RZ-Sicherheit fängt bei der Beratung an

08.02.1985

Rainer A.H. von zur Mühlen Geschäftsführender Gesellschafter der von zur Mühlen'schen Sicherheitsberatung GmbH, Bonn

Das, was Unternehmensberater leisten, können in der Regel auch innerbetrieblich vorhandene Kräfte. Selbst wenn Spezialwissen nicht vorhanden sein sollte, gibt es stets die Möglichkeit, sich dieses anzueignen.

Das gilt ohne Einschränkung auch für den Bereich der Sicherung der Datenverarbeitung. Es gibt eine umfassende Literatur. Allein Informationsdienste wie "Sicherheits-Berater" und "Datenschutz-Berater", aber auch zahlreiche Monographien, Aufsätze, Seminare und nicht zuletzt die regelmäßige Auswertung von Schadensmeldungen aus der Tagespresse zusammen mit Hintergrundinformationen bieten recht umfassende Informationsmöglichkeiten. Man kann daraus lernen und sich intensiv mit den Problemen der Sicherheitsplanung befassen. Was also spricht dagegen, die Sicherheitsplanung für das Rechenzentrum in eigener Regie durchzuführen?

Zum einen in aller Regel der Preis, zum anderen die Tatsache, daß man nicht alle Fehler selbst erfinden sollte. Auch eigene Leute kosten Geld. Sie können zumeist für eine Aufgabe dieser Art nicht längerfristig freigestellt werden, müssen sie also nebenbei lösen. Das verzögert die Arbeit erheblich, sie wird ineffizient und vielfach - das sieht man, wenn es zu spät ist - lückenhaft. Hinzu kommt die Gefahr daß man sich zu leicht wegen fehlender Markttransparenz bei technischen Problemlösungen auf die Angebote potentieller Lieferanten verlost. Und schließlich: Man muß ein Wissen erwerben, das auf Teilgebieten nur einmal oder selten benötigt wird. Das ist wirtschaftlich oft nicht vertretbar.

Hinzu kommt die Zeitverzögerung. Eine Aufgabe wie etwa eine fundierte Schwachstellenanalyse der baulichen Sicherheit eines kleineren Rechenzentrums erfordert für den routinierten Fachmann vielleicht fünf bis zwölf Manntage - mit realisierbaren Ergebnissen. Für den Newcomer reicht diese Zeit nicht einmal die verfügbare Literatur zur Einarbeitung zu beschaffen, geschweige denn zu sichten und umzusetzen.

Mit dem Basiswissen für die Sicherheitstechnik und -organisation ist es nicht getan. Man sollte die Trends der Schadenentwicklungen kennen. Das setzt Erfahrung voraus. Es gehört allerdings keine prophetische Gabe dazu, wenn ich sage, daß ein künftiges Schwerpunktrisiko die Besetzung von Rechenzentren sein wird, mehr noch als der Sprengstoff- oder Brandanschlag. Systemgegner werden sich auf solche Maßnahmen des .

"alternativen Arbeitskampfes", wie es in der Untergrundliteratur heißt, konzentrieren. Man muß also heute schon für Risiken vorausplanen, die im Bewußtsein der Öffentlichkeit und auch in der allgemein zugänglichen Fachliteratur noch nicht vorhanden sind. Dabei kann man sich gegen eine Lähmung durch Besetzung recht gut schützen.

Das Problem Betriebsblindheit ist ein weiterer Punkt, der für die Hilfe eines externen Beraters spricht. Oft werden einige wesentliche Schwachstellen entweder übersehen oder falsch eingeschätzt. Ein Beispiel ist die Frage an die Mitarbeiter im RZ, was mit dem Notausschalter am Notausgang (sofern vorhanden) bewirkt wird: Ob damit die DV-Maschinen, die Klimaanlage, das Raumlicht oder was auch immer weggeschaltet werden; ob mit dem Feuerwehrnotruf auch die Brandschutzklappen zufallen. Häufig stößt man dabei auf Unwissenheit oder zumindest Unsicherheit schon in so einfachen, aber den Schadensverlauf manchmal entscheidend beeinflussenden Fragen.

Selbst wenn ein Mitarbeiter für die Sicherheitsaufgaben freigestellt oder ihm die Aufgabe nebenbei übertragen wird und er sich intensiv einarbeitet, wirklich fachkundig wird - trauen seine Vorgesetzten ihm die Fachkompetenz zu, die er dann zu haben vorgibt und vielleicht auch wirklich hat? In aller Regel nein! Dadurch werden oft vernünftige Sicherheitsvorschläge, dringend notwendige Maßnahmen aktiv verhindert, weil der Prophet im eigenen Lande nichts gilt. Problemlösungen werden nicht selten von Kollegen leicht zerredet, die gar keine Fachkompetenz haben, aber alles in Frage stellen. Hier kann die Bestätigung durch externe Fachberater Wunder wirken, zumal diese meistens Zugang zur Geschäftsleitung erhalten, durch Frage und Antwort zu sensibilisieren vermögen und überzeugende Konzepte durchsetzen können.

Die leidigen Kompetenzen desavouieren Gesamtbetrachtungen und umfassende Problemlösungen. Ein Beispiel: Das Rechenzentrum befindet sich in einem Verwaltungsgebäude. Dieses gehört der Grundstücksgesellschaft. Sie hat eine Bauabteilung. Der Brandschutz obliegt der Werksfeuerwehr. Sie untersteht der Betriebsleitung. Der Arbeitschutz ist bei der Hausverwaltung, diese beim Personalleiter angesiedelt. Die Stromversorgung liegt, weil die Trafos im Betriebsgebäude nebenan stehen, in der Zuständigkeit der Werksleitung. Die Wartung wird durch externe Handwerker wahrgenommen. Aufträge gehen über den Einkauf der Grundstücksgesellschaft.

Die Bewachung liegt beim Werkschutz. Er hat keine Weisungsbefugnisse für die Sicherheit der EDV. Darüber hinaus gibt es Bewachungspersonal von einem Bewachungsunternehmen. Dieses wird nicht durch den Werkschutzleiter ausgewählt, sondern vom Einkauf. Und da dieser auf den Preis zu achten hat, sind es nicht unbedingt Kriterien der Qualität, die zum Auftrag führen. Der Datenschutzbeauftragte hat eine rein empfohlene Stabsfunktion und ist nur für die Belange des personenbezogenen Datenschutzes zuständig. Die Revision kümmert sich um die Ordnungsmäßigkeit der Datenverarbeitung, nicht um ihre Sicherheit, kann es auch mangels Fachleute gar nicht ... Es könnte wohl so mancher Betrieb sein.

Dieses Abbild der Realität in vielen Unternehmen macht deutlich, daß die Sicherheitsplanung bei der Schwachstellenanalyse beginnt und ohne Rücksicht auf gewachsene Zuständigkeitsstrukturen durchgeführt werden muß. Insider schaffen sich damit mehr Feinde, als ihnen lieb ist. Ein Externer braucht auf vieles keine Rücksicht zu nehmen, wenn er Mängel aufzeigt, denn dazu wurde er ja beauftragt.