Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

28.06.1985 - 

Risikoanalyse im und um das Rechenzentrum herum:

Sicherheit: Mal vernachlässigt-mal übertrieben

Mal werden sie vernachlässigt, mal übertrieben, die Maßnahmen zur Sicherheit des Rechenzentrums. Wie in allen komplexen Systemen, können Schäden und erst recht Folgeschäden erst dann bewertet werden, wenn sie entstanden sind. Manche Schäden bleiben sogar unentdeckt. Hier rechtzeitig das richtige Maß an Vorsorge zu treffen ist schwer, aber Risikoanalysen können immerhin Leitlinien und Anhaltspunkte schaffen. Sicherheit ist ein permanentes Thema im und um das Rechenzentrum herum. Hier eine kurze Abhandlung, die sich an den Erfahrungen innerhalb der Siemens AG orientiert, die die wesentlichen Schwachstellen und Risiken aufzeigt und Hilfestellung in Sachen individuelle Checkliste gibt.

Teile und kontrolliere, könnte eine erste Empfehlung sein; konkret bedeutet dies, man sollte den mit Sicherheit befaßten Kreis der Mitarbeiter nicht zu groß werden lassen, ferner sollte man das Thema in klar voneinander abgrenzbare Module gliedern. Auch innerhalb dieser Module können Gliederungen für weitere Klarheit und Kontrollierbarkeit sorgen.

Diese Vorgehensweise erleichtert auch die Bewertung der Risiken, deren Darstellung und damit die Entscheidung über eventuelle Maßnahmen.

Bei der Modulbildung sind Schwerpunkte zu berücksichtigen und die Zuständigkeiten für die verschiedenen Teilbereiche der Sicherheit klar zu definieren. Gelingt dies nicht, so können Risiken durch Verantwortungslücken entstehen. Nur bei Berücksichtigung der genannten Voraussetzung können Arbeitsgruppen mit den erforderlichen Spezialisten besetzt werden und mit entsprechend gutem Wirkungsgrad arbeiten.

Überzogene Maßnahmen sind vorprogrammiert

Sicherheitsrelevante Themen werden nicht immer vernachlässigt, auch das Gegenteil ist zu beobachten: Sicherheitsprobleme werden dem EDV-Einsatz zugeordnet, obwohl ihre Ursachen ganz woanders liegen, das heißt ohne EDV-Einsatz auch, unter Umständen sogar in noch größerem Umfang auftreten würden. Dadurch sind überzogene Maßnahmen vorprogrammiert. Die Mißverständnisse können schon bei der Formulierung der Aufgabe beginnen. Eine Risikoanalyse der "xy-Abwicklung" kann unter Umständen eher zum Ziel führen, als bei Verwendung von EDV-Schlagwörtern in Aufgabenstellung (zum Beispiel EDV-Manipulation bei der "xy-Abwicklung"). Schäden können also auch verursacht werden, wenn infolge einer falschen Risikoeinschätzung Geld für Analysen, Studien oder Maßnahmen an der falschen Stelle ausgegeben wird. Bedauerlicherweise wird auch von als seriös geltenden Quellen die Angst vor dem Risiko geschürt, wenn mit veralteten, nicht vergleichbaren und trotzdem auf dieser Basis hochgerechneten Zahlen vor potentiellen Schäden gewarnt wird.

Es ist daher erforderlich, daß alle mit der Sicherheit des Rechenzentrumsbetriebes befaßten Personen über EDV-Wissen nach dem aktuellen Stand der Technik verfügen müssen. Das Thema "Sicherheit" darf nicht zur lästigen Pflichtübung werden, eine aktive, vor allem aber eine kreative Auseinandersetzung mit dem Thema ist erforderlich!

Zur Gliederung in überschaubare und definierbare Teilthemen kann folgende Einteilung empfohlen werden:

- Betriebssicherheit,

- Datenschutz,

- Höhere Gewalt,

- Vorsätzliches Eindringen,

- Katastrophenvorsorge und Notbetrieb.

Betrachtet man die systematische Vorgehensweise und eine ständige

Auseinandersetzung mit dem Thema Sicherheit als Voraussetzung für effiziente Maßnahmen, so ist dies bereits die erste Maßnahme.

Bevor auf die einzelnen Teilthemen eingegangen wird, soll auf ein weiteres organisatorisches Problem hingewiesen werden: Die ständige Arbeit an der Sicherheit des Rechenzentrumsbetriebes hinterläßt Spuren in Form von diversen Dokumentationen. Fast jede Beschreibung von Risiken, Vorkommnissen und Maßnahmen kann aber auch als Anleitung zum Mißbrauch dienen. Die Dokumentation sollte daher vertraulich mit kleinstmöglichem Verteiler erstellt werden. Dies gilt besonders für die Sicherheits- und Katastrophenpläne der Rechenzentren (* 1).

Beratungen sollten nicht pauschal, sondern individuell in kleinem Kreis und mündlich, vor allem aber in den oben empfohlenen Zeitabständen durchgeführt werden. Ein zum Thema "Sicherheit" Vortragender wird daher auch die zu verteilenden Unterlagen auf ein Minimum beschränken und nicht auf Maßnahmen im einzelnen eingehen.

Betriebssicherheit

Die Maßnahmen zur ordnungsgemäßen Instandhaltung der Datenverarbeitungsanlagen und der technischen Anlagen im Bereich der Rechenzentrums-Infrastruktur werden normalerweise nicht als Sicherheitsmaßnahmen betrachtet. Sie werden, ebenso wie die Maßnahmen zur Reduzierung der störungsbedingten Ausfallzeiten, eher den qualitätssichernden Maßnahmen zugeordnet.

Betriebsstörungen können aber unter ungünstigen Umständen zu ähnlichen Konsequenzen führen, wie ein Sabotageakt. Stellt sich zum Beispiel bei einer Störung an der Klimaanlage heraus, daß ein wichtiges Ersatzteil nicht verfügbar ist, so kann auch diese Situation einen Notbetrieb erforderlich machen.

Im Rahmen der Risikoanalysen muß daher auch die Verfügbarkeit von Ersatzteilen im Bereich der Gebäudetechnik sichergestellt werden. Bei größeren Standorten beziehungsweise bei Mietobjekten werden diese Präventivmaßnahmen auch deshalb vergessen, weil die Zuständigkeiten außerhalb des Rechenzentrums liegen beziehungsweise den Rechenzentren nicht in allen Details bekannt sind.

Datenschutz

Der Begriff Datenschutz sollte im Sinne des Datenschutzgesetzes interpretiert und nicht mit dem allgemeinen Problem der Datensicherheit

verwechselt werden. Zuständigkeiten, Maßnahmen und so weiter werden im Datenschutzgesetz geregelt und vom Datenschutzbeauftragten verantwortet. Auf Maßnahmen wird daher hier nicht weiter eingegangen. Es ist unter Umständen sinnvoll, dem Datenschutzbeauftragten auch weitere Aufgabenkomplexe aus dem Bereich Sicherheit zuzuordnen. Wir stellen häufig fest, daß unter dem Begriff Datenschutz ganz allgemeine organisatorische Probleme diskutiert werden. Dies zu erkennen, ist wichtig, damit den Risiken nicht überzogen oder mit den falschen Mitteln begegnet wird.

Höhere Gewalt

Die Risiken im Bereich der sogenannten "höheren Gewalt" müssen vor allem vor der Errichtung eines Rechenzentrums (*4) untersucht werden, weil diesen Risiken in erster Linie durch bauliche Maßnahmen und technische Installationen begegnet wird. Auf eine detaillierte Auflistung der Risiken kann hier verzichtet werden. Man bedient sich sogenannter Checklisten (*2) und greift auf Statistiken zurück, die Aufschluß über Häufigkeit und Umfang bereits eingetretener Schäden geben (Wetteramt, Versicherer, Behörden, Energieversorger etc.). Die für bestimmte Ereignisse zuständigen Stellen sind auch in der Lage, Prognosen zu stellen.

Eine aktuelle Risikoanalyse wird meistens dann neu erstellt, wenn Schäden durch höhere Gewalt bekannt geworden sind.

Vorsätzliches Eindringen

Vorsätzliches Eindringen ist durch Mitarbeiter (Insiderdelikte) und externe Personen, beziehungsweise durch das Zusammenwirken beider möglich. Den sogenannten Insiderdelikten ist schwerer vorzubeugen, weil die Mitarbeiter viele Sicherheitsschwellen legal überschreiten. Dabei ist zu beachten, daß sich Frustrationen vorzugsweise im Bereich des Rechnereinsatzes entladen, auch wenn die Ursachen woanders liegen. Sicherheitsanalysen in diesem Bereich sollten in regelmäßigen Abständen (zirka 1 bis 2 Jahre) durchgeführt werden. Es hat sich als zweckmäßig erwiesen, dabei die Themen "materielles" und "immaterielles" Eindringen klar voneinander abzugrenzen.

Materielles Eindringen

Dieses Thema wird, ebenso wie das der "höheren Gewalt", von den zuständigen Fachleuten beherrscht. Auch hier wird die Risikoanalyse anhand einer "Checkliste" (*2) durchgeführt. Das Studium der einschlägigen Fachliteratur und die Analyse aller Ereignisse im eigenen Verantwortungsbereich liefern Erkenntnisse zum Aktualisieren der Dokumentation. Stichproben zur Überwachung der Funktionstüchtigkeit technischer Einrichtungen und der Einhaltung von Vorschriften sind unerläßlich, die Durchführung von Übungen wird empfohlen. Vorhandene Rechenzentren sollten, sofern ein Umbau möglich ist, in zwei Zonen geteilt werden: Eine Sicherheitszone mit Zentraleinheiten, Steuerungen, Plattenspeichern und so weiter und einen Bereich mit zu bedienenden Geräten. Werkzeuge für die System(fern)bedienung stehen zur Verfügung. Rechenzentrums-Neubauten sollten konsequent nach diesem Schema errichtet werden. Ein Maschinenbunker mit dezentralisierten und funktional gegliederten Bedienbereichen. Der Einsatz von Glasfaserkabeln bietet hier interessante Möglichkeiten.

Datenleitungen und andere Kabel außerhalb der Sicherheitszonen dürfen nicht zur Achillesferse werden. Auch sie müssen gegen unbefugten Zugriff geschätzt werden. Außerhalb des eigenen Geländes ist eine Einflußnahme jedoch kaum möglich. Diese Probleme sind jedoch für die Nachrichtentechnik nicht neu: Leitungen und ganz besonders drahtlose Übertragungswege werden seit Jahrzehnten abgehört, die Mittel dagegen sind seit Jahrzehnten bekannt. Das Anzapfen von modernen Datenleitungen ist vergleichsweise aufwendiger, die dem Nachrichtentechniker bekannten Abwehrmethoden werden nur wenig benutzt.

Immaterielles Eindringen

Es handelt sich hier um einen relativ neuen Problemkreis. Durch immaterielles Eindringen kann Rechenzeitnahme, Entwendung, Zerstörung von - beziehungsweise Manipulation an - Programmen und Daten oder Störung des Betriebsablauf es erfolgen, Unsicherheit bei den Verantwortlichen, Unkenntnis der geeigneten Maßnahmen beim Rechenzentrumspersonal, mangelndes Problembewußtsein aller Beteiligten und übertriebene Darstellung in den Medien und schließlich auch bewußt überzogene Darstellung erschweren die Auseinandersetzung mit diesem Thema.

Die Erfahrung im Umgang mit diesen Problemen ist noch gering, weil nur wenige Fälle bekannt werden. Daher muß besonderer Wert auf die Durchführung von Stichproben gelegt werden. Nur durch die aktive Auseinandersetzung mit diesem Thema können Risiken erkannt und durch geeignete Maßnahmen beseitigt werden. Es handelt sich in den meisten Fällen um organisatorische Maßnahmen. Aufgrund der eingangs erwähnten Risiken und des Zusammenhangs mit betrieblichen Abläufen werden die Erkenntnisse und Maßnahmen auf diesem Sektor im allgemeinen nicht veröffentlicht.

Das Sicherheitsrisiko wird vor allem durch das fachliche Niveau der potentiellen Täter bestimmt (Anwender, Programmierer, Systemspezialist).

Auch wir haben in unseren Rechenzentren Schwachstellen gefunden, die ein Eindringen in Rechensysteme ermöglichten. In fast allen Fällen handelte es sich um organisatorische Mängel, das heißt Nichtanwendung bestehender Regeln und vorhandener Werkzeuge im Rechenzentrumsbetrieb, bei der Verfahrensabwicklung oder bei der Erstellung von Anwenderprogrammen und Prozeduren. Am häufigsten treten diese Sicherheitslücken im "Verantwortungsdreieck" Rechenzentrumsbetrieb - Arbeitsvorbereitung - und Verfahrensentwicklung/-betreuung auf. Sie können aber auch durch Fehler im Anwenderprogramm entstehen. Daher muß jede Einführungsphase neuer DV-Anwendungen auch von einer Sicherheitsanalyse begleitet werden. Der Einsatz von Prüfsoftware soll aber nicht auf diesen Zeitraum beschränkt bleiben.

Das Problem kann auch wie folgt beschrieben werden: Die mit dem DVA-Einsatz befaßten Personen wissen heute sehr wohl, daß ihre Daten in einem Tresor gespeichert sind, sie haben nur noch nicht gelernt, mit den Schlüsseln umzugehen.

Checkliste

Unsere Checkliste, die wir laufend aktualisieren und mit unseren Rechenzentrumsleitern durchsprechen, umfaßt zur Zeit zirka 50 Punkte. Wie bereits unter Abschnitt 1 ausgeführt, muß es sich dabei um einen vertraulichen (weil auch unternehmensspezifischen) Katalog handeln.

Zusammenfassend können die wesentlichen Aspekte und Erfahrungen aus diesem Problemfeld wie folgt dargestellt werden:

- Die für diesen Bereich der Sicherheit zuständigen Personen können in manchen Fällen erst dann von der Notwendigkeit der Maßnahmen überzeugt werden, wenn man ihnen Daten aus besonders schutzwürdigen Daten oder auch die verwendeten Paßwörter schwarz auf weiß auf den Tisch legt. Die mit der Sicherheitsverantwortung betrauten (Revisoren, DV-Organisatoren, gegebenenfalls auch Datenschutzbeauftragten) müssen über das erforderliche Wissen verfügen, um diese Sicherheitslücken aufdecken zu können.

- EDV-Listen dürfen nicht in normalen Abfallbehältern liegen, eine organisatorische Regelung ist erforderlich. Die Listen (Deckblätter) dürfen keine Informationen enthalten die dem unbefugten Leser das Eindringen in das System erleichtern.

- Die Verwendung mehrstelliger Paßwörter für den DVA-Zugriff und für Dateien muß zwingend vorgeschrieben werden. Namen, Organisationsbezeichnungen sollten nicht benutzt werden, Mehrfachverwendung der gleichen Wörter darf nicht erfolgen. Ebenso leichtsinnig ist die Verwendung von Begriffen, die besonders dem Systemkenner Aufschluß über den Dateiinhalt geben können.

- Paßwörter und Kennungen sollten in angemessenen Abständen geändert werden.

- Die Handhabung der Kennungen und Paßwörter darf nicht so kompliziert werden, daß der Benutzer diese auf diversen Zetteln aufschreiben muß, um sie nicht zu vergessen:

- Die zur Feststellung illegaler Anschaltversuche vorhandenen Mittel müssen im RZ auch installiert werden!

- Im Rechenzentrum müssen auch die Maßnahmen installiert werden, die Schutz gegen einen erfolgreich eingedrungenen Systemspezialisten bieten. Das entsprechende Wissen muß also auch im Rechenzentrum vorhanden sein. Besondere Aufmerksamkeit muß potentiellen Insiderdelikten gelten.

Diese Auflistung muß - aus den bereits erwähnten - Gründen - auf den hier gewählten Umfang beschränkt bleiben,

Katastrophenvorsorge und Notbetrieb

Wir sprechen von einer Katastrophe, wenn das Rechenzentrum eine Störung nicht mehr mit eigenen Mitteln beheben kann. Ein Rechenzentrum kann vorsätzlich - oder durch höhere Gewalt - für längere Zeit funktionsuntüchtig werden. Für diesen Fall muß ein Notbetrieb möglich sein. Wenn ein Rechenzentrum in einem solchen Fall in der Lage ist auf einen vorher gut durchgeplanten Notbetrieb umzusteigen, so wird es auch als Sabotageobjekt uninteressanter. Die Notwendigkeit beziehungsweise Umfang und Art eines Notbetriebes kann nur durch Risikoanalysen ermittelt werden.

Das Notfall-RZ

Für die Planung und Realisierung eines Notbetriebes haben wir uns schon an die Begriffe "heißes" beziehungsweise "kaltes" Notfallrechenzentrum gewöhnt. Beide Lösungen liegen preislich weit auseinander, Zwischenlösungen und Kombinationen sind denkbar. Die Problematik eines "heißen" Konzeptes geht aus folgender Grafik hervor. Aus Kostengründen sollte das Benutzerkolektiv möglichst groß sein, aus Gründen der Verfügbarkeit jedoch eher klein. Die vertraglichen Regelungen sind kompliziert. Wesentlich einfacher gestaltet sich die Planung und Realisierung eines "kalten" Notbetriebes. Dieser hat wesentliche Nachteile aber auch Vorteile gegenüber dem "heißen" Konzept.

Notbetriebskonzepte beziehungsweise Lösungen gehören in jedes Rechenzentrum. Eine universell anwendbare Lösung gibt es nicht wohl aber eine ausreichende Menge von Lösungsmöglichkeiten. Das Problem liegt ganz besonders bei diesem Problemkreis in der maßgeschneiderten Lösung.

Jede Notfallösung erfordert jedoch einen großen organisatorischen Aufwand für die Planung, Realisierung und das für diese Fälle unerläßliche Training (*3).

Die Vorsorge für den eventuellen Notbetrieb muß schon bei der Konzeption des EDV-Einsatzes beginnen. Das wird in den meisten Fällen übersehen, was besonders aufwendige Notbetriebskonzepte zur Folge hat. Bei der Realisierung von Notbetriebskonzepten sollte auch die Erstellung von Notbetriebs-Software erwogen werden.

Ein Notbetriebskonzept muß dokumentiert und erprobt werden. Dies ist Voraussetzung für eine erfolgreiche Abwicklung im Notfall.

Auch eine vorbildliche Auseinandersetzung mit den vorgenannten Themenkomplexen führt nicht an der Notwendigkeit von Entscheidungen über zu treffende Maßnahmen vorbei. Die Vorschläge müssen systematisch erarbeitet und den Entscheidern gegenüber transparent gemacht werden. In vielen Fällen wird aber übersehen, daß organisatorische Maßnahmen weniger kosten und trotzdem wirksamer sind als aufwendige (Backup)-Lösungen. Vor allem aber müssen die zum Teil veralteten Rechenzentrums-Strukturen abgelöst werden, damit die Voraussetzungen für eine Sicherheit des Rechenzentrumsbetriebes nach neuen Maßstäben (siehe oben) geschaffen werden können. Erst nach Ausschöpfung aller Möglichkeiten (Infrastruktur, Hardware, Software und Organisation) zur Sicherung des vorhandenen Rechenzentrums sollten die unter Umständen sehr aufwendigen Notbetriebskonzepte realisiert werden.

*Eike Gruna, Siemens AG, München, Hauptreferent für EDV-Einsatz und Organisation im Unternehmensbereich Kommunikations- und Datentechnik