Sommer 2004: Während mehrerer Stunden fällt das sogenannte IP-VPN der Schweiz aus. Das heisst: Der Internetzugriff funktioniert zwar, nicht aber die gesicherten Verbindungen (VPN, Virtual Private Network) zwischen den Konzernzentralen und ihren Aussenstellen. Verantwortlich: Der Geschäftsbereich Swisscom Solutions, der nach der Reorganisation der Swisscom-Gruppe im Herbst für das gesamte Grosskundengeschäft verantwortlich ist.
Aus Fehlern gelernt
Der Störfall hatte keine ernsten Folgen und entbehrte auch jeder Dramatik, doch er zeigt, wie gross die Verantwortung ist: Der Datenfluss grosser Unternehmen muss zuverlässig funktionieren.
Entsprechend, versichert Swisscom-Solutions-Chef Urs Schaeppi, habe man aus dem Fall gelernt: Die Prozesse für den Netzunterhalt und das Krisenmanagement wurden überarbeitet und optimiert.
Dabei hat der sichere Betrieb des Swisscom-Backbones, also des Daten-Rückgrats, Priorität. Trotzdem kann es immer wieder zu Ereignissen kommen, die Grossstörungen verursachen können, etwa Überschwemmungen von Übermittlungszentralen, Erdbeben oder wenn ein Bagger einen wichtigen Kabelstrang zerreisst. Und natürlich passiert so etwas im unpassendsten Moment: Während die Finanzkunden ihre Abschlüsse vorbereiten oder im Falle des Detailhandels in der Vorweihnachtszeit und an Samstagen.
Doppelt und rund um die Uhr
Swisscom Solutions lässt sich die Investitionen ins Netz und in die Betriebssicherheit einiges kosten: 150 zertifizierte Netzwerkprofis sorgen für höchste Verfügbarkeit der Netze und Kundenlösungen, und 340 Techniker sind rund um die Uhr im Einsatz. Dazu kommen 130 Call Center Agents, die über Hotlines erreichbar sind.
Allein mit dem sogenannten LAN-I, eine Art Standard-Vernetzung, betreibt Swisscom Solutions bei fast 800 Grosskunden rund 1000 Netze. Selbstverständlich werden alle möglichen Notfälle auch in regelmässigen Übungen durchgespielt, Prozess und Organisationen ständig geprüft. Ein Beispiel: Kommt es zu einem Ausfall der höchsten Stufe, der Krise, sind die Swisscom-Solutions-Leute innerhalb einer halben Stunde bei der Schweizerischen Nationalbank vor Ort, falls sie gerufen werden. Und jede Grosskundin hat eine direkte Ansprechperson, mit der es auch regelmässige Treffen gibt.
Grundsätzlich gilt sowohl bei den (Glasfaser)netzen und auch allen technischen Geräten komplette Redundanz: Alles ist doppelt vorhanden; fällt ein Teil aus, springt der andere ein. Und ähnlich wie beim Stromnetz gibt es schaltbare Überbrückungslösungen. Und mittels laufender Daten-Sicherungsspeicherung und Notstrom-Aggregaten wird der Kernbetrieb auch bei weit reichendem Stromausfall aufrechter halten. Die Kunden wählen übrigens selber aus, wie schnell die Swisscom-Mitarbeiter rennen müssen: Je nach Vertragsgestaltung des «SLA», des «Service Level Agreements», garantiert die Swisscom die Wiederherstellung der Netzwerkfunktionen innert acht, vier zwei oder gar nur einer Stunde. Wählen kann jede Kundin, je nach ihren Bedürfnissen.
Der Backbone ist zudem zu 100% physisch redundant ausgelegt und abgesichert. Anders bei den Kundenanschlüssen und Anschlusszentralen: Steht eine Zentrale unter Wasser, so sind die Teile der Kundenanschlüsse betroffen, die darüber geführt werden. Die Kunden haben aber auch hier die Möglichkeit, je nach Wichtigkeit einen entsprechend kostenpflichtigen, redundanten Anschluss einzurichten, der bei einem Ausfall des normalen Anschlusses sofort aktiviert werden kann.
Auch für Grossereignisse gibt es keine rechtlichen Vorschriften. Die Swisscom behilft sich dabei selber, indem sie die Netzsicherheit zertifizieren lässt. Und sie erfüllt dabei alle Normen von Rang und Namen: ISO 17799:2005, ITIL und viele andere, damit auch dem Sarbanes-Oxley Act Rechnung getragen wird – die Börsenkotierung lässt grüssen. Und ein internes Krisenmanagement sorgt dafür, dass die Swisscom ihre Geschäftstätigkeit auch in ausserordentlichen Lagen beibehalten kann, etwa im Fall einer Pandemie.
Eines ist klar: Der «GAU», ein Totalausfall, ist seit Inbetriebnahme des Backbone 1999 nie eingetreten, und seine Wahrscheinlichkeit ist denkbar gering. Kommt dazu, dass die Swisscom der zunehmenden Bedeutung des Datenverkehrs Rechnung trägt, indem sie derzeit an einem kompletten zweiten IP-Netz arbeitet. Und bei einem Ausfall zahlt sie den Kunden eine Gebühr für die Nichteinhaltung der definierten Verfügbarkeit, bis hin zur Rückerstattung der gesamten monatlichen Gebühren. Für den Geschäftsverlust ihrer Kunden aber kann die Swisscom grundsätzlich nicht verantwortlich gemacht werden. Hier muss und kann jedes Unternehmen selber sorgen (siehe Kasten oben).
Die Kunden haben vorgesorgt
Klar dass die Grosskunden das im Griff haben. Ein paar Beispiele: Die UBS, so Mediensprecher Axel Langer, hat «im Rahmen des Business Continuity Management grundsätzlich dafür vorgesorgt, dass alle wichtigen Kommunikationsdienstleistungen über mehrere Anbieter bezogen werden können». Bei der Unisys in Thalwil, so Country General Manager Karl Anzböck, wäre man nur kurzfristig betroffen: In «maximal wenigen Minuten» würde der Dienst über andere Anbieter bezogen.
So auch bei IBM: Der Hauptsitz in Zürich-Altstetten und somit auch das gesamte Telefonnetz der IBM Schweiz an der Vulkanstrasse würden physisch über zwei unabhängige Hauseinführungen versorgt, so Mediensprecherin Susan Orozco. Mit beiden Swisscom-Zentralen sei man über mehrere Kupfer- und Glasleitungen verbunden. Das IBM-Netzwerk werde zudem 24 Stunden pro Tag überwacht. Bei Unterbrüchen werde sofort das Problem gelöst oder eine Umgehungslösung implementiert. Die Grossen überlassen – also wie die Swisscom auch – möglichst nichts dem Zufall.
------
Nachgefragt:
Urs Schaeppi, CEO Swisscom Solutions: «Information hat zentrale Bedeutung»
Im Sommer 2004 hatten Sie eine Grossstörung im Bereich geschützter Datenleitungen. Welches ist die wichtigste «lesson learned»?
Urs Schaeppi: Wir haben deutlich gesehen, dass ein zeitgerechtes und qualitativ hochstehendes Informationsmanagement mit den betroffenen Kunden von zentraler Bedeutung ist.
Swisscom ist auch im Begriff, einen zweiten IP-Backbone aufzubauen. Was versprechen Sie sich davon?
Schaeppi: Damit können wir unseren Kunden unter anderem einen vollständig redundanten IP-VPN-Service (Virtual Private Network) anbieten, bei dem nicht nur der «Transport», sondern auch die gesamte IP-Routing-Intelligenz redundant ist.
Ab welchem Moment wird Gruppenchef Carsten Schloter aus dem Bett geholt?
Schaeppi: Sobald das Swisscom-Gruppen-Krisenmanagement-Team einberufen wird.
Könnten Sie sich vorstellen, den Netzbetrieb auszulagern?
Schaeppi: Der ist ein Swisscom-Kerngeschäft, und deshalb werden wir es nicht an Dritte abgeben.
In welcher Form könnte ein VPN-
Netzausfall im Ausland Schweizer Grossfirmen und die Swisscom tangieren?
Schaeppi: Schweizer VPNs sind grundsätzlich von Ausfällen im Ausland nicht betroffen.
------
Vorsorge für KMU: Rechtzeitig mit dem Provider reden
Netz skizzieren: Vor der Anschaffung eines Kommunikationsnetzes sollte das gesamte Netz skizziert und eingehend geplant werden. Auch das Thema der zukünftigen Verfügbarkeit berücksichtigen.
Backup-Möglichkeiten: Sofern auch ein Backup des Netzes in Betracht gezogen wird, sollte sich das Unternehmen ebenfalls vorgängig über entsprechende Möglichkeiten informieren.
Netzwerkverfügbarkeit: Sicherstellen, dass die Verfügbarkeitswerte auf einer entsprechenden Infrastruktur aufbauen, also keine leeren Garantien sind. Erfahrungswerte beim Provider anfordern.
Verfügbarkeitsverträge: Auch wenn es etwas mehr kostet, sollte mit dem Provider ein Vertrag ausgehandelt werden, in dem Penaltygebühren festgelegt sind für den Fall, dass die vertraglich vereinbarte End-to-End-Verfügbarkeit nicht garantiert werden kann.
Provider-Qualität: Alle Provider bieten technisch dieselben Funktionalitäten an. Die Qualität macht den Unterschied.
Bundle-Angebote Oft sind Bundle-Angebote eine gute Lösung, da alle Komponenten aufeinander abgestimmt sind und nur eine einzige Verfügbarkeitsgarantie nötig ist.
Informationsstrategie: Im Störungsfall ist die Informationsstrategie des Providers wichtig. Er muss regelmässig über den Stand der Störung informieren.