Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

28.10.1983

MAN-Anschlag: Bombe sitzt DV-Verantwortlichen im Nacken

28.10.1983

Aus ihrem Dornröschenschlaf schreckte viele DV-Verantwortliche der Bombenanschlag auf das Rechenzentrum von MAN in Gustavsburg. Hatten sie bisher in puncto Sicherungsmaßnahmen Vogel-Strauß-Politik betrieben, mußten sie nun erkennen, daß potentielle Attentäter genau wissen, wie man ein Unternehmen am empfindlichsten trifft. Deshalb bereut so mancher Manager die frühere Profilierungsdenke seines Hauses: Das Rechenzentrum liegt nämlich noch immer für jeden sichtbar im Erdgeschoß und bietet damit eine gute Angriffsfläche für terroristische Attacken. Mit einem klaren Nein beantworten - nicht nur in diesen Fällen - Sicherheitsberater denn auch die Frage, ob es einen umfassenden Schutz vor Anschlägen gibt. Lediglich erschweren kann man Bombenlegern die Arbeit. ih

Rüdiger Dierstein

Abteilungsleiter Zentrale Datenverarbeitung der DFVLR, Oberpfaffenhofen

Eigentlich sollten Rechenzentren von vornherein so angelegt werden, daß man nicht ohne sonderliche Anstrengung von vorbeifahrenden Fahrzeugen aus Steine, Stinkbomben oder gar Mollys in die Fenster werfen kann. Wenn aber die Lage an einer Straße schon nicht vermieden werden konnte, dann wenigstens sollte die Straßenfront fensterlos sein und zusätzlich durch Mauer oder Erdwall gegen direkte Einwirkung abgeschirmt werden. Rechenzentren sind nun einmal keine Wintergärten und schon gar keine Sonnenterrassen. Manche Architekten und Bauherrn scheinen das immer wieder zu vergessen.

Der Anschlag auf MAN löst bei uns weder Furcht noch Überraschung aus, er beschleunigt höchstens die Arbeiten an den Sicherungen, die schon lange vorher eingeleitet worden waren. Das kann nichts schaden. Der Anschlag zeigt nur erneut, daß man es Gewalttätern nicht zu leicht machen darf, aus welchen Motiven heraus sie auch immer handeln mögen. Wir meinen, daß bauliche Sicherungen in jedem Fall notwendig sind, gang unabhängig davon, ob in einem Rechenzentrum tatsächlich "vernichtungswürdige" Aufgaben bearbeitet werden oder nicht. Denn diejenigen, die "schnell mal" eine Bombe werfen oder durch die Fenster in den Maschinenraum schießen, weil sie gehört haben, dort würden militaristische oder andere schlimme Dinge gefördert, fragen nicht lange, ob dieses Gerücht auch wirklich stimmt.

Eine bepflanzte, wenig auffällige Erdaufschüttung ist besser als eine stacheldrahtbewehrte Betonmauere die geradezu darauf hinweist, daß hinter ihr etwas verborgen ist, auf das zu werfen oder zu schießen sich lohnt. Beide helfen aber nur gegen rasche Chaoten. Wo Sabotage gezielt und durchdacht vorbereitet wird, werden Attentäter immer Wege finden, Mauern oder Erdwälle zu umgehen. Gegen subtile Angriffe helfen - wenn überhaupt - auch nur subtile Sicherungen. Eine der wichtigsten Sicherungsmaßnahmen ist und bleibt eine zuverlässige Zugangskontrolle. Zuverlässig heißt in diesem Fall: Die "Schlüssel" zur Kontrollzone müssen fälschungssicher sein; dazu werden heute auf dem Markt einige gute Ausweislesesysteme angeboten. Und bei Verdacht auf Mißbrauch, also unbefugten Zutritt, muß im Nachhinein kontrolliert werden können, ob der Verdacht zu Recht bestand. Das aber heißt, daß in einem Rechenzentrum nur solche Systeme für die Zugangskontrollen sinnvoll sind, die eine laufende Protokollierung gestatten.

An dieser Stelle beginnen die Dinge leider fatal zu werden; denn nach einem bekannten Kasseler Urteil müssen solche protokollierenden Systeme mit den Betriebsräten abgestimmt werden. Weil es aber keine Mustervereinbarung gibt, in der die zweckgebundene Nutzung solcher Kontrollsysteme geregelt ist, muß jedes Rechenzentrum auf seine Weise versuchen, wie es mit der Zugangskontrolle zurechtkommt. Ein mißlicher Zustand, dem die Betroffenen - Rechenzentren, Unternehmensleitungen und Arbeitnehmervertreter - so schnell wie möglich ein rühmliches Ende bereiten sollten.

Rainer von zur Mühlen

Geschäftsführer der von zur Mühlen'schen Sicherheitsberatungs GmbH, Bonn

Das Interesse an Sicherheitsfragen wird durch terroristische Anschläge selbstverständlich beeinflußt. Der Anschlag auf MAN in Gustavsburg hat bei uns ein signifikantes Ansteigen des Interesses deutlich werden lassen, und zwar über das in der letzten Zeit ohnehin angestiegene Interesse hinaus. Gustavsburg ist ja nur ein vorläufiger Höhepunkt in einer ganzen Reihe von Anschlägen der letzten Monate. Anschläge, die in der Öffentlichkeit gar nicht so bekannt wurden, die sich aber doch in Fachkreisen herumsprechen. Ein Beispiel: Es ist nicht lange her, daß in Göttingen ein Sprengstoffanschlag auf ein Rechenzentrum verübt wurde. In den Zeitungen wurde dieser mit einem Acht- oder Zehn-Zeiler abgehandelt.

Einige Brandanschläge auf Rechenzentren, bei denen der Schaden klein gehalten wurden kamen gar nicht in die Presse oder nur in die Lokalzeitung. Aber die DV-Leiter haben da von erfahren, denn die Betroffenen sind ja Kollegen, mit denen man auch im Erfahrungsaustausch steht. Hinzu kommt, daß in einigen Fällen weitaus weniger spektakulärer EDV-Schäden RZ-Leiter abgelöst wurden, weil sie nach Ansicht ihrer hohen Chefs die Notwendigkeit von Sicherungsmaßnahmen nicht erkannt hatten und zum Beispiel organisatorische Mängel in der Datensicherung in einem Brandfall zu erheblichen Störungen in der Produktion geführt hatten. Auch das spricht sich rum, und hier entwickelt sich durchaus ein Eigeninteresse, daß die Verantwortlichen sich selbst auch absichern wollen, indem sie entsprechende Sicherheitsmaßnahmen für das Rechenzentrum im Rahmen des Angemessenen und Notwendigen in die Wege leiten.

Die Frage, ob es einen umfassenden Schutz vor einem Anschlag in der Art von Gustavsburg gibt, kann man nur mit Nein beantworten. Aber es gibt die Möglichkeiten, dem potentiellen Täter die Arbeit so zu erschweren, daß er sein Ziel, die Paralysierung des Betriebes, nicht erreichen kann.

Die Sicherheitsmaßnahmen fangen bei der Wahl des Standortes an. Gehen wir nicht einmal so sehr von dem Standort des Rechenzentrums selbst aus. Dieser ist in der Regel nur bei Neubauten zu korrigieren. wobei es heute selbstverständlich ist, nach Möglichkeit nicht mehr in die Innenstadtlage zu ebener Erde, mit Fenster zur Straße Rechenzentren zu bauen. Dieser Exhibitionismus war in den sechziger Jahren üblich, wo jeder sein Rechenzentrum zeigen wollte. Wichtig und in vielen Fällen auch bei bestehenden Objekten zumindest mittelfristig korrigierbar sind die innerbetrieblichen Standorte.

Um hier einen Problemkreis besonders anzusprechen: die Datenträgerarchive und die Festplatten, also die externen Speicher der Datenverarbeitung. Wer ein Datenträgerarchiv und/oder seine Festplattenstränge im Außenbereich ansiedelt oder angesiedelt läßt, darf sich nicht wundern, wenn etwas passiert. So leicht darf man es einem Anschlagtäter nicht machen! Und auch das nachträgliche Anbringen von sogenannten Panzergläsern ist in gewisser Weise nur ein Kurieren am Symptom, ohne den eigentlichen Sicherungsbedarf voll zu berücksichtigen. Nichts gegen durchbruchhemmende Verglasung. Auch wir halten sie für außerordentlich wichtig und nützlich. Der Fall MAN zeigt auch, daß die Dickverglasung aller Voraussicht nach Schlimmeres verhütet hat. Datenträger gehören aber nicht in den Außenbereich, sondern in einen möglichst für Dritte nicht einsehbaren Bereich. Sie sollten darüber hinaus durch brandschutztechnische Maßnahmen so gesichert werden, daß Einwirkungen von außen, durch Brandstiftung oder Sprengstoffanschlag mit anschließendem Brand, kein größerer Schaden entstehen kann.

Zur Standordproblematik gehört es ferner, so weit wie möglich bedienungsbedürftige von nicht bedienungsbedürftigen Anlagen zu trennen und durch das Schaffen gesicherter Bereiche die Einwirkungsmöglichkeiten Unbefugter erheblich einzuschränken.

Die Sicherung gegen Sprengstoffanschläge darf aber nicht nur diese Problemkreise berühren. Auch die Wahl der Baumaterialien, der Art der Verglasung, der Ausbaustoffe, die Wahl der Einrichtungsgegenstände und des Schallschutzes spielen eine große Rolle. Wenn man hier Fehler vermeidet, verringert man Schadensfolgewirkungen.

Wichtig ist auch die Überwachungstechnik. So manches Rechenzentrum wurde von Büroeinbrechern heimgesucht, die dann als Vandalen hausten, Platten und Bänder zerstörten oder gar Feuer legten.

Auch bei den Brandmeldeanlagen herrscht Dilettantismus vor. Es ist beispielsweise eine Tatsache, daß etwa 90 Prozent der Brandschäden in Rechenzentren Sekundärschäden sind, also aus dem Umfeld stammen, und nur etwa zehn Prozent der Schäden originär aus dem Rechenzentrum heraus entwickelt sind. Brandmeldeanlagen finden Sie aber überwiegend nur im Maschinensaalbereich und vielleicht noch in der Arbeitsvorbereitung und im Datenträgerarchiv. Die angrenzenden Bürobereiche, oftmals sogar die angrenzenden Lagerbereiche, werden nicht mit überwacht. Bei dem Verhältnis neun zu eins wäre es sinnvoller, im Rechenzentrum die Anlage zu sparen und nur im Umfeld zu installieren.

Die Verwundbarkeit der Datenverarbeitung liegt aber nicht nur im EDV-Bereich selbst, sondern auch bei der technischen Infrastruktur. Ich kann verstehen, daß so mancher Rechenzentrumsleiter graue Haare bekommt, wenn er feststellt, daß seine TP-Anwendungen praktisch ungeschützt sind. Sie laufen nämlich in der Regel über den Fernsprechgestellraum. Der Fernsprechgestellraum eines Verwaltungsgebäudes soll zwar offiziell als Technikraum unter Verschluß gehalten werden, wie oft findet man ihn aber unverschlossen vor.

Bei der Sicherung von Rechenzentren berücksichtigt man auch oftmals mehr den physischen Schutz und verläßt sich auf seine Wirkung. Es nutzt aber gar nichts, das Rechenzentrum physisch zu schützen, wenn man nicht auch Vorsorge für das "Danach" trifft. Eine Wiederanlaufplanung in Verbindung mit einer qualifizierten Datensicherungs- und -auslagerungskonzeption sind heute unerläßlich. Ohne zeitnahe Auslagerung von Sicherungskopien in andere Brandabschnitte oder gar andere Gebäudeteile ist im Falle eines wirksam durchgeführten Sprengstoffanschlages die Rekonstruktion von Daten nicht oder zumindest nicht zeitnah möglich. Wenn man sich manchmal solche Planungen anschaut oder gar die Mühe macht, sie zu testen, so wird die Verwundbarkeit erst richtig deutlich.

Hermann Josef Noss

Direktor Betriebsorganisation und Datenverarbeitung, Gerling Konzern, Köln

Der Anschlag auf das MAN-Rechenzentrum mit einem Schaden, der in die Millionen ging und leicht noch höher hätte ausfallen können, verdeutlicht die vitale Bedeutung, die ein Unternehmen der Sicherheit seines Rechenzentrums (RZ) und seiner Datenbestände entgegenbringen muß. Jedoch in Anbetracht der hohen Kosten, die ein optimaler Schutz eines RZ mit sich bringt, ist die Versuchung groß, die Möglichkeit eines vergleichbaren Vorfalls für das eigene Haus ad absurdum zu führen. "Kracht" es dann doch einmal, sind die Folgen ungleich fataler.

Die Gesamtsicherheitsstrategie eines "vorbereiteten" Unternehmens umfaßt deshalb die Durchführung der Maßnahmen, die den Eintritt eines Katastrophenfalles - aus welchen Gründen auch immer - so schwer (unwahrscheinlich) wie möglich machen sowie die Planung der Maßnahmen, die nach Eintritt eines solchen Ereignisses eine schnelle und gezielte Wiederherstellung des Normalbetriebes sicherstellen.

Um die Wahrscheinlichkeit eines Katastrophenfalls zu minimieren, lassen sich beispielsweise folgende vorbeugende Maßnahmen anführen:

- Jegliches Profilierungsdenken wird, was das RZ eines Unternehmens angeht, aufgegeben. Ein RZ gehört nicht in das Erdgeschoß, möglichst noch für jeden Passanten sichtbar, sondern in nicht von außen einsehbare Gebäudeteile. Besser noch wäre ein eigenes errichtetes, fensterloses Betongebäude.

- Tag und Nacht wird das RZ-Gebäude durch Kameras überwacht.

- Bei Feuer, Glasbruch und Wassereinbruch werden Alarmmeldungen automatisch ausgelöst.

- Die Personenkontrolle wird durch ein leistungsfähiges (rechnergesteuertes) Zugangskontrollsystem unterstützt. Nur befugte Mitarbeiter haben mit einem möglichst fälschungssicheren Ausweis Zutritt zum RZ.

- Das Personal des RZ wird zur Einhaltung der besonderen Sicherheitsbedingungen hingewiesen/geschult und motiviert.

- Alle Sicherheitsmaßnahmen müssen in unregelmäßigen Abständen auf ihre Einhaltung, Wirksamkeit und Verbesserung geprüft werden.

Neben solchen Maßnahmen, die das Ereignis an sich verhindern sollen, werden im erweiterten vorbeugenden Bereich auch Maßnahmen ergriffen, die nach Katastropheneintritt die Basis für die Wiederherstellungsaktivitäten darstellen. Aus diesem Maßnahmenspektrum sind zu nennen: Die Einrichtung und Bewirtschaftung von ausgelagerten Sicherheitsarchiven für Dateien und Programme und Prüfung und gegebenenfalls Realisierung eines "Back-up"-RZ. Drei Varianten sind denkbar:

- Ausweichraum

("Empty-Shelf"-Lösung)

Hierbei handelt es sich um die ständige Bereitstellung eines leeren Raumes, der über eine erforderliche Infrastruktur verfügt. Unter ökonomischen Aspekten wäre es ratsam, eine solche Räumlichkeit mit mehreren Benutzern zu mieten. Hierbei sind die Wahl des Herstellers und die benötigte Kapazität frei gestaltbar. Nachteil dieser Alternative ist jedoch, daß die Beschaffung der Hardware einen gewissen Zeitaufwand mit sich bringt. Ratsam ist, daß jeder Benutzer für sich mit Herstellern Verträge über die Lieferung von Hard- und Software für den Katastrophenfall abschließt.

- "Kaltes RZ"

Hierbei handelt es sich um ein vollständig eingerichtetes RZ, wobei, unterstellt man mehrere Benutzer, die Rechnerkapazität an die Anforderungen des größten Nutzers anzugleichen ist. Zudem ist die Entscheidung für einen Hersteller für alle zwingend. Den insgesamt höheren Kosten gegenüber der ersten Alternative steht eine schnellere Verfügbarkeit des RZ gegenüber.

- "Warmes RZ"

("Hot-Stand-By"-RZ)

Ein "warmes RZ" ist im Gegensatz zum "kalten RZ" ständig im Betrieb. So etwa zu Testzwecken, zur Abarbeitung von Arbeitsspitzen oder als Service-RZ. Trotz der Attraktivität dieser Variante sollte man bedenken, daß eine vertragliche Vereinbarung mit mehreren Benutzern sich als schwierig erweisen dürfte.

Für den Katastrophenfall wurde ein Sicherheitshandbuch angefertigt, in dem möglichst alle Varianten einer Zerstörung beschrieben sind. Inhalt eines derartigen Handbuchs sind Verhaltensmaßregeln für die entsprechenden Mitarbeiter zur Eindämmung des Schadens und die Maßnahmen, die zur Wiederherstellung des Normalbetriebes durchzufahren sind. Folgenden Aufbau kann ein solches Handbuch haben:

- Sicherheitsforderungen

- Spezifikation des "Angriffs"

- Maßnahmen

Zur Bewältigung der außerordentlichen Situation wird ein Krisenstab tätig, der mit entsprechenden Befugnissen ausgestattet den gesamten notwendigen Maßnahmenkatalog des Sicherheitshandbuches, und wenn erforderlich darüber hinaus, realisiert. Ungeplante und unplanbare Ereignisse werden nicht selten diesen generalstabsmäßig geplanten Ablauf behindern, so daß an die Flexibilität und Situationseinschätzung des Krisenstabes hohe Anforderungen gestellt werden. Es wird sich deshalb empfehlen, den Ernstfall zu trainieren.

Um die Möglichkeit des Ernstfalles zu minimieren, sollte es selbstverständlich sein, natürlich unter Beachtung der wirtschaftlichen Zweckmäßigkeit, auf die vorbeugenden Maßnahmen besonderen Wert zu legen. Eine Zerstörung des RZ wird sich immer als Rückschlag für ein Unternehmen erweisen. Ohne funktionierendes RZ ist ein Großunternehmen heute nicht lebensfähig; daher ist es auch wesentlich, den für das RZ verantwortlichen Bereich "Organisation und Datenverarbeitung" seinem Stellenwert entsprechend in der Unternehmensleitung zu repräsentieren.