TOM 7

Rechen­zen­tr­ums­aus­fall, Notfall, Wie­der­her­stel­lung, Wiederanlauf

1.  Ver­sio­nen

Bear­bei­ter Datum Version Tätig­keit
Dieter Dunst 04.04.2019 v0.1 Draft: Erstel­lung Strukturen
Dieter Dunst 08.04.2019 v0.2 Draft: Über­ar­bei­tung bis Punkt 8
Dieter Dunst 11.04.2019 v0.3 Draft: Über­ar­bei­tung Punkt 8
Dieter Dunst 19.11.2019 v0.4 Draft: Über­ar­bei­tung Gesamtdokument
Patrik Scherer 20.11.2019 v1.0 Prod: Über­ar­bei­tung und Veröffentlichung

2.  Not­fall­plan

2.1.            Strom­aus­fall

Bei einem teil­wei­sen Strom­aus­fall bei den Strom­krei­sen der für die IT-Systeme zustän­di­gen Berei­chen ist nicht mit einer Beein­träch­ti­gung der Umge­bung zu rechnen, da alle Systeme red­un­dant an der Strom­ver­sor­gung ange­schlos­sen sind. Dies betrifft sowohl das Rechen­zen­trim IPC, als auch das Rechen­zen­trum CIS.

Wei­ter­hin ist die Strom­ver­sor­gung durch USVs gesi­chert, welche dafür sorgen, dass der Ausfall einer Anbin­dung das zweite Netz­teil zusätz­lich durch den Bat­te­rie­spei­cher gestützt wird.

2.2.            Brand

Nach einem Brand im Gebäude, bei dem die kom­plette IT-Infra­struk­tur beein­träch­tigt bzw. zer­stört wurde, kann auf ein voll­stän­di­ges Backup zurück­ge­grif­fen werden. Im Falle der Zer­stö­rung des Gebäu­des durch Brand und/oder Lösch­was­ser besteht die Mög­lich­keit, die Umge­bung auf neu zu instal­lie­ren­den Sys­te­men wie­der­her­zu­stel­len. Dies ist auf­grund der Vir­tua­li­sie­rung deut­lich ein­fa­cher, als dies bei phy­si­ka­li­schen Sys­te­men der Fall wäre.

Der mög­li­che Daten­ver­lust (RPO) beträgt 24 Stunden bei der Zer­stö­rung der Infra­struk­tur im RZ CIS. Der Daten­ver­lust bei der Zer­stö­rung der Infra­struk­tur RZ ICP kann bis zu 3 Tage betra­gen, wenn die Repli­ka­tion der Daten zum RZ CIS noch nicht abge­schlos­sen wurde.

2.3.            Hard­ware­aus­fall

Da alle Kom­po­nen­ten, die die geschäfts­kri­ti­schen Systeme beher­ber­gen, red­un­dant aus­ge­legt sind, ist bei Ausfall einer Hard­ware­kom­po­nente (Server, Switch, Fire­wall, Storage-Con­trol­ler,…) keine Beein­träch­ti­gung der Umge­bung im RZ IPC zu erwarten.

Die dedi­zier­ten Systeme im RZ CIS sind nur teil­weise red­un­dant: Die Server sind Stan­da­lone-Systeme, deren Kom­po­nen­ten red­un­dant gehal­ten sind. Bei Ausfall von sys­tem­kri­ti­schen Hard­ware­kom­po­nen­ten sind alle vir­tu­el­len Systeme auf der Vir­tua­li­sie­rungs­platt­form von dem Ausfall betrof­fen. Sind die Spei­cher­sys­teme nicht in Mit­lei­den­schaft gezogen worden, ist ein Umbau in einen Ersatz­ser­ver möglich, so dass nur mit gerin­gen Daten­ver­lust zu rechnen ist. Sollte das Spei­cher­sys­tem defekt sein, so müssen die Daten aus dem Backup wie­der­her­ge­stellt werden.

2.4.            Virus/Trojaner

Sollte es trotz der instal­lier­ten Viren­scan­ner, Proxys und Fire­walls zu einer Infi­zie­rung mit einem Virus oder (Verschlüsselungs-)Trojaner kommen, so können die betrof­fe­nen Daten aus dem Backup wie­der­her­ge­stellt werden.

Hierbei besteht eine maxi­ma­ler Daten­ver­lust von 24 Stunden.

Daten­ban­ken können nur ganz­heit­lich zum ent­spre­chen­den Backup-Zeit­punkt wie­der­her­ge­stellt werden. Trans­ak­ti­ons­da­ten können je nach Anwen­dung dabei helfen, die wie­der­her­ge­stell­ten Daten näher an Ver­lust­zeit­punkt heranzuführen.

3.  Wie­der­her­stel­lungs­plan

3.1.            Wie­der­her­stel­lungs­dauer vir­tu­elle Systeme

Die Wie­der­her­stel­lungs­dauer der Umge­bung bzw. Teil­be­rei­chen setzt die funk­ti­ons­fä­hige, unter 5.1.3 – Wie­der­her­stel­lungs­be­trieb auf­ge­lis­tete Umge­bung voraus. Die fol­gende Formel stellt die Wie­der­her­stel­lungs­zeit eines kom­plet­ten vir­tu­el­len Systems dar, wenn die Back­u­p­um­ge­bung voll funk­ti­ons­fä­hig ist:

t = a * (w/s + b + n)

Varia­blen­be­schrei­bung:

  • t – Wiederherstellungszeit
  • a – Serveranzahl
  • w – Wie­der­her­stel­lungs­menge pro Minute 
    • Hoch­ver­füg­bar­keits­clus­ter: 5GB
    • Dedi­zierte Kun­den­um­ge­bung: 2GB
  • s – Ser­ver­größe in GB
  • b – Backupbereitstellung 
    • bei Ver­lust­zeit­punkt < 4 Wochen 
      • Hoch­ver­füg­bar­keits­clus­ter: 1h
      • Dedi­zierte Kun­den­um­ge­bung: 2h
    • bei Ver­lust­zeit­punkt > 4 Wochen 
      • Hoch­ver­füg­bar­keits­clus­ter: 2h
      • Dedi­zierte Kun­den­um­ge­bung: 3h
  • n Nach­ar­bei­ten am System 
    • Hoch­ver­füg­bar­keits­clus­ter: 1h
    • Dedi­zierte Kun­den­um­ge­bung: 2h

3.2.            Wie­der­her­stel­lungs­dauer phy­si­ka­li­scher Systeme

Hier wird die aus 3.1. bekannte Rech­nung ange­wandt und ergänzt. Für das erste phy­si­ka­li­sche System eines Kunden wird 1 Arbeits­tag und für jeden wei­te­ren Host 4 Stunden addiert.

3.3.            Strom­aus­fall

Eine Wie­der­her­stel­lung der Umge­bung aus dem Backup ist bei einem Strom­aus­fall nicht not­wen­dig, da bei Ausfall ein­zel­ner Strom­an­bin­dun­gen die Umge­bung durch die red­un­dante Strom­an­bin­dung nicht beein­träch­tigt wird.

Für die Wie­der­in­be­trieb­nahme der Umge­bung müssen die Systeme nach dem Wie­der­an­lauf­plan 5.1- Betrieb gestar­tet werden. 

3.4.            Brand

Nach dem Ausfall der kom­plet­ten Umge­bung auf­grund eines Brandes sind fol­gende Kom­po­nen­ten in der genann­ten Reih­n­folge wiederherzustellen:

  • Netz­struk­tu­ren:
    • Aufbau von Swit­chen und Wie­der­her­stel­len der Kon­fi­gu­ra­tion aus dem Backup
    • Aufbau der Fire­walls und Wie­der­her­stel­len der Kon­fi­gu­ra­tion aus dem Backup
    • Inter­net­an­bin­dung durch RZ-Anbieter
  • Ser­ver­sys­teme:
    • Aufbau von min­des­tens einem Virtualisierungs-Host
    • Instal­la­tion der Vir­tua­li­sie­rungs­soft­ware (VMware)
    • Instal­la­tion eines Systems als VM
    • Instal­la­tion der Back­up­soft­ware (Veeam)
    • Ein­bin­den der Backup-Repositorys
    • Wie­der­her­stel­len der Ser­ver­sys­teme auf die Virtualisierungs-Hosts

3.5.            Hard­ware­aus­fall

3.5.1.              Rechen­zen­trum „IPC“

Bei einem Ausfall einer der red­un­dant vor­han­de­nen Kom­po­nen­ten ist ein Aus­tausch dieser Kom­po­nente ohne Aus­fall­zeit der Umge­bung im RZ IPC möglich. Zusätz­lich kann die Unter­stüt­zung des Her­stel­lers beauf­tragt werden, der die aus­ge­fal­lene Kom­po­nente austauscht.

3.5.2.              Rechen­zen­trum „CISDS“

Im CIS-RZ ist bei Ausfall der Ser­ver­hard­ware mit einem Ausfall zu rechnen, bis die Hard­ware ersetzt wurde. Hierzu sind die Systeme zu berück­sich­ti­gen, die unter 3.3 – Brand auf­ge­lis­tet sind. Die Wie­der­her­stel­lung der Umge­bung ist abhän­gig von der Ver­füg­bar­keit der Hard­ware und der unter 3.1 – Wie­der­her­stel­lungs­dauer zu berech­nen­den Wiederherstellungszeit.

3.6.            Virus/Trojaner

Nach einer Infi­zie­rung eines oder meh­re­rer Systeme mit einem Virus oder Tro­ja­ner sind nach der Fest­stel­lung des Befalls die infi­zier­ten Systeme von der rest­li­chen Umge­bung zu iso­lie­ren. Das System bzw. die Systeme sind dann mit einer aktu­el­len Anti­vi­ren­ver­sion oder einer Berei­ni­gungs-CD zu kon­trol­lie­ren. Hierbei kann nicht auf die Daten zuge­grif­fen werden. Sind die Daten ver­schlüs­selt, so ist das System aus dem Backup wie­der­her­zu­stel­len und sicher­zu­stel­len, dass kein Viorus oder Tro­ja­ner mehr in der Umge­bung vor­han­den ist.

4.  Wie­der­an­lauf­zeit

4.1.            Teil­aus­fall

Bei einem Teil­aus­fall der Umge­bung müssen Systeme, die nicht red­un­dant vor­han­den sind, aus dem Backup wie­der­her­ge­stellt werden. Die Wie­der­her­stel­lungs­zeit richtet sich hierbei nach der wie­der­her­zu­stel­len­den Daten­menge und der gege­be­nen­falls nach­träg­lich zu erbrin­gen­den Anpassung/Aktualisierung des Systems auf den aktu­el­len Stand.

Bei red­un­dant vor­han­de­nen Sys­te­men ist abge­se­hen von even­tu­el­len Per­for­mance­ein­bu­ßen nicht mit einer Beein­träch­ti­gung der Umge­bung zu rechnen.

4.2.            Kom­plett­aus­fall

Nach einem Kom­plett­aus­fall der Umge­bung mit Zer­stö­rung der vor­han­de­nen Hard­ware ist die Wie­der­her­stel­lungs­zeit abhän­gig von fol­gen­den Punkten:

  • Ersatz­be­schaf­fung der Hard­ware (Server, Netzkomponenten)
  • Wie­der­her­stel­lung der Infra­struk­tu­ren (Fire­wall- und Switchkonfigurationen)
  • Wie­der­her­stel­len der vir­tu­el­len Infrastrukturen
  • Wie­der­her­stel­lung der Backupstrukturen
  • Wie­der­her­stel­lung der Umge­bung aus dem Backup
  • Anpas­sung der wie­der­her­ge­stell­ten Umge­bung auf den letzten ver­füg­ba­ren kon­sis­ten­ten Datenbestand

5.  Wie­der­her­stel­lungs­punkt & – ziel

5.1.            Betrieb

5.1.1.              Mini­mal­be­trieb – Erreichbarkeit

Der Mini­mal­be­trieb für die Erreich­bar­keit der CIS besteht aus:

  1. Domä­nen­struk­tu­ren eitie & CIS-RZ
  2. Tele­fon­an­lage
  3. DHCP
  4. Mail­ser­ver
  5. Mail­ga­te­ways
  6. Anwen­dungs­ser­ver CIS
  7. Sup­port­ser­ver

 

Für den Mini­mal­be­trieb sind fol­gende Systeme notwendig:

  1. Netz­werk­um­ge­bung
  2. Vir­tua­li­sie­rungs­sys­teme
  3. Domain­con­trol­ler
  4. Tele­fon­ser­ver
  5. Mail­ser­ver
  6. Mail­ga­te­ways
  7. Anwen­dungs­ser­ver CIS (Genesis World – Kundendaten)
  8. Sup­port­ser­ver

 

Die Wie­der­her­stel­lung der Systeme für den Mini­mal­be­trieb wird bei voll­stän­dig[1] wie­der­her­zu­stel­len­den Sys­te­men mehrere Stunden in Anspruch nehmen, in Abhän­gig­keit von der wie­der­her­zu­stel­len­den Daten­menge. Dies setzt eine funk­tio­nie­rende Infra­struk­tur voraus (Netz­werk­struk­tu­ren, Vir­tua­li­sie­rungs­um­ge­bung, Support-Server, Backup-Umgebung).

5.1.2.              Erwei­ter­ter Minimalbetrieb

Der erwei­terte Mini­mal­be­trieb umfasst neben der Erreich­bar­keit der CIS zusätz­lich den Zugang zu den Kun­den­sys­te­men. Hierzu werden noch fol­gende zusätz­li­che Systeme benötigt:

  • Kunden-Anwen­dungs­ser­ver
  • Kunden-Ter­mi­nal­ser­ver
  • File­ser­ver
  • Ses­si­onbro­ker für mehr­fa­che Kunden-Terminalserver
  • Pro­fil­ser­ver für mehr­fa­che Kunden-Terminalserver
  • Bei dedi­zier­ten Systemen:
  • Dedi­zier­ter Fileserver 
    • Ses­si­onbro­ker für mehr­fa­che Kunden-Terminalserver
    • Print­ser­ver

5.1.3.              Wie­der­her­stel­lungs­be­trieb

Für den Wie­der­her­stel­lungs­be­trieb werden die­je­ni­gen Systeme benö­tigt, die zur Rück­si­che­rung der Ser­ver­um­ge­bung not­wen­dig sind. Fol­gende Kom­po­nen­ten sind hierfür notwendig:

  • Netz­werk­um­ge­bung
  • Vir­tua­li­sie­rungs­sys­teme
  • Domain­con­trol­ler
  • Back­up­ser­ver
  • Back­upsto­rage

 

5.2.            Voll­um­fäng­li­che Wiederherstellung

Die Wie­der­her­stel­lung aller Systeme für die voll­stän­dige Wie­der­her­stel­lung wird bei voll­stän­dig wie­der­her­zu­stel­len­den Sys­te­men einige Stunden in Anspruch nehmen, in Abhän­gig­keit von der wie­der­her­zu­stel­len­den Daten­menge. Dies setzt eine funk­tio­nie­rende Infra­struk­tur voraus (Netz­werk­struk­tu­ren, Vir­tua­li­sie­rungs­um­ge­bung, Support-Server, Backup-Umge­bung), siehe auch 5.1.3.

Bei der kom­plet­ten Wie­der­her­stel­lung aller Systeme wird nach der Wie­der­her­stel­lung der für den Mini­mal­be­trieb not­wen­di­gen Systeme ein Zwi­schen­ziel erreicht, mit dem die CIS-Mit­ar­bei­ter zum Teil wieder arbeits­fä­hig sind. Hierfür ist die Rei­hen­folge der wie­der­her­zu­stel­len­den Systeme zu beachten.

Erst nach der kom­plet­ten Wie­der­her­stel­lung der Kun­den­sys­teme sind die Kunden wieder arbeits­fä­hig. Bei der Rei­hen­folge ist zu beach­ten, dass die zen­tra­len Ablagen oder Ses­si­onbro­ker vor­ran­gig wieder her­ge­stellt werden. Sind die für einen Kunden not­wen­di­gen Systeme wie­der­her­ge­stellt, ist der jewei­lige Kunde arbeits­fä­hig. Hierbei kann nur ein Kunde nach dem Anderen wie­der­her­ge­stellt werden, so dass es einige Zeit dauern wird bis zur vollen Arbeits­fä­hig­keit aller Kunden.

 

6.  Not­fall­sys­teme

Für den Notfall ist eine sepa­rate VPN-Einwahl auf die Fire­wall für den Fern­zu­griff möglich, so dass auch remote War­tungs­ar­bei­ten und Not­fall­maß­nah­men getrof­fen werden können.

Die Zugriffs­mög­lich­kei­ten auf die Ser­ver­hard­ware beschränkt sich auf den phy­si­ka­li­schen Zugang zum RZ IPC und RZ CIS und der ver­schlüs­selte Zugriff auf IPMI-Karten in den Servern, über den auch direkt auf die Ser­ver­sys­teme zuge­grif­fen werden kann.

 

7.  Kri­ti­sche Systeme

Fol­gende phy­si­ka­li­schen Systeme werden als geschäfts­kri­tisch eingestuft:

System Aufgabe
CIS-IPC-ASA01
CIS-IPC-ASA02
Zen­trale Firewalls
CIS-IPC-VPN01
CIS-IPC-VPN02
Zen­trale Einwahl Kundensysteme
CISRZ-SW101
CISRZ-SW201
CISRZ-SW202
Zen­trale Switchinfrastruktur
CIS-IPC-SW10 Storage-Switch
CISRZ-DPV01
CISRZ-QNAS02
CISRZ-QNAS03
Sto­rage­sys­teme

CISRZ-ESX0x

 

CISRZ-PVE0x

Vir­tua­li­sie­rungs-Hosts
CISRZ-SUP01 Support-Server
CISRZ-VBS01 Back­up­ser­ver
CISRZ-BNAS01
CISRZ-BNAS02
CISRZ-BNAS03
CISKA-BNAS01
Backup-Repo­si­to­ries

 

Fol­gende vir­tu­el­len Systeme werden als geschäfts­kri­tisch eingestuft:

System Aufgabe
CISRZ-ADC01
CISRZ-ADC02
Domain­con­trol­ler CIS-RZ.net
EITIE-ADC03
EITIE-ADC04EITIE-ADC05
Domain­con­trol­ler eitie.de
EITIE-TK01 Tele­fon­ser­ver
EITIE-MX01 Mail­ser­ver Exchange
EITIE-DHCP01 DHCP-Server
CISKA-APP01 Genesis World

CIS-KAD-SGW01

 

CIS-KAD-SGW02

Mail­ga­te­way
CISRZ-SUP01 Sup­port­ser­ver (RZ)
EITIE-SUP01 Sup­port­ser­ver

CISRZ-ADC01

 

CISRZ-ADC02

Domain­con­trol­ler Verwaltungsumgebung

 

8.  Sys­tem­be­schrei­bun­gen

8.1.            Sys­tem­ar­chi­tek­tur

Die Kunden der CIS arbei­ten nach einer Ter­mi­nal­ser­ver-Struk­tur. Die Server bilden die Grund­lage zum Erbrin­gen der Geschäftstätigkeiten.

 

8.2.            Netz­werk­ele­mente

  • Inter­net­an­bin­dung:
    • Eine red­un­dante 1GBit-Anbin­dung im RZ ICP
    • Eine 10GBit- Glas­fa­ser­ver­bin­dung zwi­schen RZ ICP und RZ CIS
  • Zen­trale Switche: 
    • Um die Red­un­danz zu gewähr­leis­ten, werden im RZ IPC zwei zen­trale Switche eingesetzt.
    • Im RZ IPV wird ein Switche mit red­un­da­ten Kom­po­nen­ten eingesetzt.
  • Fire­walls:
    • Als Fire­walls kommen zwei Cisco ASA zum Einsatz, welche im Cluster für Aus­fall­si­cher­heit sorgen.
    • Alle Zugriffe zwi­schen den ein­zel­nen Netz­seg­men­ten wird über die Fire­wall gesteuert.
    • Ände­run­gen an der Kon­fi­gu­ra­tion werden beim Spei­chern auf einen Server gesi­chert, so dass diese Ände­run­gen nach­voll­zo­gen werden können.
  • VPN-Ein­wah­len:
    • Auf einer Cisco ASA ter­mi­nie­ren die VPN-Ein­wah­len für Benutzer.
  • Site-to-Site-Ver­bin­dun­gen:
    • Auf zwei zu einem Cluster geschal­tete Cisco ASA ter­mi­nie­ren die sta­ti­schen VPN-Tunnel aller Kundensysteme.

 

8.3.            Back­u­p­um­ge­bung

Das Backup erstellt jeden Tag eine Siche­rung aller vir­tu­el­len Systeme. Hierbei wird einmal monat­lich eine aktive Voll­si­che­rung erstellt und jeden wei­te­ren Tag eine inkre­men­telle Siche­rung auf Blo­ckebene. Die Back­up­soft­ware ist in der Lage, aus einer Voll­si­che­rung und der jewei­li­gen inkre­men­tel­len Siche­rung ein voll­stän­di­ges Image zur Wie­der­her­stel­lung zu erstel­len, so dass immer ein kon­sis­ten­ter Zustand wie­der­her­ge­stellt werden kann. Die Backups aus dem RZ IPC werden im CISRZ gesi­chert, während die Backups der Systeme aus dem CISRZ auf Spei­cher­sys­te­men im IPC gesi­chert werden.

Zusätz­lich werden Siche­run­gen einmal monat­lich auf ein exter­nes Storage repli­ziert, welches alle 2 Monate kom­plett vom Netz getrennt auf­be­wahrt wird.

Die Back­u­p­um­ge­bung ist vom Pro­duk­tiv- und Sto­rage­netz durch VLANs getrennt.

 

8.4.            Betrieb­li­che IT-Systeme

Die zum Betrieb not­wen­di­gen Systeme sind unter Punkt 5.1 – Betrieb aufgelistet.

 

8.5.            Sicher­heit

Fol­gende Sicher­heits­maß­nah­men für die Umge­bung wurden getroffen:

  • Zugangs­schutz Hardware: 
    • Der Zugriff auf die Hard­ware kann nur auf zwei Wegen erfolgen: 
      • Phy­si­ka­li­scher Zugriff im jewei­li­gen RZ
      • Remo­te­zu­griff auf Ver­wal­tungs­kar­ten/-kon­so­len mittels Login
    • Zugangs­schutz Software: 
      • Zugriff auf ver­wal­tungs­tech­ni­sche oder betrieb­li­che Anwen­dun­gen werden duch Log­in­da­ten geschützt. Die admi­nis­tra­ti­ven Zugriffe sind in einer ver­schlüs­sel­ten Kenn­wort­da­ten­bank (KeePass) hinterlegt.
    • Logging:
      • Ände­run­gen an der Fire­wall oder den zen­tra­len Swit­chen werden bei jeder Spei­che­rung auf einen Server gesi­chert, so dass Ände­run­gen nach­voll­zo­gen werden können. Wei­ter­hin werden Syslog-Daten von ein­zel­nen Kom­po­nen­ten aufgezeichnet.
    • Authen­ti­fi­zie­rung:
      • Alle Zugriffe auf die Umge­bung werden über das Active Direc­tory der Domäne authen­ti­fi­ziert. Ände­rungs­rechte inner­halb des AD haben nur nament­li­che Admi­nis­tra­tor­be­nut­zer. Diese haben keine Domänenadminrechte.
      • Alle Authen­ti­fi­zie­run­gen inner­halb des Ver­wal­tungs­netz­tes werden über einen sepa­ra­ten Domä­nen­con­trol­ler gesteu­ert und sind unab­hän­gig von der Domäne der Kundensysteme.
    • Admi­nis­tra­to­ren:
      • Admi­nis­tra­to­ren in der Ver­wal­tungs­um­ge­bung sind Mit­glie­der der Gruppe „Pro­tec­ted Users“, welche zusätz­li­chen Schutz vor Sicher­heits­be­dro­hun­gen bietet.
      • Alle Admi­nis­tra­to­ren sind nament­lich erfasst und haben ein eigenes Login.
      • Kein nament­li­cher Admi­nis­tra­tor hat das Recht „Domänen-Admi­nis­tra­tor“.
    • Berech­ti­gungs­stu­fen:
      • Alle admi­nis­tra­ti­ven Berech­ti­gun­gen werden über Gruppen des AD gesteu­ert. Jeder Benut­zer hat die für ihn not­wen­di­gen Rechte, um seine Arbeit durch­füh­ren zu können.
      • Benut­zer, die admi­nis­tra­tive Rechte für bestimmte Arbei­ten benö­ti­gen, bekom­men diese Berech­ti­gun­gen durch ent­spre­chen­den Gruppen im AD.
      • Zugriffe auf Datei­ebene werden über Berech­ti­gungs­grup­pen im AD zuge­wie­sen. Benut­zer, die auf bestimmte Ver­zeich­nisse keinen Zugriff besit­zen, bekom­men diese ausgeblendet.
    • Anti­vi­rus:
      • Alle Server- und Cli­ent­sys­teme haben einen aktu­el­len Anti­vi­rus-Client instal­liert. Sollte der Client für einen Zeit­raum von mehr als 7 Tagen keine aktu­el­len Updates laden, so wird eine Alar­mie­rung an eine Ver­teiler­gruppe gesendet.
    • Win­dows­ak­tua­li­sie­rung:
      • Alle Server- und Cli­ent­sys­teme werden durch einen WSUS-Server mit aktu­el­len Updates von Micro­soft ver­sorgt. Die Frei­gabe der aktu­el­len Updates erfolgt teil­weise auto­ma­tisch. Für kri­ti­sche Maschi­nen wird eine manu­elle Frei­gabe von Updates vor­aus­ge­setzt. Diese Updates werden einmal monat­lich kon­trol­liert und nach Kun­den­rück­spra­che installiert.
    • Sabo­tage:
      • Löschen/Überschreiben von Dateien: 
        • Der Zugriff auf Dateien ist über Gruppen eingeschränkt.
        • Alle Dateien vom Datei­ser­ver werden als Schat­ten­ko­pie für einige Zeit auf­be­wahrt, unab­hän­gig vom Backup.
        • Alle Ser­ver­sys­teme werden täglich auf ein per VLAN getrenn­tes System gesichert.
      • Netz­tren­nung:
        • Alle Netze werden durch VLANs von­ein­an­der getrennt.
        • Zugriffe von einem Netz in ein anderes erfolgt aus­schließ­lich über die Firewall.
        • Zugriff auf das Ver­wal­tungs­netz (IPMI-Karten, Kon­so­len) haben nur aus­ge­wählte Admi­nis­tra­to­ren, welche nament­lich erfasst sind.
        • Das Ver­wal­tungs­netzt ist über eine eigene Struk­tur abgebildet.

[1] Ist das System vor­han­den, so kann eine Wie­der­her­stel­lung im Hoch­ver­füg­bar­keits­clus­ter auch auf Blo­ckebene durch­ge­führt werden. Hierzu werden nur Blöcke wie­der­her­ge­stellt, die sich vom Backup unter­schei­den. Dies beschleu­nigt den Vorgang erheb­lich. Ist das System nicht mehr vor­han­den, so sind die kom­plet­ten Daten wiederherzustellen.