Verfügbarkeit
In der Informationssicherheit bezieht sich Verfügbarkeit auf die Gewährleistung, dass autorisierte Benutzer und Systeme jederzeit auf benötigte Daten und Dienste zugreifen können. Es ist eine der drei Grundsäulen der Informationssicherheit, neben Vertraulichkeit und Integrität.
Definition der Verfügbarkeit
Die Verfügbarkeit in der IT beschreiben das Maß an Betriebsbereitschaft und Zuverlässigkeit von IT-Systemen und -Diensten. Sie dienen zur Kategorisierung der Anforderungen an die Verfügbarkeit von IT-Ressourcen, basierend auf deren Bedeutung für den Geschäftsbetrieb.
Achtung: Die Verfügbarkeit ist eine Kennzahl für die Qualität von IT-Ressourcen und hat zunächst nichts mit Geschäftskontinuität, maximal tolerierbarer Ausfallzeit oder Wiederherstellungszeit zu tun!
Berechnung der Verfügbarkeit
Die Verfügbarkeit eines IT-Systems oder Dienstes beschreibt, wie oft es im Verhältnis zur gesamten Betriebszeit betriebsbereit ist. Sie wird häufig als Prozentsatz ausgedrückt. Die grundlegende Formel zur Berechnung der Verfügbarkeit in Prozent lautet:
Hier einige typische Verfügbarkeitsangaben und die maximale Ausfallzeit pro Jahr:
| Verfügbarkeit | Max. Ausfallzeit pro Jahr |
| 90 % | über 1 Monat |
| 95 % | < 18 Tage |
| 97 % | < 10 Tage, 22 Stunden, 48 Minuten |
| 98 % | < 7 Tage, 7 Stunden, 12 Minuten |
| 99 % | < 3 Tage, 15 Stunden, 36 Minuten |
| 99,5 % | < 1 Tag, 19 Stunden, 48 Minuten |
| 99,7 % | < 1 Tag, 2 Stunden, 17 Minuten |
| 99,9 % | < 8 Stunden, 46 Minuten |
| 99,95 % | < 4 Stunden, 23 Minuten |
| 99,99 % | < 52,6 Minuten |
| 99,999 % | < 5,3 Minuten |
| 99,9999 % | < 1 Minute |
Grundlage der Berechnung: 365 Tage, 7 Tage die Woche und 24 Stunden pro Tag.
Wann ist ein System hochverfügbar?
Ab wann ein System als hochverfügbar gilt, wird je nach Definition der Verfügbarkeit unterschiedlich beurteilt. Eine erste Hilfe bietet die Einteilung in sogenannte Verfügbarkeitsklassen, für die es verschiedene Klassifizierungen gibt, z.B:
- „9er System“, hierbei wird die Anzahl der Neunen, beginnend bei 99% verwendet.
- Uptime Institute (Tier Classification System)
- ANSI/TIA-942 (Telecommunications Infrastructure Standard for Data Centers)
- IEC 61703 (Dependability Management)
- HVK (Hochverfügbarkeitskompendium des BSI)
Die Verfügbarkeitsklassen können helfen, die eigenen Anforderungen an ein System zu definieren und damit den erforderlichen Grad an Hochverfügbarkeit eines Systems bereits in der Planungsphase festzulegen. Diese Festlegung sollte jedoch nicht willkürlich oder aus dem Bauch heraus erfolgen.
Verfügbarkeitsklassen nach „9er System“
Im 9er-System der Verfügbarkeitsklassen sind die Klassen durch die Anzahl der Neunen ab der 99% (VK 2) definiert. Jede zusätzliche "9" steht für eine höhere Verfügbarkeitsklasse und eine geringere maximale Ausfallzeit. Hier ist eine typische Nummerierung:
| VK | Verfügbarkeit | Bezeichnung | Max. Ausfallzeit pro Jahr |
| 2 | 99 % | mittlere Verfügbarkeit | < 3 Tage, 15 Stunden, 36 Minuten |
| 3 | 99,9 % | hohe Verfügbarkeit | < 8 Stunden, 46 Minuten |
| 4 | 99,99 % | sehr hohe Verfügbarkeit | < 52,6 Minuten |
| 5 | 99,999 % | Höchstverfügbarkeit | < 5,3 Minuten |
| 6 | 99,9999 % | Disaster Tolerant | < 1 Minute |
Verfügbarkeit nach Hochverfügbarkeitskompendium (HVK)[1] des BSI
Das BSI verwendet in seinem Hochverfügbarkeitskompendium das 9er-System zur Klassifizierung von Verfügbarkeiten, das um die Klasse 0 ergänzt wurde, wodurch sich die folgenden Klassen in der Nummerierung jeweils um 1 reduzieren:
| VK | Verfügbarkeit | Bezeichnung | Max. Ausfallzeit pro Jahr |
| 0 | Ohne zugesicherte Verfügbarkeit | ohne Verfügbarkeit | keine definierte Grenze |
| 1 | 99 % | Normale Verfügbarkeit | < 3 Tage 15 Stunden 36 Minuten |
| 2 | 99,9 % | Erhöhte Verfügbarkeit | < 8 Stunden 46 Minuten |
| 3 | 99,99 % | Hochverfügbarkeit | < 53 Minuten |
| 4 | 99,999 % | Höchstverfügbarkeit | < 6 Minuten |
| 5 | 99,9999 % (~100%) | Disaster Tolerant | Funktion muss unter allen Umständen gewährleistet sein. |
Max. Tollerable Ausfallzeit (MTD[2])
Die Verfügbarkeit ist lediglich eine Kennzahl für die Qualität von IT-Ressourcen und hat zunächst nichts mit Geschäftskontinuität, maximal tolerierbarer Ausfallzeit oder Wiederherstellungszeit zu tun.
Da sich die Verfügbarkeitsklassen meist auf aufsummierte Jahreswerte beziehen, diese aber nicht in jedem Fall für einen einzelnen Störfall tolerierbar sind, kann es sinnvoll sein, zusätzlich im Rahnen einer Business Impact Analyse (BIA) eine maximal tolerierbare Ausfallzeit (MTD) zu definieren, die dann bestimmt, bis wann ein System nach einem Ausfall wieder (zumindest im Notbetrieb) laufen muss.
Eine weitere Möglichkeit, die Ausfallzeiten zu reduzieren, besteht darin, die Verfügbarkeit nicht auf das Jahr, sondern auf den Monat bezogen zu definieren. Dies reduziert die maximale Ausfallzeit einer einzelnen Störung auf 1/12 des Jahreswerts.
Beispiel: Die maximal tolerierbare Ausfallzeit beträgt 4 Stunden, was einer Verfügbarkeitsanforderung von mehr als 99,95% entspricht, wenn ich die Verfügbarkeit (fälschlicherweise) direkt daraus ableite. Kann ich dagegen tolerieren, dass ein solcher Ausfall maximal 2x/Monat (24x/Jahr) auftritt, so ergibt sich eine Verfügbarkeitsanforderung über das Jahr von 4*24= 96 Stunden entsprechend ~ 99%. In der Praxis wird man in der Regel maximal einen Ausfall pro Monat akzeptieren und die MTD in der Regel zu den üblichen Geschäftszeiten fordern.
Wartungszeiten
Definierte Wartungszeiten sind in der Regel von der berechneten Verfügbarkeit ausgenommen, d.h. ein Ausfall oder eine Unterbrechung innerhalb des Wartungsfensters oder einer geplanten und angekündigten Wartung zählt üblicherweise nicht als Ausfallzeit.
Weitere Aspekte
Weitergehende Aspekte wie die Messung/Überwachung von Verfügbarkeiten oder die Verkettung von Verfügbarkeiten über mehrere Systeme wurden hier nicht betrachtet und sind Gegenstand zukünftiger Artikel.
- ↑ https://www.bsi.bund.de/dok/HV-Kompendium
- ↑ Englisch: Maximum Tolerable Downtime
