frank
Goto Top

Nach dem OVH Brand: Mehr Backups und Georedundanz

taylor-vick-m5tzztfcofs-unsplash

Nach dem verheerenden Brand des Cloud Anbieters OVH in Straßburg und dem Ausfall von rund 3,6 Millionen Webseiten fragen wir uns natürlich, wie sicher ist unser Rechenzentrum und unsere Daten? Es wurden mehr als 12.000 Servern durch das Feuer zerstört. Was können wir als Kunden tun, um in Zukunft vernünftig zu reagieren?

Unsere Administrator Webseite steht komplett in der Cloud der Firma Aixit in Frankfurt am Main.

Aixit hat sich daher mit dem Brandschutzexperten Thorsten Bechert unterhalten, um zu verstehen was in Straßburg passiert ist und wie man sich und seine Daten vor so einem Brand schützen kann. Hier das Interview dazu:

back-to-topHallo Thorsten. Danke, dass Du Dir so kurzfristig Zeit genommen hast. Kannst Du Dich kurz vorstellen?

Ich bin Thorsten Bechert bin 47 Jahre alt, verheiratet, zwei Kinder und Geschäftsführer vom Ing. Büro Bechert.
Wir sind Branschutzsachverständige mit 5 Niederlassungen in Deutschland und 16 Mitarbeitern. Also EU-weit anerkannte Sachverständige nach DIN EN ISO/IEC 17024, wenn Du es genau wissen willst.

back-to-topDu betreust als Brandschutzsachverständiger u.a. den Hockenheimring und hast auch schon viele RZ Betreiber beraten bzw. für diese Firmen Brandschutzkonzepte erstellt. Was geht in dir vor, wenn Du so eine Nachricht wie aus Straßburg hörst?

Ich war schon überrascht, dass es bei einem Rechenzentrum einen Vollbrand geben kann. Brennen kann es mal, aber ein Vollbrand ist doch außergewöhnlich. Es ist natürlich nicht auszuschließen, nur bisher einfach noch nicht oder kaum vorgekommen.

Dadurch, dass keine Personen zu Schaden gekommen sind, war ich emotional jetzt nicht besonders betroffen. Und habe eher gedacht, dass das Brandschutzkonzept gegriffen hat.

Hier gilt es nämlich zu unterscheiden: Das Brandschutzkonzept ist in erster Linie dazu da, Personenschäden zu verhindern. Alles andere ist nachrangig.

Der Schutz von Leben und Gesundheit von Mensch und Tier ist das höchste Ziel in einem Brandschutzkonzept. Umweltschutz, Nachbarschaftsschutz oder auch wie in diesem Fall der Schutz von Hardware/Daten sind nachrangige Schutzziele.

back-to-topMan hört ja, dass das Feuer bei OVH in den USV Anlagen begonnen haben soll und es sei auch viel Holz im Gebäude verbaut worden. Was ist Deine Einschätzung aus der Ferne dazu bzw. kannst Du beurteilen, ob Fehler gemacht worden sind?

Holz ist ein sehr moderner Baustoff und in den letzten fünf bis sechs Jahren stark im Kommen. Durch die nachhaltige Bauweise wird es mittlerweile auch in Rechenzentren oder Hochhäusern verbaut. Da ist also nichts Außergewöhnliches und auch völlig zulässig. Daher gehe ich nicht davon aus, dass große Fehler gemacht worden sind.

back-to-topSagen wir mal, dass keine Fehler gemacht worden sind und dass das Brandschutzkonzept gut war oder zumindest ausreichend. Heißt das dann im Umkehrschluss, dass man sich aus Betreibersicht nie zu 100% vor so einem Ereignis schützen kann?

Nein einen 100-prozentigen Schutz gibt es nicht.

Man kann sich natürlich mehr oder weniger schützen. Die brandschutztechnische Infrastruktur fängt bei null an und kann dann stufenweise erweitert werden. Je mehr in diese Richtung gemacht wird, desto größer der Schutz, aber nie zu 100%.

back-to-topWelche stufenweise Erweiterungen sind das?

Es fängt an mit der Brandmeldeanlage mit Aufschaltung zur Feuerwehr. Das heißt, der Brand muss erkannt werden und dann dauert es noch etwas bis die Feuerwehr am Einsatzort ist.

Die nächste Stufe wäre eine Werksfeuerwehr, wie man sie aus größeren Produktionsstätten oder Flughäfen kennt.
Dann kommen selbsttätige Feuerlöschanlagen. Sprinkleranlagen zum Beispiel, die in Rechenzentren natürlich etwas schwierig sind. Wobei man sich nicht von Filmen täuschen lassen darf: Sprinkler arbeiten sehr punktuell und fluten nichts.

Die nächste Stufe wäre eine Gaslöschanlage, die das Material nicht beschädigen. Das ist meist eine Kombination aus Brandmeldeanlage und entsprechender Löschanlage. Vorteil ist hier, dass schon während der Brandentstehung reagiert werden kann.
Und die letzte Stufe ist eine Sauerstoffreduktionssystem, wo generell so wenig Sauerstoff in der Luft ist, dass kein Feuer entstehen kann. Macht dann aber das Arbeiten in diesen Räumen etwas schwierig, bzw. muss man dann hier strenge Regeln einhalten.

Ich habe RZs betreut mit Gaslöschanlagen oder Sauerstoffreduktionssystemen aber Baurechtliche Vorgabe ist es nicht zwingend und natürlich auch entsprechend teuer. Vorgabe nach Baurecht sind nur die Größe der Brandabschnitte, die Anzahl der Geschoße, die feuerwiderstandsfähigkeit des Tragwerks und natürlich Fluchtwege.

back-to-topKommen wir mal zum Kunden: Worauf sollte man achten, bzw. wie kann man seine Daten (ab)sichern?

Datensicherheit ist mir persönlich sehr wichtig. Ich habe da mal einen schönen Spruch gehört: Es gibt nur zwei Arten von Daten: Daten die gesichert sind und Daten, die noch nicht verloren sind.

Ich persönlich will meine Daten dreimal gesichert haben. Sonst schlafe ich schlecht (lacht).
Speicherplatz kostet mittlerweile kein Geld mehr und da macht es auch totalen Sinn zusätzlich über eine georedundante Sicherung nachzudenken. Weil passieren kann immer was, das sehen wir jetzt an dem Fall OVH.

back-to-topEine abschließende Frage: Glaubst Du die RZ-Branche wird sich nach diesem großen Brand bezüglich des Brandschutzes verändern?

Es gibt, meine ich, weltweit ca. 10.000 große Rechenzentren. Jetzt gab es einen Brand in dieser Größenordnung. Aus meiner Sicht ist das eine sehr geringe Schadens-Wahrscheinlichkeit. Ich denke, die Branche arbeitet hier schon sehr ordentlich. Ich persönlich sehe keine große Notwendigkeit hier nachzubessern.

Die Versicherer werden mit Sicherheit reagieren und versuchen die Prämien anzupassen, gerade weil in letzten Jahren so wenig passiert ist und es jetzt einen Ansatzpunkt gibt.

Und ich denke - wie oben beschrieben - die Kunden werden sich vielleicht etwas mehr Gedanken um Backups und Georedundanz machen – und das kann ja auch nicht schaden.

back-to-topDanke für Deine Zeit und die sehr Interessanten Einblicke.


Hier das Interview auf der Aixit Seite:

Gruß
Frank

Content-ID: 664400

Url: https://administrator.de/contentid/664400

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

GNULinux
GNULinux 18.03.2021 aktualisiert um 12:22:25 Uhr
Goto Top
Mich überrascht es, dass man sich bei 12.000 Servern nicht auch mehr um den Schutz der Geräte kümmert. Selbst wenn man im Schnitt nur mit ein paar tausend Euro pro Server rechnet, geht es da doch um beachtliche Summen. Plus der nicht bezifferbare Imageschaden nach so einem GAU. Ich hätte daher erwartet, dass es doch ein paar grundlegende Schutzmaßnahmen gibt, die zumindest einen solchen Großbrand verhindern. Schon mit Brandabschnitten hätte sich das doch auf zumindest einen Teil des RZ eingrenzen lassen müssen? Auf mich wirkt es, als hätte da alles versagt.

Der Ausbruch in den USV Anlagen klingt schlüssig, da sind die Batterien wohl die größten Gefahrenquellen. Holz im RZ finde ich dagegen seltsam. Klar ist es ein moderner Baustoff, aber im RZ? Da hätte ich eher Beton erwartet statt brennbares Material. Überrascht mich, dass das von Herrn Bechert als normal empfunden wird.

Ansonsten zeigt das halt mal wieder: Alles in eine Cloud schieben, dann wird automatisch alles gut ohne sich zu kümmern, funktioniert nicht. Auch da (oder gerade da) kann was passieren. Muss ja auch nicht gleich ein Großbstand sein. Gibt genug andere Fehler, die zu Datenverlusten führen können.
Meandor
Meandor 19.03.2021 um 10:06:45 Uhr
Goto Top
Das Problem bei Holz ist, dass jeder bei Holz und Feuer an seinen Kaminofen oder an die Grillparty denkt.

Holz selbst fängt erst bei ca. 230° an zu brennen; bei ca. 260° beginnt das Holz so auszugasen, dass der Brand bestehen bleibt, selbst wenn die Zündenergie weggenommen wird. Die Temperatur muss erstmal erreicht werden.

Holz ist also so gut oder so schlecht wie jeder andere Baustoff. Ab 350° beginnen im Stahlbeton die Baustahlstäbe weich zu werden und sich zu verformen, dann platzt der Beton ab, die Hitzeeinwirkung wird größer und die Verformung nimmt zu. Das Gebäude beginnt instabil zu werden.

Ich hab keine Ahnung, was für Stoffe in der USV verbaut sind, aber mit der richtigen Sauerstoffmischung kann man auch ein Holzfeuer kurzfristig auf 1.000° bringt. Metallbrände bringen locker 800° aufwärts,

Es ist also egal, ob man das RZ aus Stahl oder Beton baut, eine Sicherheit erreicht man nur, indem man Brandentstehungen konsequent verhindert; bestes Beispiel ist eben die erwähnt Sauerstoffreduktion. Wenn zu wenig Sauerstoff da ist, fängt auch kein Feuer an.
beidermachtvongreyscull
beidermachtvongreyscull 19.03.2021, aktualisiert am 20.03.2021 um 03:46:35 Uhr
Goto Top
Nicht jede/r exotherme Reaktion/Vorgang benötigt zwingend Sauerstoff.
Eine kurzgeschlossene Batterie heizt sich u.U. sehr stark auf.

Du hast bestimmt schon von Powerbank-Bränden oder explodierenden Li-Akkus gehhört, die in Smartphones verbaut waren.

https://www.dieversicherer.de/versicherer/haus---garten/news/akkubraende ...

Dieser Akkutyp kann durchaus auch in USVs zum Einsatz kommen.
HansDampf06
HansDampf06 20.03.2021 um 01:02:51 Uhr
Goto Top
Naja, dass der Li-Akku sich so sehr aufheizt, um dann zu explodieren, mag ja sein. Aber ein sich ausbreitender Brand kann nur dann als Folge entstehen, wenn die weitere "Nahrung" für diesen Brand in ausreichendem Umfang vorhanden ist. Die Explosion ist somit nur das Initialereignis, was dennoch nicht mit dem Zünden eines Brandes gleichzusetzen ist, auch wenn durch die Explosion hinreichend heißes Material in der Umgebung verteilt werden sollte. Und die chemischen Prozesse bei einem Brand sind zuvorderst Oxydationen, inbesondere bei Metallbränden in elektrischen Anlagen, die sich ohne Sauerstoff nicht weiterfressen können. Der Sauerstoff kann entweder nur aus der Umgebungsluft kommen oder muss durch Ausgasung und dergleichen von den Baumaterialien geliefert werden. Die Umgebungsluft dürfte dabei die entscheidende Hauptquelle sein, weshalb eine diesbezügliche Sauerstoffreduktion einen äußerst relevanten Effekt haben dürfte. Zu beachten ist auch, dass ein Brand den vorhandenen Sauerstoff sehr schnell verbraucht, so dass bei reduzierter Umgebungsluft die Baumaterialen eine relevante Sauerstoffquelle darstellen müssten. Indes ist das bei Baumaterialien, die eine bestimmte Feuerklasse erfüllen, eher nicht anzunehmen.

Viele Grüße
HansDampf06
GrueneSosseMitSpeck
GrueneSosseMitSpeck 21.03.2021 aktualisiert um 14:31:46 Uhr
Goto Top
Wenn mich Kunden bitten, eine RZ-Planung zu begutachten... frag ich immer nach einer Halon, Stickstoff oder CO2 Löschanlage. Dazu in Hardware gespiegelter Storage. Dazu Kappungsmöglichkeiten für Strom, Reserve-RZ Kapazitäten und eine Batterieraumflutung. Wenn ein Elektroauto einen Batteriebrand hat, dann macht die Feuerwehr nämlich auch nichts anders wie es in einen Wassertank zu werfen und zu warten bis das Glimmen in den Batteriezellen aufhört.

Und ich sach mal ganz platt, wenn bei AWS eine AZ (eins von mehreren Rechenzentren, die in ca. 1-2 km Abstand stehen) abbrennt, dann fällt in China vielleicht ein Sack Reis um. Aber die Kundschaft merkt davon nichts. Als Kunde bzw Solution Architect eines Kunden sollte man aber trotzdem solche Themen addressieren, ansonsten hat man seine Arbeit schlecht gemacht und wenn das Disaster eintritt, halelulja. Die Anwälte ermitteln dann ob eine "Urwissensverletzung" des Solution architects vorliegt. Der Begriff stammt zwar aus der Baubranche, aber wer als IT Architekt sowas verantwortlich ausführt, muß sich dann auch fragen lassen, ob man nicht etwas elementar Wichtiges außer Acht gelassen hat.
beidermachtvongreyscull
beidermachtvongreyscull 21.03.2021 um 16:06:50 Uhr
Goto Top
Bin voll bei Dir.

Aber auch ich erlebe es oft genug, dass wenn es ums Thema "Geld" geht, meist der Architect nicht der letzte Entscheider sein muss. face-sad

Aber wichtig, dass man die Dinge anspricht und protokolliert. Dann kann auch der letzte Geldsack hinterher nicht behaupten, man hätte nix gesagt. face-smile

Wenn ich schon eine Möglichkeit für das Ende der Welt sehe, verkünde ich das den Entscheidungsträgern, auch wenn die Wahrscheinlichkeit dafür gering sein mag, was ich auch erwähne.
Frank
Frank 21.03.2021 aktualisiert um 19:10:28 Uhr
Goto Top

back-to-topNachtrag zum Thema Georedundanz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im Hinblick auf die Georedundanz einen Mindestabstand von 200 km. Damit soll ein Schutz vor Naturgewalten wie zum Beispiel Großschadenereignisse (Jahrhunderthochwasser etc.) gewährleistet sein.

Das sollte man als RZ-Betreiber beachten! Ich denke das sagt hier schon viel aus.

back-to-topMeine persönliche Meinung dazu

Generell verstehe ich bei dem Großbrand von OVH nicht, warum es keine Erwähnung einer Brandschutzanlage gibt. Evtl. habe ich es ja auch nicht gesehen oder überlesen? Wenn ihr da was gefunden habt, schreibt es hier mal rein.

Sollte OVH eine Brandschutzanlage haben, wundert es mich schon, dass sie anscheinend nicht funktioniert hat. Sollten sie keine haben, dann wäre das aus meiner Sicht schon als RZ-Betreiber grobfahrlässig. Aber das ist natürlich nur meine Meinung.

Leider bemüht sich OVH irgendwie auch nicht, das in der Öffentlichkeit richtig aufzuklären. Auch das ist ein Punkt den ich persönlich nicht nachvollziehen kann. Man macht zwar Updates, aber eine Aufklärung warum das Ding komplett abgebrannt ist und was mit einer möglichen Brandschutzanlage ist, habe ich nicht gefunden. Selbst wenn ein Akku, wie aktuell vermutet, gebrannt hat, warum brennt dann gleich das komplette Gebäude ab? Das ist eine Fragen die OVH eigentlich schnell beantworten könnte, egal was die Ursache war.

Ein paar Update-Meldungen von OVH gibt es natürlich, die sind hauptsächlich für ihre Kunden wichtig, wann ihr System wieder geht etc.

https://blog.ovh.com/de/brand-an-unserem-standort-in-strassburg/ oder
https://blog.ovh.com/de/datacenter-strassburg-latest-information/

Gruß
Frank
beidermachtvongreyscull
beidermachtvongreyscull 21.03.2021 aktualisiert um 19:19:28 Uhr
Goto Top
Zitat von @Frank:
Generell verstehe ich bei dem Großbrand von OVH nicht, warum es keine Erwähnung einer Brandschutzanlage gibt. Evtl. habe ich es ja auch nicht gesehen oder überlesen? Wenn ihr da was gefunden habt, schreibt es hier mal rein.


Vielleicht hilft das hier: https://www.youtube.com/watch?v=7C20JmCt_3Q
Ich verstecke mich wieder in meinem Bunker, wo mich keiner niemals nich finden wird. face-big-smile

Gruß
bdmvg
Frank
Frank 21.03.2021 aktualisiert um 22:50:22 Uhr
Goto Top
Naja, ich glaube jetzt nicht, dass das was mit Organisierter Kriminalität zu tun hat (deine Anspielung auf das Spiegel Video). Aber komisch finde ich das auch.

Gruß
Frank
beidermachtvongreyscull
beidermachtvongreyscull 21.03.2021 um 19:39:56 Uhr
Goto Top
Ich weiß nicht, was ich glauben soll, Frank.
Ich weiß nur, was ich für möglich halte und unter welchen Umständen ich es für möglich halte. Es mag weiter hergeholt sein, das macht es für mich aber nicht weniger haltbar. Wie wahrscheinlich eine Möglichkeit ist, da lege ich mich nicht drauf fest.

Es käme dem Betreiber ggf. gelegen, denn mit einem kriminellen Akt, wäre mögliche Schlamperei, Pfussch am Bau/im Betrieb zweitrangig und ggf. begünstigend, aber der primäre Grund wäre es nicht mehr. Ansonsten hätte der Beteiber in meinen Augen auf Jahrzehnte mein Vertrauen verspielt und wenn er mir Serverspace noch so günstig anbieten würde.

Klar kosten Leistungen Geld und es ist mehr als richtig, da nicht zu tief zu stapeln, aber als Kunde verlasse ich mich auch darauf, dass meine Server in einem RZ sicherer sind, als in meinem Serverraum, den ich nicht mit Netzersatzspannungs-, Brandmelde- und Löschanlagen absichern kann. Ich rede auch nur von Menschen gemachten Katastrophen:

  • Brände (Absicherung durch BMAs und BLAs)
  • physischer Zugriff (Absicherung durch das Gebäude)
  • Stromausfälle und -spitzen (Notstrom- und Netzersatzspannungsanlagen)
  • Eindringungsschutz gegen Wasser (Geeignete Örtlichkeit)

Und selbst wenn der Betreiber ein absolutes Schnäppchen raushaut, erwarte ich, dass er mir sagt, was ich dafür nicht bekomme und welches Risiko bei mir bleibt. Ich muss davon ausgehen, dass die Firmen (u.a. der Rust-Serverbetreiber), dies so nicht wussten, ansonsten wären die ebenso unseriös, wenn sie dieses Risiko eingegangen sind. Aber da werden die sich entsprechend zu erklären haben.

Gruß
Andreas
Dilbert-MD
Dilbert-MD 24.03.2021 um 14:31:13 Uhr
Goto Top
Zitat von @Meandor:

[...]
Holz ist also so gut oder so schlecht wie jeder andere Baustoff. Ab 350° beginnen im Stahlbeton die Baustahlstäbe weich zu werden und sich zu verformen, dann platzt der Beton ab, die Hitzeeinwirkung wird größer und die Verformung nimmt zu. Das Gebäude beginnt instabil zu werden. [...]


Bis Beton versagt, muss schon einiges passieren.
Betonbauteile, die zu Brandschutzzwecken oder mit Brandschutzfunktion hergestellt werden, haben eine recht große Betondeckung. Deutlich mehr als so eine dünne Decke in einem EFH und Mindestdicken. Da muss die Wärme erst mal durch.

Im Beton ist auch das sog. Anmachwasser chemisch gebunden. Ein kleiner Teil Wasser ist auch in den Poren mit der Ausgleichsfeuchte enthalten.
Unter Hitzeeinwirkung wird der „Wasseranteil“ aus dem Verbund gelöst. Das ist eine endotherme Reaktion, welche einen Teil der Wärmeenergie aufnimmt, ein Teil der Wärme wird verbraucht, um das Porenwasser zu verdunsten. Daher sind Betonbauteile recht lange Widerstandsfähig.
Eine Verformung des Betons ist im Anfangsstadium wesentlich geringer als die Verformung von reinen Stahlträgern.

Deshalb müssen Stahlkonstruktionen mit Brandschutzanstrichen versehen werden oder mit Brandschutzplatten „eingepackt“ werden. Ansonsten haben sie die Brandschutzklasse F0 (eff Null).

Bei Holz kommt noch die Querschnittsschwächung durch das verkohlen der Oberfläche bei einem Brand hinzu, was sich aber mit zunehmender Stärke dann widerum als eine Art „Dämmung“ erweist.

Mit Beton lassen sich schell und einfach Bauteile mit der Brandschutzkasse F90 und F180, also Brandwände und Komplextrennungen herstellen. D.h. volle Tragfähigkeit im Brandfall über 90 / 180 Minuten. Korrekte Planung, Ausführung und Anschlüsse vorausgesetzt!

Ein weiterer wichtiger Punkt im Brandschutz ist die Brandabschottung, also der Brandschutz in Türen, Kabel- und Leitungsdurchführungen und an Lüftungsdurchbrüchen, damit ein Brand nicht von einem Abschnitt über Kabel, Leitungen, Türöffnungen oder gar über verbundene Lüftungskanäle in andere Abschnitte übertragen wird.

In RZen ist die Brandlast üblicherweise nicht sehr groß.
Viel Blech, Metall, Kupfer aber eine paar Kabelstränge und Kunststoffisolationen.
Batterieräume sind eine große Brandgefahr und sind deshalb auch entsprechend abzuschotten oder am besten baulich getrennt anzuordnen.

Ein Brand kann schon ´mal ausbrechen.
Das ist nicht schön, sollte bei großen Anlagen aber „normalerweise“ kein Problem sein, wenn die einzelnen Abschnitte brandschutztechnisch getrennt sind. Bei Verwendung von Holz und Stahl sollte dann wenigstens die Trennung in F90 / F180 ausgeführt werden - auch über Dach.
Was nutzt eine Brandschutztrennung, wenn der Brand über die Schaumpolysteroldämmung unter den Bitumenbahnen durchkriecht bis zum anderen Ende des Gebäudes und dort u.U. von schlecht abgedichteten Lüftungsanlagen auch noch eingesaugt wird.

Und wenn ein Brandabschnitt in Flammen steht, sollte man den auch richtig löschen, notfalls einen materiellen Totalschaden durch Löschmittel in Kauf nehmen, wenn man dadurch die anderen Abschnitte retten kann.

Bei großen Industrieanlagen schauen u.U. auch die Versicherer auf die Brandschutzplanung, die Baupläne und die Ausführung, um ihr Risiko zu minimieren.

Bei einem solchen Vollbrand über (wahrscheinlich) mehrere Abschnitte, vermute ich einen kapitalen Baufehler, der ggf. mehrfach vorkommt oder mehrere kleine Fehler wie z.B.:
- schlechte Abschottung von Kabel- und Leitungsdurchführungen
- K90-Keile unter Türen
- Bauteile ohne ausreichende Feuerwiderstandsdauer
- fehlerhafte Brandschutzbeschichtungen
- fehlerhafte Alarmierung / Fehler in der BMA
- Fehlfunktion der Löschanlage
- Verkettung unglücklicher Umstände
- Änderungen während der Bauphase ohne Koordination mit dem Brandschutz
- fehlerhafte Angaben zur Nutzung bei der Brandschutzplanung

Der Rest ist GrueneSosseMitSpecke - also ich meine - der Rest wurde von GSmS schon sehr schön und ausführlich formuliert.

Gruß
Meandor
Meandor 24.03.2021 um 17:10:52 Uhr
Goto Top
Die Presseberichterstattung gibt nicht viel her, aber ich meine über einen Artikel gestolpert zu sein, dass überhaupt keine Löschvorrichtungen vorhanden waren; ich finde den Artikel nur nicht mehr.