Die Deutsche Flugsicherung (DFS) ist organisatorisch als eine GmbH selbständig, ist aber nichts anderes als eine Bundesbehörde. Die Trennung wurde vollzogen, um ihre Einkünfte aus dem Lotsengeschäft auf eine gebührenfinanzierte Basis zu stellen. Der DFS kommt die heikle Aufgabe zu, den Luftraum über dem deutschen Hoheitsgebiet zu überwachen und Kollisionen oder Abstürze zu vermeiden. Die DFS schreibt auf ihrer Webseite dazu: "Täglich koordinieren die Fluglotsen rund 10.000 Flüge. Damit ist der Himmel über Deutschland einer der verkehrsreichsten Lufträume der Welt."
Foto: DSF
Die DFS ist an 16 deutschen Flughäfen aktiv. Doch ein Hauptteil der Arbeit besteht darüber hinaus aus der Überwachung des internationalen Luftverkehrs über Deutschland. Für diese Aufgabe gibt es so genannte Center – in Bremen, Langen, Karlsruhe und München. Außerdem unterhält die DFS mehrere Rechenzentren, ein eigenes Weitverkehrsnetz, Radarstationen und einiges mehr. Neben einer operativen IT, die ausschließlich der Flugsicherung dient, gibt es einen abgetrennten klassischen IT-Bereich für Bürokommunikation (BK).
Als bundeseigenes Unternehmen verfügt die DFS über eine eigene Beschaffungsabteilung mit über 40 Mitarbeitern, die verschiedene IT-Segmente betreuen. Einer von ihnen ist Christian Riedel, auf DFS-Seite mit zuständig für das Aushandeln und die Umsetzung eines Rahmenvertrags mit Dell für den Einkauf von IT-Lösungen besonders im Server-Bereich.
Der vierjährige Rahmenvertrag über ein voraussichtliches Auftragsvolumen von rund 8 Millionen Euro startete 2012. Offiziell heißt es: "Durch diese strategische Kooperation kann die DFS ihre IT-Infrastruktur vereinfachen und somit erhebliche Ressourcen einsparen." Dies soll durch eine Vereinheitlichung der IT-Landschaft geschehen, die bisher durch zahlreiche unterschiedliche Lösungen gekennzeichnet war. Komplexität und Unübersichtlichkeit der IT sollen vor allem im Server-Umfeld mittels Konsolidierung reduziert werden. Dell hatte in der Ausschreibung auch deshalb gute Karten, weil man viele Standard-Lösungen für x86-Server im Angebot hat, berichtet Einkäufer Riedel.
Natürlich sei nicht alles mit Standards zu erschlagen, fügt er hinzu. Dort, wo es nicht möglich sei, Dell-Server einzusetzen, müsse man nach wie vor mit Hardware von anderen Herstellern weiterarbeiten. Bei individuell aufgesetzten Lösungen scheide Dell öfters aus, weil man zu sehr an den Standards orientiert sei. Dies gelte zum Beispiel für einige Thin-Client-Umgebungen.
Konsolidierung und Ausfallsicherheit
Auch müsse man an einem gewissen Altbestand von Alpha-Servern (Hewlett-Packard) festhalten, weil die Portierung der dort eingesetzten speziellen Software auf Standard-Hardware nicht trivial sei. Bei manchen Installationen habe man sich darüber hinaus in langfristigen Planungen festgelegt. In diesen Fällen greift der Rahmenvertrag, so Riedel, nicht auf Anhieb. Und er fügt hinzu: "Wir haben es immerhin geschafft, in den Server-Landschaften überwiegend Dell einzusetzen."
Foto: DFS
Die zentrale Aufgabe der DFS – Sicherung von Flugverkehr und Luftraum über Deutschland – bringt es mit sich, dass die IT und hier insbesondere die Hardware einigen Besonderheiten gehorchen muss. Dazu gehören u. a. absolute Ausfallsicherheit, Redundanz und vollständige, identische Austauschbarkeit der Hardware.
Beim Thema Ausfallsicherheit hat sich die DFS für einen relativ seltenen Ansatz entschieden. Bei der Ausschreibung ging es dementsprechend gleich um zwei Server-Architekturen: einmal mit AMD- und einmal mit Intel-CPUs. Man wollte vermeiden, dass das Ersatzsystem der Flugsicherung bei einem Absturz oder sonstigen Fehlern nicht aus den gleichen CPU-Komponenten wie das Hauptsystem besteht. Deshalb entschied man sich für zwei getrennte x86-Architekturen.
Damit will man in erster Linie vermeiden, dass ein Serienfehler bei CPU oder Chipsatz im Hauptsystem auch im Ersatzsystem vorkommen kann – mit der fatalen Folge, dass dieses nicht anspringt und die Server komplett den Dienst versagen. Zwei technisch nicht identische Hardware-Systeme auf x86-Basis sollen für die Business Continuity sorgen – was natürlich nur geht, wenn beide über die gleiche Code-Struktur auf der Ebene von Betriebssystem und Middleware verfügen. Nur so können ja die Applikationen im Falle des Falles weiter ihre Arbeit verrichten.
Eine weitere Vorgabe der Ausschreibung bestand darin, dass sich die Server bei Hitze ab 55 Grad im Rechenzentrum nicht selbständig abschalten dürfen. Die Hersteller mussten garantieren, dass die Server in diesem Falle – also bei Überschreiten der festgelegten Grenze – noch eine Stunde lang ihren Dienst fortsetzen. Mit dieser Frist will die IT-Abteilung der DFS genügend Zeit haben, um sich auf Fehlersuche zu begeben und rechtzeitig Gegenmaßnahmen einzuleiten. Ein unkontrollierter Ausfall der Server durch Temperaturprobleme im Rechenzentrum hätte fatale Konsequenzen für den Flugverkehr. Riedel erinnert in diesem Zusammenhang an einige Flugkatastrophen, die es in der Vergangenheit auf dem Globus gegeben hat.
Wieviel Hitze muss ein Server aushalten?
Foto: DFS
Um die zur Auswahl stehenden Geräte der Ausschreibungsteilnehmer in Sachen Hitze und Abschaltung genau überprüfen zu können, hatte die DFS eigens eine Hitzekammer konstruiert. Die Server mussten im Test zeigen, wie sie in verschiedenen Situationen – im Idle Mode, unter Voll- und Dauerlast oder bei der Ausführung bestimmter CPU- und Management-Anforderungen – mit der Hitze-Definition zurechtkamen. Riedel ist überzeugt, mit diesem Härtetest sei die DFS genauer als die diversen Hersteller vorgegangen.
Ein besonderer Wert wird bei der DFS auf die "Revisionsgleichheit" gelegt. Unter diesem Begriff ist folgendes zu verstehen: Bei vielen Projekten der DFS muss vom Vertragspartner für insgesamt sieben Jahre die absolut identische Hardware für die bestellten Produkte vorgehalten werden, falls ein Austausch vorgenommen werden muss. Bei Nachbestellungen müssen ebenfalls identische Systeme wie bei der Erstbestellung geliefert werden, und jede Reparatur muss genau mit dem baugleichen Teil durchgeführt werden, das anfangs verwendet wurde.
Dahinter steht die Idee, dass eine einmal unter Sicherheitsbedingungen abgesegnete Infrastruktur nicht "im Nachhinein" verwässert werden darf. Ein solches Konzept funktioniert laut Riedel nur, wenn der Vertragspartner eine entsprechende Vorproduktion und Einlagerung garantieren kann. Eine Klausel dieses Inhalts war Teil der Ausschreibung. Revisionsgleichheit betrifft im Detail zum Beispiel die Firmware auf dem Mainboard, die CPU-Seriennummer, die RAM-Bestückung oder die Festplatten-Firmware.
Letztlich muss der Hersteller damit sämtliche Server-Komponenten auf Vorrat produzieren. Wie man bei Dell sagt, sei ein Austausch nach DFS-Vorschrift mit den normalen Produktionsprozessen gar nicht zu schaffen. Denn die Realität sieht so aus: Selbst bei Server-Typen des gleichen Namens und der gleichen offiziellen Baureihe werden beständig einzelne weiter entwickelte Bauteile verwendet – der technische Fortschritt stört in der Regel auch keinen Kunden.
Bei der DFS musste Dell eigens einen Dienstleister beauftragen, der dem speziellen Kundenwunsch dadurch gerecht wird, indem er erst einmal alle am Fließband zusammen gestellten Server wieder auseinander nimmt und alle Einzelteile peinlich genau mit ihren Besonderheiten und Seriennummern registriert. Die anschließend erneut zusammen geschraubten Rechner wandern dann zur DFS oder ins Dell-Lager – für einen späteren Austausch- oder Reparaturfall. Eine Build-by-Demand-Variante, die Michael Dell ursprünglich sicher so nicht im Kopf gehabt hat.
Virtualisierung nicht erwünscht
Die DFS hat ihre Server-Landschaft weitgehend mit Dell-Standardprodukten konsolidiert. Den nächsten konsequenten Schritt in Richtung Virtualisierung ist sie aber nur in beschränktem Umfang gegangen. Virtuelle Maschinen (VMs) setzt sie lediglich dort ein, wo es nicht weh tut. Mithin im Backoffice-Bereich BK der DFS. Im operativen Bereich dagegen verzichtet man auf diese Technologie. VMs sind letztlich nichts als ein Stück Software, insofern passen sie nur bedingt oder gar nicht in die auf redundante Hardware ausgerichtete IT-Strategie der Behörde.
Im operativen Bereich der Flugsicherung setzt man auf eine Cluster-Lösung, so dass bei einem Ausfall eines Servers und der auf ihr laufenden Anwendung für eine Übernahme im laufenden Betrieb gesorgt ist. Wie Riedel ausführt, sei damit alles doppelt und dreifach abgesichert. Hier auf Virtualisierungstechnologie und ihre Möglichkeiten von Disaster Recovery und Business Continuity zu setzen, wird explizit abgelehnt: "Nein, das machen wir nicht."
Foto: DFS
Insofern vertraut die DFS der traditionellen IT. Bei Server-Virtualisierung, so argumentiert Riedel, würden ja bei einem Server-Crash gleich mehrere Applikationen auf einmal tangiert. Die Einspareffekte durch Konsolidierung auf weniger physikalische Maschinen würden dann durch möglicherweise fatale Konsequenzen konterkariert.
Im übrigen zeige die Erfahrung aus anderen Unternehmen, dass eine 100-prozentige Virtualisierung, wie sie von VMware und anderen Anbietern propagiert werde, reines Wunschdenken sei. Eigentlich gebe es überall in der Bundesverwaltung und eben auch in privaten Unternehmen Anwendungen, die man nicht den Risiken von Virtualisierung aussetzen möchte. So betrachtet, weist man auch die Einführung von Public- oder Hybrid-Cloud-Lösungen im operativen Bereich weit von sich.
Foto: DFS
Bei der DFS vertraut man lieber auf die Wirksamkeit redundant ausgelegter Hardware – eine Strategie, die bei Ersatzteilbeschaffung und Austausch bis ins Extrem getrieben wird. Man dürfe, so Riedel, darüber hinaus nicht vergessen, dass diese Strategie durch die Expertise der Lotsen in den Towern und Centern ergänzt werde. Technologie allein reiche nicht aus, sie hat auch bei der Flugsicherung nur eine unterstützende Funktion.