Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

22.08.1986

Auf Distanz gehen ist besser als Bombensicherheit

Nicht alle seine Ressourcen an einer Stelle zu versammeln, ist eine der ältesten und zuverlässigsten Vorsichtsmaßnahmen, die es überhaupt gibt. Auch gegen Sabotage ist sie wirksam. Telekommunikationsmöglichkeiten aller Art machen die räumliche Trennung des entscheidenden Equipments eines Produktions-Rechenzentrums (PRZ) und des passenden Ausfall-Rechenzentrums (ARZ) relativ einfach und im Endeffekt billiger als eine Fort-Knox-Lösung. Dies möchte der Autor mit seinen grundsätzlichen Erwägungen zur Absicherung von lokalen Bildschirmarbeitsplätzen im folgenden plausibel machen.

Die zunehmende Abhängigkeit lokaler Bildschirmarbeitsplätze von der Verfügbarkeit der Online-Anwendungen macht früher oder später eine Überprüfung des DV-Sicherheitskonzepts erforderlich. Die Problematik läßt sich letztlich auf zwei Schlüsselfragen zurückführen:

þWelche zeitliche Distanz kann von einem Unternehmen hingenommen werden, bis daß nach einem Katastrophenfall der Online-Betrieb der lokalen Terminals wieder aufgenommen können werden muß?

þWelche räumliche Distanz der am Online-Betrieb beteiligten Hardwarekomponenten ist erforderlich, damit bei einer Katastrophe nicht alle Komponenten gleichzeitig ausfallen beziehungsweise nicht mehr verfügbar sind?

Unabhängig von all den Möglichkeiten, ein zentrales Rechenzentrum so sicher wie irgend möglich zu machen, verbleibt immer noch ein Restrisiko (Sabotage!), das letztlich nur durch eine räumliche Entflechtung der Hardware beseitigt beziehungsweise vermindert werden kann. Der erste Ansatz hierbei führt zu der Maßnahme, die Terminalsteuereinheiten in die Umgebung der Bildschirmarbeitsplätze zu verlagern. Die Antwort zu Frage 1 entscheidet darüber, ob eine separate RZ-Infrastruktur als Reserve ausreicht (kaltes ARZ), oder ob sogar Maschinen ohne/mit Daten vorgehalten werden müßten (warmes/heißes Ausweichrechenzentrum, ARZ). Die Antwort zu Frage 2 entscheidet dann darüber, wie nach Produktionsrechenzentrum und Ausweichrechenzentrum beieinander liegen dürfen.

Kanalverlängerungen problemlos

Ein innerhalb des PRZ-Grundstücks liegendes ARZ kann von den Bildschirmarbeitsplätzen über Kanalverlängerungen einigermaßen problemlos erreicht werden. Ein in nächster Nähe und außerhalb des PRZ-Grundstücks liegendes ARZ kann unter Umständen mit schnellen privaten Leitungen, für die die Post hohe Ausgleichsgebühren verlangt, angeschlossen werden. Weiter entfernt liegende ARZs, die ja nur über öffentliche Fernmeldenetze der Post abgestützt werden können, machen in letzter Konsequenz jedoch eine totale Umstellung von Lokal- auf Remote-Betriebsweise erforderlich.

Ein Remote-Betrieb für die Lokalterminals kann den Umschaltmöglichkeiten entsprechend zwischen PRZ und ARZ unterschiedlich gestaltet werden. Ausgehend davon, daß alle Terminalsteuereinheiten nicht mehr im Rechenzentrum, sondern in den Fachbereichen installiert werden, ergeben sich mehrere Alternativen, deren wichtigste nachstehend kurz skizziert sind:

þEinrichten von Remote-Strecken zwischen Terminalsteuereinheiten und PRZ einerseits sowie ARZ andererseits mit Umschaltmöglichkeiten bei der Terminalsteuereinheit.

þEinrichten von Remote-Strecken wie bei Frage 1, wobei die Leitungsführung und Umschaltung über einen Rangierverteiler erfolgt. Der Vorteil dieser zentralen Umschaltung würde jedoch durch das besondere Gefährdungspotential, das diese zentrale Einrichtung "Rangierverteiler" darstellt, wieder kompensiert, sofern dieser nicht ebenfalls in mehrere dezentrale Unterverteiler gesplittet wird.

þZusätzlich zu den Terminalsteuereinheiten werden mehrere Kommunikationsrechner (zum Beispiel IBM 3725) im Fachbereich installiert und miteinander vernetzt beziehungsweise mit schnellen Leitungen (V.35/36) zu einem logischen Ring verbunden. Von dort aus erfolgt dann die Umschaltung zu den Front-End-Prozessoren des PRZ oder ARZ. Diese Alternative dürfte eher für Größtanwender von Interesse sein.

þEine künftige Lösungsvariante wäre in einer ISDN-kompatiblen digitalen Nebenstellenanlage (zum Beispiel Hicom) zu sehen, die sowohl die hausinterne Kommunikation steuern als auch die Umschaltung zum ARZ vornehmen können. Als "zentrale" Umschalteinheit ist die Nebenstellenanlage vergleichbar dem Rangierverteiler und deshalb auch besonders sicherheitssensibel. Außerdem liegen noch keine Erfahrungen vor, wie sich ein Massenbetrieb von Datenterminals über ein wählverkehrorientiertes ISDN in der Praxis auswirken wird.

þEine sehr komfortable und elegante Lösung zur Anbindung der zentralen Terminalinstallation an ein PRZ oder ARZ wäre in einem ausfallsicheren LAN-Ringkonzept zu sehen. An einen solchen Inhouse-Ring könnten an beliebiger Stelle HW-Komponenten wie Terminals, Personal Computer, Kleincomputer, Großrechner sowie Gateways für Fernmeldedienste und für schnelle ARZ-Leitungen angeschlossen werden.

Die kürzliche Ankündigung des IBM-Tokenrings zeigt diesen Trend auf. Praktische Erfahrungen sollten aber auch hier abgewartet werden, zumal diese Tokenringerstversion mit einer Geschwindigkeit von 4 Mbit/s unterhalb der allgemein erwarteten 16 Mbit/s liegt und mit maximal 260 Anschlußkomponenten für Großanwender, bei denen Sicherheitsfragen mehr im Vordergrund stehen dürften, weniger geeignet erscheint.

Auch ohne ARZ flexibler

Die vorstehenden Alternativen machen deutlich, daß eine größtmögliche Absicherung der zentralen Bildschirmarbeitsplätze zum heutigen Zeitpunkt nur durch eine Umstellung auf Remote-Betriebsweise zu erreichen ist. Auch wenn kein ARZ vorhanden ist, würde sich ein Notbetrieb nach einer Katastrophe flexibler und tendenziell auch schneller wieder herstellen lassen.

Beim Übergang von Lokal- auf Remotebetrieb ist an eine mögliche Verschlechterung der Antwortzeiten zu denken. Ein konkreter Anwendungsfall hat ergeben, daß bei einer Remote-Geschwindigkeit von 19,2 kbit/s gegenüber der bisherigen Lokalbetriebsweise eine Verschlechterung von 0,3 Sekunden eintrat. Wenn man sich künftig auf die heute schon mögliche Geschwindigkeit von 64 kbit/s einstellt, die auch Standard im ISDN ist, so dürften auch bei voll ausgebauten Terminal-Clustern keine Einbußen bei der Antwortzeit mehr zu erwarten sein. Lediglich im Notbetrieb wäre damit zu rechnen, wenn die Ausweichverbindungsstrecken nicht ausreichend dimensioniert sind.

Anschlüsse über Satellitenverbindung

Als Fazit wäre festzuhalten, daß dem EDV-Sicherheitsbedürfnis sensibler Unternehmen durch ein weiter entferntes ARZ am besten entsprochen werden kann und die Anbindung der lokalen Bildschirmarbeitsplätze künftig am besten über schnelle Leitungen mit 64 kbit/s geschieht, wobei die Umschaltung an den dezentral in den Fachabteilungen installierten Terminalsteuereinheiten vorgesehen werden sollte.

Der Anschluß an das ARZ kann über digitale ZDA-3-Systeme oder ab 1987 auch über superschnelle DFS-Satellitenverbindungen (G.703) erfolgen, wobei durchaus 32 Verbindungen zu je 64 kbit/s auf eine einzige Satellitenverbindung mit 2048 kbit/s konzentriert werden können. Die notwendige Umstellung auf Remote-Betriebsweise hat zudem den Vorteil der einheitlichen Hard- und Software sowie Meßeinrichtungen sowohl für zentrale als auch dezentrale Terminalinstallationen. Ganz egal, welche ISDN- oder LAN-Lösung in der Zukunft zum Zuge kommen sollte, die weltweit genormten CCITT-Schnittstellen der V.- und X.Serien werden dabei nicht vernachlässigt.

Kosteneinsparung an anderer Stelle

Abschließend sei darauf hingewiesen, daß die ganze Umstellung von Lokal- auf Remotebetrieb nicht gerade billig ist. Dafür lassen sich aber an anderer Stelle Kosten einsparen, die sogar bei weitem darüber liegen können. Gemeint sind jene Summen, die für ein möglichst "bombensicheres" PRZ ausgegeben werden.

Die Datenverarbeitung in einem einfachen PRZ, dessen Lokal- und Remote-Terminals im Notfall auf ein externes ARZ direkt umgeschaltet werden können, ist insgesamt sicherer als in einem PRZ ohne ARZ, wo ansonsten alle erdenklichen Sicherheitsvorkehrungen gegenüber bekannten Gefahren getroffen worden sind. Ob solche Vorkehrungen im Falle eines Falles dann auch richtig funktionieren, sei dahingestellt; die Umschaltung auf ein ARZ kann man jedenfalls üben.

*KIaus Anzinger, Deutsch-Atlantische Telegraphengesellschaft, DAT AG, Köln.