matrix technology AG

08.02.2019

Neue BSI-Anforderungen an die Georedundanz im BaFin-regulierten Umfeld

Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) veröffentlichte bereits im Dezember 2018 einen neuen Leitfaden zu den Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren.

Bisher orientierten sich die meisten BaFin-regulierten Unternehmen an einer Veröffentlichung des BSI aus dem Jahr 2005 und forderten bei einer Auslagerung der IT einen Mindestabstand von mehr als fünf Kilometer. In dem jetzt publizierten Leitfaden wird darauf Bezug genommen und die damalige Angabe relativ klar widerrufen, da sie auch zu keinem Zeitpunkt den Aspekt der Georedundanz im Fokus hatte.

200 Kilometer als neuer Standard für Hoch- und Höchstverfügbarkeit

Generell wird allen Unternehmen, die sich in der Kategorie Hochverfügbar oder Höchstverfügbarkeit sehen (vgl. Punkt 4), ein Abstand zwischen den Rechenzentren von mindestens 200 Kilometern vorgegeben. In Ausnahmefällen sowie nach einer ausführlichen und dokumentierten Risikoanalyse ist auch eine Verringerung auf mindestens 100 Kilometer möglich. Unabhängig davon, welcher der neuen Abstände gilt, weichen diese Empfehlungen mehr als deutlich von den bisherigen fünf Kilometern ab. Neben dieser neuen Vorgabe des BSI enthält das Dokument noch einige, sehr spezifische geografische Anforderungen an Rechenzentren, die für die Kategorie Höchstverfügbarkeit gefordert werden. 

Die neue Publikation gibt zudem bereits zu Bedenken, dass diese Änderung auch Anpassungen in den meisten technischen Realisierungskonzepten zur Folge haben wird. Bei den heutigen Korridoren kann man noch relativ problemlos synchrone Spiegelungen sowie Anwendungs- und Virtualisierungscluster aufbauen, beim künftigen Abstand werden verstärkt auch asynchrone Konzepte realisiert werden müssen.

Aussagen der Finanz- und Versicherungsunternehmen fehlen noch

Die Veröffentlichung des BSI hat sicherlich für viel Überraschung bei den Versicherungs- und Finanzunternehmen, für welche die BAITs und VAITs gelten, gesorgt. Nach einer ersten Recherche der matrix haben sich die meisten Unternehmen dieser Branche noch nicht ausreichend mit der Publikation auseinandergesetzt.

Man wird nun in den kommenden Monaten beobachten, welche Ableitungen sowohl systemrelevante Banken und Versicherungen, die BSI-KritisV befolgen müssen, als auch die vielen kleineren, mittelständischen Institute für sich machen werden. Die Basis wird häufig eine erneute Risikobewertung der IT-Services der Unternehmen sein.

Auch spezialisierte IT-Dienstleister, die sich auf diese Branche und deren Anforderungen konzentrieren, werden sich künftig hinsichtlich ihrer RZ-Konstrukte neu ausrichten müssen. Bisher war die Angabe „mindestens fünf Kilometer“ ein verlässlicher Wert, künftig wird es vermutlich eine größere Bandbreite an Anforderungen in Bezug auf Georedundanz geben.