Matrix Technology AG
Blog > BSI-Anforderungen an die Georedundanz
Regulatorik & Compliance

BSI-Anforderungen an die Georedundanz

matrix Redaktionsteam

Dieser Beitrag entstand in Zusammenarbeit mehrerer Autoren, die für den matrix Blog aktiv sind. Dies sind Consultants, Account und Marketing Manager aus allen Hierarchieebenen mit fundiertem und übergreifendem IT-Knowhow. Zudem pflegt das Team eine redaktionelle Partnerschaft mit der X1F Unternehmensgruppe.

Alle Beiträge des Autors

Bis Ende 2018 orientierten sich die meisten BaFin-regulierten Unternehmen an einer Veröffentlichung des BSI aus dem Jahr 2005 und forderten bei einer Auslagerung der IT einen Mindestabstand von mehr als fünf Kilometer. In dem im Dezember 2018 publizierten Leitfaden wird darauf Bezug genommen und die einstige Angabe relativ klar widerrufen, da sie auch zu keinem Zeitpunkt den Aspekt der Georedundanz im Fokus hatte.

200 Kilometer als neuer Standard für Hoch- und Höchstverfügbarkeit

Generell wird allen Unternehmen, die sich in der Kategorie Hochverfügbar oder Höchstverfügbarkeit sehen (vgl. Punkt 4), ein Abstand zwischen den Rechenzentren von mindestens 200 Kilometern vorgegeben. In Ausnahmefällen sowie nach einer ausführlichen und dokumentierten Risikoanalyse ist auch eine Verringerung auf mindestens 100 Kilometer möglich. Unabhängig davon, welcher der neuen Abstände gilt, weichen diese Empfehlungen mehr als deutlich von den bisherigen fünf Kilometern ab. Neben dieser Vorgabe des BSI enthält das Dokument noch einige, sehr spezifische geografische Anforderungen an Rechenzentren, die für die Kategorie Höchstverfügbarkeit gefordert werden. 

Die Publikation gibt zudem zu Bedenken, dass diese Änderung auch Anpassungen in den meisten technischen Realisierungskonzepten zur Folge haben wird. Bei den heutigen Korridoren kann man noch relativ problemlos synchrone Spiegelungen sowie Anwendungs- und Virtualisierungscluster aufbauen, beim künftigen Abstand werden verstärkt auch asynchrone Konzepte realisiert werden müssen.

Aussagen der Finanz- und Versicherungsunternehmen fehlen noch

Die Veröffentlichung des BSI hat sicherlich für viel Überraschung bei den Versicherungs- und Finanzunternehmen, für welche die BAITs und VAITs gelten, gesorgt. Nach einer ersten Recherche haben sich die meisten Unternehmen dieser Branche noch nicht ausreichend mit der Publikation auseinandergesetzt.

Man wird nun künftig beobachten, welche Ableitungen sowohl systemrelevante Banken und Versicherungen, die BSI-KritisV befolgen müssen, als auch die vielen kleineren, mittelständischen Institute für sich machen werden. Die Basis wird häufig eine erneute Risikobewertung der IT-Services der Unternehmen sein.

Auch spezialisierte IT-Dienstleister, die sich auf diese Branche und deren Anforderungen konzentrieren, werden sich hinsichtlich ihrer RZ-Konstrukte neu ausrichten müssen. Bisher war die Angabe „mindestens fünf Kilometer“ ein verlässlicher Wert, künftig wird es vermutlich eine größere Bandbreite an Anforderungen in Bezug auf Georedundanz geben.

IT-Services

Keine Neuigkeiten mehr verpassen!

Melden Sie sich jetzt für unseren Newsletter InsighT an, und profitieren Sie von:

Vielfältigen Fachbeiträgen zu den Themen Cloud, IT-Outsourcing, Regulatorik …
- Wertvolle Tipps für Ihre Cyber-Security
- Hilfestellungen zu den neusten Veröffentlichungen der Aufsichtsbehörden
- Kostenlose Webinare, Checklisten, Whitepaper ...

Jetzt monatlich die neusten Fachbeiträge erhalten

Das könnte Sie auch interessieren

Regulatorik & Compliance

Was ist eigentlich die BaFin und was bedeutet Regulatorik?

Die Bundesanstalt für Finanzdienstleistungsaufsicht - kurz: BaFin - ist bei Finanzdienstleistern und Versicherungen in aller Munde. Doch welche Aufgaben hat die BaFin eigentlich und wie wirkt sich Regulatorik auf Finanzunternehmen aus?

18.11.2021

Thomas Deppisch

Regulatorik & Compliance

Banken und Versicherungen unter der Aufsicht von BaFin, Bundesbank, EZB und EBA

Unternehmen aus der Finanbranche werden von unterschiedlichen Aufsichtsbehörden überwacht, deren Regularien hohe Anforderungen an die betroffenen Institute stellen. In diesem Beitrag sollen die wichtigsten Aufsichtsbehörden, ihre Aufgabenstellungen und inwiefern sie sich zum Teil überschneiden erläutert werden.

19.01.2022

Jürgen Brombacher

Regulatorik & Compliance

VAIT umsetzen: Optimierung auf Basis von IT-Standards

Jedes Versicherungsunternehmen, das die VAIT umsetzen will, steht erst einmal vor einigen Fragezeichen. Denn das Regelwerk schweigt sich dazu aus, wie die individuelle Umsetzung erfolgen soll. Hier zeigen wir, wie unsere Experten Ihnen helfen können, die VAIT auf Basis etablierter IT-Standards umzusetzen!

12.05.2022

Wolfgang Mokosch