M 6.70 Erstellen eines Notfallplans für den Ausfall des RAS-Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: Administrator
Je nach Anforderungen an die Verfügbarkeit kann der Ausfall oder das Nichtzustandekommen von RAS-Verbindungen zu erheblichen Beeinträchtigungen führen. Dabei sind die Fehlerquellen jedoch sehr vielfältig, so dass sich die Ursachenforschung oft als sehr schwierig erweist. Neben dem Ausfall der Verbindungsinfrastruktur (siehe dazu auch G 1.10 Ausfall eines Weitverkehrsnetzes) stellen RAS-Clients und RAS-Server - neben den zur Verbindung benutzten Netzkoppelelementen (siehe dazu auch G 4.31 Ausfall oder Störung von Netzkomponenten) - naturgemäß weitere Ausfallpunkte in einem RAS-System dar.
Als Folge des Ausfalles einer Komponente des RAS-Systems (Client, Server, Netzkoppelelemente) ergibt sich, dass u. U. wichtige Daten und Informationen nicht ausgetauscht werden können und Arbeitsabläufe unterbrochen werden, bis die Verbindung wieder zustande kommt oder Ausweichlösungen gefunden werden konnten.
Beim Ausfall des RAS-Systems ist die Anbindung externer Rechner (z. B. einzelner Telearbeitsplätze oder ganzer LANs von Filialen) nicht mehr gewährleistet, so dass beispielsweise auch kein Datenaustausch mehr stattfinden kann. Je nach Einsatzszenario kann dies zu erheblichen Beeinträchtigungen des IT-Betriebs führen. Der Notfallvorsorge und der Erstellung eines Notfallplans für den teilweisen (z. B. Ausfall des Authentisierungs-Servers) oder totalen Ausfall des RAS-Systems kommt daher eine wichtige Rolle zu.
Im Rahmen der Notfallvorsorge für das RAS-System sind die generellen Maßnahmen des Bausteins B 1.3 Notfallvorsorge-Konzept relevant. Zusätzlich sollten noch die Maßnahmen
- M 6.18 Redundante Leitungsführung
- M 6.31 Verhaltensregeln nach Verlust der Systemintegrität
- M 6.37 Dokumentation der Datensicherung
- M 6.54 Verhaltensregeln nach Verlust der Netzintegrität
betrachtet werden. Diese Maßnahmen sind jeweils für die im Umfeld des RAS-Systems angesiedelten Komponenten und Daten zu konkretisieren und umzusetzen.
Im Rahmen des Notfallsplans sollten insbesondere folgende Aspekte behandelt werden:
- Welche Störungen, Schäden und Folgeschäden ergeben sich konkret bei Ausfall einer RAS-Verbindung?
- Für welche RAS-Verbindungen muss eine Hochverfügbarkeit gewährleistet werden?
- Wie schnell kann der Ausfall eines RAS-Systems festgestellt werden?
- Können Fehler in den zur Verbindung benutzten Telekommunikationsnetzen schnell als solche erkannt werden oder werden diese dem zuständigen Administrator mitgeteilt (beispielsweise Verbindungsprobleme, Probleme bei der Rufnummernübertragung, Probleme mit der Schaltung von geschlossenen Benutzergruppen)?
- Wie schnell kann eine RAS-Verbindung wieder hergestellt werden (Ersatz von Geräten, Hochfahren des Systems)?
- Beim Ausfall welcher Komponenten muss das RAS-System abgeschaltet werden, obwohl technisch noch RAS-Verbindungen aufgebaut werden können (z. B. Ausfall der Protokollierung, der Kommunikationsverschlüsselung oder des Authentisierungsservers)?
Für entfernte Mitarbeiter sollte eine Notfallrufnummer angeboten werden, damit sie RAS-Probleme zeitnah an verantwortliche Stellen kommunizieren können. Außerdem sollte das RAS-System in den kritischen Zeitabschnitten (z. B. Bürozeiten, Zeiten in denen vornehmlich Daten per RAS ausgetauscht werden) permanent überwacht werden.
Für einzelne Schadensszenarien sollten geeignete Vorgehensweisen in Form einer Notfalldokumentation erarbeitet werden. Darin sollten alle für die Behebung eines Notfalls notwendigen Daten erfasst und so dargestellt sein, dass auch das Vertretungspersonal damit arbeiten kann. Die Notfalldokumentation sollte außerdem Informationen über alternative Verbindungswege enthalten, z. B. alternative Telekommunikationsanbieter oder alternative Übertragungsmedien.
Je nach Anforderungen an die Verfügbarkeit des RAS-Systems müssen u. U. Ersatzgeräte für den sofortigen Austausch vorgehalten werden. Für die erneute Inbetriebnahme des RAS-Systems nach einem Austausch oder einem Systemabsturz muss die Notfalldokumentation einen Wiederanlaufplan enthalten. Ggf. ist es sogar erforderlich, dass bestimmte Komponenten im laufenden Betrieb ausgetauscht werden können. Dieses so genannte Hot-Swap muss von den beteiligten Komponenten unterstützt werden.
Je nach RAS-System kann die Konsistenz der per RAS übertragenen Daten bei einem Systemabsturz nicht gewährleistet werden. Nach jeder Störung sollte daher die Integrität dieser Daten überprüft und eine Problemanalyse durchgeführt werden, um Wiederholungen möglichst zu vermeiden.
In bestimmten Situationen kann es erforderlich sein, das RAS-System mit eingeschränkter Funktionalität oder Leistungsfähigkeit zu betreiben. In diesem Fall muss eine entsprechende Notfallkonfiguration aktiviert werden (siehe auch M 4.111 Sichere Konfiguration des RAS-Systems). Diese dient dazu, die Sicherheit des RAS-Systems (Zugangssicherheit, Zugriffssicherheit, Kommunikationssicherheit) auch bei eingeschränktem Betrieb aufrechtzuerhalten.
Ergänzende Kontrollfragen:
- Gibt es einen Notfallplan für RAS-Systeme?
- Erfüllt dieser die geforderten Anforderungen?