Unterschiedlich reagieren DV-Verantwortliche auf Fragen nach ihrem Sicherheitskonzept für das Rechenzentrum. Während einige Planer offensichtlich ihr schlechtes Gewissen plant, glauben andere, in diesem Bereich genügend getan zu haben. Die Beurteilung der Safety-Probleme hängt stark von der Person des DV-Verantwortlichen ab der Risiken häufig in "wahrscheinliche" und "unwahrscheinliche" einteilt. Die wahrscheinlichen" werden in den Unternehmen eher berücksichtigt und auch beseitigt als die "unwahrscheinlichen". Hier verlassen sich die DV-Zuständigen oft nur auf ihr Glück und hoffen, däß nicht spassiert. ih

Hasso Kurtz DV-Leiter, Danfoss Handelsgesellschaft mbH, Offenbach/Main

Mit ein Thema "Sicherheit" konfrontiert, reagieren die DV-Verantwortlichen im Betrieb durchaus verschieden. Vom erschreckten Zusammenzucken bis hin zum coolen Schulterzucken geht die Bandbreite. Und das nicht etwa nur deshalb, weil mehr oder weniger oder nichts an Sicherheitsleistungen erbracht wurde, sondern auch, weil die Beurteilung der Risiken sehr stark von der Person des Verantwortlichen abhängt.

Das "Abschätzen" von Risiken ist nun mal eine "persönlichen" Sache und steht ersatzweise für das Kalkulieren mit Fakten. Das Ergebnis der Schätzung ist die Ordnung der augenfälligen Risiken in wahrscheinliche und unwahrscheinliche.

Die wahrscheinlichen Risiken werden in den meisten Betrieben ernst genommen. Die unwahrscheinlichen häufig nur dort, wo die Verantwortung für die DV-Sicherheit auf mehr als einem, Schulterpaar ruht. Das ist typischerweise der mittlere bis größere Betrieb mit eigener Innenrevision.

Zwischen den Standorten Hilflosigkeit (bei uns gibt es kein Budget für unwahrscheinliche Risiken) und pauschalem Klotzen (Sicherheit hat nun mal ihren Preis) muß in der Auseinandersetzung mit dem Detail mehr Klarheit, mehr Wissen entstehen. Dies kann geschehen, indem eine Leistung aller denkbaren Ereignisse, die zu Störungen führen können, erfolgt. Der Versuch, hier eine Checkliste zu verwenden, macht deutlich, daß dies eine betriebsspezifische Aufzählung sein muß.

Andernfalls wird die Sache unübersichtlich oder unvollständig.

Mit dem Erstellen einer solchen Liste wird klar, daß große Auswirkungen kleine Ursachen haben und ein sauber geführtes Rechenzentrum eine gesunde Basis für einen störungsarmen Ablauf ist:

- Ein nicht rechtzeitig nachbestelltes Rechnungsformular verhindert für viele teure Tage das Schreiben von Rechnungen.

- Die unklare Absprache beim Operating über die Frage, wer Frühschicht hat, läßt den Dialogbetrieb verspätet starten.

- Die unklare Dokumentation führt zum fehlerhaften Restart, zu irreparablen Dateiinhalten.

- Aber auch nicht gewartete Handfeuerlöscher, Drucker, Klimaanlagen fuhren zu vermeidbaren Störungen, ebenso wie schlecht wartbare Betriebs- und Anwendungssysteme.

Die intensive, ins Detail gehende Auseinandersetzung mit den möglichen Störfaktoren ist an sich die eigentliche praktische Hilfe, um vom pauschalen Abschätzen zum konkreten Kalkulieren zu kommen.

Inzwischen sind viele Installationen für die Fachabteilungen aus dem Batch-Dunkel in die gnadenlose Verfügbarkeitsforderung der Online-Helligkeit getreten: Die Maschine darf nicht mehr stillstehen. Und spätestens jetzt wird klar, daß vielerorts in Puncto Sicherheit der Dialogbetrieb mit den Anforderungen aus der Batch-Welt gefahren wird.

Der Lieferant von Hard- und Betriebssoftware hat das Dialog-Equipment so verkauft, wie er das mit den Upgrades vergangener Tage gemacht hat: eine zusätzliche Plattenstation hier, ein erforderliches Megabyte Hauptspeicher da und plötzlich drei Bildschirme, dann zehn und zwanzig. Aber die Zentraleinheit ist noch genau so sicher oder unsicher wie zuvor. Und das paßt nicht mehr paßt nicht mehr zusammen! Es ist so recht zu verstehen wieso die Marketingleute der Hersteller das Konzept der Teilbarkeit für den Notbetrieb auch für kleinere und mittlere Anlagen nicht längst durchgesetzt haben!

Teilbarkeit meint hier, daß bei Ausfall einer beliebigen Komponente des Systems mit dem verbleibenden Rest ein Notbetrieb gefahren werden kann. Also schrittweises Auskonfigurieren mehrfach vorhandener Komponenten (Voraussetzung: Dualprozessor, Hauptspeichermoduln, schaltbare Peripherie) und Substitution einmaliger Komponenten durch Surrogate (Terminaldrucker ersetzt Systemdrucker, Bildschirm ersetzt Operatorkonsole).

Der Markt hierfür ist da, und sicher wird manches Unternehmen, dem eine komplette Zweitlange zu teuer ist, in Alternativen investieren.

Rolf Schwemmer EDV-Leiter, Bonn & Tatje

GmbH & Co. KG, Coelbe bei Marburg/Lahn (Honeywell Bull 64/20)

Jeder Verantwortliche, der sich die Frage nach der Sicherheit stellt, wird bei näherer Betrachtung bemerken, daß es immer wieder Lücken gibt. Denn das beste Sicherheitssystem ist nur so gut, wie die Mitarbeiter, die damit umgehen müssen.

Nun haben wir es in einem Betrieb unserer Größenordnung (150 Mitarbeiter, davon drei Mann EDV-Personal) sicherlich leichter, unsere Daten zu schützen, als Firmen mit DFÜ, Rechnerverbundnetzen und Tausenden von Mitarbeitern, wo keiner den anderen persönlich kennt.

Eine spezielle Zugangskontrolle zum RZ gibt es bei uns nicht, jedoch durch die räumliche Anordnung ist gewährleistet, daß betriebsfremde Personen nur in Begleitung eines Betriebsangehörigen das RZ betreten können, wo in der Regel immer ein EDV-Mitarbeiter anwesend ist. Unser RZ ist nur nach Durchqueren der Buchhaltung zu erreichen.

Da wir eine reine Magnetplatten-Anlage haben, ist das Kopieren und außer Haus schaffen von Daten sehr unwahrscheinlich, wobei alleine der Transport einer Magnetplatte recht auffällig ist.

Lediglich Lohn und Gehalt, das wir auch für Fremdfirmen fahren, wird im Closed-shop-Verfahren von mir persönlich abgewickelt. Zu diesem Zeitpunkt ist das RZ abgeschlossen und auch für das übrige EDV-Personal gesperrt. Die dazu benötigten Magnetplatten werden in einem Stahlschrank, zu dem nur das Lohn- und Gehaltsbüro Zugang hat, aufbewahrt.

Wie verhält es sich aber, mit der Datensicherheit im täglichen Ablauf? Auch dabei können wir uns mit einfachen Mitteln behelfen. Grundsätzlich werden jeden Freitag alle notwendigen Stamm- und Bewegungsdateien sowie das System auf Magnetplatte gesichert und in einem feuerfesten Panzerschrank im Erdgeschoß gelagert.

Damit gewährleisten wir grundsätzlich erst einmal nach Zerstörung durch Feuer oder Wasserschaden, daß maximal eine Woche wiederholt werden muß.

Zusätzlich werden jedoch während des täglichen Ablaufes die einzelnen Dateien nach Bedarf gesichert. Hier liegt jedoch noch ein Schwachpunkt vor, den wir aber bewußt in Kauf nehmen. Da unsere einzelnen Ressorts keine festen EDV-Zeiten haben und jeweils nach Bedarf bedient werden, ist eine starre Datensicherung nicht sinnvoll durchzufahren beziehungsweise zu zeitaufwendig.

Es Obliegt also dem diensttuenden Operator zu entscheiden, wann eine Sicherung vorzunehmen ist. Die - heutigen Anlagen, zumindest unseres sind so ausfallsicher, daß es zu keinen nennenswerten Störungen kommt. Die Praxis hat uns gezeigt, daß für unseren Betrieb ein kosten- und zeitaufwendiges Sicherheitskonzept nicht notwendig ist. Sicherlich werden wir im Laufe dieses Jahres, bei Einführung der Online-Verarbeitung, unser Konzept neu überarbeiten und den neuen Gegebenheiten anpassen müssen.

Lediglich unsere geographische Lage könnte im Ernstfall (Zerstörung der Hardware) zu Problemen führen. Es gibt in unserer Nähe keine so konfigurierte - Anlage gleichen Typs, die uns als Ausweichanlage zur Verfügung stehen würde. Tests haben aber ergeben daß mit etwas Personal- und Zeitaufwand unsere wichtigsten Arbeiten auch beim Hersteller im etwa 100 Kilometer entfernten RZ-Eschborn abgewickelt werden könnten.

Herbert Mayer Leiter Organisation, Franz Falke-Rohen

Strumpfwarenfabriken GmbH, Schmallenberg

In unserem Haus sind für die Sicherheit der Datenverarbeitung (rund 80 Prozent Batch) Vorkehrungen getroffen, die ein ausgewogenes Verhältnis zwischen Aufwand und Erfolg darstellen.

- Objektsicherung (Hardware)

Der Zugang zum Maschinenraum ist mittels Magnetschloß gesichert. Nur autorisierte Personen erhalten den dazugehörigen Öffner, die Klimaanlage wird zusätzlich mittels spezieller Schaltungen überwacht. Raum- und Feuermelder sind ebenfalls installiert.

- Datensicherung

Alle Dateien werden in regelmäßigen Abständen auf Bänder gesichert und in feuersicheren Datenträgershränken aufbewahrt, je nach Sensibilität auch außerhalb des RZ-Gebäudes. Für Datensicherungsarbeiten reservieren wir etwa 30 Prozent der Rechnerkapazität.

Durch die konsequente Nutzung der Vorteile einer rechnergestützten, zum Teil automatischen Job-Vorbereitung werden auf den Magnetbändern keine Beschriftungen angebracht, die auf den Dateninhalt Rückschlüsse zulassen. Nur Über den Bandkatalog sind die entsprechenden Angaben zu ersehen.

- Verarbeitungssicherung

Mittels OwnerIDd- und User-ID-Passworte sind die Dateien vor unberechtigtem Zugriff geschätzt. Alle Praxisanwendungen sind in eigenen Kontroll-Streams mit Ablaufsteuerung und -Überwachung zu sammengefaßt. Nur die Job-Vorbereitung stellt mittels Parameter die jeweiligen Kontroll-Streams zusammen, daher entsteht auch der aktuelle Arbeitsablaufplan für das Operating. Der Kontroll-Stream über wacht selbst den ordnungsgemäßen Ablauf seiner Task. Bei Job-Abbrüchen findet er automatisch den richtigen Wiederaufsatzpunkt auch unter Beachtung eventuell notwendiger Datensicherungen, Soweit erforderlich und möglich, und nicht schon automatisiert, werden Summenabstimmungen manuell durchgeführt.

- Programmsicherung

Nach Freigabe für die Praxis werden die Quellenprogramme mittels Spezialablauf gesichert und im System gelöscht, Programme, die geändert werden müssen, kommen erst dann wieder ins System, wenn ein entsprechend begründeter Antrag beim System-Administrator vorliegt. Jede Programmänderung erzeugt eine neue Programmversion, die nach Freigabe ebenfalls gesichert wird.