturmodells sind die zu entwickelnden Softwaresysteme und deren Anwendungsgebiet zu berücksichtigen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.8

Planung und Konzeption Beschaffung Implementierung Beschaffung

Fehlertoleranz Skalierbarkeit Separation Robustheit

Komplexität Designqualität Wartbarkeit


HVK (Software)





Verwendung von Standard-Entwurfsmustern Zur Reduzierung der Komplexität sowie zur Stabilitätsverbesserung der Systemarchitektur sollten beim Systemdesign nur Standard-Entwurfsmuster angewendet werden. Design-Patterns stellen Lösungsbeschreibungen für ein spezifisches Entwurfsproblem in Form von implementierungsuunabhängige und wiederverwendbaren Vorlagen dar. Bei der Verwendung von Design-Patterns sind der Anwendungsbezug sowie die Granularität der Muster zu berücksichtigen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.9


Fehlertoleranz Robustheit Separation Skalierbarkeit

Komplexität Designqualität


HVK (Software)

Design-Analyse mit Anti-Pattern Als Anti-Pattern werden Entwurfsmuster bezeichnet, die auf ein schlechtes Softwaredesign hindeuten. Mit Hilfe von Anti-Pattern kann die Qualität des Software-Designs beurteilt und es können Implementierungsschwächen erkannt werden. Die Bewertung der Designqualität erlaubt die Auswahl und den Einsatz fehlertoleranter, robuster und zuverlässiger Software innerhalb von HV-Architekturen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.10


Fehlertoleranz Robustheit

Designqualität Menschliches Versagen Sabotage, Manipulation

HVK (Software)





Fehlermaskierung Als Fehlermaskierung wird ein Verfahren im Software-Design bezeichnet, bei dem ein Modul auf unterschiedliche Art und Weise von unab-hängigen Teams realisiert wird. Diesen Modulen wird dann der sogenannte Maskierer vorgeschaltet, der mittels eines Ergebnisvergleichs feh-lerhafte Resultate ausschließt, solange diese nicht in der Mehrheit der Module auftreten. Die bei diesem Verfahren realisierte Redundanz trägt zu Steigerung der Stabilität der Implementierung bei, da eine höhere Fehlertoleranz und Robustheit erreicht wird. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.11


Fehlertoleranz Redundanz Robustheit

Fehlertolerant Automatisierungsgrad Systemautonomie Funktionell Information Diversität Fehlermaskierung


HVK (Software)

Fehlerkompensierung Beim Verfahren der Fehlerkompensierung werden die Ergebnisse auf Fehler untersucht und durch ein nach gelagertes Modul wird das korrekte Ergebnis berechnet. Dieses erfordert eine entsprechende Redundanz der Ergebnisdaten. Beispiele hierfür sind Kommunikationsprotokolle bei denen Übertragungsfehler erkannt und korrigiert werden können. Dies führt zu einer deutlichen Verbesserung der Fehlertoleranz und Zuverläs-sigkeit von Softwaremodulen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.12


Redundanz Fehlertoleranz Automatismen Robustheit

Fehlertolerant Automatisierungsgrad Reaktionszeit Systemautonomie Aktivierungszeit Zeit Funktionell Information Diversität Fehlerkompensierung


HVK (Software)





Fehlerbehebung Beim Verfahren der Fehlerbehebung wird das Modul bei Erkennung eines fehlerhaften Ergebnisses in einen definierten Zustand zurückgesetzt und die Berechnung des Ergebnisses wird wiederholt. Dies führt im Falle von temporären Einflüssen zu einer Verbesserung der Robustheit. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.13



Fehlertolerant Neustarts Überwachung Automatisierungsgrad Reaktionszeit Systemautonomie

Menschliches Versagen Sabotage, Manipulation Technische Ermüdung

HVK (Software)

Pair-Programming Beim Verfahren der Paarprogrammierung wird die Implementierung von zwei Entwicklern parallel an einem Arbeitsplatz vorgenommen. Hier-bei ist jeweils ein Programmierer für das Schreiben des Codes verantwortlich, während der andere die Umsetzung prüft und mögliche Zusam-menhänge analysiert. Diese Rollenverteilung wird regelmäßig getauscht. Dieses Verfahren führt zu einer höheren Codequalität und somit zu einer insgesamt besseren Verfügbarkeit der Software, da ein Programmierer in der Rolle des Beobachters Fehler und Risiken schneller erken-nen kann. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.14

Implementierung Beschaffung

Fehlertoleranz Redundanz Robustheit Separation

Überwachung Organisatorisch Personell Funktionell


HVK (Software)

Test-First-Programming Ebenso wie das Pair-Programming entstammt das Verfahren des Test-First-Programming der Extreme Programming-Methode. Hier werden für neue Module zunächst geeignete Testmethoden entwickelt, die ein automatisiertes und wiederholbares Testen des Moduls ermöglichen. So kann vermieden werden, dass aufgrund menschlichen Versagens um Fehler „herum“ getestet wird. Die Robustheit und Zuverlässigkeit der Software kann so verbessert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.15


Robustheit Automatisierungsgrad Überwachung Fehlertolerant


HVK (Software)






Continous-Integration Continuous Integration beschreibt ein Verfahren, bei der jede Änderung, die ein Entwickler an die zentrale Quellcodeverwaltung übergibt, au-tomatisch übersetzt und durch automatische Tests überprüft. Änderungen, die die Stabilität z. B. durch Seiteneffekte beeinträchtigen könnten, werden somit unmittelbar erkannt und die Zuverlässigkeit und Robustheit der Software verbessert. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.16


Automatismen Robustheit

Automatisierungsgrad Überwachung Fehlertolerant Continuous Integration


HVK (Software)

Einsatz von Diagnose-Software Während die syntaktische Korrektheit der entwickelten Software durch den Compiler überprüft wird, findet eine semantische Prüfung auf die-ser Ebene nicht statt. Mit zusätzlichen automatischen Werkzeugen können jedoch eine Reihe semantischer Fehler entdeckt und das Auftreten von Implementierungsschwächen reduziert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.17



Fehlermeldung Systemautonomie Überwachung Diagnose-Software


HVK (Software)

Quellcode-Dokumentation Für die meisten Programmiersprachen existieren Richtlinien zur Dokumentation des Quellcodes. Wird der Code gemäß dieser Richtlinien co-diert, können entsprechende Tools automatisch eine ausführliche Zusammenfassung der Implementierung erzeugen, die als Grundlage für die Entwicklung von Test, für die weitere Wartung der Software aber auch zur Beurteilung der Verfügbarkeit verwendet werden kann. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.18


Transparenz Quellcode Dokumentation Menschliches Versagen Fehler in Hard- oder Software

HVK (Software)






Auswahl und Einsatz von Testverfahren Testprozesse dienen der Identifizierung von Fehlern in Softwaresystemen und sind daher ein essentieller Baustein zur Realisierung von hoch-verfügbarer Software. Es ist es generell sinnvoll jeder Phase im Entwicklungsprozess geeignete Tests entgegen zu setzen, um die korrekte Um-setzung der jeweiligen Phase unter Berücksichtigung der jeweiligen Granularität zu überprüfen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.19


Robustheit Automatisierungsgrad Fehlermeldung Fehlertolerant Überwachung Systemautonomie Unit-Tests


HVK (Software)

Auswahl der Testkategorie In Abhängigkeit von den vorliegenden Struktur- und Codeinformationen sollten Blackbox-, Whitebox- oder Greybox-Tests durchgeführt wer-den um Fehler in der Software zu erkennen und die Stabilität der Implementierung zu verbessern. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.20



Überwachung Unit-Tests


HVK (Software)

Erstellung einer Betriebsdokumentation Um einen reibungslosen Betrieb zu ermöglichen, muss eine Softwarekomponente in ausreichendem Maße dokumentiert sein. Mit dieser Maß-nahme kann der ordnungsgemäße Gebrauch der Software ermöglicht und das Auftreten von Fehlbedienungen reduziert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.21

Implementierung Betrieb Notfallvorsorge

Transparenz Wartung Menschliches Versagen HVK (Software) CobiT, AI4

Tabelle 32 Maßnahmen Software: Entwicklung und Test






Implementierung und Betrieb

Nr. Maßnahme Software-Virtualisierung Die Software-Virtualisierung bildet nahezu beliebige Softwareumgebungen nach und stellt diese virtuell zur Verfügung. Im Rahmen der Soft-ware-Virtualisierung lassen sich die beiden grundsätzlichen Virtualisierungsebenen Betriebssystem- und Applikationsvirtualisierung im HV-Umfeld umsetzen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.22


Virtualisierung Skalierbarkeit

Applikation Betriebssystem

Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software Geplante Ausfallzeiten

HVK (Prinzipien)

Korrekte Installation Im Rahmen von Softwareinstallationen im HV-Umfeld sollten nur die tatsächlich benötigten Funktionen installiert werden, um die Wahrschein-lichkeit von Angriffpunkten oder fehlerhaften Modulen zu minimieren. Auf der Betriebssystemebene wird mit einer so genannten Härtung des System erreicht, dass nur benötigte Bibliotheken und Treiber vorhanden sind. Insgesamt kann so eine größere Zuverlässigkeit und Robustheit des Systems erreicht werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.23


Separation Priorisierung Robustheit

Tests Anweisungen Reifegrad


HVK (Software) CobiT, AI7


http://www.bsi.de/fachthem/hochverfuegbarkeit/3_Prinzipien_Verfuegbarkeit.pdf



Qualität der Eingabedaten Fehlerhafte oder bewusst manipulierte Eingabedaten führen zu einer Beeinträchtigung der Verfügbarkeit, Organisatorische oder technische Maßnahmen zur Sicherung der Qualität der Eingabedaten steigern die Verfügbarkeit von Softwaresystemen und führen zu einer Verbesserung der Fehlertoleranz der Software. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.24



Fehlertolerant Plausibilität Fehlbedienungstolerant


HVK (Software)

Korrekte Konfiguration Eine fehlerhafte Konfiguration kann die Verfügbarkeit einiger oder aller Funktionen des Systems gefährden. Komplexe Systemkonfigurationen erhöhen das Risiko von Fehlern bei Änderungen der Einstellungen. Daher sind in jedem Fall technische und organisatorische Maßnahmen zur Sicherstellung einer korrekten Systemkonfiguration zu realisieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.25



Tests Anweisungen

Menschliches Versagen HVK (Software)





Einsatz wieder verwendbarer Komponenten Ähnlich dem Design-Pattern Ansatz beim Software-Design sollten auch bei der Implementierung bestehende Module, deren hohe Verfügbar-keit bereits nachgewiesen wurde, verwendet werden. Vorrausetzung für die Verwendbarkeit bestehender Module ist eine ausführliche und ex-akte Dokumentation der Schnittstellen und Funktionen der eingesetzten Module. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.26


Robustheit Modularisierung Wiederverwendbare Komponente


HVK (Software)

Aktive Fehlerbehandlung Jede Funktion muss so implementiert werden, dass Fehlerzustände explizit erwartet und aktiv behandelt werden. Dies gilt insbesondere auch für die Kommunikation mit anderen Funktionen und Modulen, bei denen Ergebnisse soweit möglich auf Sinnhaltigkeit überprüft werden müs-sen. Dies bildet die Voraussetzung für die Anwendung von Folgemaßnahmen wie Fehlermaskierung, Fehlerkompensation oder Fehlerbehe-bung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.27


Fehlertoleranz Automatismen Robustheit Autonomie

Systemautonomie Automatisierungsgrad Überwachung Fehlermeldung Fehlertolerant Fehlbedienungstolerant Wiederherstellung Aktive Fehlerbehandlung


HVK (Software)





Protokollierung von Konfigurationsänderungen Jegliche Änderungen an der Konfiguration einer Softwarekomponente bzw. deren Umgebung sollte protokolliert werden, so dass eine spätere Nachvollziehbarkeit der Änderungen im Fehlerfall oder zur Optimierung der Konfiguration möglich ist. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.28

Betrieb Transparenz Protokollierungsgrad Menschliches Versagen Fehler in Hard- oder Software Sabotage, Manipulation

HVK (Software)

Schulung des Personals Neben der Bereitstellung von Dokumentation muss das Personal in der korrekten Verwendung der Software eingewiesen und geschult werden. Dies gilt sowohl für Endbenutzer von Softwarekomponenten (Anwender) als auch für Administratoren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.29

Beschaffung Implementierung Beschaffung Notfallvorsorge

Transparenz Fehlertoleranz

Stand der Schulungsteil-nahme Anzahl Anwenderschu-lungen

Menschliches Versagen HVK (Software) VM.2.6 CobiT, AI4 CobiT, PO7

Schutz vor Manipulation Die Verfügbarkeit von Software wird maßgeblich davon beeinflusst welche Möglichkeiten einer beabsichtigten und unbeabsichtigten Manipu-lation der Software existieren. Es sollten Maßnahmen umgesetzt werden, um die Möglichkeiten eines Angreifers zur bewussten Manipulation beziehungsweise von unbeabsichtigten Änderungen einzuschränken. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.30



Basis-Sicherheitscheck Sabotage, Manipulation HVK (Software) BSI 100-2







Abschalten nicht benötigter Leistungsmerkmale Modulare Softwarekomponenten, die eine An- und Abschaltung verschiedener Leistungsmerkmale anbieten, sollten derart konfiguriert werden, dass nicht mehr als die für den Betrieb erforderliche Funktionalität angeboten wird. Dies verringert die Komplexität der Komponente und damit deren Fehleranfälligkeit sowie die Anzahl an Angriffsmöglichkeiten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.31

Implementierung Betrieb

Fehlertoleranz Separation

Fehlertolerant Fehlbedienungstolerant


HVK (Software)

Sichere Grundkonfiguration Falls eine Softwarekomponente durch verschiedene Anwendungsparameter beeinflusst wird, sollte diese im Auslieferungszustand mit einer Konfiguration versehen werden, die ein höchstmögliches Maß an Zuverlässigkeit und Stabilität bietet. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.32

Implementierung Betrieb


Fehlertolerant Menschliches Versagen Fehler in Hard- oder Software Sabotage, Manipulation

HVK (Software) GSK M 4.237

Ein-Dienst-pro-Host-System Werden verschiedene Softwarekomponenten auf demselben Host-System betrieben, besteht die Möglichkeit der indirekten gegenseitigen Be-einflussung. Aufgrund der Fehleranfälligkeit von Softwarekomponenten im Allgemeinen besteht daher die Möglichkeit, dass Fehlersituationen eine Auswirkung auf andere Dienste desselben Host-Systems haben, bis hin zum Totalausfall anderer Dienste. Daher sollte bei der Installation von Software auf Host-Systemen das Ein-Dienst-pro-Host-Prinzip umgesetzt und durch geeignete Separation eine Verbesserung der Robustheit der Gesamtarchitektur sowie der Skalierbarkeit erreicht werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.33


Fehlertoleranz Robustheit Separation Skalierbarkeit

Fehlertolerant Physikalisch/technisch Modularisierung


HVK (Software)







Sicherstellung der Integrität und Authentizität Da in der Softwareentwicklung der Einsatz wieder verwendbarer Software angestrebt wird, besitzen Softwarekomponenten in der Regel zahl-reiche Abhängigkeiten zu anderen Softwarepaketen. Um einen ordnungsgemäßen Betrieb gewährleisten zu können, ist vor der Inbetriebnahme der Softwarekomponente zu prüfen, ob die Integrität und Authentizität der Softwarepakete gewährleistet sind. Hierzu können verschiedene Me-chanismen wie Prüfsummen oder digitale Signaturen für Softwarepakete eingesetzt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.34

Betrieb Redundanz Information Basis-Sicherheitscheck


HVK (Software) BSI 100-2

Einspielen von Patches und Upgrades Sobald Schwachstellen bekannt sind, die durch das Einspielen eines Patches beseitigt werden können, sollte ein Update von Software bzw. ab-hängigen Softwarepaketen durchgeführt werden um die Stabilität und Zuverlässigkeit der Software während des Betriebs zu gewährleisten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.35

Betrieb Robustheit Fehlertoleranz

Wartung Basis-Sicherheitscheck


HVK (Software) BSI 100-2

Einrichtung eines Referenzsystems Nicht nur bei komplexen Anwendungen sollte ein, zu einem produktiv eingesetzten System weitestgehend identisches Referenzsystem einge-richtet werden. Dies ermöglicht die Nachverfolgung von Fehlersituation oder die Durchführung von Schulungsübungen ohne Beeinflussung des produktiven Betriebs. Weiterhin besteht die Möglichkeit, dieses System in den Testprozess für Updates und Patches einzubeziehen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.36


Redundanz Robustheit

Physikalisch/technisch Organisatorisch Wiederherstellung Modularisierung


HVK (Software)

Tabelle 33 Maßnahmen Software: Implementierung und Betrieb








Notfallvorsorge und -behandlung

Nr. Maßnahme Mehrfachprogrammierung Im HV-Umfeld sollte zur Vorsorge für Notfälle sowie im Rahmen der Notfallbehandlung Software eingesetzt werden, die sich aufgrund von Mehrfachprogrammierung Fehler erkennend (n+2) oder Fehler korrigierend (n+3) verhält. Alternativ sowie ergänzend kann auch der Einsatz funktional identischer Software unterschiedlicher Hersteller erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.37

Planung und Konzeption Beschaffung Notfallvorsorge

Redundanz SpoF Grad Funktionell Information Diversität Fehlertolerant Automatisierungsgrad Systemautonomie


HVK (Software) HVK (Prinzipien)

Einsatz fehlertoleranter Software Im Umfeld von HV-Architekturen sollen grundsätzlich Softwarekomponenten eingesetzt werden, die eine robuste Implementierung aufweisen, eine Maskierung fehlerhafter Ereignisse durchführen und automatische Fehlerkorrekturverfahren oder Plausibilitätsprüfungen zur Neutralisie-rung von Beeinträchtigungen einsetzen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.38


Fehlertoleranz Redundanz

Fehlertolerant Automatisierungsgrad Überwachung


HVK (Prinzipien)



https://www.bsi.bund.de/fachthem/hochverfuegbarkeit/3_Prinzipien_Verfuegbarkeit.pdf

http://www.bsi.de/fachthem/hochverfuegbarkeit/3_Prinzipien_Verfuegbarkeit.pdf


Einsatz definierter Testprozesse Zur Sicherstellung der Eignung für den Einsatz in HV-Architekturen sind hinreichend ausführliche und umfangreiche Tests im Rahmen von definierten Testprozessen in den Entwicklungsprozess von Software zu integrieren, um die Gefahr von Ausfällen aufgrund von Softwarefehlern zu reduzieren. Der Testprozess muss auch in die Wartungs- und Pflegephase der Software eingebunden werden, um die HV-Eigenschaften während des gesamten Lebenszyklus zu gewährleisten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.39



Überwachung Menschliches Versagen Fehler in Hard- oder Software

HVK (Software)

Fehlerprävention Die innerhalb von Anwendungen gefundenen Fehler sollten protokolliert und klassifiziert werden. Auf Basis dieser Daten kann gezielt nach ähnlichen Fehlern gesucht werden, dass häufig Muster für typische Fehlerquellen in der Entwicklung erkennbar sind. Diese Muster basieren in der Regel auf menschlichen Eigenschaften, die die Entstehung von Fehlern begünstigen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.40

Betrieb Beschaffung Implementierung


Überwachung Automatisierungsgrad Fehlertolerant


HVK (Software)





Fehlervorhersage Es soll eine Fehlervorhersage zur Abschätzung der Wahrscheinlichkeiten auftretender Fehler und deren Folgen durchgeführt werden. Aufgrund dieser Betrachtung der Auswirkungen möglicher Fehler können gezielt zusätzliche Maßnahmen zur Reduzierung der Eintrittswahrscheinlich-keit dieser Fehler umgesetzt werden. So können beispielsweise gezielt Tests zur Entdeckung relevanter Fehler durchgeführt werden. Für den Betrieb lassen sich darüber hinaus Anzeichen für Fehlersituationen ermitteln, bei denen das System in einen sicheren Zustand gebracht werden kann (fail-safe) bevor sich die eigentlichen Folgen eines Fehlers auswirken. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.41



Automatisierungsgrad Fehlermeldung Fehlertolerant Überwachung Reaktionszeit Systemautonomie


HVK (Software)

Überwachung der Systemzustände Die Überwachung der Systemzustände von Softwarekomponenten bildet die Grundlage, um in Fehlersituationen eine zeitnahe Fehlerbehebung ermöglichen zu können. Typischerweise wird hierfür die Existenz des Systemprozesses periodisch geprüft. Darüber hinaus sollten je nach Art der Komponente auch auf anderem Wege Zustandsinformationen ermittelt und ausgewertet werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.42



Fehlermeldung Überwachung Wiederherstellung


HVK (Software) VM.10.4





Protokollierung von Systemereignissen Die Protokollierung von Systemereignissen (typischerweise in Logdateien) bietet verschiedene Möglichkeiten zur Untersuchung der Software-verfügbarkeit. Fehlerzustände der Softwarekomponente sowie Informationen darüber, welche Folge von Systemereignissen zu einer Fehlersitu-ation führen, sollten festgehalten werden. Die Protokollierungsfunktionalität einer Softwarekomponente muss bereits in der Entwicklungsphase berücksichtigt und implementiert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.43


Automatismen Fehlermeldung Überwachung


HVK (Software)

Fehlerreports von Softwarekomponenten In Fehlersituationen können Informationen zur Fehlerdiagnose auf Nachfrage hin an den Hersteller einer Softwarekomponente gesendet wer-den. Dies kann insbesondere für Standardsoftware, die in zahlreichen unterschiedlichen Umgebungen eingesetzt wird dazu beitragen, die Ro-bustheit der Anwendung gegenüber fehlerhaften Eingaben beziehungsweise fehlerhafter Bedienung zu optimieren. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.44


Automatismen Fehlertoleranz

Fehlermeldung Automatisierungsgrad Überwachung Reaktionszeit Systemautonomie


HVK (Software)





Erstellung eines Notfallhandbuches Um eine schnelle Reaktion auf Notfallereignisse zu ermöglichen, sollten auch – soweit möglich – die Behebung von Teil- bzw. Totalausfällen von Softwarekomponenten im Notfallhandbuch bedacht und die erforderlichen Maßnahmen für ein derartiges Notfallereignis definiert und be-schrieben werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.45


Robustheit Wiederherstellung Aktivierungszeit Aktivierung Reaktionszeit Systemautonomie Reifegrad


HVK (Software) BSI 100-4 CobiT, DS4

Erstellung eines Wideranlaufplans Der Wiederanlaufprozess bei Ausfall einer Softwarekomponente soll in Form eines Wiederanlaufplans dokumentiert werden. Hierbei müssen insbesondere auch abhängige Softwarekomponenten berücksichtigt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.46

Notfallvorsorge Planung und Konzeption Betrieb

Robustheit Priorisierung

Wiederherstellung Aktivierungszeit Reifegrad









Automatisierung des Wiederanlaufs Soweit der Ausfall einer Softwarekomponente durch einen vorübergehenden Fehler hervorgerufen wurde (beispielsweise durch eine fehlerhafte Reaktion auf eine äußere Eingabe), sollte durch die Automatisierung des Wiederanlaufs die Ausfalldauer der Softwarekomponente minimiert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.9.47


Automatismen Robustheit Fehlertoleranz

Neustarts Reaktionszeit Wiederherstellung Automatisierungsgrad Systemautonomie Automatisierung des Wie-deranlaufs Reifegrad



Tabelle 34 Maßnahmen Software: Notfallvorsorge und -behandlung





Überwachung Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für die Erfassung, Darstellung und Auswertung der Zustandsinformationen einer HV-Architektur auf allen technischen sowie für die geeignete Reaktion auf Störereignisse. Bei der Betrachtung der organisatori-schen Ebenen einer HV-Architektur liefern Frühindikatoren Messgrößen für die Steuerung der Zielerreichung (Key Performance Indicator/KPI), während für die Erfüllung der Anforderungen aus Sicht der Geschäftsprozesse Zielgrößen (Key Goal Indikator) die Erreichung von Zielen wie Verfügbarkeit, Verlässlich-keit, Wirksamkeit oder Compliance bestimmen. Für die Erarbeitung eines Monitoring-Konzeptes und die Festlegung von Monitoring-Daten liefert CobiT in der Domäne „Monitor and Evaluate“ geeignete Vorgaben. Die Zielgrößen werden zu Kriterien in den SLAs, welche über den Beitrag zum Geschäftserfolg aussagen. Die Definition von Zielkriterien in SLAs wird an dieser Stelle nicht ausgeführt.

Die Strukturierung der Maßnahmen erfolgt in Form von Maßnahmenclustern für die nachfolgend aufgeführten Subdomänen der HV-Domäne „Überwa-chung“:

• Strategie und Management

• Erfassung und Darstellung

• Auswertung und Analyse

• Reaktion und Steuerung



Strategie und Management

Nr. Maßnahme Entwicklung einer geeigneten Monitoring-Strategie Es ist eine geeignete Monitoring-Strategie zu entwickeln, deren Ziel es ist, durch geeignete Überwachungsmethoden und –techniken in einem möglichst frühen Stadium Gefährdungen der Verfügbarkeit zu erkennen und Maßnahmen zu deren Beseitigung zu veranlassen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.1


Automatismen Autonomie Fehlertoleranz

Überwachung Reaktionszeit Fehlermeldung Reifegrad

Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software

HVK (Überwachung) CobiT, ME1

Überwachung vitaler Grundfunktionen Im Rahmen der Überwachung sind insbesondere grundlegender Betriebsparameter zu erfassen (Health-Monitoring), da diese essentielle Hin-weise über den Zustand von Komponenten liefern. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.2

Betrieb Automatismen Autonomie Fehlertoleranz

Überwachung Reaktionszeit Fehlermeldung


HVK (Überwachung)



Überwachung der Leistungsdaten des Netzwerks Im Rahmen eines Netzwerk-Monitoring soll eine gezielte Überwachung der Parameter und Leistungsdaten eines Netzwerkes realisiert werden. Die Überwachung sollte auch die im Netzwerk befindliche Hardware sowie aktive Komponenten und Dienste umfassen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.3




HVK (Überwachung)

Überwachung der Software Für die Überwachung der Systemaktivitäten und Parameter im Rahmen des Software-Monitoring ist die Integration von Software-Sensoren in das zu überwachende Zielsystem erforderlich. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.4




HVK (Überwachung)

Überwachung der Hardware Zur Durchführung eines Hardware-Monitoring werden Hardware-Sensoren eingesetzt, die durch die Verwendung eigenständiger Betriebsmittel gekennzeichnet sind. Sie verfügen über eine vom Zielsystem unabhängige Hardware sowie separate Software zur Erfassung und Aufbereitung der erfassten Werte. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.5




HVK (Überwachung)



Überwachung der Servicequalität Im Rahmen eines Endanwender-Monitorings (EAM) soll eine Überwachung der für den Endanwender sichtbaren und spürbaren Service-Qualität durchgeführt werden. Die hierbei erfassten Messgrößen gehen über technische Betriebsparameter hinaus und sollen eine Aussage über die Einhaltung der im Service-Level-Agreement (SLA) vereinbarten Dienste-Qualität liefern. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.6

Betrieb Automatismen Autonomie

Überwachung Reaktionszeit


HVK (Überwachung)

Einsatz eines Monitoring-Netzwerks Während beim In-Band-Monitoring die Monitoring-Informationen über die gleichen Wege wie die Inhaltsdaten des Netzwerks geführt werden, geschieht dies beim Out-of-Band-Monitoring über getrennte Pfade. Dies führt zu einer höheren Komplexität des Netzwerkes, erleichtert aber bei einer Störung des Produktiv-Netzwerkes die Fehlererkennung und –Behebung. Insbesondere im Umfeld hochverfügbarer Infrastrukturen sollte das Monitoring daher über ein weitestgehend separates Monitoring-Netzwerk durchgeführt werden. Hierbei ist zu beachten, dass für die-ses Monitoring-Netzwerk die gleichen Anforderungen an die Verfügbarkeit zu stellen sind wie für die restlichen HV-Komponenten, da es einen wesentlichen Bestandteil des Gesamtkonzeptes der HV-Architektur darstellt. Eine Kombination der Verfahren In-Band (Normalbetrieb) und Out-of-Band (Fallback) stellt eine weitere Optimierungsmöglichkeit dar. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.7


Automatismen Autonomie



HVK (Überwachung) VM.10.1



Einsatz eines zentralen System- und Netzwerk-Management-Servers Es soll ein zentraler Log- oder Monitorserver zur Speicherung und Konsolidierung der anfallenden Monitoringdaten betrieben werden. Dieser kann zu einem Network and Systems Management Server ausgebaut werden, der auch zusätzlich Aufgaben des Systemmanagements über-nimmt. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.8






Tabelle 35 Maßnahmen Überwachung: Strategie und Management



Erfassung und Darstellung

Nr. Maßnahme Visualisierungstechnik Für die Visualisierung der Monitoring-Informationen ist eine geeignete Visualisierungstechnik auszuwählen, die eine schnelle, aussagefähige Darstellung von Echtzeitdaten sowie die kurzfristige Erkennung und Lokalisierung von Beeinträchtigungen der Verfügbarkeit ermöglicht. Zu diesem Zweck sollten neben einfachen Visualisierungstechniken (z. B. tabellarische Darstellung) insbesondere auch grafische Visualisierungs-techniken (z. B. Dashboard-, Cockpit-, Ampel- oder Thermometerdarstellung) eingesetzt werden. Neben der Darstellung von Echtzeitdaten sollten auch statistische Informationen erhoben und visualisiert werden, die auf der Erhebung von historischen Daten beruhen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.9

Betrieb Automatismen Überwachung Reaktionszeit


HVK (Überwachung)

Übersichtliche und aussagefähige Visualisierung der Systemzustandsindikatoren Das Überwachungspersonal muss anhand eines übersichtlichen Lagebildes jederzeit den aktuellen Gesamtzustand eines IT-Systems erkennen können. Im Rahmen der Fehlerdiagnostik und Problemlösung können bei Bedarf weitere Informationen aus einer zentralen Konfigurations-Datenbank angezeigt werden. Über das aktuelle Lagebildes hinaus müssen auch langfristige Informationen in Form von Reports und Trends in geeigneter Form (wie z. B. Tabellen, Diagramme und Histogramme) visualisiert werden können. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.10








Überwachung des Betriebssystems Das Monitoring soll die Erfassung und Darstellung von verfügbarkeitsrelevanten Parametern des Betriebssystems, wie der Prozesstabelle, der Anzahl der Prozesse, der RAM-Auslastung, der CPU-Auslastung, der Systemzeit, der Uptime, der Auslastung des virtuellen Speichers (Page-File; Swap), der Auslastung des physikalischen Speichers, der Log-Dateien, der Gültigkeit bzw. des Status der Lizenzen sowie der verfügbaren Patches / Update beinhalten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.11


Automatismen Reaktionszeit Menschliches Versagen Sabotage, Manipulation Technische Ermüdung

HVK (Überwachung)

Überwachung eines Datenbankservers Bei der Überwachung der Datenbankserver sind die wesentlichen Verfügbarkeitsparameter der Gültigkeit bzw. des Status der Lizenzen, der verfügbaren Patches / Updates, der Log-Dateien, der Funktionalität des Verbindungsaufbaus, der Dauer des Verbindungsaufbaus (Anfrage bis zur Antwort), der Funktionalität und Qualität der Anfragebearbeitung, der Anfragenbearbeitung, des verfügbaren (allozierten) Speicherplatzes, des belegten Speicherplatzes sowie des letzten Backups zu erfassen und darzustellen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.12



HVK (Überwachung)

Überwachung eines E-Mail-Servers Zur Überwachung eines E-Mail-Servers kann ein Monitoring der verfügbaren Patches und Updates, der Log-Dateien, der Auslastung der zuge-hörigen Antivirus-/Antispam-Komponente, Status und Dauer des Verbindungsaufbaus zu einem POP3-Server, Funktionalität, Qualität und Dauer der Anfragebearbeitung durch einen POP3/SMTP/IMAP oder http(s)-Server sowie die Länge der Mailqueue durchgeführt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.13



HVK (Überwachung)



Überwachung eines DBMS Für die Überwachung eines DBMS können die aktiven Mechanismen der DBMS (z. B. Trigger) können genutzt werden, indem jede Datenma-nipulation einen Trigger auslöst, der geänderte Datensätze in eine Datei oder eine andere Datenstruktur schreibt. Jedem Datensatz kann darüber hinaus ein Zeitstempel zugeordnet werden, der im Fall einer Änderung auf den Zeitpunkt der Änderung gesetzt wird. An Hand der Zeitstempel kann später entschieden werden, welcher Datensatz sich nach dem Zeitpunkt der letzten Extraktion geändert hat. Eine fortlaufende Überwa-chung der Datenobjekte und Services muss über eine feste Zeitdauer erfolgen. Eine ereignisbasierte Überwachung liefert darüber hianus detail-lierte Informationen über Datenbanken, Tabellen, Deadlocks, Table Spaces, Buffer Pools, Connections oder Transaktionen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.14



HVK (Überwachung)

Überwachung Netzwerksoftware / -services Die Überwachung der Netzwerkservices sollte die Funktionalität der DNS-Auflösung, die Dauer von DNS-Abfragen, die Korrektheit der Netzwerk-Uhrzeit, die Dauer der Beantwortung von NTP-Abfragen, die Anzahl der gerouteten Pakete bzw. die Auslastung der Router, die An-zahl der verworfenen Pakete, die Netzwerkantwortzeiten, die Hops zum Host, der Netzwerkdurchsatz bzgl. der Netzwerkbandbreite, der Durch-satz der Firewall, die Latenz der Firewall, die verworfenen (abgelehnten) Pakete der Firewall, die Latenz des VPN-Server, der ISAKMP- und IPSec-Status bzw. der Tunnelstatus sowie der Durchsatz des VPN-Services umfassen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.15



HVK (Überwachung)

Überwachung der Mitarbeiterqualifikation Für das Monitoring der Qualifikation der Mitarbeiter können der Bildungsgrad bzgl. Aus- und Fortbildung bzw. der Anteil von Mitarbeitern, die Bildungsmaßnahmen erhalten haben, die Bildungszeit bzw. der durchschnittliche Umfang von Aus- und Fortbildungsmaßnahmen in Tagen pro Mitarbeiter (z. B. 5 Tage pro Jahr und Mitarbeiter), die Weiterbildungsbereiche / -gebiete, die Spezialisierung sowie ISMS-Trainings he-rangezogen werden. Diese erlauben eine durchgängige Überwachung und Bewertung als Basis für eine Steuerung und Optimierung der Quali-fikation der Mitarbeiter. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.16

Betrieb Automatismen Reaktionszeit Menschliches Versagen HVK (Überwachung)



Überwachung der Personal-Fluktuation Die Erfassung und geeignete Auswertung der Fluktuationsrate der Mitarbeiter kann Hinweise auf mögliche, die Verfügbarkeit beeinträchtigen-der Faktoren in der Mitarbeitermotivation sowie sich abzeichnende personelle Engpässe liefern. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.17

Betrieb Automatismen Reaktionszeit Menschliches Versagen Sabotage, Manipulation

HVK (Überwachung) CobiT, PO7

Überwachung der Ressourcenplanung Durch die Überwachung der Ressourcenplanung und die Erfassung wesentlicher Kenngrößen, wie z. B. der Personaldeckung, der Krankheits-quote, der Mitarbeitereinsatzplanung entsprechend der Geschäftszeiten, der Mitarbeitervertretungsregelungen, der Inspektions- und Wartungs-planung sowie der Mobilität bei dezentraler Administration oder des Ressourcen- und Bedarfsmanagements können Informationen über die Qualität und Leistungsfähigkeit der Ressourcenplanung gewonnen sowie Optimierungsprozesse überwacht und gesteuert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.18


Automatismen Reaktionszeit Menschliches Versagen Sabotage, Manipulation

HVK (Überwachung) CobiT, ME4

Überwachung des Supports Das Monitoring des Support durch die Erfassung und Auswertung von Kenngrößen, wie Realisierungszeit bis zur vollständigen Verfügbarkeit bei Supportanfragen / Störungen, der Anzahl der Supportanfragen pro IT-Service-Komponenten, der Anzahl der Supportmitarbeiter sowie der Supportsysteme und –prozesse ermöglicht die Überwachung der Support-Qualität sowie insbesondere deren Steuerung und Optimierung. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.19

Betrieb Automatismen Reaktionszeit Menschliches Versagen Technische Ermüdung Fehler in Hard- oder Software

HVK (Überwachung) CobiT, ME2 VM.2.20 VM.2.26



Überwachung der Festplatte(n) Im Rahmen des Monitorings der Festplattensysteme sollte eine Überwachung der verfügbaren Festplattenkapazität, des Status der Festplatte(n), der Filesystem- bzw. Partitionskapazität sowie eine Prüfung der Integrität (Konsistenz) der Dateisysteme erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.20

Betrieb Automatismen Reaktionszeit Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software

HVK (Überwachung)

Überwachung der externen Storageeinheiten Zur Überwachung und frühzeitigen Störungserkennung sollte ein Monitoring der Kapazität externer Storageeinheiten, des Status der externen Storageeinheit, der verfügbaren Filesystem- bzw. Partitionskapazität sowie der Integrität (Konsistenz) von Speichermedien und Dateisystemen erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.21


HVK (Überwachung)

Überwachung RAID-Systeme Sofern innerhalb der HV-Architektur RAID-Systeme eingesetzt werden, sollte zu deren Überwachung ein Monitoring der pro Zeiteinheit gele-senen und geschriebenen Datenmengen (Belastung des RAID-Systems, I/O-Rate) sowie der Lesefehler und Schreibfehler pro Zeiteinheit erfol-gen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.22


Automatismen Reaktionszeit Technische Ermüdung Fehler in Hard- oder Software

HVK (Überwachung)



Überwachung Serverlüftung / -Kühlung Im Rahmen des Health-Monitoring sollte eine Überwachung des Lüfters bzw. der Lüftergeschwindigkeit sowie der Systemtemperatur erfolgen.


VM.10.23


HVK (Überwachung)

Überwachung Backup Im Rahmen des Monitoring sollten eine Überwachung des Zeitpunkts des letzten Backups sowie der Aktualität des Backups und dessen Status erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.24

Betrieb Automatismen Reaktionszeit Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software

HVK (Überwachung)

Überwachung Arbeitsspeicher (RAM) Im Rahmen des Health-Monitoring sollte eine Überwachung des verfügbaren physikalischen Arbeitsspeichers erfolgen.


VM.10.25

Betrieb Automatismen Reaktionszeit Technische Ermüdung Fehler in Hard- oder Software

HVK (Überwachung)



Überwachung Systemspannung Im Rahmen des Health-Monitoring sollte eine Überwachung der Systemspannung und der Energieversorgung erfolgen.


VM.10.26


HVK (Überwachung)

Überwachung Unterbrechungsfreie Stromversorgung (USV) Zur Durchführung des Monitorings der eingesetzten USV-Anlagen sollte eine Überwachung des Status der USV (z. B. unbekannt, normal, niedrig, entladen), der Spannung der USV, der Stromstärke der USV sowie des Ladezustands der USV erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.27


HVK (Überwachung)



Überwachung der Netzwerkkomponenten Zur Überwachung und Störungserkennung der Netzkomponenten sollte eine Überwachung der Erreichbarkeit des Hosts, des Servers bzw. der externen Speichereinheit (RTA-Round Trip Average Time & PL-Package Loss), des operativen Status des Netzwerkinterfaces (Aufzählung: up, down, testing, dormant, notPresent, lowerLayerDown), des Statuswechsels, der Menge eingehender Daten (Last des Netzwerkinterfaces), der Anzahl fehlerhafter eingehender Pakete, der Menge ausgehender Daten, der Anzahl fehlerhafter ausgehender Pakete, des Link-Status von Ports sowie der Netzwerkkabel erfolgen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.28


HVK (Überwachung)

Einsatz eines Hardware-Watchdog Durch den Einsatz dedizierter Hardwarebausteine zur Überwachung der Hardware eines Systems können zuverlässig Störungen bzw. sich ab-zeichnende Ausfälle von Systemkomponenten erkannt und kritische Systembausteine auf ihre Funktionsfähigkeit überwacht werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.29


Automatismen Separation Redundanz

Reaktionszeit Menschliches Versagen Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software

HVK (Überwachung)

Tabelle 36 Maßnahmen Überwachung: Erfassung und Darstellung



Auswertung und Analyse

Nr. Maßnahme Erhebung von Historiedaten Im Rahmen des Monitorings sollte ebenfalls eine Erhebung, Sammlung (z. B. durch Polling) und Protokollierung von historischen Daten als Grundlage für Trendanalysen und Berichte durchgeführt werden. Dabei werden u. a. Ressourcen- und Performance-Messdaten von Anwendun-gen, Datenbanken, Netzwerken und Systemen eingesammelt, protokolliert und zusammengefasst. Diese historischen Daten können anschlie-ßend statistischen Analyse- und Berichtsprogrammen zur Verfügung gestellt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.30



HVK (Überwachung)

Durchführung geeigneter Analysen Über die Konsolidierung hinaus müssen durch Analysen der Messwerte und Meldungen Zusammenhänge, Abhängigkeiten und zeitliche Ent-wicklungen aufgedeckt werden. Die Analysen sollen nicht nur zur Beurteilung der aktuellen Situation herangezogen werden, sondern dienen vielmehr zur Unterstützung einer mittel- bis langfristige Planung und Steuerung des IT-Designs. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.31




Menschliches Versagen Sabotage, Manipulation Technische Ermüdung




Auswertung von Event-Logs Das Monitoring sollte in jedem Fall auch eine Auswertung protokollierter Ereignisse ggf. unter Anwendung von Tools (z. B. SIEM-Tools – Security Information and Event Management) umfassen um im Rahmen einer Steuerung und Optimierung Ursachen für Störereignisse zu er-kennen und zu beheben. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.32




Ursachenanalyse Die Grundlage für die im Rahmen des Monitorings durchzuführende Ursachenanalyse bildet der Erkennungsprozess (auch Discovery-Prozess genannt). Ziel der Ursachenanalyse ist die Reduzierung der Mean Time to Repair (MTTR) und die Erhöhung der Betriebseffizienz im Rahmen eines Steuer- und Optimierungsprozesses. Dabei werden voneinander abhängige Störungsströme untersucht. Die Ursachenanalyse für Probleme und Störungen kann automatisch-deterministisch erfolgen oder probabilistisch (wahrscheinlichkeitstheoretisch). Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.33






Ereigniskorrelation (Event Correlation) Ein Problem kann eine Flut von Ereignissen auslösen. Diese Flut von Ereignissen muss effizient verwaltet werden, um eine optimale Steuerung und letztendlich eine optimale Bearbeitung aller Ereignisse sicherstellen zu können. Dabei ist der Informationsinhalt von Ereignissen durch die Unterdrückung nicht gewollter, redundanter Events und das Hinzufügen neuer, mehr informativer Events mittels der Nutzung von Event-Reduzierung-Strategien (wie z. B. Deduplizierung) zu verbessern. Die Event-Correlation-Funktion setzt Ereignisse untereinander in Beziehung und dient der Entdeckung und Analyse komplexer Störeinflüsse. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.34




Trendanalyse Die Trendanalyse dient der Identifizierung von Trends und zur dynamischen Erkennung von Ressourcen- und Performance-Engpässen, die zu Verfügbarkeitsverlusten führen können, und damit zur Bestimmung der optimalen Konfiguration, der Ersetzung und /oder der Erweiterung der entsprechenden Komponenten. Dieses Verfahren trifft Vorhersagen basierend auf den gesammelten Historiedaten. Dazu werden Langzeitbeo-bachtungen der entsprechenden Komponenten mit Hilfe von Monitoring-Werkzeugen vorgenommen und die gewonnenen Daten werden ent-sprechend verdichtet. Häufig werden lineare Extrapolierungsansätze verwendet. Dieser Ansatz, den Zusammenhang zwischen Last und Perfor-mance-Maßen durch eine lineare Gleichung zu beschreiben, berücksichtigt allerdings nicht den rasanten Anstieg von Leistungsmaßen in der Nähe der Sättigungspunkte und berücksichtigt in der Regel auch nicht das Zusammenwirken unterschiedlicher Arbeitslasten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.35


Sabotage, Manipulation Technische Ermüdung Fehler in Hard- oder Software




Analytische Modellierung Die analytische Modellierung (Verifikation, stochastisch, deterministisch) beschreibt die Performance des IT-Service durch eine Reihe von Gleichungen. Das Performance-Verhalten wird durch mathematische Größen und Beziehungen zwischen ihnen beschrieben. Das analytische stochastische Modell berücksichtigt zufällig auftretende Ereignisse. Die Erstellung einer solchen Modellierung kann sehr aufwendig sein, da in der Regel eine Vielzahl von Abstraktionen, Vereinfachungen und Annahmen nötig ist, um das Performanceverhalten auf einige wenige Para-meter zu reduzieren. Die Genauigkeit der Modellierung hängt sehr stark davon ab, wie genau sich die Realität durch die Modellierungselemente beschreiben lassen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.36





Simulative Modellierung Die simulative Modellierung (Black-Box-Test, deterministisch) beschreibt das Performanceverhalten mittels mathematischer Größen und Be-ziehungen zwischen ihnen. Diese Modelle beinhalten aber auch Größen, die sich in Abhängigkeit von der Zeit dynamisch ändern (Ereignis-diskret oder kontinuierlich). Sie ermöglichen genauere Performance-Ergebnisse als analytische Modelle, da sie mehr Details des realen IT-Service nachbilden kann. Sie ist in der Regel aufwendiger als die analytische Modellierung. Die simulative Modellierung sollte hauptsächlich zur Analyse und Bewertung von wichtigen Details eingesetzt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.37







Schwellwertanalyse mit festen Schwellwerten Feste (auch fixe) Schwellwerte werden für einzelne, meist kritische, Komponenten (Messobjekte) der IT-Services anhand von Daumenregeln oder vereinbarten Service Level Agreements festgelegt. Die Erreichung der Schwellwerte wird im Rahmen der Überwachung geprüft. In der Regel werden zwei Schwellwerte pro Messobjekt definiert. Der erste Wert löst bei Erreichung eine Warnmeldung aus, der zweite einen Alarm. An die definierten Schwellwerte ist damit auch der Status des Messobjekts (der Komponente) geknüpft. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.38




Schwellwertanalyse mit dynamischen Schwellwerten Einige Monitoringwerzeuge ermöglichen die dynamische Anpassung von Schwellwerten anhand von statistischen Verfahren (z. B. Standard-abweichungen). Auch bei diesem Verfahren werden in der Regel zwei Schwellwerte bestimmt. Der erste Wert löst bei Erreichung eine Warn-meldung aus, der zweite einen Alarm. An den definierten Schwellwerten ist damit auch der Status des Messobjekts (der Komponente) ge-knüpft. Kombiniert wird dieses Verfahren mit festen Schwellwerten, die die Grenzen für die dynamische Anpassung nach oben bzw. nach un-ten hin, je nach Definition und Messparameter, darstellen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.39




Tabelle 37 Maßnahmen Überwachung: Auswertung und Analyse



Reaktion und Steuerung

Nr. Maßnahme Planung der Alarmierung und Eskalation Im HV-Umfeld verlangen Alarme des Monitoring-Systems eine kurzfristige Reaktion. Diese Reaktion kann automatisiert (z. B. Ausführung eines Skriptes) oder manuell (z. B. durch Administrationspersonal) stattfinden. Die durch den Alarm ausgelöste Reaktion muss innerhalb eines wohldefinierten Fehlerbehandlungs- bzw. Eskalationsprozesses erfolgen. Dies beinhaltet eine Benachrichtigung der erforderlichen Personen- bzw. Personengruppen über Warnungen, Alarme, Probleme und Fehler nach vorher definierten Regeln. Diese Benachrichtigung kann u. a. per Web, Pager, Blackberry, E-Mail erfolgen und an bestimmte Regeln, z. B. zeitliche Bedingungen, wie innerhalb und außerhalb der Arbeitszeit, an Sonn- und Feiertagen, gebunden sein. So sollte zum Beispiel bei Verfügbarkeitsverlust des IT-Services "E-Mail" keine Benachrichtigung per Email erfolgen. Weiterhin sollten die Benachrichtigungen entsprechend der negativen Auswirkungen des eingetretenen Events, z. B. als kri-tisch, klassifiziert werden können. Auch Eskalationsregeln sind dabei zu berücksichtigen. Bei der Konfiguration der Benachrichtigungsregeln sind die Policy-Vorgaben des Unternehmens bzw. der Organisation zu beachten. Die Benachrichtigungstexte müssen klar und verständlich de-finiert sein und dürfen keine irreführenden Aussagen enthalten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.40

Planung und Konzeption Automatismen Reaktionszeit Menschliches Versagen Sabotage, Manipulation Technische Ermüdung

HVK (Überwachung) VM.2.18 VM.2.22

Planung einer geeigneten (automatischen) Reaktion im Fehler(stör)fall Im HV-Umfeld muss sichergestellt sein, dass Alarme nicht ins Leere laufen und dass durch fachkundiges Personal sowohl kurzfristige als auch langfristige Reaktionen erfolgen. Zur Sicherstellung der hohen Verfügbarkeit müssen auf allen Reaktionsebenen entsprechende Eskalationspfa-de und –mechanismen definiert werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.10.41



HVK (Überwachung) VM.2.18 VM.2.22

Tabelle 38 Maßnahmen Überwachung: Reaktion und Steuerung



Infrastruktur Die nachfolgenden Maßnahmenkataloge beschreiben Maßnahmen im Sinne von Verfahren und Lösungen für Gebäudeinfrastrukturen im Rahmen der Reali-sierung hoch verfügbarer IT-Architekturen. Die Zielsetzung der Maßnahmen liegt hierbei in weiten Teilen in der Gewährleistung der Robustheit sowie der weitestgehenden Vermeidung bzw. Reduzierung von Störeinflüssen zur Unterstützung der hoch verfügbar ausgelegten technischen und organisatorischen Funktionskomponenten des HV-Verbundes. Die Strukturierung der Maßnahmen erfolgt in Form von Maßnahmenclustern für die nachfolgenden Subdomänen der HV-Domäne „Infrastruktur“:

• Planung und Organisation

• Gebäude

• Räume

• Türen und Fenster

• Baulicher Brandschutz

• Energieversorgung

• Energieverteilung

• Blitz- und Überspannungsschutz

• Klimatisierung

• Zutrittskontrolle

• Brandmeldung und –Löschung

• Leckage

• Einbruchsmeldung



Planung und Organisation

Nr. Maßnahme Vermeidung von Brandlasten In IT-Betriebsräumen dürfen grundsätzlich keine „passiven“ Brandlasten wie Möbel, Akten, Papiervorräte, Putzmittel usw. gelagert werden. Netzwerkkomponenten oder andere zentrale IT-Systeme wie Server, Sternkoppler, Verteiler sollten als „aktive“ Brandlasten nicht in begehba-ren Steigetrassenräumen untergebracht werden. Ebenso stellen private Elektrogeräte von Mitarbeitern eine Brandlast für den hochverfügbaren Betrieb dar. Der Betrieb privater Elektrogeräte sollte daher generell untersagt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.1

Planung und Konzeption Beschaffung Implementierung Notfallvorsorge

Robustheit Reifegrad KPI


HVK (Infrastruktur) CobiT, DS12 GSK M 1.51

Ausweichrechenzentrum (Hot site) Aufbau und Einsatz eines geographisch separierten Ausweichrechenzentrums. Wenn die Anforderungen sehr hoch sind, muss ein Ausweichre-chenzentrum an einem anderen Ort ständig einsatzbereit sein. In diesem Fall werden die gesamten Daten zeitgleich in das Ausweichrechenzent-rum gespiegelt.


VM.11.2


Redundanz Separation Automatismen

SpoF Aktivierung Aktivierungszeit Automatisierungsgrad Geographisch Reifegrad


HVK (Server) CobiT, DS12 VM.2.18

Tabelle 39 Maßnahmenkatalog Infrastruktur: Organisation






Gebäude

Nr. Maßnahme Geeignete Standorte für Gebäude Die Sicherheitsanforderungen an den Standort müssen bereits bei der Konzeption berücksichtigt werden. Für die Auswahl eines Standorts steht vor allem die vollständige Umsetzbarkeit von Sicherheitsanforderungen im Vordergrund. Risiken, die von Elementarereignissen ausgehen, müssen identifizieren und bewerten werden. Standorte, die unmittelbar durch elementare Einflüsse wie Hochwasser, Lawinen, Erdbeben oder Erdrutsch gefährdet sind, sollten vermieden werden. Bodensenkungen und Bergschläge, die infolge aktiven Bergbaus auftreten können, sind ebenso zu berücksichtigen. Standort mit in der Nähe befindlichen Betriebe, Lagerstätten oder Transportwege mit Gefahrengut sowie Flughäfen, Sendeanlagen mit starker Sendeleistung, Kraftwerke oder militärische Einrichtungen sollten vermieden werden. Der Standort sollte über güns-tige Verkehrsanbindungen für Hilfe leistenden Kräfte (Feuerwehr, Polizei) verfügen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.3


Robustheit Widerstandsklasse Reifegrad



Einrichtung des Perimeterschutzes Eine Strategie zur Etablierung eines effektiven Perimeterschutzes muss in der Regel aus Maßnahmen unterschiedlicher Bereiche bestehen. Da-zu gehören mechanisch-bauliche, organisatorisch-personelle und elektronische Detektions-Maßnahmen. Entscheidend ist, dass die gewählten Einzelmaßnahmen untereinander abgestimmt sind und sich in ihrem Zusammenwirken additiv auf die Gesamtzielsetzung auswirken.


VM.11.4



Sabotage, Manipulation HVK (Infrastruktur) GSK M 1.55








Nr. Maßnahme Freilandschutz Die Topologie der Freiflächen muss derart gestaltet werden, dass Sicht versperrende Objekte einem Täter nicht als Sichtschutz dienen können. Die Trennung des äußeren vom inneren Bereich des Freigeländes muss durch bedarfsorientierte Barrieresysteme wie Mauern, Zäune (massiv oder aus Drahtmetall), Stacheldrahthindernisse, Übersteigschutz, Fahrzeugbarrieren sowie der Sicherung von Zufahrten und Toren durch Dreh-türen, Drehtore etc. realisiert werden. Zur Abwehr von Übergriffen und Erhöhung des Zeitwiderstandes müssen mechanische Barrieren zusätz-lich mit elektronischen Detektionssystemen installiert werden Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.5



Sabotage, Manipulation HVK (Infrastruktur)

Perimeterbeleuchtung Unmittelbar um das Gebäude befindlichen Freiräume (Vorfelder) müssen mit geeigneter Illumination versehen werden. Mittels Mastleuchten muss das Vorfeld und die inneren Freiflächen ausgeleuchtet werden. Das Gebäude muss mit vertikal am Gebäude angebrachter Beleuchtung ausgeleuchtet werden.


VM.11.6







Pförtner- und Wachdienst Die Kontrolle der Zugänge und Zufahrten zum und im Betriebsgelände muss durch den Pförtner- und Wachdienst bewerkstelligt und abgedeckt werden. Der Pförtnerdienst identifiziert und registriert an zentraler Stelle Personen, die Zutritt zum Gelände oder Gebäude wünschen. Außer-halb der regulären Betriebszeiten müssen durch den Wach- oder Streifendienst Kontrollgänge über das Betriebsgelände durchgeführt werden.


VM.11.7




HVK (Infrastruktur)

Einrichtung und Anordnung von Funktionsbereichen in Gebäuden Funktionsbereiche müssen entsprechend der Ressourcenfunktionalität definiert und anhand ihrer Schutzbedürftigkeit angeordnet werden. Die Funktionstrennung muss durch Isolation und Separation innerhalb von Sicherheitszonen erfolgen. Die Isolation erfolgt durch Schottung von Räumen oder Bereichen gegenüber Gefahren, die von innen oder außen einwirken können. Die Separation erfolgt durch eine räumliche Auftei-lung. So sind technische Anlagen, IT-Systeme oder Bürobereiche durch bauliche Maßnahmen voneinander zu trennen. Die Kontrolle der Sepa-ration erfolgt durch Meldeanlagen, wie z. B. einer Zutrittskontrollanlage. Der Schutzbedarf jeder Sicherheitszone bestimmt die umzusetzenden baulichen und technischen Maßnahmen. Sicherheitszonen sollten nach dem klassischen Zwiebelschalenprinzip definiert werden. Die Wider-standsfähigkeit der Sicherheitszonen gegenüber Bedrohungen wird maßgeblich durch deren Lage im Gebäude bestimmt und nimmt zum Inne-ren des Gebäudes zu. In Abhängigkeit von den in den Bereichen installierten Systemen sollten in einem Sicherheitskonzept die Zonen definiert und einem Sicherheitsniveau zugeordnet werden. Prinzipiell sind sämtliche Sicherheitszonen durch Separationsmaßnahmen, also durch das Er-richtung von Widerständen von Zone zu Zone, voneinander zu trennen Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.8


Robustheit Separation

Widerstandsklasse Reifegrad


HVK (Infrastruktur)






Pförtner- und Wachdienst Die Kontrolle der Zugänge und Zufahrten zum und im Betriebsgelände muss durch den Pförtner- und Wachdienst bewerkstelligt und abgedeckt werden. Der Pförtnerdienst identifiziert und registriert an zentraler Stelle Personen, die Zutritt zum Gelände oder Gebäude wünschen. Außer-halb der regulären Betriebszeiten müssen durch den Wach- oder Streifendienst Kontrollgänge über das Betriebsgelände durchgeführt werden.

Geeigneter Hochbau Das Gebäude muss über redundante konstruktive Eigenschaften und technische Einrichtungen verfügen, damit die erforderlichen Rahmenbe-dingungen zum sicheren Betrieb der IT-Infrastruktur dauerhaft konstant bleiben. Das Gebäude muss mit seiner Außenhaut Schutz gegen das Eindringen Unbefugter bieten. Gefahren wie Brände oder Explosionen in unmittelbarer Nähe des Gebäudes müssen wirksam durch die mecha-nischen Schutzmaßnahmen des Gebäudes abgewehrt werden. Die Außenwände müssen über eine hohe konstruktive Robustheit und hohen me-chanischen Widerstand verfügen Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.9


Redundanz Separation Robustheit

SpoF Widerstandsklasse HV-Infrastruktur Reifegrad


HVK (Infrastruktur)

Tabelle 40 Maßnahmenkatalog Infrastruktur: Gebäude



Räume

Nr. Maßnahme Geeignete Decken und Wände Decken und Wände in Gebäuden müssen hohe Widerstandswerte gegen mechanische und thermische Beanspruchung aufweisen. Hinsichtlich der mechanischen Belastbarkeit über die rein statischen Erfordernisse hinaus definiert die DIN V ENV 1627 bestimmte Wandkonstruktionen für den Einbau Einbruch hemmender Türen.


VM.11.10




HVK (Infrastruktur)

Errichtung eines Raumes in einem bestehenden Raum Es muss eine Raum in Raum Lösungen, also die Errichtung eines eigenen Raums zur Sicherung von hochverfügbaren Infrastrukturen in einem bestehenden Raum, in Metallkassettenbauweise mit speziellen Wandfüllungen ausgeführt, realisiert werden. Diese Konstruktion verbindet eine einfache Installation mit einer hohen Robustheit gegenüber thermischer und mechanischer Belastung.


VM.11.11




HVK (Infrastruktur)





Keine abgehängten Decken verwenden Alle Komponenten, die im Deckenbereich installiert sind, müssen mit Trägersystemen an der Rohdecke installiert werden und auf abgehängte Decken sollte gänzlich verzichtet werden.


VM.11.12




HVK (Infrastruktur)

Vorkehrungen für Doppelböden In Doppelböden sind besondere Sicherheitsvorkehrungen bei der Planung, Installation und vor allem während des Betriebs zu berücksichtigen. Es muss generell darauf geachtet werden, dass nur absolut notwendige Kabel oder technische Komponenten in einem Doppelboden installiert werden und eine regelmäßige Revision durchgeführt wird. Nicht mehr benötigte Komponenten sind zu entfernen. Brandwände oder solche mit qualifiziertem Einbruchsschutz müssen auch im Doppelbodenbereich bis zum Rohboden ausgeführt werden. Bei Einbau einer automatischen Brandmeldeanlage ist der Doppelboden als separater Bereich getrennt durch Brandmelder zu überwachen. Markierungen auf dem Boden oder eine Lageplan müssen die Position jedes Melders exakt angeben. Der Doppelboden sollte zusätzlich in die Überwachung durch eine Wasser-meldeanlage eingebunden werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.13




HVK (Infrastruktur)

Tabelle 41 Maßnahmenkatalog Infrastruktur: Räume





Türen und Fenster

Nr. Maßnahme Einsatz Einbruch hemmende Türen Zur Trennung von Sicherheits- oder Funktionsbereiche müssen Einbruch hemmende Türen gemäß der Norm DIN V/ EN V1627 einheitlichen Bauteilewiderstandsklassen von WK 1 bis WK6 eingesetzt werden. Darüber hinaus definiert die DIN V ENV 1627 in einer entsprechenden Ta-belle für die einzelnen Widerstandklassen der Türen Wandqualitäten nach Dicke und verwenden Baustoffen.


VM.11.14




HVK (Infrastruktur) GSK M 1.19

Verwendung geeigneter Fenster und Verglasung Fenster und Verglasung müssen gemäß der Norm DIN V/ EN V1627 einheitlichen Bauteilewiderstandsklassen von WK 1 bis WK6 eingesetzt werden. Die Fenster müssen fest verglast sein, so dass ein Öffnen und damit ein versehentliches Offenstehen verhindert wird.


VM.11.15





Tabelle 42 Maßnahmenkatalog Infrastruktur: Fenster und Türen







Baulicher Brandschutz

Nr. Maßnahme Einsatz von Brandschutztüren/Rauchschutztüren Es müssen Brandschutz- oder Rauchschutztüren zum Schutz der Personen und IT-Systeme eingesetzt werden. Brandschutz- oder Rauchschutz-türen müssen in vielen Fällen die Funktionen des Einbruchschutzes und des Brandschutzes zum Schutz der IT-Systeme mit dem Personen-schutz vereinen. Dazu sind elektrische Systeme einzusetzen, die eine optimale Synthese zwischen den Belangen des Personenschutzes und dem Schutz der IT gegen unberechtigten Zutritt ermöglichen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.16





Einrichtung von Brandabschnitten Ein Gebäude muss in Brandabschnitte aufgeteilt werden. Die Aufteilung von Brandabschnitten orientiert sich im Wesentlichen an der Größe eines Gebäudes und an den Fluchtwegen. Zulässige Größen von Brandabschnitten dürfen eine Fläche von 40 x 40 m nicht überschreiten und nicht mehr als ein Geschoss umfassen. Ausnahmen für die Höhenausdehnung stellen Treppenhäuser, nicht geschottete Steigetrassen und Auf-zugsschächte dar. Solche Bereiche sind als senkrecht durch ein Gebäude laufende Brandabschnitte entsprechend zu sichern. Einzelne Brandab-schnitte werden durch Brandschutzkonstruktionen (gemäß DIN 4102) voneinander getrennt. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.17











Einrichtung einer Brandschottung Bei der Verlegung von Kabeln durch Brandwände sowie innerhalb von Räumen ist eine geeignete Schottung zwingend erforderlich. Dabei ist zwischen drei Schwerpunkten zu unterscheiden: die Sicherstellung des Feuerwiderstandswertes einer Brandschutzwand oder Decke bei der Durchführung von Leitungen, der Schutz des Bereiches vor Brandschäden, durch den eine Trasse geführt wird, die von der Kabeltrasse ausgeht, der Schutz der Trasse gegen Brandereignisse innerhalb des Bereiches, durch den sie geführt wird. Möglich ist dies u. a. durch die Kabelab-schottung in Form eines I-Kanals entsprechend DIN 4102 Teil 11, die Feuerwiderstandsklassen werden mit I30 bis I120 angegeben. Eine ande-re Möglichkeit besteht durch den Schutz der Daten- und Energieversorgungsleitungen u. a. durch Verlegung der Kabel in einem „E-Kanal“ ent-sprechend DIN 4102 Teil 12 oder aber durch die Verwendung von Kabeln mit geeignetem Funktionserhalt. Die Funktionserhaltungsklassen werden bei E-Kanälen wie bei Kabeln mit Funktionserhalt mit E30 bis E90 angegeben. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.18





Tabelle 43 Maßnahmenkatalog Infrastruktur: Baulicher Brandschutz





Energieversorgung

Nr. Maßnahme Doppelte Einspeisung der Energieversorgung Die Verlegung der Anbindung an das EVU in Außentrassen muss mit zwei unabhängigen Kabeln in einer Zwei-Wege-Führung in voneinander getrennten Trassen und an unterschiedlichen Stellen in das Gebäude erfolgen. Die Einspeisungen sollten aus unterschiedlichen Umspannwer-ken und über räumlich ausreichend weit voneinander entfernt verlegte Trassen erfolgen.


VM.11.19



SpoF Aktivierung Aktivierungszeit Automatisierungsgrad Geographisch Reifegrad


HVK (Infrastruktur)

Mittelspannungseinspeisung Es sollte die Mittelspannungseinspeisung gegenüber einer Niederspannungseinspeisung bevorzugt werden. Die Transformatoren sind vor unbe-rechtigtem Zutritt und insbesondere vor Brand zu schützen. Transformatoren sind daher, je nach Leistungsfähigkeit, in eigenen Räumen oder in vom Gebäude abgesetzten eigens dafür vorgesehenen Containern zu betreiben. Die Betriebsräume von Transformatoren sind daher mit Brand-schutzmaßnahmen auszustatten und in die allgemeine Brandüberwachung des Gebäudes einzubeziehen. Die regelmäßige Wartung der Trans-formatorkomponenten ist ebenso notwendig wie selbstverständlich. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.20




HVK (Infrastruktur)






Nr. Maßnahme Autarke Energieversorgung Einsatz von autarken Energieversorgungseinrichtungen in Form von Blockheizkraftwerken (BHKW). Es sollte ein BHKW-Verbund, bestehend aus mindestens zwei Anlagen, aufgebaut werden, in dem jede einzelne Anlage in der Lage ist, den gesamten Energiebedarf mit einem Reserve-faktor eigenständig bereitzustellen. Zusätzlich ist, wenn es die Art des Kraftstoffs erlaubt, eine ausreichende lokale Bevorratung von Kraftstoff (z. B. Heizöl, Holzpellets) von mehreren Tagen vorzusehen. Zudem ist eine zuverlässige Nachschubversorgung sicherzustellen. Als Betriebs-standort für ein BHKW sollte jeweils ein eigener Raum gewählt werden, der sich in einem anderen Gebäudeteil oder gar anderen Gebäude be-findet, als der Technikraum, in dem hochverfügbare IT-Systeme betrieben werden. Der Betriebsraum eines BHKW ist in den baulichen Brand-schutz und in die lokale Brandüberwachung einzubeziehen. Der Zutritt zu den Anlagen ist zu kontrollieren und die entsprechenden Betriebs-räume in die Überwachung mit einzubeziehen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.21


Robustheit Autonomie Skalierbarkeit

Widerstandsklasse Systemautonomie Auslastung Skalierungsfaktor Modularisierung Reifegrad

Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Technische Ermüdung

HVK (Infrastruktur) CobiT DS4 CobiT DS12

Unterbrechungsfreie Stromversorgung (USV) Es muss eine unterbrechungsfreie sogenannte Voltage and Frequency Independent-Stromversorgung (VFI-USV) mit ausreichender Kapazität installiert werden. Neben der reinen Stützfunktion muss eine USV weitere Funktionen zur Verfügung stellen: Auslösen des gezielten Herunter-fahrens nicht hochverfügbarer IT-Systeme. Anzeige der Betriebszustände. Fehleranalyse. Auf eine Fernwartung der USV sollte wegen vorhan-dener Manipulationsmöglichkeiten verzichtet werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.22



SpoF Aktivierung Aktivierungszeit Automatisierungsgrad Reifegrad








Nr. Maßnahme Netzersatzanlage (NEA) Die NEA übernimmt als sekundäre Energiequelle eine weitere Sicherungsfunktion, wenn sich die redundant ausgelegte Energiequelle der Pri-märversorgung (z. B. Blockheizkraftwerk) in der regulären Wartung befindet oder wegen Defekt ausgefallen ist. Hierbei handelt es sich um autarke Notstromaggregate, welche die Stromversorgung durch eigene Generatoren übernehmen. Diese werden in den meisten Fällen von Verbrennungsmotoren angetrieben, die bei einem Ausfall der Primärversorgung automatisch angefahren werden. Als zu bevorzugende Lösung zum Betrieb hochverfügbarer IT-Systeme sollte eine Kombination aus jeweils redundanter USV und NEA als Sekundärversorgung vorgesehen werden. Es ist bei der Dimensionierung der Leistungsfähigkeit von NEA und USV mindestens ein Faktor von 1,5 der maximalen Belastung anzunehmen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.23


Redundanz SpoF Aktivierung Aktivierungszeit Reifegrad



Tabelle 44 Maßnahmenkatalog Infrastruktur: Energieversorgung




Energieverteilung

Nr. Maßnahme Niederspannungshauptverteilung (NSHV), Unterverteilungen Die Verteilung muss aus Gründen der Manipulationssicherheit und dem Vermeiden von Störeinflüssen aus anderen Bereichen (z. B. Wartungs-arbeiten, Kurzschlüsse, Störspannungen), direkt an der NSHV angeschlossen werden. Die Anbindung der Unterverteilung an die NSHV sollte mit ungeschnittenen Kabeln und in gesicherten Kabelkanälen, Steigschächten oder Stahlpanzerrohren erfolgen. Besonderes Augenmerk ist auf die Standortwahl der NSHV zu legen. Die NSHV sollte in einem Raum installiert werden, in dem keine Rohrleitungen der Wasserversorgung oder Wasserentsorgung verlegt sind, oder in dem sich gar die Anbindung an die zentrale Wasserversorgung des Gebäudes befindet. Weiterhin muss die NSHV oder jede Unterverteilung vor unberechtigtem Zutritt geschützt sein. Die Raumtür ist daher an eine Zutrittskontrollanlage an-zuschließen. Meist wird die NSHV oder eine Unterverteilung mit weiteren technischen Einrichtungen in einem gemeinsamen Raum innerhalb eines Technikschranks installiert. In diesem Fall sind der Verschluss des Technikschranks und eine Überwachung auf unberechtigtes Öffnen durch eine Einbruchmeldeanlage erforderlich. Der Raum oder der Technikschrank der NSHV oder einer Unterverteilung sind in die Brand-überwachung einzubeziehen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.24




HVK (Infrastruktur)

Energieverteilung als TN-S Netz Zum Betrieb hochverfügbarer IT-Systeme ist die interne Verkabelung der Energieverteilung als sogenanntes TN-S Netz auszulegen. In einem solchen Netz wird von der Potenzialausgleichschiene der Neutral (N)-Leiter und Protection Earth (PE)-Leiter (oder Schutzleiter) getrennt ge-führt.


VM.11.25




HVK (Infrastruktur)






Nr. Maßnahme Differenzstrom-Überwachung durch Residual Current Monitors (RCM) Einsatz einer Differenzstrom-Überwachung durch Residual Current Monitors (RCM), die bei Erreichen des Nennfehlerstroms nicht durch so-fortiges Abschalten zu reagieren. RCMs können den Differenzstrom über seine zeitliche Entwicklung hin beobachten und, je nach individueller Einstellung, schon bei Erreichen eines bestimmten Meldefehlerstroms eine Warnmeldung erzeugen, die an zentraler Stelle angezeigt werden sollte. Die Überwachung durch RCMs muss sich auf alle stromführenden Phasen L1, L2, L3 und N sowie separat auf den PE-Leiter erstrecken Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.26




HVK (Infrastruktur)

Regelmäßige Prüfung und fachgerechte Wartung der Verkabelung Eine regelmäßige Prüfung und fachgerechte Wartung der Verkabelung und aller elektronischen Komponenten ist vorzusehen und kann durch eine ständige technische Überwachung nicht ersetzt werden.


VM.11.27




HVK (Infrastruktur)




Kabelinstallation Bei der Kabelinstallation sollte auf eine ungeschnittene, also durchgängige Verkabelung von der Unterverteilung bis zum Gerät selbst oder bis zu einem Technikschrank geachtet werden. Die Kabelverteilung erfolgt von der Trasse im Deckenbereich direkt zum Technikschrank oder über geschlossene an den Wänden installierte Kabelkanäle. Auf ein separiertes eigenes Stromnetz für IT-Systeme und andere Verbraucher ist gene-rell zu verzichten. Eine bessere Alternative hierzu stellt eine bereichsbezogene Absicherung dar. Dabei sollte jeder Bereich, in dem IT-Systeme betrieben werden (Raum, Schränke), über eine separate Absicherung verfügen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.28




HVK (Infrastruktur)

Leitungsführung Leitungsführungssysteme müssen die Verkabelung vor ungewollter mechanischer Beanspruchung, Manipulation oder Brand schützen, gleich-zeitig leicht erweiterbar und wartungsfreundlich sein. Auch müssen unterschiedliche Netzarten (Stromnetz, Datennetz, Netz der Gefahrenmel-detechnik) gemeinsam geführt, jedoch soweit trennbar sein, dass gegenseitige Störungen minimiert werden. Bei der Verlegung von Kabeln im Doppelboden ist auf dessen Hauptaufgabe zu achten, nämlich als wesentlicher Bestandteil der Klimatisierungsanlage zur Belüftung eines Raums. Daher sollte auch im Doppelboden auf eine Leitungsführung verzichtet oder mindestens strömungstechnisch nicht behindernd ausge-führt werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.29




HVK (Infrastruktur) VM.3.1





Kabeltrassen Generell sollten Kabel auf Trassen im offenen Deckenbereich geführt und an der Rohdecke installiert werden. Kabel sind generell zu schützen. Hierzu werden Kabeltrassen zumeist aus Metallführungsschienen hergestellt, die in offener und geschlossener Bauweise angeboten werden. Es sind ausreichend dimensionierte geschlossene Trassenkonstruktionen zu bevorzugen, die zudem eine Überwachung gegenüber unberechtigtem Öffnen durch eine Einbruchmeldeanlage aufweisen. Um dem Brandschutz gerecht zu werden, müssen Kabeltrassen an Übergängen oder Que-rungen von verschiedenen Brandabschnitten geschottet werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.30




HVK (Infrastruktur)

Kabel Es sollten Kabel in halogenfreier Ausführung gewählt werden und ein Funktionserhalt von mindestens 90 Minuten gegenüber Brand aufweisen.


VM.11.31



Naturkatastrophen HVK (Infrastruktur) VM.3.1





Regelmäßige Kontrolle der Kabeltrassen Kabeltrassen müssen regelmäßig kontrolliert werden. Dabei steht neben der Kontrolle auf Beschädigungen und der Brandschutz die zumeist wenig beachtete Begrenzung der Trassenkapazität im Vordergrund. Eine bestehende Verkabelung wird rasch erweitert, jedoch das Deinstallie-ren von nicht mehr benötigten Kabeln oft vergessen. Schnell ist dann die zulässige Trassenkapazität erreicht oder gar überschritten. Nur eine regelmäßige Kontrolle mit lückenloser Dokumentation und eine konsequente Beschriftung der Kabel kann eine kostspielige Nachinstallation weiterer Trassensysteme verhindern und dazu beitragen, die Übersicht über die Gesamtverkabelung zu behalten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.32




HVK (Infrastruktur)

Steigtrassen Die Verkabelung sollte in durchgängigen, als eigener Brandabschnitt ausgeführten, Steigetrassen installiert werden. Hier sind geeignete Kabel-führungssysteme zu wählen, ferner ist die Zugbelastung der Kabel zu berücksichtigen (Einfluss durch Temperaturänderungen und Gebäudebe-wegungen). Neben der Steigtrasse selbst sind sämtliche Kabeleinführungen in Betriebsräumen feuerfest mit mindestens 90 Minuten Funktions-erhalt auszuführen. Weiterhin sollten die Kabel gegenüber unberechtigtem Zutritt geschützt werden. Daher sind vorhandene Wartungsklappen oder –türen ständig verschlossen zu halten und gegenüber unberechtigtem Öffnen zu überwachen. Steigtrassen sind in die Überwachung durch die Brandmeldeanlage einzubeziehen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.33




HVK (Infrastruktur)

Tabelle 45 Maßnahmenkatalog Infrastruktur: Energieverteilung





Blitz- und Überspannungsschutz

Nr. Maßnahme Blitz- und Überspannungskonzept Ein Blitz- und Überspannungskonzept zur Sicherung von IT-Systemen gemäß DIN EN 62305-1 bis -4 muss von ausgewiesenen Fachleuten erarbeitet und umgesetzt werden. Bereiche, in denen hochverfügbare IT-Systeme betrieben werden, müssen mindestens als Blitzschutzzone 2 ausgelegt werden. Es sind also alle Maßnahmen der äußeren Blitzschutzzone 0 und der inneren Blitzschutzzonen 1 und 2 umzusetzen. Darüber hinaus muss sich der Überspannungsschutz auf alle Kabelnetze im Gebäude beziehen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.34



Naturkatastrophen HVK (Infrastruktur) CobiT, DS12

Überprüfung der Blitz- und Überspannungsschutzmaßnahmen Alle Blitz- und Überspannungsschutzmaßnahmen sind regelmäßig durch Fachpersonal auf ihre Funktionsfähigkeit zu überprüfen und zu war-ten. Der größte Abstand zwischen den Prüfungen eines Blitzschutzsystem geht aus der DIN 62305-3 Beiblatt 3 hervor und beträgt ja nach An-lagentyp und Gefährdungssituation 1 bis 4 Jahre.


VM.11.35



Naturkatastrophen Menschliches Versagen Fehler in Hard- oder Software


Tabelle 46 Maßnahmenkatalog Infrastruktur: Biltz- und Überspannungschutz






Klimatisierung

Nr. Maßnahme Sicherheitsvorkehrungen für die Klimatisierung Unabhängig davon, ob die Direktkühlung oder der gehauste Kaltkanal als Klimatisierungsprinzip in hochverfügbaren Infrastrukturen zum Ein-satz kommt, muss der Kühlkreislauf immer redundant ausgelegt sein. Die Bedienung der automatischen Klimaregelung darf nur durch berech-tigtes und geschultes Personal erfolgen. Auf die Steuerung und Überwachung der Klimatisierungsanlage über eine Fernwartungseinrichtung sollte verzichtet werden. Die Raumlufttemperatur und -feuchtigkeit sollten unabhängig voneinander einstellbar sein. Die von der VDI-Richtlinie 2054 vorgeschriebenen Grenzwerte für die klimatischen Bedingungen der Raumluft in Technikräumen können für einen sicheren und effizienten Betrieb herangezogen werden. Für die Außeneinheit einer Klimatisierungsanlage auf dem Dach oder an der Außenwand eines Gebäudes ist auf eine fachgerechte Montage hinsichtlich des Blitz- und Überspannungsschutzes der Energieversorgung zu achten. Alle Kabel- und Leitungszuführungen der Klimatisierungsanlagen müssen vor Manipulationen und Brand geschützt sowie durch eigene, geschlossene oder verschließbare Bereiche (Steigschächte, Kabelkanäle, Stahlpanzerrohre) geführt werden. Eine Überwachung dieser Bereiche auf Manipulation und Brand sollte separat erfolgen, eine Alarmierung ist zentral anzuzeigen. Der Zutritt zum Installationsort der Außeneinheit ist zu kontrollie-ren und zu überwachen. Ein Erreichen der Außeneinheit der Klimatisierungsanlage mit Hilfe von Steighilfen oder mittels technischer Hilfsmit-tel der Gebäudetechnik (Servicekran, Leiter, außen liegender Fluchtweg etc.) darf nicht möglich sein. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.36


Robustheit Redundanz Automatismen

Widerstandsklasse SpoF Aktivierung Aktivierungszeit Automatisierungsgrad Reifegrad

Naturkatastrophen Menschliches Versagen Sabotage, Manipulation Fehler in Hard- oder Software


Tabelle 47 Maßnahmenkatalog Infrastruktur: Klimatisierung





Zutrittskontrolle

Nr. Maßnahme Zutrittskontrollsystems (ZKS) Für die Durchsetzung von Zutrittsregelungen in hochverfügbaren Infrastrukturen reicht ein mechanisches Schließsystem, das auf Schlüsseln basiert, nicht aus. Hierzu sind die Installation und der Betrieb eines sicheren Zutrittskontrollsystems (ZKS) mit allen erforderlichen baulichen, apparativen und organisatorischen Details notwendig. Ein ZKS besteht gemäß der Norm DIN V VDE 0830-8-1 neben den baulichen und orga-nisatorischen Komponenten technisch aus einer Zutrittskontrollanlage (ZKA). Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.37




HVK (Infrastruktur) CobiT DS12

Funktionen für die Zutrittskontrolle Für die Zutrittskontrolle in hochverfügbaren Infrastrukturen sollten für besonders schützenswerte Bereiche Funktionen wie: Zutrittswiederholkontrolle (Anti-Pass-Back), Zwei-Personen-Zutrittskontrolle (Vier-Augen-Prinzip), Mehr-Personen-Anwesenheitskontrolle (ein Zutrittsberechtigter darf sich nicht allein in einem Raum befinden) oder die Raumzonenwechselkontrolle (ein Zutritt in eine benachbarte Raumzone kann nur erfolgen, wenn in der davor liegenden Zone eine Einbuchung erfolgte), umgesetzt werden. Die Einrichtung einer Nöti-gungs-PIN sollte erwogen werden, wenn die Gefahr von Überfällen besteht. Es ist bei der Planung der Zutrittsberechtigungen für jeden Raum oder Bereich zu entscheiden, wie mechanische Zwangsläufigkeiten umzusetzen sind Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.38









Sicherung der Übergeordnete Zutrittskontrollzentrale (ÜZKZ) und der Bedienungs- und/oder Anzeigeeinheiten (BAE) Die ÜZKZ und BAE zur Administration müssen in einem zutrittsgeschützten Raum mit der Überwachung durch die Einbruchmeldeanlage in-stalliert sein. Die BAE sollte darüber hinaus mit einem Zugangschutz ausgestattet sein, damit eine Administration der ÜZKZ nur von berechtig-tem Personal erfolgen kann.


VM.11.39





Sicherung der Zutrittskontrollzentrale (ZKZ) Eine ZKZ sollte autark, also ohne Kontakt zur ÜZKZ, funktionsfähig sein und muss über eine eigene unabhängige Stromversorgung verfügen. Die Konfiguration und Steuerung der ZKZ sollte ausschließlich über die ÜZKZ erfolgen. Die ZKZ muss in dem zu kontrollierenden Bereich sabotagegeschützt installiert sein. Das Gehäuse der ZKZ sollte zusätzlich gegenüber unberechtigtem Öffnen überwacht werden. Die Kommuni-kation zwischen der ÜZKZ und den lokalen ZKZen erfolgt mit Hilfe von Protokollen entweder über ein vorhandenes LAN/WAN oder eine ei-gene Verkabelung. In allen Fällen ist wegen der Vertraulichkeit der Zugangsberechtigungs- und Ereignisdaten eine gesicherte (verschlüsselte) Kommunikation dringend zu empfehlen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.40









Sicherung des Türsteuermoduls Das Türsteuermodul muss sabotagegeschützt im zutrittskontrollierten und überwachten Bereich installiert sein. Die in den Türen verbauten Mo-torschlösser oder Türöffner müssen mindestens der Widerstandsklasse der Tür entsprechen. Insbesondere muss auf die sabotagegeschützte Ver-legung der Verkabelung sowie der Meldesensoren geachtet werden.


VM.11.41




HVK (Infrastruktur)

Identifizierung und Authentifizierung in einem ZKS Neben der Identifikation über den Besitz eines Tokens muss die zusätzliche Eingabe einer mehrstelligen PIN oder die Abfrage eines biometri-schen Merkmals erfolgen. Neben der Identifizierung, also dem Besitz eines Ausweises (Tokens), ist insbesondere für die Kontrolle von hoch-verfügbaren Infrastrukturen auch die Authentifizierung (Echtheitsprüfung) des Ausweises notwendig.


VM.11.42





Videokontrolle Videokontrollanlagen ergänzen die Schutzfunktionen der Zutrittskontrolle und der Einbruchmeldung. Sie dienen der visuellen Überwachung von Außen- und Innenbereichen, Objekten oder Personen mit Hilfe von Videokameras, Monitoren oder Aufzeichnungsgeräten.


VM.11.43




Tabelle 48 Maßnahmenkatalog Infrastruktur: Zutrittskontrolle






Brandmeldung und -Löschung

Nr. Maßnahme Brandmeldezentrale (BMZ) Die zentrale Komponente jeder Brandmeldeanlage ist die Brandmeldezentrale. Hier laufen die Meldungen aller Melder zusammen und werden ausgewertet. Aus den Meldungen leitet die BMZ unterschiedliche Reaktionen ab. In erster Linie wird eine Brandmeldung an eine Hilfe leisten-de Stelle abgesetzt. Darüber hinaus steuert die BMZ Alarmierungseinrichtungen (akustisch, optisch), das Abschalten der Klimatisierungsanla-ge, das Schließen von Feuer- und Rauschschutztüren sowie das Öffnen von Rauch- und Wärmeabzügen sowie die Aktivierung der Löschanla-gen. Die Verknüpfung der BMZ mit sicherheitstechnischen IT-Einrichtungen wird empfohlen. Die Brandmeldezentrale sollte an einer zentral gelegenen und ständig besetzten Stelle (z. B. Sicherheitswarte) installiert werden. Der Zutritt zur BMZ muss kontrolliert sein, um Sabotage oder Fehlbedienungen auszuschließen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.44




HVK (Infrastruktur)

Brandmelder Die Detektion von Feuer, Schwelbrand oder Rauch erfolgt durch an die BMZ angeschlossenen automatischen Melder. Die Melder sollten einer regelmäßigen und fachgerechten Wartung unterzogen werden.


VM.11.45










Nr. Maßnahme Brandfrühesterkennung Die Detektion von Bränden sollte durch eine Brandfrühesterkennung erfolgen. Dabei wird die Abluft einzelner IT-Geräte (Rechner, Drucker, USV, Klimaanlage etc.) durch ein Rauchansaugsystem (RAS) einem empfindlichen Rauchmelder zugeleitet und von diesem ausgewertet. Sys-teme, welche die Luft direkt aus dem Gerät ansaugen, reagieren deutlich früher als solche, die die Luft aus der Raumluft entnehmen. Entspre-chend der Rauchgaskonzentration werden durch das System unterschiedliche Maßnahmen ausgelöst. Diese reichen von der Information eines Anlagen-Betreuers über die Energieabschaltung des betroffenen Gerätes und automatischen Umschaltung auf ein redundantes System, bis hin zum Feueralarm und ggf. einer Löschung des betroffenen Gerätes. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.46





Bereichslöschung Die Brandbekämpfung muss mittels einer automatischen Löschanlage erfolgen. Eine Löschanlage, die einen begrenzten Bereich löscht, besteht aus einer Löschsteuerzentrale, einer Signalisierungseinheit und den Löschmittelbehältern, die meist in Batterien zu mehreren Behältern außer-halb des zu löschenden Bereichs installiert sind. Die Löschsteuerzentrale löst bei der Detektion eines Brandes die Löschung eines Bereichs mit vorhergehender akustischer und optischer Signalisierung verzögert aus. Wichtig dabei ist der Einsatz des geeigneten Löschmittels. Wasser, Löschschaum und Löschpulver sind wegen der Folgeschäden an den IT-Systemen nicht geeignet. Hier muss auf Löschgase zurückgegriffen werden. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.47




HVK (Infrastruktur)




Objektlöschung Objektlöschanlagen werden in oder auf Technikschränken installiert, in denen die IT-Systeme betrieben werden. Das Löschgas befindet sich in einem lokalen Vorratsbehälter. Erfolgt die Detektion eines Brandes, so wird der Technikschrank gasdicht durch installierte Schottsysteme ver-schlossen, die Geräte spannungsfrei geschaltet und die Löschung ausgelöst. Das Auslösen wird optisch und akustisch angezeigt und als Alarmmeldung an eine ständig besetzte Stelle weitergeleitet. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.48




HVK (Infrastruktur)

Tabelle 49 Maßnahmenkatalog Infrastruktur: Brandmeldung und -Löschung




Leckage

Nr. Maßnahme Leckagevermeidung In IT-Bereichen sowie in allen Bereichen der Haustechnik, sollte soweit möglich auf druckbehaftete Leitungen verzichtet werden. Hochverfüg-bare IT-Bereiche sollten nicht unter Regenwassereinläufen oder Dehnungsfugen oder generell unter Flachdächern installiert werden. Auch Kel-lerbereiche sind für die Raumwahl zum Betrieb hochverfügbarer Infrastrukturen meist nicht geeignet. Sowohl Rückstau aus der Abwasserent-sorgung, als auch ein hoher Grundwasserspiegel sind als Gefahren zu beachten. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.49




HVK (Infrastruktur)

Leckagemeldung Eine Leckagemeldeanlage zum Einsatz in IT-Bereichen besteht aus der zentralen Steuereinheit, der Überwachungseinheit und den Sensoren. Die Leckagemeldezentrale reagiert auf die Signale der Überwachungseinheit und leitet einen Alarm an eine ständig besetzte Stelle. Eine wirksame Überwachung muss sich sowohl auf die Flächen in den Betriebsräumen (Wände, Decke, Boden) als auch auf Objekte erstre-cken, von denen eine Gefahr ausgehen kann, wie z. B. die Rohrleitungssysteme einer Klimatisierungsanlage. Neben dem Erkennen von Flüs-sigkeiten ist die Standortbestimmung einer Leckage eine weitere wichtige Funktion. Die Anlagenzentrale sowie die Überwachungseinheiten müssen sabotagegeschützt installiert werden. Ebenso müssen Störungen, wie z. B. Sensordefekte, selbstständig erkannt werden und zu einer Störmeldung führen. Überlegungen zur Umsetzung weiterer Sicherheitsmaßnahmen, wie ein automatisches Schließen von Rohrleitungen von Versorgungsnetzen (Wasser, Heizöl etc.) oder das kontrollierte Herunterfahren (oder Umschalten) und Abschalten der Energieversorgung von Geräten, bei denen eine Leckage erkannt wird, sollten in die Planungen einer Leckageanlage einfließen. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.50




HVK (Infrastruktur)

Tabelle 50 Maßnahmenkatalog Infrastruktur: Leckage





Einbruchsmeldung

Nr. Maßnahme Einbruchmeldeanlagen (EMA) Einbruchmeldeanlagen dienen der Überwachung von Bereichen gegenüber jeglichem Eindringen oder Sabotage, entweder kontinuierlich oder für den Zeitraum, in dem sie scharfgeschaltet sind. Es muss sichergestellt sein, dass während der Zeit, die ein Einbrecher benötigt um ins Ge-bäude einzudringen, der Einbruchsversuch so früh entdeckt wird, dass ein rechtzeitiges Eingreifen möglich ist. Die Detektion eines Eindringens muss zuverlässig und umfassend erfolgen. Die EMA muss weiterhin sabotagegeschützt aufgebaut und mit einer ausfallsicheren Stromversor-gung ausgestattet sein. Eine weitere wichtige Rolle spielt die zuverlässige Weiterleitung des Alarms und die Alarmanzeige. Die Norm DIN EN 50131 (DIN VDE 0830) beschreibt den fachgerechten Aufbau und formuliert Sicherheitsanforderungen an eine EMA. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.51



Sabotage, Manipulation HVK (Infrastruktur) CobiT, DS12

Einbruchmeldezentrale (EMZ) Ereignisse, die von den Meldern einer EMA erfasst werden, laufen in der Einbruchmeldezentrale auf. Diese Zentrale erfasst und wertet die Sig-nale der Melder aus und generiert im Falle eines unbefugten Eindringens daraus eine Alarmmeldung, die über eine Schnittstelle weitergeleitet wird. Neben der hohen Qualität der Melder zur Detektion von Ereignissen und einer sabotagesicheren Verkabelung aller Komponenten ist eine kontinuierliche Energieversorgung von entscheidender Bedeutung für einen zuverlässigen Betrieb. Hierzu ist die EMA an die redundant ausge-legte Energieversorgung eines Sicherheitsbereichs anzuschließen und darüber hinaus mit einer eigenen ausfallsicheren Stromversorgung (z. B. eigener USV) lokal auszustatten. Die Bedienung, also u. a. die Berechtigungseingaben, die Alarmquittierung, das Löschen von Alarmen oder Ereignisdaten muss ebenfalls über die EMZ möglich sein, jedoch nur nach vorheriger Identifizierung und Authentifizierung durch eine berech-tigte Person. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.52



Sabotage, Manipulation HVK (Infrastruktur) VM.11.51






Nr. Maßnahme Durchbruchüberwachung Für die Überwachung großer Flächen bieten sich eher mäanderförmig aufgebrachte Alarmdrähte an, die bei Beschädigung bei einem Durch-bruchsversuch eine Meldung auszulösen. Für Glasflächen sind verschiedene Arten der Durchbruchüberwachung verfügbar. Verbundsicher-heitsglas wird mit Hilfe einer Alarmdrahteinlage oder durch eine transparente Kunststofffolie mit Alarmdrähten überwacht. Bei Einscheibensi-cherheitsglas ist auf einer vorgespannten Glasschicht eine Leiterbahn als „Alarmspinne“ aufgebrannt. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.53




Überwachung von Verschluss und Verriegelung Der Verschluss und die Verriegelung alle Öffnungen (Fenster, Türen etc.) müssen überwacht werden. Die Überwachung des Verschlusses er-folgt durch sabotagegeschützt angebrachte Magnetkontakte. Um die tatsächliche Verriegelung zu überwachen, wird bei Türschlössern im Schließblech ein mechanischer Schalter eingebaut, der durch den Riegel der Tür betätigt wird (Riegelkontakt). Bei Fenstern wird durch einen weiteren Kontakt die Verriegelungsstellung des Riegelwerkes oder des Fenstergriffes überwacht. Umsetzungsphase Prinzip Kriterien Wirkt gegen Querverweis

VM.11.54








Bewegungsüberwachung Die Bewegungsüberwachung erkennt Bewegungen von Personen innerhalb eines überwachten Bereiches. Der Einsatz von Bewegungsmeldern als Infrarot- oder Ultraschallmelder bietet sich für die Vorfeldüberwachung an. Hierbei wird das Vorfeld eines zu schützenden Bereichs auf unberechtigtes Eindringen überwacht und nicht das Innere des zu schützenden Bereichs selbst.


VM.11.55




Tabelle 51 Maßnahmenkatalog Infrastruktur: Einbruchsmeldung



Glossar

Begriff Erklärung Antecedent Ein Antecedent ist ein Dienst, vom dem ein anderer Dienst

abhängig ist, um seine Funktionalität erbringen zu können. Applikations-Dienst Der Applikations-Dienst konkretisiert in der Schnittstelle

zum Anwender die notwendigen spezifischen Funktionen sowie die Ablauflogik zur Abwicklung eines Prozesses.

Basisdienst Ein Basisdienst stellt die allgemeinen technischen Funktio-nen, die ein Applikations-Dienst benötigt, zur Verfügung.

Common Object Request Broker Archi-tecture

CORBA ist eine Spezifikation zur Realisierung verteilter Softwareanwendungen.

Control Objectives for Information and Related Technology

CobiT ist ein international anerkannter Standard für Sicher-heit, Qualität und Ordnungsmäßigkeit in der Informations-technologie.

Dependent Ein Dependent ist ein Dienst, der von der Verfügbarkeit ei-nes anderen Dienstes abhängig ist, um seine Funktionalität erbringen zu können.

Dienstgüteparameter Mit Hilfe der Dienstgüteparameter werden die qualitativen Eigenschaften eines Dienstes beschrieben. Sie geben die An-forderungen vor, die der Anbieter eines Dienstes ihm Rah-men seiner Leistungserbringung zu erfüllen hat.

Enterprise Service Bus Der Enterprise Service Bus beschreibt eine Kommunikati-ons-Infrastruktur mit besonderen Routing-Fähigkeiten, wel-che in dienstorientierten Architekturen zum nachrichtenba-sierten Informationsaustausch eingesetzt werden kann.

First Level Support Der First Level Support bildet die erste Anlaufstelle für Un-terstützungsanfragen.

Internet Engineering Task Force Die Internet Engineering Task Force ist eine Organisation, die das Ziel einer technischen Weiterentwicklung des Inter-nets verfolgt.

IT-Dienste Die Komponenten eines IT-Systems stellen anderen Kom-ponenten oder dem Endanwender IT-Dienste zur Verfügung. Die IT-Dienste bilden mit ihrem Funktionsumfang die Grundlage für die IT-Dienstleistungen. Sie lassen sich in vier Kategorien einteilen Applikations-Dienste,Management-Dienste, Sicherheits-Dienste und Basis-Dienste.

IT-Dienstleistung Zur Erledigung der Arbeitsschritte innerhalb des Prozesses werden die Dienstleistungen unterschiedlicher Hilfsmittel (Ressourcen) verwendet. Waren dies früher Karteikästen und Akten sind es heute vornehmlich informationstechnische Mittel. Alle IT-Ressourcen dienen letztlich dazu, die erfor-der-lichen Dienstleistungen zur Abwicklung des Geschäfts-prozesses zur Verfügung zu stellen. IT-Dienstleistungen bil-den die Schnittstelle zwischen den beiden Betrachtungsebe-nen „Geschäftsprozess“ und „IT-Ressourcen“.

IT Infrastructure Library Die IT Infrastructure Library ist ein weltweit akzeptierter Defacto-Standard für Gestaltung, Implementierung und Ma-nagement wesentlicher Steuerungsprozesse in der IT.

Jini Jini stellt eine Erweiterung der Programmiersprache Java




Begriff Erklärung dar. Es handelt sich um einen zentralisierten Dienstfin-dungsmechanismus. Hierbei sollen sich Geräte selbstständig in einem Netz anmelden und ihre Dienste automatisch ohne Installationsaufwand dem potentiellen Nutzer zur Verfügung stellen.

Managementdienst Managementdienste sind Dienste, welche die Bereitstellung, Installation sowie Betrieb, Wartung und Verwaltung von IT-Komponenten und Basisdiensten unterstützen.

Operational Level Agreement Mittels eines Operational Level Agreements gibt der Dienst-anbieter interne Rahmenbedingungen für die Bereitstellung und die Qualität des durch ihn zu realisierenden Dienstes vor.

Quality of Service Quality of Service beschreibt die Güte eines Dienstes aus der Anwendersicht.

Request for Change Ein Request for Change bezeichnet im Änderungswesen die Anforderung einer Änderung.

Service Level Agreement Das Service Level Agreement ist eine Vereinbarung über die Qualität zugesicherter Leistungseigenschaften in einem Dienstleistungsvertrag.

Service Location Protocol Das Service Location Protocol ist ein auf UDP und TCP ba-sierendes Dienstfindungsprotokoll für IP-basierte lokale Netze. Es handelt sich hierbei um ein Standard Protokoll der Internet Engineering Task Force (IETF).

Service Oriented Architecture SOA dient zur strukturierten Nutzung von Diensten in der IT.

Sicherheitsdienst Ein Sicherheitsdienst bietet Mechanismen zum Schutz der Sicherheitswerte Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität.

Single Point of Failure Unter einem Single Point of Failure versteht man das Ele-ment, welches durch seinen Ausfall den Komplettausfall al-ler anderen mit ihm verbundenen Elemente verursacht.

Standards und Architekturen für E-Government-Anwendungen

SAGA identifiziert erforderliche Standards, Formate und Spezifikationen für die Interoperabilität von Informations- und Kommunikationssystemen und legt dafür Konformitäts-regeln fest. In SAGA werden sowohl technische Standards für die IT-Architektur als auch für die Datensicherheit be-schrieben.

Universal Plug and Play Universal Plug and Play ermöglicht die Ad-hoc-Kommunikation von Geräten und Diensten, indem es peer-to-peer Mechanismen zur automatischen Konfiguration be-reitstellt. Der Informationsaustausch erfolgt über die Proto-kolle IP, TCP, UDP und HTTP. Universal Plug and Play ist unabhängig von einer Programmiersprache. Die Beschrei-bung der Dienste wird mittels XML vorgenommen.


Abkürzungen und Akronyme

Abkürzung Langtitel CICS Customer Information Control System CORBA Common Object Request Broker Architecture CobiT Control Objectives for Information and Related Technology CMIS Common Management Information Service CMMI Capability Maturity Model Integration CPMS Control Point Management Services DNS Domain Name Service ESB Enterprise Service Bus FTP File Transfer Protocol IDS Intrusion Detection System IETF Internet Engineering Task Force IMAP Internet Message Access Protocol IP Internet Protocol IPS Intrusion Prevention System IPX Internetwork Packet eXchange ISPF Interactive System Productivity Facility ITIL IT Infrastructure Library Jini Java Intelligent Network Interface LUS Lookup Service NFS Network File System NMS Network Management System OLA Operational Level Agreement PKI Public Key Infrastructure POP3 Post Office Protocol Version 3 QoS Quality of Service RACF Resource Access Control Facility RfC Request for Change RMON Remote Network Monitoring RPC Remote Procedure Call SAGA Standards und Architekturen für E-Government-

Anwendungen SFTP SSH File Transfer Protocol SLA Service Level Agreement SLP Service Location Protocol SMTP Simple Mail Transfer Protocol SOA Service Oriented Architecture SPoF Single Point of Failure TIPC Transparent Inter Process Communication TMN Telecommunications Management Network TRPC Transaction Remote Procedure Call




Abkürzung Langtitel UPnP Universal Plug and Play VDS Virtual Disk Services VSS Volume Shadow Copy Services XDS Extended Directory Service



Literaturverzeichnis

[ALKO08] Bundesamt für Sicherheit in der Informationstechnik: „Alternative Kommunikationswege für kritische Geschäftsprozesse“, 2008

[BSI08] Bundesamt für Sicherheit in der Informationstechnik: „BSI-Standards“, http://www.bsi.bund.de/literat/bsi_standard/index.htm, 2008

[COBIT] Control Objectives for Information and related Technology, http://www.isaca.at/Ressourcen/CobiT%204.0%20Deutsch.pdf

[ITIL] Glenfis AG: „IT Infrastructure Library”, http://www.itil.org/de/

[HVK] Hochverfügbarkeitskompendium, BSI 2008 Band II, Realisierung hoher Verfügbarkeit, http://www.bsi.de/fachthem/hochverfuegbarkeit/hvkompendium.htm

[CMMI] Capability Maturity Model Integration, CMMI models and reports, http://www.sei.cmu.edu/cmmi/models/

[DIN ISO 9126] BS ISO/IEC 9126-1 Information technology- Software product quality- Quality model, 2001, http://www.din.de

[GSK] IT-Grundschutz-Kataloge des BSI, 2009, http://www.bsi.de/gshb/deutsch/index.htm

http://www.itil.org/de/

http://www.bsi.de/fachthem/hochverfuegbarkeit/hvkompendium.htm

http://www.sei.cmu.edu/cmmi/models/

http://www.din.de/

http://www.bsi.de/gshb/deutsch/index.htm

12. HV-Manahmenkataloge

Documents

Transcript of 12. HV-Manahmenkataloge