Technik und Recht bei Speicherlösungen für den Mittelstand

Da IT-Budgets trotz umfangreichen Anforderungen an eine Storage-Lösung tendenziell gleich bleiben oder gar sinken, spielen die Kosten bei der Suche nach der “richtigen” Speicherlösung für ein mittelständisches Unternehmen eine große Rolle. In den Griff bekommen lässt sich das Problem meist mit effizienter Speicherkonsolidierung. Aber wie geht man die an? Und was gilt es dabei zu beachten? Dieser Expertenbeitrag von Rechstanwalt Christian Wilser und D-Link-Manager Mike Lange gibt Unternehmen einen groben Leitfaden an die Hand, wie sich ein typisches, rechtskonformes Projekt zur Speicherkonsolidierung im Mittelstand durchführen lässt.

Mittelständische Unternehmen setzen derzeit typischerweise auf die klassische Variante eines Speichernetzes, nämlich Direct Attached Storage (DAS). Hier hat jeder Server – in der Regel im gleichem Servergehäuse – Festplatten, die exklusiv und ausschließlich ihm zur Verfügung stehen. Die Vorteile von DAS-Lösungen liegen in den meist niedrigen Anschaffungskosten und der einfachen Implementierung.

Allerdings ist ihre Auslastung ineffizient, da andere Server von freien Festplattenkapazitäten nicht profitieren können. Außerdem sind Erweiterungen aufwändig, bedürfen eines mehrstündigen Wartungsfensters und erzeugen erhebliche Unterhaltskosten. Aber auch mittelständische Unternehmen sind sehr sensibel hinsichtlich der Wartungsfenster bei produktionsrelevanten Applikationen wie der Lagerverwaltung.

Rechtssicherheit ist Chefsache

Vielfach wird verkannt, dass die Organisation (nicht aber die Umsetzung) von IT-Sicherheit – und hierzu gehört auch ein zukunftsfähiges Speicherkonzept – in den Verantwortungsbereich der Geschäftsleitung fällt. Praktisch kein Unternehmen kann sich heutzutage noch einen Ausfall seiner IT-Systeme, den Verlust oder die Nichtverfügbarkeit von Daten erlauben. Daten sind das Kapital jedes Unternehmens. Nach Paragraf 91, Absatz 2 Aktiengesetz muss der Vorstand “geeignete Maßnahmen treffen (…), damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.”

Er muss mit einem Wort Risikomanagement betreiben, was die IT und insbesondere den Schutz der unternehmenskritischen Daten einschließt. Wenn Vorstandsmitglieder diese ihnen obliegende Pflicht verletzen, haften sie der Gesellschaft persönlich auf den Ersatz eines etwa entstehenden Schadens. Das trifft nicht nur für Vorstände in Aktiengesellschaften, sondern auch auf GmbH-Geschäftsführer zu.

Dabei gilt: Die Nichtverfügbarkeit von unternehmenskritischen Daten (ob wichtige Daten aus Forschung und Entwicklung oder schlicht die Bereitstellung des korrekten Lagerbestandes im ERP-System) wird sehr schnell sehr teuer. Auch wenn die Geschäftsleitung sich meist lieber dem Kerngeschäft als der IT widmet sollten auch im eigenen Interesse die Anregungen des IT-Leiters ernst genommen werden.

Die Anforderungen auf einen Blick

Unabhängig von Technologie und Hersteller muss eine Speicherkonsolidierung investitionssicher und kostengünstig sein, vor allem aber mittelfristig auch Kosten einsparen. Sie muss flexibel und skalierbar sein, die Komplexität der IT reduzieren, die Ausfallsicherheit und Verfügbarkeit erhöhen, Wartungsfenster reduzieren sowie mit Backup-Lösungen kombinierbar sein.

Darüber hinaus muss sie die rechtliche Anforderung erfüllen: Im Bereich der Datenspeicherung muss jedes Unternehmen klären, welche Daten es wie lange speichern muss und darf. Steuerlich relevante Daten etwa müssen über einen Zeitraum von sechs bis zehn Jahren in unveränderbarer Form und jederzeit leicht zugänglich gespeichert werden. Auch muss auf die strukturierte Speicherung geachtet werden – bei einer digitalen Betriebsprüfung soll der Prüfer nur die Daten einsehen können, die seinem Prüfungsauftrag entsprechen. Kann das Unternehmen ihm diese nicht getrennt zur Verfügung stellen, wird der Prüfer mehr sehen als erforderlich – mit allen dadurch möglichen Folgen.

Hinzu kommen von Branche zu Branche variierende Anforderungen: Ein Rechtsanwalt muss seine (digitalen) Handakten für die Dauer von fünf Jahren aufbewahren. Bei Ärzten gelten vielfach weit längere Fristen. Aufzeichnungen über Röntgenbehandlungen beispielsweise sind 30 Jahre nach der letzten Behandlung aufzubewahren. Und dass ein Versicherer die Daten langfristiger Verträge gegebenenfalls auch nach 40 Jahren noch verfügbar haben muss, versteht sich von selbst.

All dies zeigt: Die Frage der richtigen Speichertechnik will wohl überlegt sein. Aus rechtlicher Sicht empfiehlt sich, falls das Unternehmen nicht über eine hochspezialisierte IT-Abteilung verfügt, die Einschaltung geeigneter Fachberater. Dadurch dokumentiert die Geschäftsleitung, dass sie dem Thema die gebotene Aufmerksamkeit geschenkt hat.

In Falle eines mittelständischen Unternehmens kommt eine SAN-Lösung zum Einsatz; SAN-Lösungen (Storage Area Networks) stellen Speicher für alle Server zur Verfügung, da sie statt einzelner Files Block-basiert arbeiten und nicht – wie NAS-Technologien (Network Attached Storage) – filebasiert vorgehen. Als Protokoll eignet sich speziell für den Einsatz im Mittelstand das iSCSI-Protokoll: Es ist ein einfach zu implementierendes Protokoll und bereits vorhandenes Netzwerkequipment kann grundsätzlich verwendet werden. Darüber hinaus genügen in der Regel fundierte Netzwerkkenntnisse.

Der Einsatz von iSCSI erzwingt zwar keine Separierung des SAN. Mittelständler sollten aber zumindest auf eine Abtrennung des SAN-Netzes setzen – gegebenenfalls auch virtuell, je nach Leistungsfähigkeit des Netzwerkes. Weiterhin ist der Einsatz von Netzwerkkarten mit TCP Offload Engine (TOE) sinnvoll, da sie die Serverprozessoren entlasten. Die Wahl der Festplattentechnologie – leistungsfähige SAS- (Serial-Attached-SCSI) oder kostengünstige S-ATA-Platten – richtet sich nach der Wertigkeit der zu speichernden Daten. In der Praxis kommen oft beide Typen parallel zum Einsatz.

Optimale Sicherheit bietet RAID-6, wofür mindestens vier Festplatten erforderlich sind. Der Vorteil: Dabei können bis zu zwei Platten gleichzeitig ausfallen, ohne dass Daten verloren gehen. Um Files oder auch den kompletten Datenbestand wiederherzustellen, muss Speicherplatz für sogenannte Snapshots eingeräumt werden, die eine anwendungskonsistente Momentaufnahme des Filesystems darstellen. Des weiteren sollte das ausgewählte Storagesystem mit redundanten Controllern und Netzteilen ausgerüstet sein.

Da sich mit der Speicherkonsolidierung alle Daten in einem einzigen Storagesystem befinden, sollte als 1:1-Backup ein Redundanzsystem eingeplant werden. Dieses ist unbedingt in einem getrennten Brandabschnitt oder sogar einem anderen Gebäude unterzubringen.

Beispiellösung für ein mittelständisches Unternehmen

Anhand der oben beschriebenen Speicherverfahren, Protokolle, Features und so weiter kann ein IP-Storage-Startsystem für ein mittelständisches Unternehmen folgendermaßen aussehen:

Die technisch und rechtlich ‘richtige’ Datensicherung ist für die Existenz von mittelständischen Unternehmen elementar. Die Speicherkonsolidierung bietet gegenüber herkömmlichen Verfahren viele Vorteile, etwa die Reduzierung der benötigten Festplatten sowie eine erhöhte I/O-Geschwindigkeit durch die Parallelschaltung mehrerer Disks. Ebenfalls einfacher wird die Bereitstellung von zusätzlichem Speicher – angesichts des steigenden Datenvolumens ein wichtiger Aspekt; zumal uns das Jahr 2011 gelehrt hat, dass Speichervolumen keineswegs immer billiger werden muss.

Aus rechtlicher Sicht muss die Datensicherheit (Systemredundanz) und Datenverfügbarkeit höchste Priorität haben. Das Thema Storage hat längst die Nische der lästigen Technikfragen verlassen und ist zu einem unternehmenskritischen Aspekt geworden, der von der Geschäftsleitung beachtet und überwacht werden muss.

Es folgt ein grobe Checkliste, mit der mittelständische Unetrnehmen die Anforderungen an die Konsolidierung ihrer Speicherressourcen überprüfen könnnen. Aspekte der Virtualisierung wurden dabei zunächst außen vor gelassen.

Technische Überlegungen

• Flexibilität und Skalierbarkeit: Kapazitäten für den aktuellen Bedarf und entsprechend des prognostizierten Datenwachstums eine Planungsreserve für zwei bis drei Jahre
• Investitionssicher und kostengünstig: Finanzielle Skalierbarkeit, das heißt möglichst niedriger Basis-Invest und anschließendes “Pay as you grow”-Prinzip
• Ausfallsicherheit und hohe Verfügbarkeit. 1. Hohe Systemredundanz. 2. Das Storagesystem muss Replikation unterstützen, das heißt ein zweites System sollte in einem abgetrennten Bereich verfügbar sein (getrennter Brandabschnitt, Gebäude oder Katastrophenabschnitt in mindestens zehn Kilometer Entfernung).
• Reduzierung und weitgehende Eliminierung von Wartungsfenstern: Alle erforderlichen Service-, Konfigurations- und Erweiterungsarbeiten sollen unterbrechungsfrei durchgeführt werden können.
• Einfach zu implementieren und zu betreiben: einfache Administration, einfache Einbindung in ein System-/Netzwerkmanagement, zum Beispiel via SNMP, aussagekräftige Statistiken (über Auslastung, Festplattenzustand, Controllerauslastung)

Kombination mit Backuplösung

• Sicherung wichtiger Daten entsprechend der Aufbewahrungsfristen
• Auslagerung auf Bänder
• Revisionssichere Aufbewahrung

Rechtliche Vorüberlegungen

• Über welche Art von Daten verfügt das Unternehmen? Steuerlich relevante Daten, unternehmenskritische Daten, dem Datenschutz unterliegende Daten, sonstige Daten.
• Wo sind diese Daten (derzeit) gespeichert; wer speichert diese Daten?
• Wie lange müssen / dürfen die jeweiligen Daten gespeichert werden?
• Gibt es Vorschriften, wo (Inland/Ausland; EU/sonstige Länder) die Daten gespeichert werden müssen/dürfen?
• Wann müssen Daten gelöscht werden?
• Wer darf auf die jeweiligen Daten zugreifen?
• Gibt es besondere Anforderungen an die Art der Datenspeicherung (zum Beispiel GOB, GDPdU)?
• Gibt es besondere Geheimhaltungspflichten (zum Beispiel Patientendaten)?