Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

26.08.1988 - 

Auswirkungen von Katastrophen durch sorgfältige Planung reduzieren:

Unternehmensweites Konzept für die Informationssicherung

*Erich Kiefer ist bei der IBM Deutschland GmbH, Stuttgart, für den Bereich Informations-Sicherungs-Systeme zuständig.

Je mehr Geschäftsprozesse von der Verfügbarkeit des Informationsservice abhängen, um so mehr stellt sich die Frage nach der Informationssicherung. Erich Kiefer* stellt in seinem Beitrag Lösungsansätze zu den Problembereichen Wiederanlaufplanung, Sicherheit in Netzwerken und Sicherheit bei PCs vor.

Katastrophen sind nicht vorhersehbar und deshalb nur schwer zu verhindern. Man kann aber - durch sorgfältige Planung - die Auswirkungen einer Katastrophe reduzieren. Dabei muß beachtet werden, daß ein Wiederanlaufplan immer nur eine Komponente, nicht aber einen Ersatz für ein Gesamtsicherungskonzept darstellt.

Die für einen erfolgreichen Wiederanlauf vorsorglich getroffenen Maßnahmen sowie die dann für erforderlich gehaltenen Aktionen werden in einem "K-Handbuch" oder "K-Plan" dokumentiert. Die Hauptabschnitte sind:

- Alarmierungsplan

- K-Fall-Organisation und -Zuständigkeiten

- Wiederanlaufpläne der wichtigen Geschäftsprozesse

- Vereinbarungen über Bereitstellung von Vorsorgerechenzentrums(VRZ)-Kapazitäten

- Verzeichnis der Lieferanten, Serviceunternehmen und Mitarbeiter der K-Organisation

- Protokolle der K-Fall-Tests

In der Praxis hat sich zur Erstellung eines Wiederanlaufplans folgendes Vorgehen bewährt:

Definition der Katastrophe

Die Frage "Was gilt im Sinne eines Wiederanlaufplans als Katastrophe?" muß für jedes untersuchte operative RZ individuell definiert werden. Hier reicht die Palette der Ereignisse von Überschwemmung und Explosion bis zu Flugzeugabsturz und Sabotage. Andere wichtige Kriterien für die Einstufung sind Umfang und Grad der möglichen Zerstörung sowie die verursachten Ausfallzeiten.

Ermitteln der wichtigen Geschäftsprozesse

Ein wichtiger Schritt der Wiederanlaufplanung ist die Definition der wichtigen Geschäftsprozesse und der "kritischen" Anwendungen, mit denen der vereinbarte EDV-Service erbracht wird. Diese kritischen Anwendungen sollen im K-Fall im Vorsorge-RZ nach der vereinbarten Priorität wieder anlaufen. Die Hauptkriterien hierfür sind der durch die Nichtverfügbarkeit entstandene Schaden sowie die Möglichkeit, die zugehörigen Datenbestände "nachzufahren".

Zweckmäßigerweise überprüft man in diesem Teilschritt auch, ob die praktizierte Datensicherung mit der geforderten Wiederanlaufzeit verträglich ist (Festlegen der Vorgehensweise zur Erfassung "verlorener Daten"). Darüber hinaus muß geregelt werden, wie Daten zwischen Eintritt des K-Falls und dem Wiederanlauf erfaßt und wie die Datenbestände vor Wiederanlauf aktualisiert werden.

Ermitteln der optimalen VRZ-Alternative

Vorsorge-Rechenzentren (VRZ) können in verschiedenen Formen realisiert werden. Je nach betrachteter Eigenschaft ergeben sich unterschiedliche "Typen".

a) Heißes, warmes VRZ

Mit diesen Attributen beschreibt man grob die technische Eignung eines Vorsorgerechenzentrums, einen Wiederanlauf innerhalb bestimmter Zeitgrenzen zu ermöglichen. Dabei steht "heiß" für einen Wiederanlauf innerhalb kürzester Zeit (maximal Stundenbereich), "warm" für Zeiten von einer Woche und mehr.

b) Eigen-Fremdlösung

Bei einer Eigenlösung hält das Unternehmen die VRZ-Kapazität selbst vor. Mögliche Formen hierfür reichen vom speziell als VRZ konzipierten Rechenzentrum bis zur Bereitstellung der K-Fall-Kapazitäten in Test- oder Produktions-RZ.

Eigenlösung erfordert zusätzliche Kapazität

Eine Eigenlösung erfordert die Bereitstellung zusätzlicher Kapazität, bietet jedoch ein Höchstmaß an Unabhängigkeit und Flexibilität. Dabei läßt sich die speziell für den K-Fall geschaffene zusätzliche Kapazität "während der Normalzeit" vorteilhaft nutzen (beispielsweise für zusätzliche Systemtests, für die Anwendungsentwicklung oder generell zum Lastausgleich für das Produktionssystem).

Voraussetzung für eine Eigenlösung ist aber, daß das Unternehmen über mehr als ein RZ verfügt. Steht dagegen nur ein RZ zur Verfügung und ist auch kein weiteres geplant, muß der Backup-Service von anderen Unternehmen bezogen werden.

Eine Fremdlösung ist in verschiedenen Formen möglich: K-Fall-Vereinbarungen (eventuell auf Gegenseitigkeit) mit nichtprofessionellen Anbietern (zum Beispiel Nachbarn); Ausweichen in normale Service-Rechenzentren; Verträge mit professionellen Anbietern stationärer oder mobiler VRZs.

Eine Mischform stellt die "Empty Shell"-Lösung dar, bei der das Backup-System erst nach dem K-Fall installiert wird. Dies geschieht auf eigenen, sonst aber anderweitig genutzten Flächen oder in dann erst hierfür erstellten Räumen (Container etc.).

c) Lokale versus Remote-Lösung

Nach der Lage des Vorsorge-RZs zum operativen RZ unterscheidet man lokale Lösungen (beide RZs auf gleichem Grundstück) und Remote-Lösungen (beide RZs auf unterschiedlichen Grundstücken). Hier ist systemtechnisch und organisatorisch die lokale Lösung die günstigere. Stationäre Vorsorge-Rechenzentren professioneller Anbieter sind immer Remote-Lösungen.

Festlegen der Zuständigkeiten im K-Fall

Eine bereits vorher festgelegte Verteilung der Zuständigkeiten in einem Katastrophenfall ist ein wesentliches Mittel, um die Situation in den Griff zu bekommen. Diese K-Fall-Organisation kann konzipiert werden, wenn die Entscheidung darüber gefallen ist, welche Alternative realisiert wird.

Für jede in der Verantwortungsstruktur genannte Funktion sollten konkret Namen von Mitarbeitern (einschließlich Stellvertreter) angegeben und nicht nur "Skill-Profile" definiert werden.

Verzeichnis der Lieferanten

Der Wiederanlaufplan sollte neben den Mitarbeiternamen auch die Namen und Anschriften von Lieferanten und Serviceunternehmen (einschließlich Kontaktpersonen) enthalten.

Änderungsverzeichnis

Ein Wiederanlaufplan sollte mindestens zweimal jährlich überprüft und auf den neuesten Stand gebracht werden. Jede Änderung muß protokolliert werden. Um die Einarbeitung von Änderungen zu erleichtern, sollte der Wiederanlaufplan maschinell geführt werden.

Realistische Wiederanlauftests sind ein Muß für einen guten Wiederanlaufplan. Nur damit wird sichergestellt, daß nach einem Katastrophenfall der Wiederanlauf wie geplant durchgeführt werden kann und das Ergebnis den Zusagen entspricht.

Zu einem realistischen Test gehört, daß er mit ins K-Archiv ausgelagerten Daten im VRZ gefahren wird. Der Fachbereich muß bestätigen, daß er mit diesem Service seine Geschäftsprozesse im K-Fall abwickeln könnte. Die Absprache zwischen den Geschäftsprozeß- beziehungsweise Anwendungseigentümern mit dem RZ sollte im Abstand von maximal vier Jahren wiederholt werden.

Sicherheit in Netzwerken ist organisatorische Aufgabe

Hostrechner werden mit Fachabteilungsrechnern, Terminals, PCs etc. durch Netzwerke über größere Distanzen verbunden. Zu den geschlossenen, isolierten Netzen kommen Möglichkeiten der Wahlanschlüsse. Eigene Netze werden mit externen Netzen von Kunden, Lieferanten, Banken, Versicherungen etc. in sogenannten offenen Netzen verbunden.

Risiken und Sicherungsmaßnahmen in Netzwerken

Fehlen in einer Netzwerkkonzeption Sicherheitsüberlegungen, so entstehen Risiken, die es Fachleuten ermöglichen, in das Netzwerk einzudringen.

Mögliche Sicherungsmaßnahmen:

- Ein Netzwerk aufzubauen, zu pflegen und zu überwachen ist eine organisatorische Aufgabe, die zentral im RZ mit Netzwerkmanagementmethoden wahrgenommen werden sollte. Nur so können Lücken und Vorkommnisse erkannt werden.

- Zugriffsschutz für Netzwerkbibliotheken.

Ausforschen von Benutzerkennung und Kennwort

Das Risiko des Bekanntseins von Benutzerkennung und Kennwort besteht darin, daß das System unberechtigt benutzt werden kann. Ressourcen können nur soweit genutzt werden, wie die Berechtigung des Benutzers reicht, also nicht alle Daten, Programme und Transaktionen des Unternehmens.

Mögliche Sicherungsmaßnahmen:

- Einsatz von Zugriffskontrollsystemen auf Zentralrechner

- Sperrverfahren für Benutzerkennung

- Abschirmung von externen Benutzern

- Schulung der Benutzer

Datenpreisgabe auf Übertragungswegen wegen

Daten können auf Übertragungswegen abgehört werden. Das Risiko besteht auf allen Leitungen. Allerdings ist das Risiko verhältnismäßig gering, da der "Bitstrom" sehr vermischt und eine Analyse desselben äußerst diffizil und damit kostspielig ist (Wirtschaftlichkeitsdenken des Eindringlings).

Fehlleitung von Informationen

Dies kann durch menschliches Versagen, durch Eingabe falscher Benutzerkennungen oder Knotenkennungen, durch Fehlverhalten der Software etc. vorkommen. Das Risiko ist vergleichsweise gering einzustufen, gewinnt aber an Bedeutung bei Netzverbindungen mit externen Benutzern.

Mißbrauch des Netzwerks durch Unbefugte

Beim Mißbrauch des Netzwerks werden Bestimmungen der Post verletzt. Das Risiko besteht bei Verbindung zu mehreren externen Netzen.

Mögliche Sicherungsmaßnahmen:

- Abschirmung des eigenen Netzes mit Gateways

- externe Netze von Produktionsrechnern trennen

Offene Netze

In einer "vernetzten" Informationsgesellschaft läßt sich nur noch schwer ein isoliertes Netz betreiben. Dazu werden auch Verbindungen zu öffentlichen und zu anderen privaten Netzen vorgenommen.

Benutzer und Terminal

Eine wichtige Komponente der Netzwerksicherheit sind die Benutzer. Das Risiko hängt im wesentlichen von ihrem Verhalten und ihrer Wachsamkeit ab. Es besteht die Möglichkeit der Datenpreisgabe und der Manipulation, wenn durch Unachtsamkeit die Benutzerkennung und das Kennwort offengelegt werden oder das Terminal unbeaufsichtigt aktiv ist. Das gilt besonders für PCs.

Gebäudeverteiler und Datenleitungen

Ein Risiko entsteht dann, wenn die Überwachung der physischen Sicherheit der Netzwerkkomponenten nicht gewährleistet ist. Das Risiko liegt hier vor allem im Bereich von Außenstellen (Miethäuser), wo die Verteiler und auch die Datenleitungen zwischen Terminal und Steuereinheit auch für Unberechtigte frei zugänglich sind. Es besteht das Risiko einer Betriebsstörung, des Anzapfens von Leitungen.

(Un-)Sicherheit beim PC auf sechs Problemfeldern

Der PC ist heute in den verschiedensten Bereichen der Unternehmen als Arbeitsgerät anerkannt und weit verbreitet. Dadurch entstehen insbesondere sechs spezielle Problemfelder zur Informationssicherung.

1. Eigentumsschutz und PC

Der PC kann wegen seiner kompakten Bauweise ganz oder in Teilen leicht entwendet werden. Eine Büroumgebung ist normalerweise weit weniger gesichert als ein Rechenzentrum.

2. Organisation der Informationssicherung

Für PC-Benutzer und ihre Führungskräfte muß, da sie sowohl

Benutzer und Betreiber des PC als auch Verantwortliche für die ihnen überlassenen Informationen sind, ihre Verantwortung definiert und schriftlich fixiert werden.

Zu definieren sind:

- Verantwortungsverteilung

- Eigentümer-, Betreiber- und Benutzerkonzept

- Datenexport und -import

- Klassifikationssystem

- Datensicherungskonzept

- Verantwortlichkeiten des Benutzerservice

- PC-HW/SW-Beschaffung (Verwendung eigener Programme?)

3. PC-Einsatzformen

Von der Einsatzform des PC hängen die Risiken und die entsprechen den Sicherungsmaßnahmen ab.

a) PC als eigenständiges System Risiken:

- Physischer Diebstahl des PC oder der Karten

- Informationsverlust

- Zerstörung von Daten

b) PC mit Hostanbindung

Zusätzliche Risiken zu oben:

- wie unintelligente Bildschirme

- "downloading" und "uploading"

c) PC-Netz ohne Hostanbindung

Risiken:

- Wie bei "PC als eigenständiges System" beschrieben

- Unberechtigte Manipulationen von einem unbeaufsichtigten berechtigten PC

d) PC-Netz mit Server

Risiken:

- Risikoreduzierung gegenüber "PC-Netz ohne Hostanbindung"

e) PC-Netz mit Hostanbindung

Risiken:

- Kombination aus "PC als eigenständiges System" bis "PC-Netz ohne Hostanbindung"

f) PC-Netz mit Server und Anbindung an Host

Risiken:

- Kombination aus "PC als eigenständiges System" bis "PC-Netz mit Server"

4. PC-HW-Beschaffung

Die Kosten für PCs liegen häufig in der Zeichnungsberechtigung von Abteilungsleitern.

Risiken:

- unabgestimmte Beschaffung und daraus resultierend

- erschwerter Programmtransfer

- erschwerte Integration in Netze

- erschwerter Support durch Benutzerservice

5. PC-SW-Beschaffung

Die Kosten für PC-SW liegen häufig in der Zeichnungsberechtigung von Abteilungsleitern.

Risiken:

- unabgestimmte Beschaffung und daraus resultierend erschwerter Programmtransfer

- erschwerter Support durch Benutzerservice

- Computerviren durch Gelegenheitskäufe

- Copyright-Verletzungen

6. Schulung der Benutzer

Themen der Schulungsaktivitäten (Beispiele):

- Copyright/Lizenzprogramme

- Gesetzliche Anforderungen (BDSG, HGB, AO)

- Erläutern der Richtlinie

- Aufgaben des Benutzerservice

Bei allen diesen Einzelthemen, die derzeit erhöhtes Interesse finden, handelt es sich nur um Teilfragen der Informationssicherung. So bedeutend das eine oder andere Thema auch sein mag - für eine effektive und effiziente Informationssicherung ist es erforderlich, daß alle Regelungen und Maßnahmen auf einem Gesamtkonzept eines Informationssicherungssystems basieren.