Brand bei Rechenzentrumsanbieter OVH – Sollte ich meine Website selbst hosten?

Vor etwas mehr als einer Woche hat es im Rechenzentrum von OVH gebrannt. OVH ist ein französischer Hosting-Anbieter mit mehr als 260.000 Servern in zwanzig Rechenzentren.
Am 10. März kam es aus bisher ungeklärter Ursache im Rechenzentrums-Standort Straßburg zu einem Brand. Rechenzentrum SGB-2 wurde dabei komplett zerstört, SGB-1 wurde zu einem Viertel zerstört. Die angrenzenden Rechenzentren SGB-3 und SGB-4 mussten temporär komplett abgeschaltet werden. 3,6 Millionen Websites sollen mindestens kurzfristig nicht erreichbar gewesen sein.

Professionelle Rechenzentren oder die Cloud gelten als ausfallsicher. Nun ist ein Rechenzentrum ausgefallen und diverse Daten unwiederbringlich verloren.
Ist das das Platzen einer großen Marketing-Blase? Sollten Websites lieber selbst gehostet werden?
Lasst uns das mal nüchtern betrachten.

Sind meine Daten in einem Rechenzentrum sicher?

Es mag angesichts des Brands ironisch erscheinen, aber: Ja, die Daten sicher. Zumindest der Teil, den der Rechenzentrumsbetreiber verantworten kann.

Nun ist das eine sehr plakative Antwort, die noch etwas Ausdifferenzierung benötigt: Ein Rechenzentrum ist im Grundsatz nicht mehr als eine Ansammlung von vernetzten Servern. Jeder kann sich in den Keller ein paar Rechner stellen, sie vernetzen und es ist eine Art „Rechenzentrum“. Klammert man diese ambitionierten Projekte aus und wirft den Fokus auf professionelle Rechenzentren, so sind hier andere Standards zugrunde gelegt.

Professionelle Rechenzentren sind hochspezialisierte Räumlichkeiten für die Bereitstellung von Speicherplatz und Rechenkraft. Ihre Internetanbindung ist mehrfach abgesichert, der Zutritt nur vorher qualifizierten Personen erlaubt. Es finden Identifizierungsmaßnahmen wie Fingerabdruck-Scanner statt. Gegen Brände wird in der Regel Stickstoff genutzt, um aufkeimenden Funken den Sauerstoff zum Brennen zu entziehen. Stromausfälle werden durch große Diesel-Aggregate kompensiert, die das gesamte Rechenzentrum teils Tage unabhängig weiterlaufen lassen. Es findet ein detailliertes Klimakonzept Anwendung, das die optimalen Temperaturen für Rechenzentren gewährleistet.

ISO/IEC 27001 und EN 50600

All das weisen Rechenzentrumsbetreiber mit Zertifizierungen nach. Klassiker in Deutschland sind die ISO/IEC 27001 und die EN 50600. Erstere Zertifizierung weist ein strukturiertes IT-Management samt Zutrittskontrollen und Datenschutz nach. Die Zertifizierung EN 50600 konzentriert sich eher auf den konkreten IT-Betrieb und Absicherung gegen Ausfälle. Beide Zertifizierungen haben aber auch Schnittmengen.
Kaum ein Rechenzentrumsbetreiber kann auf dem Markt wachsen, ohne diese Zertifizierungen einzuhalten und regelmäßig auf Einhaltung zu prüfen.

Bei der Frage nach der „Sicherheit von Daten“ müssen selbstverständlich auch der Zugriff auf Daten berücksichtigt werden. Je nach Vertragsmodell stellt ein Rechenzentrumsbetreiber lediglich die Infrastruktur, aber nicht den „Inhalt“ der Server. Bei einem entsprechenden Modell ist der Kunde in der Verantwortung, die eigenen Daten gegen digitalen Fremdzugriff abzusichern: Falsche Konfigurationen oder mangelnde Updates können schnell dafür sorgen, dass Daten nicht mehr „sicher“ sind.

Mehr Kontrolle: Sollte ich meine Website in eigenen Räumen betreiben?

Rechenzentren können ausfallen. OVH hat es bewiesen. Doch auch Microsoft, Amazon und Google hatten in der Vergangenheit immer wieder mal Probleme mit der Verfügbarkeit. Teilweise kam es auch zu Datenverlust.
Cloud-Rechenzentren werden von Menschen aufgebaut und betrieben. Allen Schutzmaßnahmen zum Trotz entstehen Fehler.

Sicherlich ist es frustrierend, wenn die eigene Website nicht erreichbar ist oder gar Daten verloren gegangen sind – und das, obwohl man sich gerade für Verfügbarkeit eines Rechenzentrums entschieden hat.
Der Rückschluss, dass man die eigene Website nun nicht in professionellen Rechenzentren betreiben sollte, ist so aber nicht belastbar: Die eigenen Räumlichkeiten bieten bei Weitem nicht den gleichen Schutz vor unbefugtem Zutritt, Internetanbindung, Klimatisierung, Stromversorgung und auch Vernetzung wie ein professionelles Rechenzentrum.

Der Brand von OVH ist eine Verkettung von unglücklichen Momenten. Als einer der größten Rechenzentrumsbetreiber wurden hier alle Schutzmaßnahmen ergriffen – und doch hat es gebrannt. Es ist quasi unmöglich, dass die eigenen Räumlichkeiten die gleichen Schutzmaßnahmen bieten wie ein professionelles Rechenzentrum.

Kurz: Legt man Wert auf Verfügbarkeit und Stabilität, sollte die Website einem professionellen Anbieter in die Hand gegeben werden.

Globale Vernetzung, mehrfache Backups – und dennoch Datenverlust?

Je größer der Rechenzentrumsverbund, umso mehr wird mit globaler Vernetzung und mehrfachen Datensicherungen geworben. Dennoch kam es bei dem Brand zu Datenverlust und Ausfällen von großen Websites. Wie konnte das geschehen?

Daten sind nicht zwingend global verfügbar

Häufig wird übersehen, dass eine globale Verfügbarkeit eher eine kostenpflichtige Zusatzoption ist und kein kostenloser Service. In der Regel sind somit Inhalte in einem Rechenzentrum gespeichert und werden nicht global verteilt. Angesichts der hohen Anforderungen an Rechenzentren und entsprechenden Zertifizierungen reicht dies auch aus: Der Komplettausfall ist aufgrund der vielen Maßnahmen nahezu unmöglich. Aber der Fall OVH zeigt, dass der Begriff „nahezu“ nicht leichtfertig überlesen werden sollte.

Sollen Daten hochverfügbar sein und so dem unwahrscheinlichen Fall eines Komplettausfalls begegnen, muss dies in der Regel dazu gebucht werden. Viele Kunden von OVH hatten hier keine entsprechende Option hinzugebucht, sodass es zu Ausfällen ihrer Dienste kam.
Die Kosten für eine globale Verfügbarkeit sind meist recht erheblich, sodass die Entscheidung konkret abgewogen werden sollte.

Erstelle deinen eigenen Backups

Häufig werben Anbieter mit automatischen Datensicherungen. Das ist erfreulich, aber selten zufriedenstellend: Als Kunde ist es nicht nachvollziehbar, in welchem Umfang die Datensicherungen durchgeführt werden, der Zugriff auf diese ist manchmal komplex. Wenn das Rechenzentrum dann ausfällt oder Daten versehentlich gelöscht werden, sind auch die Datensicherungen nicht mehr im Zugriff.
Im Falle von OVH waren die Backups auch teilweise kostenpflichtig – und diese Option wurde nicht gebucht.

Darum erstelle stets deine eigenen Backups und speichere sie nicht bei deinem Anbieter. Kopiere das Backup in die eigenen Räume oder zu einem anderen Anbieter. Sollte es dann zu einem Ausfall deiner Website kommen, hast du eine Datensicherung in den „eigenen“ Händen.
Verlasse dich dabei nicht ausschließlich auf Fremde.

Fazit

Der Brand bei OVH ist ein kleines Beben in der Welt der Rechenzentren: Ein hochprofessioneller Anbieter mit allen Schutzmechanismen kann nichts gegen einen Brand tun. Hunderte von Websites offline, teils sind Daten unwiederbringlich verloren.

Dies sollte aber nicht den Blick darauf trüben, dass Rechenzentren der richtige Ort für die eigene Website sind. Ein Betreiben auf eigenen Umgebungen erhöht die Sicherheit und Verfügbarkeit nicht – im Gegenteil.
Dennoch sollte man sich bewusst sein, dass ein Rechenzentrum kein Allheilmittel ist, sondern auch hier Daten verloren gehen oder das gesamte Rechenzentrum offline gehen können. Ganz egal, ob der Anbieter OVH, Amazon, 1und1 oder all-inkl heißt.

Deswegen sollte bei wichtigen Websites eine Strategie erarbeitet werden, wie der unwahrscheinliche, aber reale Fall eines Rechenzentrum-Komplettausfalls kompensiert werden kann. Die einfachste, günstigste und pragmatischste Herangehensweise ist es, selbst regelmäßig eine Datensicherung anzulegen und diese nicht auf den Systemen des Rechenzentrums zu speichern.

Schreibe einen Kommentar