Melden Sie sich zu unserem Newsletter an!
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Jetzt anmelden!© Kelly Sikkema, Unsplash
In den Medien ist immer wieder die Rede von Blackouts mit potenziell katastrophalen Folgen. Expert:innen halten das Eintreten eines Blackouts in diesem Winter zwar für unwahrscheinlich, es kann aber dennoch zu regionalen Stromausfällen kommen.
Für IT-Infrastruktur wie Server ist ein Stromausfall mitunter sehr folgenreich – unabhängig davon, wie lange der Strom tatsächlich ausfällt. Sobald der Strom weg ist, laufen Server nicht mehr. Sie werden aber nicht kontrolliert heruntergefahren. Dadurch können wichtige Daten verloren gehen und die Server beschädigt werden. Selbst, wenn sie wieder hochgefahren sind, werden die Geschäftsprozesse unterbrochen und ggf. muss ein Backup eingespielt werden, das nicht auf dem aktuellsten Stand ist.
Um das zu vermeiden, können Sie einige Maßnahmen zum Schutz Ihrer IT-Systeme und Daten treffen. Wie das geht, erklären wir mit fünf Tipps.
1. Notfallplan erstellen
Haben und nicht brauchen ist besser als brauchen und nicht haben – das gilt auch für einen Notfallplan. Im Idealfall müssen Sie darauf nie zurückgreifen. Wenn es aber doch zum Notfall kommt und die Stromversorgung abbricht, sind Sie mit einem Notfallplan besser vorbereitet und alle wissen, wie sie sich verhalten sollen und was zu tun ist.
In Ihrem Notfallplan sollten Sie daher die Rolle der Verantwortlichen für Informationssicherheit sowie für das Notfallmanagement bestimmen. Für den IT-Notfall – in diesem Fall Stromausfall – legen Sie die nötigen Erstmaßnahmen fest. Dazu gehören beispielsweise Alarmierungs- und Meldewege in der Organisation. Halten Sie zudem fest, wer Ansprechperson für welche Fragen ist und wie diese Personen zu erreichen sind. Das sollten Sie auch innerhalb der Organisation kommunizieren und beispielsweise Notfallkarten aufhängen.
Außerdem sollten Sie zeitkritische Geschäftsprozesse und Assets/Werte identifizieren. Das hilft Ihnen dabei, die Schutzmaßnahmen zu priorisieren. Im Notfall muss beispielsweise ein System, das nicht geschäftsrelevant ist, nicht laufen, die Server aber schon. Legen Sie daher fest, welche Geräte Sie für die Aufrechterhaltung Ihrer Geschäftsprozesse wirklich benötigen bzw. welche Geräte in jedem Fall gesichert heruntergefahren werden müssen. Basierend auf der Identifizierung der kritischen Geschäftsprozesse und der dafür benötigten IT-Systeme ist es möglich, eine Priorisierungsliste zu erstellen. Diese stellt dar, welche Systeme in welcher Reihenfolge gestartet bzw. heruntergefahren werden müssen.
Wichtig ist, dass der Notfallplan in der Notfallsituation auch zur Verfügung steht. Der Plan sollte daher nicht einfach irgendwo gespeichert sein. Bei einem Stromausfall haben Sie darauf im Zweifel keinen Zugriff mehr. Hier gilt also: ausdrucken und an einer abgesprochenen Stelle hinterlegen.
2. USV und Netzersatzanlage
Bei der Notfallplanung für Stromausfallszenarien geht es vor allem darum, Redundanzen zu schaffen. Diese Rückfallebenen greifen immer dann, wenn die übergeordnete Stromversorgung unterbrochen ist. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe empfiehlt hier eine verlässliche Notstromversorgung, die ohne weitere Kraftstoffzufuhr für mindestens 72 Stunden einen Notbetrieb gewährleistet. Dadurch bewahren sich Organisationen eine gewisse Handlungsfähigkeit.
Basis dafür ist die Festlegung der in einem Notbetrieb fortzusetzenden Aufgaben und der dafür benötigten Infrastruktur – wie in Ihrem Notfallplan festgelegt. Im zweiten Schritt identifizieren Sie den dafür benötigten Energiebedarf, um eine Notstromversorgung zu konzeptionieren.
Um Ihre Server und andere Infrastruktur kontrolliert herunterfahren zu können, benötigen Sie unterbrechungsfreie Stromversorgungen (USV). Diese dienen dem Schutz hochsensibler technischer Systeme wie Großrechnern oder Servern. Sie beziehen die Energie aus Akkus und gewähren einen unterbrechungsfreien Betrieb, sollte die öffentliche Stromversorgung ausfallen. Sie sind in der Regel aber nur für eine kurze Überbrückungszeit geeignet, um Systeme in einen sicheren Betriebszustand zurückzufahren oder bis eine Netzersatzanlage die weitere Stromversorgung übernimmt. Der Vorteil einer USV ist, dass sie sofort greift und keine Anlaufzeit benötigt.
Eine Netzersatzanlage hingegen kann Liegenschaften über einen längeren Zeitraum mit Strom versorgen. Diese Anlage wird per Generatoren mit Dieselmotoren betrieben. Netzersatzanlagen sind allerdings nicht unterbrechungsfrei – sie haben eine Anlaufzeit von im besten Fall einigen Sekunden. Die Betriebsdauer ist abhängig von der Versorgung mit Treibstoff.
Welche Art der Notstromversorgung Sie einsetzen, hängt maßgeblich von Ihren Anforderungen an Verfügbarkeit ab. Möchten Sie eine Netzersatzanlage nutzen, sollten Sie auch USVs einsetzen, damit sie die Anlaufzeit der Anlage überbrücken können.
3. Redundante Notstromversorgung einrichten
Für bestimmte Bereiche mit Hochverfügbarkeitsanforderungen sind besondere Redundanzen erforderlich. In solchen Fällen lassen sich die Risiken reduzieren, indem eine zweite, örtlich getrennte Stromeinspeisung genutzt wird. Diese zweite Einspeisung erfolgt im Idealfall durch ein zweites Energieversorgungsunternehmen.
Auch die Einrichtung eines Notstromnetzes kann sinnvoll sein. Dabei ist das Notstromnetz Teil des gesamten Stromnetzes einer Organisation, läuft aber über separat geführte und abgesicherte Stromkreise. Nur diejenigen Verbraucher, die im Notbetrieb unverzichtbar sind, werden an das Notstromnetz angeschlossen.
4. Redundante Netzteile nutzen
Um den Betrieb der nötigen aktiven Komponenten sicherzustellen, sollten Sie redundante Netzteile bei folgenden Systemen nutzen: Server, Speicher, Switches, Router und Firewalls. Die Netzteile schließen Sie dann an unterschiedliche Stromkreise im Rechenzentrum an. So erhöhen Sie die Versorgungssicherheit und verhindern, dass Systeme unkontrolliert abstürzen. Das ist vor allem wichtig, wenn Sie hohe Anforderungen an die Verfügbarkeit haben.
5. Vorkehrungen regelmäßig testen
Sie haben den Notfallplan erstellt. Die nötige Redundanz in der Stromversorgung ist hergestellt. Fertig?! Nicht ganz. Das ist natürlich schon ein guter Anfang. Es bringt aber nichts, wenn Ihr Notfallplan in der Schublade liegt, Staub ansetzt und die bestimmten Verantwortlichen nicht mehr in der Organisation sind. Daher sollten Sie Ihren Notfallplan regelmäßig überarbeiten – sowohl mit Blick auf die festgelegten Ansprechpersonen als auch auf die benötigten Geschäftsprozesse und Infrastrukturen. Auch die Anlagen müssen, wie der Notfallplan, regelmäßig entsprechend den Herstellerangaben gewartet werden.
Außerdem sollten Sie Ihren Notfallplan und die Notstromversorgung regelmäßig auf Herz und Nieren prüfen. Üben Sie daher den Notfall und testen Sie, ob alle Mitarbeitenden wissen, wie sie sich zu verhalten haben und ob die Anlagen wie geplant funktionieren. Während dieser Tests kann sich zudem Anpassungsbedarf in Ihrem Notfallplan zeigen. Auch Mitarbeitenden-Schulungen und -Sensibilisierung können helfen, um die Sicherheit zu erhöhen.
Fazit
Unsere Abhängigkeit von einer unterbrechungsfreien Stromversorgung nimmt immer mehr zu. Das zeigt sich auch im Betrieb von IT-Systemen. Technische Defekte, vorsätzliche Handlungen oder Naturereignisse können aber jederzeit zu kurz- oder langfristigen Stromausfällen führen – nicht zuletzt, da sich die Klimakrise verschärft und Naturkatastrophen immer wahrscheinlicher werden.
Daher sind ein Notfallplan und – je nach Verfügbarkeitsbedarf – die entsprechenden Redundanzen in der Stromversorgung unabdingbar.
Wir unterstützen Sie!
Sie benötigen Unterstützung bei der Planung Ihrer Notstromversorgung? Als IT- und Telekommunikations-Sicherheitsbeauftrage erstellen wir gemeinsam mit Ihnen die benötigten Sicherheitskonzepte und Notfallpläne – auf Basis Ihrer individuellen Risiken.
Quellen
Bundesamt für Sicherheit in der Informationstechnik (2021): „Maßnahmenkatalog zum Notfallmanagement – Fokus IT-Notfälle“, Mai 2021, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Notfallkarte/Massnahmenkatalog/massnahmenkatalog_node.html, letzter Zugriff am 26. September 2022.
Storch, Lorenz (2022): „Wie wahrscheinlich ist ein Blackout bei uns“, BR24, 25. September 2022, https://www.br.de/nachrichten/bayern/stromausfall-wie-wahrscheinlich-ist-ein-blackout-bei-uns,THKQ3ir, letzter Zugriff am 26. September 2022.
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (2019): „Notstromversorgung in Unternehmen und Behörden“, Januar 2019, https://www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/PiB/PiB-13-notstromversorgung-unternehmen-behoerden.pdf?__blob=publicationFile&v=8, letzter Zugriff am 26. September 2022.