Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.05.1987 - 

Unverzichtbare Maßnahmen im Sicherheitskonzept, Teil 2:

Katastrophen im Schreibtisch- und Praxistest durchspielen

Teamwork selbst im Falle einer Katastrophe ist sicherlich eine hochgesteckte Forderung. Folgt man dem Autor dieses Artikels, so ist sie jedoch gerechtfertigt und auch realisierbar, wenn es um die Sicherheit von Daten respektive ganzer Rechenzentren geht. In Teil 1 dieser Abhandlung mit dem Titel "Unverzichtbare Maßnahmen im Sicherheitskonzept" in COMPUTERWOCHE Nr. 19 auf Seite 25 ging es konkret um den auf das Unternehmen abgestimmten Katastrophenplan und das K-Plan-Team. Teil 2 befaßt sich mit dem Alarmplan, mit Backup-Möglichkeiten und Tests.

Der Alarmplan wird bei Eintritt eines Schadensfalles sofort aktiviert und gibt die vom Krisenstab festgelegten genauen Anweisungen und Verhaltensregeln sowie Sofort- und weitere Erstmaßnahmen an die einzelnen Funktionsteams weiter. Ein Alarmplan sollte als Mindestgliederung die folgenden Punkte aufweisen:

- die Erstellung eines Evakuierungsplanes für alle Betroffenen unter dem Gesichtspunkt, daß die Rettung von Menschenleben in allen Fällen einen absoluten Vorrang vor der Bergung von Sachwerten hat;

- der Meldeablauf - wer informiert wen - muß präzise eingehalten werden;

- es sind Rettungspläne für Archive und Hardware zu erstellen;

- ein Verzeichnis aller wichtigen Rufnummern der Krisenstabsmitglieder (Telefon, Fax und Telex);

- die exakte Erfassung des eingetretenen Schadens (Schadensbestandsaufnahme).

Der Alarmplan sollte in seiner wesentlichen Grundaussage allen RZ-Mitarbeitern bekannt sein. Er ist also - im Gegensatz zu den Einsatzplänen für die jeweiligen Störfälle und Notsituationen - "öffentlich", was jedoch nicht ausschließt, daß er unter Umständen auch versiegelt aufbewahrt werden kann (zum Beispiel in den Sichtleiterkabinen der Rechenzentren).

Alarmpläne müssen dem diensthabenden Schichtverantwortlichen jederzeit zugänglich sein. Außerdem ist es ratsam, ihr Vorhandensein täglich zu überprüfen.

Verfahrensübersicht ist notwendig

Die Wichtigkeit der im Rechenzentrum abzuwickelnden Verfahren bestimmt Art und Umfang der zu treffenden Maßnahmen im Notfall. Es ist daher für alle produktiven Verfahren eine Verfahrensübersicht zu erstellen, die in Prioritäten eingeteilt wird:

Priorität 1: Verfahren, die zur Erhaltung und Gewährleistung der Funktionsfähigkeit eines Unternehmens zwingend notwendig sind und termingerecht abgewickelt werden müssen.

Priorität 2: Verfahren der Gruppe 1, jedoch nicht zwingend termingebunden.

Priorität 3: Verfahren, auf die im K-Fall kurzfristig und vorübergehend verzichtet werden kann.

Für Entwicklungsprojekte ist von wenigen Ausnahmen abgesehen - diese starre Einteilung nach Prioritäten nicht möglich, da sich diese während der Entwicklungsphase ständig verändern. Dennoch sollten auch hier exakte Aufzeichnungen vorliegen über Aufgabengebiete, Anwenderabteilungen und Ansprechpartner. Im Notfall entscheidet dann der Krisenstab fallweise über eine anteilmäßige Rechnernutzung im Ausweich-RZ. Wichtig ist auch hier, daß für jedes Verfahren (Produktiv-Verfahren und Entwicklungsprojekte) ein kompetenter Ansprechpartner dem Rechenzentrum bekannt sein muß, der sämtliche Gespräche und Verhandlungen über "sein Verfahren" mit dem Rechenzentrum eigenverantwortlich führen kann. Es ist selbstverständlich, daß eine dem aktuellen Ausgabestand im RZ vorhandene Dokumentation zur Abwicklung der Verfahren auch als Duplikat vorhanden sein und jederzeit zur Verfügung stehen muß. Zweckmäßig kann auch die Haltung dieser Einsatzdokumentation bei den verfahrensbetreuenden beziehungsweise pflegenden Stellen in Dateiform sein.

Für den Eintritt einer Notsituation muß eine komplette Übersicht über sämtliche archivierte Datenträger vorliegen. Der Zugriff zu diesen Datenträgern muß jederzeit gewährleistet sein. Zusätzlich wird für den Notfall noch gefordert, daß die Datenträger zu jeder Zeit wiederbeschaft beziehungsweise rekonstruiert werden können. Aus diesem Grunde wird dringend empfohlen: von allen wichtigen Datenträgern.

Sicherungsdatenträger zu erstellen und diese in einem Sicherheitsarchiv (Brandarchiv) auszulagern, das sich zumindest in einem anderen Gebäudekomplex befinden muß.

Das Rechenzentrum stellt für den Notfall sicher, daß alle zum RZ-Notbetrieb erforderlichen Daten und Unterlagen wie

- Betriebssystem-Software (inkl. RZ-eigener Version) und die dazugehörige Dokumentation,

- Anwender-Software und Programmdokumentation und Hantierungsvorschriften,

- alle Arbeitsdaten

schnellstmöglich zur Verfügung stehen beziehungsweise rekonstruiert werden können (Sicherheitsarchiv).

Es sind bereits in "normalen Zeiten" Überlegungen anzustellen, in welchen Ausweich-Rechenzentren die eigenen Arbeiten bei Eintritt von Not-, Stör- und Katastrophenfällen abgewickelt werden können. Es ist ein Partner zu suchen, mit dem unter Umständen Vereinbarungen auf Gegenseitigkeit über die Nutzung beider Anlagen als Ausweichsystem in Notfällen getroffen werden. Dabei sind zu beachten: Standort, Lage und Infrastruktur. Die Hardware im Ausweich-RZ sollte entweder vollkommen (Idealfall) zumindest für die Kernaufgaben identisch sein. Bei Eintritt einer Notsituation muß die Betriebs- und Anwendersoftware beim "anfragenden RZ" in vollem Umfang und zum richtigen Zeitpunkt zur Verfügung stehen, desgleichen genügend und entsprechend geschultes Personal (eigenes Personal, Personal aus dem Ausweich-RZ oder von Zeitarbeitsfirmen). Das Ausweich-RZ stellt die entsprechenden Rechenzeiten zur Verfügung und liefert die dazu notwendigen Betriebsmittel.

Alle Vereinbarungen in schriftlicher Form

Grundsätzlich sollen alle Vereinbarungen, Absprachen und Verträge in schriftlicher Form erfolgen, wobei die Leistungsverpflichtung (Art, Umfang und Zeitdauer), die Kostenverteilung und die Leistungsverrechnung sowie eine eventuell personelle Unterstützung durch das Ausweich-RZ im Detaill zu definieren sind. Die Vereinbarungen sind vertraulich zu behandeln. Als Ausweich-Rechenzentren können auch in Frage kommen:

- Sogenannte "kalte" Rechenzentren, bei denen lediglich eine leere RZ-Fläche mit dazugehöriger Infrastruktur bereitgestellt wird (Klima, Strom, Leitungsanschlüsse etc.). Diese Bereitstellung kann entweder in der eigenen Firma erfolgen oder neuerdings auch durch kommerzielle Anbieter, die damit eine Marktlücke entdeckt haben. Dies ist ohne Zweifel die kostengünstigste Lösung noch dazu, wenn man die leerstehenden Flächen im Normalfall als Lager- oder Bürofläche verwenden kann. Im Backup-Fall allerdings dürften sich für den Entscheider dieser Lösung jedoch erhebliche Schwierigkeiten ergeben, da er ja für die Beschaffung, den Aufbau und die Einschaltung der Ersatzanlagen selbst Sorge zu tragen hat (Zeitverlust).

- Sogenannte "heiße" Rechenzentren, das sind komplett eingerichtete Rechenzentren - eigentlich ein Spiegelbild des eigenen RZ -, die bei Eintritt eines Störfalles binnen weniger Stunden in der Lage sein müssen, die volle Leistungsfähigkeit des gestörten Systems zu erreichen. Diese Art einer "Ersatzanlage mit ihren vielfältigen Vorteilen ist wohl der Wunschtraum vieler RZ-Leiter, sie ist aber auch die mit Abstand teuerste Lösungsform. Sie kann, je nach Größe, pro Monat Millionenhöhe erreichen.

Einen Weg seinen EDV-Kunden Notsituationen in Rechenzentren überbrücken zu helfen, ist das Haus Siemens gegangen. Seit 1985 bietet Siemens bundesweit einen Backup-Service für Kunden an, die mit dem Betriebssystem BS2000 arbeiten. Das Angebot der Siemens AG ist bausteinartig aufgebaut und basiert auf vier Backup-Modulen, beginnend mit einer ZE-Kapazität von 4 Megabyte und einer CPU-Leistung von 1 MIPS (Millionen Instruktionen pro Sekunde) bis zu Zentraleinheiten mit 16 MByte, die zirka 4,5 MIPS verarbeiten können.

Bei einer spezifischen Einzelberatung werden dem Kunden die strategischen Grundzüge "seines Backup-Services" vermittelt, so daß er in der Lage ist, daraufhin die für ihn richtige Wahl zu treffen. Nach Vertragsabschluß mit der Siemens AG wird dem Kunden die Möglichkeit geboten, in einer Notsituation binnen weniger Stunden auf eines in ihrer (Siemens-Zweigniederlassungs-)Nähe vorhandenes Rechenzentrum auszuweichen. Eine Notrufzentrale - sie ist Tag und Nacht besetzt - steht bereit, Alarmmeldungen über Notsituationen entgegenzunehmen und sie sofort zur Ausführung weiterzugeben.

- Transportable, mobile Backup-Rechenzentren, das sind Not-Rechenzentren, die gleichfalls von kommerziellen Anbietern zur Verfügung gestellt werden und (je nach Größe des Systems) binnen weniger Tage aufgebaut sind. Es handelt sich hierbei um kombinierte Container-Hallen-Systeme, Pavillons oder Leichtmetallbauten mit zum Teil vorgefertigten Elementen die in kurzer Zeit die erforderte RZ-Infrastruktur aufweisen (zum Beispiel Doppelboden bis 1000 Kilogramm/Quadratmeter, Klimaleistung für zirka 450 Watt/Quadratmeter, ausreichende Stromversorgung etc.). Solche "Datenhallen" werden in der Größenordnung von 180 Quadratmeter bis etwa 1300 Quadratmeter angeboten.

"Was wäre passiert, wenn..."

Ein erstellter Katastrophenplan muß ausgetestet sein. Tests und Übungen bilden die Grundlage für ein rechtzeitiges Erkennen von Mängeln, Schwachstellen und Fehlern im K-Plan. Dazu empfehlen sich zwei bewährte Arten der Überprüfung: der sogenannte "Schreibtischtest" - stets verbunden mit der rhetorischen Frage "Was wäre passiert, wenn. . ." oder ein Praxistest im Ausweich-RZ. Der Praxistest kann entweder mit "Spiel"- oder auch mit echten Daten ablaufen, er bedarf aber in jedem Falle einer sorgfältigen, organisatorischen Vorbereitung. Rechenzentren, die bereits einen derartigen Test hinter sich haben, oder solche, die sich gerade mit diesem - bislang jahrelang vor sich hergeschobenen - Problem befassen müssen, werden dies bestätigen. Es ist aber unabdingbar, daß derartige Übungen und Testläufe zumindest einmal nach der Fertigstellung des gesamten K-Planes durchgeführt werden. Aus dem Resultat der Prüfung ("Manöverkritik) sind dann anhand eingehender Analysen die neuesten Erkenntnisse zu ziehen. Sie laufen später als Pluspunkte wieder in den modifizierten K-Plan ein (das heißt Verbesserung der Alarm- und Einsatzpläne).

In Anbetracht der Wichtigkeit und der Sicherheit ist es unbedingt erforderlich, daß der gesamte Themenkomplex "RZ-Notbetrieb" von zentraler Stelle aus gesteuert und betreut wird (RZ-/DV/Org.-Leitung). Zur Pflege und Änderung der RZ-Notbetriebsordnung, ist ein Pflegeverantwortlicher zu benennen. Zu seinen Aufgaben gehört es, dieses Werk ständig auf dem neuesten Stand zu halten. Sinnvoll ist dabei eine "Lose-Blatt-Form" zum Austauschen, Neuaufnehmen und Entfernen einzelner Blätter.

Die mißbräuchliche Nutzung beziehungsweise der unerlaubte Besitz einer kompletten RZ-Notbetriebsordnung (mit seinen sämtlichen Abwehr-, Vorsorge- und Verhaltensmaßnahmen für die einzelnen K-Fälle) kann - in "falschen Händen" - dem Rechenzentrum erheblichen Schaden zufügen. Dies kann durch organisatorische Vorkehrungen vermieden oder zumindest eingeengt werden. Aus diesem Grunde darf der gesamte Katastrophenplan nur an einen vorher sorgfältig ausgewählten Verteilerkreis ausgehändigt werden, wie zum Beispiel dem Vorgesetzten des RZ-Leiters, dem RZ-Leiter und den Mitgliedern des Krisenstabes. Die K-Plan-Exemplare müssen fortlaufend numeriert sein (Übersicht und Kontrolle). Eine zweifache Verteilung für Büro und Privatwohnung ist sinnvoll, falls ein K-Plan im Betrieb einmal im entscheidenden Moment "nicht auffindbar" ist. Teile und Auszüge des K-Planes sollten nur diejenigen Mitarbeiter bekommen, für die sie gezielt bestimmt sind.

Sicherheitsbewußtsein durch ständige Motivation

Das Sicherheitsbewußtsein in den Rechenzentren muß in den kommenden Jahren bedeutend ausgeprägter werden. Es muß verbunden sein mit einer ständigen Motivation durch die Vorgesetzten, dahingehend, daß auch kleine Vorsorgemaßnahmen zum Schutz des Rechenzentrums besser sind als gar keine.

Eine entsprechende Schulung, vor allem der jüngeren DV-Generation, sollte dies unterstreichen. Uneinsichtige Programmierer, die nach jahrelanger DV-Anwendung immer noch kein Password verwenden, weil sie es "sowieso immer wieder vergessen", sollten dahingehend belehrt werden, daß sie mit ihrer persönlichen negativen Einstellung nicht nur die Sicherheit ihrer "eigenen" Programme, sondern auch die Gesamtsicherheit ihrer Auftraggeber untergraben und gefährden. Diese Uneinsichtigkeit kann sich heute kein seriöser DV-Betreiber mehr leistender für seine personenbezogenen Daten dem Bundesdatenschutzgesetz gegenüber geradestehen und verantwortlich zeichnen muß. Man möge hier dem Autor ein deutliches Wort gestatten: Oben beschriebene Mitarbeiter passen einfach nicht mehr in die heutige DV-Landschaft.

Je ausgeprägter das Sicherheitsbewußtsein der einzelnen Mitarbeiter ist, desto eher werden auch die entsprechenden Richtlinien für die Sicherheit in Rechenzentren befolgt und eingehalten - auch das hat die jahrelange Praxis bestätigt. Das Sicherheitskonzept eines Rechenzentrums wird einfach sicherer und lückenloser, wenn die RZ-Mitarbeiter sich mit diesen Problemen identifizieren und für eine permanente Verbesserung sorgen.

Zusammenfassend kann gesagt werden:

Spätestens bei Eintritt einer Notsituation beziehungsweise einer Katastrophe bekommen die Verantwortlichen (RZ-/DV- und/oder -Org.-Leiter) die Quittung dafür, wie gut und wie effizient sie ihre RZ-Notbetriebsordnung aufgebaut (und ausgesteuert) haben.

Eine gute RZ-Notbetriebsordnung kann demnach also sehr wohl imstande sein, Notfällen bis hin zur Katastrophe wirkungsvoll zu begegnen und sie abzuwehren.