BSI-Anforderungen an die Georedundanz
Bis Ende 2018 orientierten sich die meisten BaFin-regulierten Unternehmen an einer Veröffentlichung des BSI aus dem Jahr 2005 und forderten bei einer Auslagerung der IT einen Mindestabstand von mehr als fünf Kilometer. In dem im Dezember 2018 publizierten Leitfaden wird darauf Bezug genommen und die einstige Angabe relativ klar widerrufen, da sie auch zu keinem Zeitpunkt den Aspekt der Georedundanz im Fokus hatte.
200 Kilometer als neuer Standard für Hoch- und Höchstverfügbarkeit
Generell wird allen Unternehmen, die sich in der Kategorie Hochverfügbar oder Höchstverfügbarkeit sehen (vgl. Punkt 4), ein Abstand zwischen den Rechenzentren von mindestens 200 Kilometern vorgegeben. In Ausnahmefällen sowie nach einer ausführlichen und dokumentierten Risikoanalyse ist auch eine Verringerung auf mindestens 100 Kilometer möglich. Unabhängig davon, welcher der neuen Abstände gilt, weichen diese Empfehlungen mehr als deutlich von den bisherigen fünf Kilometern ab. Neben dieser Vorgabe des BSI enthält das Dokument noch einige, sehr spezifische geografische Anforderungen an Rechenzentren, die für die Kategorie Höchstverfügbarkeit gefordert werden.
Die Publikation gibt zudem zu Bedenken, dass diese Änderung auch Anpassungen in den meisten technischen Realisierungskonzepten zur Folge haben wird. Bei den heutigen Korridoren kann man noch relativ problemlos synchrone Spiegelungen sowie Anwendungs- und Virtualisierungscluster aufbauen, beim künftigen Abstand werden verstärkt auch asynchrone Konzepte realisiert werden müssen.
Aussagen der Finanz- und Versicherungsunternehmen fehlen noch
Die Veröffentlichung des BSI hat sicherlich für viel Überraschung bei den Versicherungs- und Finanzunternehmen, für welche die BAITs und VAITs gelten, gesorgt. Nach einer ersten Recherche haben sich die meisten Unternehmen dieser Branche noch nicht ausreichend mit der Publikation auseinandergesetzt.
Man wird nun künftig beobachten, welche Ableitungen sowohl systemrelevante Banken und Versicherungen, die BSI-KritisV befolgen müssen, als auch die vielen kleineren, mittelständischen Institute für sich machen werden. Die Basis wird häufig eine erneute Risikobewertung der IT-Services der Unternehmen sein.
Auch spezialisierte IT-Dienstleister, die sich auf diese Branche und deren Anforderungen konzentrieren, werden sich hinsichtlich ihrer RZ-Konstrukte neu ausrichten müssen. Bisher war die Angabe „mindestens fünf Kilometer“ ein verlässlicher Wert, künftig wird es vermutlich eine größere Bandbreite an Anforderungen in Bezug auf Georedundanz geben.