Leitstellenverbund:
Zentrale oder dezentrale Technik?
Bei der Planung eines Verbundes aus mehreren Leitstellen stellen sich zahlreiche Fragen. Wie können die Leitstellen optimal zusammenarbeiten? Wie können Überlastsituationen durch den Verbund abgefedert werden? Wie erreicht man eine möglichst hohe Ausfallsicherheit? Wie kann man weiterarbeiten, wenn trotzdem ein Ausfall eintritt? Einige taktische, technische und organisatorische Aspekte bei der Planung werden anhand von zwei Architektur-Varianten mit zentraler und dezentraler Technik in diesem Artikel beleuchtet.
Variante 1:
Zentrale Technik mit optionaler dezentraler Rückfallebene
Bei einem Leitstellenverbund mit zentraler Technik ist die gesamte Serverinfrastruktur zentral in Rechenzentren auf zwei oder mehreren physikalischen Standorten aufgeteilt untergebracht, um im Fall eines Teilausfalls die Datenintegrität wahren zu können (Cluster Quorum). Dabei sind die Standorte so dimensioniert, dass ein Standort die gesamte Last tragen kann. Der Zugriff von den Standorten erfolgt über WAN-Verbindungen, welche über eine ausreichende Performance, Stabilität und Redundanz verfügen, um somit den produktiven Betrieb mehrerer Leitstellen zu ermöglichen.
Taktische Aspekte
Durch eine zentrale Technik lassen sich Funktionen realisieren, die taktischen Mehrwert in der täglichen Arbeit bieten. Die Daten sind immer synchron und eine schnelle interne Kommunikation ist durch eine verzögerungslose Aktualisierung der Daten garantiert. Im Normalbetrieb ist beispielweise die gemeinsame Bearbeitung von Einsätzen im Grenzbereich zwischen Leitstellen nahtlos und ohne zusätzlicher Datenübertragung über Schnittstellen möglich. Die leitstellenübergreifende Alarmierung lässt sich, für Personen in Notlage, ohne Zeitverlust realisieren.
Im Fall der Überlastung einer Leitstelle (z. B. lokale Ereignisse mit hohem Anrufaufkommen) sind Überlauf und Eskalationen zu anderen Leitstellen ohne manuelle Eingriffe möglich. So können die personellen Ressourcen des gesamten Verbunds bei der Bewältigung der Überlast unterstützen.
Auch in Katastrophensituationen durch elementare Gefährdungen, die ein Räumen der Leitstelle bei beispielsweise Bombenfund, Bombendrohung, Pandemie oder Stromausfall erfordern oder eine Zerstörung der Leitstelle durch Feuer, Wasser, Naturkatastrophen oder Anschläge nach sich ziehen, bietet diese Variante Vorteile. So kann die betroffene Leitstelle unkompliziert durch eine oder mehrere andere Leitstellen vertreten werden und laufende Einsätze können ohne Datenverlust nahtlos von dort aus bearbeitet werden.
Zusätzliche Flexibilität und Zeitersparnis bietet diese Variante in der Bereitstellung weiterer Arbeitsplätze, wodurch dynamisch auf besondere Situationen reagiert werden kann. Da eine WAN-Verbindung zur Zentrale die einzige technische Anforderung ist, können rasch zu übersiedelnde Arbeitsplätze wie z. B. in Lagezentren, Schulen etc. ausgestattet mit Standard-Hardware eingebunden werden.
Technische und organisatorische Aspekte
Diese Variante ermöglicht den Aufbau einer georedundanten, fehlertoleranten und Desaster-Recovery-fähigen IT-Infrastruktur für den Betrieb mehrerer Leitstellen. Durch die Einstufung von Leitstellen als kritische Infrastruktur mit der Perspektive einer erforderlichen Zertifizierung nach BSI IT-Grundschutz-Kompendium sind dies relevante Themengebiete, die zu berücksichtigen sind.
Durch den Ausbau der Technik an zwei oder mehreren Standorten sind die begleitenden technischen Maßnahmen wie redundante Stromversorgung und Klimatisierung, Brandmelde- und Löschanlage, Perimeterschutz auch auf diese Standorte anwendbar. Für unsere Kunde*innen bedeutet dies eine Kosteneinsparung gegenüber dem einzelnen oder separaten Ausbau aller Standorte auf diesem hohen Standard.
Anhand der gestiegenen Anforderungen in Hinblick auf Hochverfügbarkeit und Updates ohne geplante Downtimes steigt die Komplexität der eingesetzten Clustersysteme und Applikationsarchitekturen, und somit die Anforderungen an qualifiziertem Betriebspersonal an jedem (Leitstellen-) Standort. Bei dieser Variante kann auch das Betriebspersonal für IT- und Applikationsinfrastruktur an diesen Rechenzentrums-Standorten konzentriert werden.
Das Risiko einer Unterbrechung der WAN-Verbindung kann indessen nicht vollständig ausgeschlossen werden. Darum sind einige Vorkehrungen zu treffen, um den Ausfall der WAN-Verbindung zu einem oder mehreren Standorten organisatorisch ausgleichen zu können. Möglich sind Konzepte, bei denen das betroffene Gebiet auf eine oder mehrere Leitstellen aufgeteilt wird, damit alle weiterhin auf demselben Datenstand arbeiten und laufende Einsätze problemlos ohne Datenverlust bearbeiten werden können.
Optionale dezentrale Rückfallebene für lokale Autonomie
Besteht trotz der umfangreichen Maßnahmen die Anforderung nach lokaler Autonomie der Leitstelle, so kann dies mit einer dezentralen Rückfallebene gelöst werden. Diese wird über eine asynchrone unidirektionale Replikation mit wenigen Sekunden Zeitversatz mit allen Daten versorgt. Bei Bedarf kann die Bearbeitung der laufenden Einsätze auf der Rückfallebene aktiviert und über lokal angebundene Schnittstellen wie z. B. Telefonie, Gefahrenmeldeanlage, Alarmierungssysteme auf die dezentrale Rückfallebene geschwenkt werden. Die dezentral bearbeiteten Einsätze können nach Bedarf wieder in das produktive Hauptsystem rückübertragen werden.
Variante 2:
Dezentrale Technik
Bei der Variante mit rein dezentraler Technik ist in jedem Leitstellenstandort die gesamte erforderliche Serverinfrastruktur für einen autonomen Betrieb installiert. In der Regel verteilt sich die Technik auf zwei Technikräume, wobei die Dimensionierung so ausgelegt ist, dass ein Technikraum die gesamte Last dieses Leitstellenstandorts tragen kann. Die Arbeitsplätze greifen über ein lokales Netzwerk auf die Serverinfrastruktur zu, wodurch Abhängigkeiten auf externe WAN-Verbindungen reduziert werden.
Taktische Aspekte
Die leitstellenübergreifende Zusammenarbeit lässt sich auch mit rein dezentraler Technik realisieren. Die Funktionen sind jedoch über Datenaustauschschnittstellen umgesetzt, statt auf dieselbe Datenbank zuzugreifen. Beispielsweise ist ein Einsatz erst nach der bewussten Übermittlung/Freigabe in der anderen Leitstelle sichtbar.
Im Fall der Überlastung einer Leitstelle stehen die Mittel der leitstellenübergreifenden Zusammenarbeit zur Verfügung. Überlauf- und Eskalationsfunktionen sind aufgrund der getrennten Datenbasis nur eingeschränkt und sehr spezifisch implementierbar.
Die Szenarien zur Räumung der Leitstelle aufgrund von elementaren Gefährdungen oder der Zerstörung einer Leitstelle benötigen mit rein dezentraler Technik eine besondere Vorausplanung und Vorbereitung. Ohne permanente Synchronisation der Daten auf einen ständig betriebsbereiten zweiten Standort ist die Weiterführung des Betriebs gefährdet.
Technische und organisatorische Aspekte
Der große Vorteil dieser Variante liegt in der lokalen Autonomie der Leitstelle. Egal was rundherum passiert, die Leitstelle ist im Produktivsystem selbstständig arbeitsfähig. Bei der zentralen Variante mit dezentralem Notsystem ist für die lokale Autonomie ein Wechsel in die dezentrale Rückfallebene erforderlich.
Gleichzeitig bringt dieses Plus eine Reihe von Konsequenzen mit sich. So ist es z. B. nicht an jedem Standort möglich bzw. wirtschaftlich sinnvoll, eine georedundante, fehlertolerante und Desaster-Recovery-fähige IT-Infrastruktur zu errichten. Somit ist für eine Zertifizierung nach BSI IT-Grundschutz-Kompendium zumindest für den Aspekt der Georedundanz die Betrachtung des Gesamtverbunds erforderlich. Diese beinhaltet insbesondere die technischen und organisatorischen Prozesse für die Räumung der Leitstelle und ein Desaster-Recovery.
Eine Einführung von leitstellenübergreifenden Funktionen ist nur über zusätzliche Schnittstellen zum Datenaustausch möglich, wobei hier technische Grenzen und Limitierungen zu beachten sind. So ist etwa die zeitnahe Synchronisierung von Texteingaben in Echtzeit über eine Datenaustauschschnittstelle eine technisch sehr komplexe Herausforderung.
Empfehlung von eurofunk
Beide Varianten aus unserem Lösungsportfolio wurden und werden seit vielen Jahren in zahlreichen Projekten eingesetzt. Aufgrund der langjährigen Erfahrungen empfiehlt eurofunk die Variante Zentrales Produktivsystem und dezentrales Rückfallsystem:
- Die taktischen und organisatorischen Vorteile sprechen klar für diese Option. Dieser Mehrwert steht der Leitstelle, den Anwender*innen und somit auch der Bevölkerung zu weit über 99 % zur Verfügung.
- Bei künftigen Erweiterungen im System, z. B. mit einer neuen Schnittstelle, kann dies bei zentralen Systemen mit deutlich geringerem Aufwand an einer Stelle durchgeführt werden und steht umgehend allen Leitstellen zur Verfügung.
- Verfügbarkeit, Bandbreite, Redundanz und Kosten der erforderlichen WAN-Verbindungen sind in der Regel kein Hindernis.
- Tritt der Katastrophenfall tatsächlich ein, ist mit der dezentralen Rückfallebene die Betriebssicherheit und die lokale Autonomie der Leitstelle gesichert.