Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.11.1986

Sicherheits-Schulung - "Peanuts" werden vergessen

Rainer A.H. v. zur Mühlen, Sicherheitsberater, Bonn

Sicherheit hat in der betrieblichen Praxis einen wachsenden Stellenwert. Kaum ein DV-Mitarbeiter, der nicht schon in Sicherheitsfragen hat aktiv werden müssen. Die Sensibilität ist gestiegen. Alles schön und alles gut.

Wie aber ist es mit den scheinbaren Selbstverständlichkeiten? Die werden hingenommen, nicht vermittelt. Es ist seit Murphy ein geflügeltes Wort: "Mache nichts idiotensicher, Idioten sind viel zu genial." Weiß Gott, in der EDV haben wir es vergleichsweise selten mit denen zu tun, auf die dieses Wort gemünzt ist. Der Verfasser unterstellt das jedenfalls einmal als Hypothese. Aber die Genialität . . .

In jedem Rechenzentrum gibt es einen Notausschalter, gelegentlich auch mehrere für verschiedene Bereiche, Geräte, ganze Systemgruppen, Halonanlage, Licht, Klima etc. Wir wissen das. Schließlich kommen wir an den Dingern ja ständig vorbei und haben sie gar immer in unserem Blickfeld.

Wissen Sie, ob der Schichtleiter oder der Bandoperator oder irgendwer sonst im EDV-Bereich überhaupt weiß, was alles passiert, wenn der rote Notausknopf betätigt wird? Erfahrungsgemäß gibt es nur eine Gruppe von Mitarbeitern und Vorgesetzten, die das genau wissen: die, bei denen der Notaustaster so unglücklich plaziert ist, daß er schon wiederholt versehentlich betätigt wurde. Training on the Job oder Lernen nach trial und error kann man das dann nennen. Aber lächeln Sie nicht, die wissen es wirklich.

Überprüfen Sie meine Frage einmal in Ihrem Rechenzentrum. Fragen Sie! Zunächst erhalten Sie mit fester Stimme die Antwort des Sicheren: "Dann geht alles aus!" Fragen Sie dann nach: "Was geht alles aus? Der Rechner, das Licht, beides, die Klimaanlage, vielleicht nur eines davon, läuft die Klimaanlage noch nach, gegebenenfalls wie lange, sind die Notaustaster in der Nähe des Druckers genauso geschaltet wie die in der Nähe der CPU, und wie steht es mit denen an den Notausgängen?" Nun ist die Verwirrung komplett. Der Sicherste wird unsicher.

Übrigens, bei der Alarmierung der Feuerwehr ist es oft

genauso wie mit dem Notaustaster. Es ist zumeist unbekannt, ob die automatischen Brandmelder immer oder nur nachts durchgeschaltet sind

oder gar nicht, ob sie in einer ständig besetzten Zentrale auflaufen und was der dort sitzende Mitarbeiter tut. Man verläßt sich auf Mechanismen, deren Funktionsweisen unbekannt sind.

Peanuts würde man normalerweise sagen, vom Wissen um solche Kleinigkeiten kann aber die Wirksamkeit der ersten schadenverhindernden oder schadenbekämpfenden Maßnahmen abhängen. In der Krise kommt es auf die Kleinigkeiten an, nicht auf die große Linie.

Ähnlich sieht es mit der Brandbekämpfung aus. Zwar gibt es inzwischen viele Mitarbeiter die schon einmal mit einem Feuerlöscher eine brennende Benzinwanne auf dem Werkshof abgelöscht haben, aber es gibt nur wenige, die wissen, daß sie überhaupt keine Chance haben, einen Schwelbrand in der 3090-CPU (es darf auch etwas kleiner sein) mit dem K6-Löscher abzulöschen. Grund: Die Anlagen sind über 180 Zentimeter hoch und haben nur oben eine Öffnung. Das Strahlrohr des Kohlensäurelöschers ist zu lang, der Schlauch zu kurz, um in das Gerät hinein löschen zu können. Nur gut, daß die Dinger so selten brennen.

Aber nicht nur die Kleinigkeiten werden mit Sicherheit in der Sicherheitsschulung (so sie überhaupt stattfindet) der Mitarbeiter vernachlässigt. So gibt es in vielen Rechenzentren inzwischen Katastrophenabwehr- und Wiederanlaufpläne für den DV-Betrieb. In diesen Plänen steht in der Regel - sollte jedenfalls stehen - , daß nach einem Brand die relative Luftfeuchtigkeit unter 40 Prozent, möglichst gegen 35 Prozent gedrückt werden soll.

Wer weiß schon, wie man das macht? Dabei kommt es auch auf Schnelligkeit an, denn die Korrosionsbekämpfung an den Anlagen hängt hiervon ab. Ein Schichtleiter soll kein Klimatechniker werden. Aber viele Anlagen sind recht bedienungsfreundlich. Einige wenige Informationen genügen, um die Handgriffe zu beherrschen, die für die Schadensminimierung so bedeutsam sind.

Der beste K-Plan aber ist sein Papier nicht wert, wenn das, was er regelt, nicht nachvollziehbar ist, weil man es entweder gar nicht weiß oder nicht weiß wie. Daran aber krankt die Sicherheit in Rechenzentren.

Weitere Beispiele des Mangels an Sicherheitsschulung sind die Fragen der richtigen Alarmierung, der Evakuierung von Datenträgern und gegebenenfalls auch Geräten im Gefahrenfalle.

Bei der Sicherheit ist es nicht anders als mit allen anderen Wissensbereichen auch. Sie muß gelehrt, vertieft und geübt werden. Mehr noch als viele andere Fertigkeiten, denn der Nachteil bei Sicherheitsmaßnahmen dieser Art ist, daß sie eigentlich nur in der außergewöhnlichen Situation, die ja hoffentlich nie eintritt, beherrscht werden müssen.

Es kommt ferner nicht allein auf die Schulung der Mitarbeiter in diesen Fragen an, sondern auch auf das Üben und Testen. Daher sollte die Sicherheitsschulung des Rechenzentrumpersonals sorgfältig vorbereitet werden. Es hat sich bewährt, wenn Richtlinien, Dienstanweisungen, Katastrophenabwehrpläne, Wiederanlaufpläne, Bedienungsanleitungen von demjenigen, der die Schulungen durchführen soll, sei es ein externer oder hauseigener Fachmann, auf das sorgfältigste durchgearbeitet und "schulbar" gemacht wurden. Die Verhaltensregelungen sollten so aufbereitet werden, daß sie selbst direkt als Schulungsunterlage genutzt werden können.

Ferner hat es sich bewährt, wenn zu schulende Sachverhalte visualisiert wurden, also nicht nur abstrakt angewiesen wird, sondern zum Beispiel das Tableau, an dem Schaltvorgänge zur Luftentfeuchtung vorgenommen werden müssen, abgebildet und übersichtlich erklärt wird.

Schließlich sollte möglichst geübt, mindestens aber "begangen" werden. Dabei sind die Mechanismen zu erklären, auf die es ankommt, und es ist durch Verwicklung der Mitarbeiter in Gespräche zu prüfen, ob der gewünschte Lehrerfolg eingetreten ist.

Und das alles, bekommen Sie keinen Schreck, wiederholt! Denn Fähigkeiten, die für das Tagesgeschäft erworben werden, werden ja ständig abverlangt, dadurch geübt und abgeprüft. Anders hier. Infolgedessen muß in regelmäßigen Abständen das Wissen in Sachen Sicherheit aufgefrischt werden. Sicherheitsschulungen müssen nicht lang sein. 10, 15 oder wenn es hoch kommt 20 Minuten lang mit jeweils wechselndem Themenschwerpunkt in regelmäßigen Abständen genügen in der Regel. Genügen und sind Voraussetzung, daß Sie sagen können "mit Sicherheit mehr Sicherheit".