Outsourcing : Wenn Google der Blitz trifft

Am 13. August 2015 exakt um 18:19 Uhr schlägt ein Blitz in einen Stromverteiler nahe der belgischen Ortschaft Saint-Ghislain ein. Bei Google Europe ist ab diesem Moment Feuer am Dach. Denn ausgerechnet am Verteiler Saint-Ghislain hängt eines der vier riesigen europäischen Datenzentren des Unternehmens. Als nach dem ersten Blitz noch drei weitere Entladungen knapp hintereinander das Stromnetz von Saint-Ghislain treffen, ist das Desaster perfekt: Googles "Europa-West-1b-Zone" ist von der Elektrizität abgeschnitten. Ein Notfallszenario tritt in Kraft, bei dem sich nun in Echtzeit zeigt, ob die Backup-Systeme des Datengiganten funktionieren.

Die Kommunikation der Panne läuft jedenfalls an: Um 19:14 Uhr Ortszeit räumt das Unternehmen Probleme an den Persistent-Disks der betroffenen Zone ein. Um 20.00 Uhr arbeiten die Google-Ingenieure noch immer fieberhaft daran, die durch den Stromausfall entstandenen Datenschäden zu beheben. Aber es läuft unrund: In aufgeregten Telefonaten mit den Chefs in Übersee fällt immer öfter das F-Wort. Um Punkt 21:00 Uhr meldet das Unternehmen, dass ein Prozent der Festplatten des Datencenters betroffen sind. Man bemühe sich um eine rasche Lösung.

Dabei bleibt es dann fast fünf Tage lang. Erst am 18. August vormittags gibt es endlich Entwarnung. Das Problem sei behoben, alle Daten wieder zugänglich. Allerdings, so gesteht das Unternehmen: "In einer sehr kleinen Zahl der Fälle (weniger als 0,000001 Prozent des Permanent-Disk-Volumens in der Zone Europa-West-1b) gab es dauerhaftenDatenverlust."

Nach 15 Jahren Pannenfreiheit musste Google somit erstmals Datenverluste hinnehmen. Eine absolute Ausnahme. Und doch ist die Geschichte von Saint-Ghislain in vielerlei Hinsicht symptomatisch: Denn sie zeigt, dass niemand vor Datenverlust sicher ist, auch die Besten nicht. Sie zeigt aber auch, dass das scheinbar Unmögliche manchmal doch möglich ist. Denn dass ein Blitz zweimal hintereinander in den gleichen Ort einschlägt, gilt statistisch als sehr unwahrscheinlich. Dass er das vier Mal hintereinander innerhalb weniger Minuten tut, gilt eigentlich als ausgeschlossen. In Saint-Ghislain passierte es doch.

Doch das Desaster von Saint-Ghislain zeigt auch: Selbst wenn absolute Profis am Werk sind, ist die Wiederherstellung ein langwieriger, manchmal tagelanger Prozess und selbst absolute Top-Leute können dabei nicht immer alles retten – auch wenn die Erfolgsquote von 99,999999 Prozent wie bei der Google-Panne durchaus beeindruckend ist. Ein durchschnittlicher österreichischer Klein- und Mittelbetrieb würde das kaum geschafft haben. Und so mancher internationale Großkonzern vermutlich auch nicht.

Wohl deshalb reagierte Urs Hölzle, Chef der Google-Infrastruktur, ein wenig gereizt, als ihm die Schweizer Traditionszeitung NZZ die Saint-Ghislain-Panne in einem Interview unter die Nase rieb. "Hätte der Blitz ins NZZ-Gebäude eingeschlagen, dann wären Sie mehrere Tage außer Betrieb gewesen", beschied er barsch dem Redakteur.

Auch wenn der Mann von Google kommt, er hat recht. Denn Nicht-IT-Profis, aber auch hausinterne IT-Abteilungen sind bei massiven Datenverlusten oft heillos überfordert. Wenn es daher ein Szenario gibt, bei dem IT-Outsourcing an einen Spezialisten sich besonders bezahlt macht, dann ist es wohl der Datencrash und die darauffolgende Desaster-Recovery. Das bestätigt auch die kürzlich veröffentlichte IT-Outsourcing-Study 2015/16, die von Computer Economics erstellt wurde. Ihre Kernaussage: Unternehmen, die die Desaster-Recovery von Businessdaten outsourcen, bekommen im Fall des Falles ihre Daten nicht nur schneller und vollständiger wiederhergestellt, sie kommen auch noch billiger davon. In 92 Prozent der Fälle ist nach Angaben der Studie outgesourcte Desaster-Recovery günstiger oder gleich teuer wie eine Inhouse-Lösung. Zum Vergleich: Der Outsourcing-Klassiker Help Desk rentiert sich in 74 Prozent der Fälle und bei der Entwicklung von unternehmensspezifischen Software-Anwendungen lassen sich in 42 Prozent der Fälle Einsparungen erzielen. Soweit das internationale Bild.

Österreichs CIOs schienen in Sachen Security-Outsourcing allerdings ein wenig anders zu denken als ihre internationalen Kollegen. Die von Deloitte Österreich Ende November vorgestellte Studie "Österreichische IT-Verantwortliche im internationalen Vergleich" hat diesbezüglich jedenfalls einige spannende Tatsachen zutage gefördert.

Die IT-Verantwortlichen in Österreichs Unternehmen zeigen sich darin sehr besorgt um das Thema Sicherheit. Jeder dritte österreichische CIO bezeichnet Cyber-Security als den idealen Fokus der IT. Im internationalen Schnitt tut das nur jeder fünfte. Und während auf der Agenda internationaler CIOs IT-Sicherheit auf Platz vier liegt, schafft es dieses Thema in Österreich auf Platz zwei.

Zugleich, und das ist die andere Seite der österreichischen Medaille, sind Verantwortliche in Österreich aber sehr zurückhaltend, wenn es darum geht, IT-Fachwissen von außen in das Unternehmen zu holen. Die nach wie vor bestehende Skepsis gegenüber IT-Outsourcing ist nur ein Ausdruck dieser Haltung. Der Glaube, man könne Desaster-Recovery, wenn schon, dann am besten selbst bewältigen, ein anderer. Gilbert Wondracek, Manager für den Bereich Cyber-Security bei Deloitte Österreich, bestätigt das Bild: "Österreichische Unternehmen waren in den vergangenen Jahren nur in sehr geringem Maße bereit, Geld für Security-Beratung auszugeben. Hier zeigt sich Aufholbedarf."

Ein wichtiger Punkt. Denn neben Betriebsspionage ist der Verlust von produktionsrelevanten Daten das zweite Horrorszenario, das ein Unternehmen regelrecht vernichten kann. Einmal von Datenverlust betroffen, erholen sich viele Unternehmen gar nicht mehr. Laut Zahlen, die die Londoner Chamber of Commerce erhoben hat, können 43 Prozent von ihnen den Crash nie mehr wieder gutmachen. Und: Vier von fünf Unternehmen, die Daten aufgrund von Naturgewalten wie Feuer oder Flut verlieren und die keinen Recovery-Plan haben, müssen innerhalb von zwölf Monaten nach der Katastrophe zusperren.

Einen Plan erstellen, ist allerdings auch erst die halbe Miete. Denn ein Plan, der nicht regelmäßig auf der Software-Seite gewartet und getestet wird, taugt im Notfall kaum. Viele Unternehmen haben vom Tagesgeschäft getrieben allerdings keine Zeit, solche Tests durchzuführen. Nach Angaben des Datenretter-Spezialisten Knoll-Ondrak testet mehr als die Hälfte der Unternehmen ihre Daten-Recovery-Pläne seltener als einmal pro Jahr, manche tun es überhaupt nie. Verständlich, man will sich ja um das eigene Kerngeschäft kümmern, doch im Fall eines Falles unter Umständen todbringend. Und ein weiterer guter Grund, die Daten-Recovery samt ihrer Wartung an jene auszulagern, für die sie das Kerngeschäft ist.