Wege zu sabotagesicheren DV Konzepten:Selbsttragende Konstruktion ist überlegen

08.11.1985

Verteilte Systeme müssen nicht per se weniger sicher sein als andere - im Gegenteil, sie bieten, nach Ansicht des Autors, der Direktor des Rechenzentrums der Universität Karlsruhe ist, ein Plus an struktureller Sicherheit. Das gelte auch für sogenannte "Kanalverlängerungen" über Glasfaser, die das Absetzen der Remote-Steuer- sowie Ein und -Ausgabegeräte bis zu mehreren Kilometern Entfernung vom Rechenzentrum erlauben.

Kaum eine Unternehmensleitung macht sich heute nicht Sorgen über die Sicherheit ihrer Datenverarbeitung und fragt sich, wie das bei wachsender Abhängigkeit aller Unternehmensfunktionen von diesem elektronischen Nervensystem weitergehen soll. Zwar gibt es seit längerem die Möglichkeit, mit Hilfe sogenannter "ausfallsicheren" DV-Anlagen interne Systemstörungen automatisch zu überbrücken, auch wurden gelegentlich immer wieder durch das Vorhalten von Ausweichanlagen die DV-Anlagen gegen Totalschäden und Sabotage abgesichert, jedoch stets mit einem derart hohen Zusatzaufwand, daß dieser sich den bislang gegebenen Risiken meist nur im militärischen Bereich rechtfertigen ließ. Die zunehmende Zahl von Anschlägen auf Rechenzentren hat jedoch in den letzten Jahren das Ausfallrisiko dieser für die Unternehmen immer wichtiger werdenden Einrichtungen erheblich erhöht. Andererseits haben aber gerade in letzter Zeit die technischen Möglichkeiten erheblich zugenommen, den Schaden derartiger Sabotage-Akte zu begrenzen. Hierauf soll im folgenden näher eingegangen werden.

Sicherheits- und Funktionsaspekt

Die am häufigsten angewandte Methode, sich gegen existenzbedrohende Schädigungen der Computerzentrale abzusichern, bestand darin, daß in das vorhandene DV-Gefüge eines Unternehmens nachträglich Sicherheitsvorkehrungen eingebracht wurden, um einen Zusammenbruch des unternehmensinternen Informationswesens abzufangen. Man ist sich inzwischen aber klar darüber, daß künftig bereits bei der Konzeption neuer DV-Systeme der Sicherheitsaspekt in gleicher Weise zu berücksichtigen ist wie der eigentliche Funktionsaspekt des Systems. Bei der Gebäudeplanung ist dieser Grundsatz längst verwirklicht. Natürlich erhält man die Sicherheitsvorkehrungen eines DV-Systems nicht umsonst, wie man andererseits auch bei Sicherheitsfragen im DV-Bereich die Ökonomie nicht vergessen darf.

So wie in der Statik die "selbsttragende Konstruktion" sich als die günstigste durchgesetzt hat gegenüber der Trennung von Tragekonstruktion und einer Funktionskonstruktion, so dürften sich auch im DV-Bereich bei gleichen sicherheitstechnischen Anforderungen die von der Struktur her sicheren DV-Konzepte gegenüber solchen mit eigenständigen, parallelen Sicherheitssystemen als die wirtschaftlicheren erweisen. Im folgenden sollen einige Gedanken hierzu dargelegt werden, wobei der Kürze halber an sehr einfachen Modellfällen die Grundtendenzen aufgezeigt werden, die bei künftigen Konfigurierungen komplexerer DV-Systeme Berücksichtigung finden sollten.

Zunächst muß man davon ausgehen, daß normalerweise über Datenverarbeitung abgewickelte Betriebsabläufe im Störungsfall nicht im nennenswerten Umfang und über längere Zeit wieder per Hand erledigt werden können, so daß wir im folgenden diese Möglichkeit als vernachlässigbar klein betrachten wollen. Außerdem soll im folgenden nur von der Absicherung gegen "Katastrophenfälle" ausgegangen werden, das heißt gegen die physische Lahmlegung der DV eines Unternehmens, beispielsweise durch Brand oder Anschlag. Außerdem wird gefordert, daß im Schadensfall binnen weniger Sekunden die DV-Versorgung des Unternehmens wieder sichergestellt ist (warme Reservehaltung).

Bezeichnet man die im Normalfall vom Unternehmen benötigte DV-Kapazität mit K, dann ergeben sich folgende Sicherheitsstrategien:

- Die Kapazität K werde an einem einzigen Ort bereitgestellt - wobei es unerheblich ist, ob über eine DV-Anlage oder über mehrere; wesentlich ist nur, daß durch eine Katastrophe (zum Beispiel Brandanschlag) die an diesem Ort installierte DV-Leistung außer Betrieb gesetzt werden kann. Wird also die an diesem Ort erzeugte DV-Leistung K zerstört, so ist zur Aufrechterhaltung des Betriebs an anderer Stelle eine ebenso große Kapazität K vorzuhalten, das heißt, das Unternehmen hätte die finanzielle Belastung für die doppelte Kapazität 2 K permanent zu tragen.

- Diese Situation ändert sich auch noch nicht, wenn das Unternehmen zwei Rechenzentren R1 und R2 betreibt, von denen im Katastrophenfall jeweils das eine Rechenzentrum die Last des anderen übernehmen kann. Zwar ist jedem dieser Zentren nur ein Teil von K, beispielsweise K/2 installiert, insgesamt muß jedoch ebenfalls die Gesamtkapazität 2K vorgehalten werden.

- Verteilt sich die Kapazität auf 3 (beziehungsweise N) Rechenzentren oder -orte, so ergeben sich grundsätzlich drei Varianten:

In zwei Rechenzentren R1 und R2, beispielsweise stärker gesicherten wird jeweils Reservekapazität vorgehalten, so daß im Schadensfall von jedem der beiden die Kapazitäten des zerstörten (beispielsweise R1 oder R3) aufgenommen werden kann. In diesem Fall liegt hinsichtlich der Reservehaltung Unsymmetrie vor: Nur zwei Rechenzentren sind als Ausweichrechenzentren ausgestattet. Die Gesamtkapazität, die in diesem Fall vorzuhalten ist, beträgt (1 + 2/3)K. Setzt man in diesem Modell die Zahl der Rechenorte mit N an, wobei nur an zwei Orten Reservekapazität vorgehalten wird, so beträgt die insgesamt vorzuhaltende Kapazität (1 + 2/ N)K.

Ab einem gewissen N ist es zweckmäßig, einen Ort aus dem Routinebetrieb herauszunehmen und ihn beispielsweise ausschließlich für längere unterbrechbare Aufgaben, wie Programmentwicklung, statistische Analysen etc. einzusetzen oder überhaupt ihn nur als Ausfallreserve vorzuhalten. In diesem Fall - der Einfachheit halber wieder Gleichverteilung der Kapazitäten vorausgesetzt - reduziert sich die einschließlich der Sicherheitsreserven zu installierende Kapazität sogar auf ( 1 + 1 /N)K.

Reservekapazität kann geringer werden

Zwei Sonderfälle reihen sich hier ein: einmal die Anmietung von Reservekapazität in einem Ausweichrechenzentrum oder eine Reihe von Firmen für deren "Hauptrechenzentren" (im Sinne obiger Formel N Firmen) - entsprechende Dienstleistungsunternehmen existieren bereits in der Bundesrepublik -, zum anderen zählt hierzu, wie bereits angedeutet, der Fall der Reservehaltung von Ersatzgeräten für eine größere Zahl kleinerer Anlagen bis hinab zum Arbeitsplatzrechner.

Schließlich gibt es die Möglichkeit, N benötigte Rechner so überzudimensionieren, daß bei der Zerstörung einer Rechenanlage auch die restlichen N - 1 die Gesamtlast noch bewältigen können. In diesem Fall beträgt die insgesamt vorzuhaltende Kapazität

(1 + 1/N - 1)K. Natürlich sind auch Mischfälle denkbar, indem zum Beispiel M Rechner der Reservehaltung für N dienen. Gemeinsam ist diesen drei Varianten die plausible Tatsache, daß die vorzuhaltende Reservekapazität um so geringer wird, auf je mehr Rechner(orte) die Gesamtkapazität K sich verteilt.

Vereinfachte Fallbeispiele

Diese stark vereinfachten Fallbeispiele erheben natürlich keinen Anspruch darauf, eine direkte Anleitung für praktisches Handeln zu sein. Sie verifizieren vielmehr die folgenden Leitlinien für die künftigen Planungen der sicheren und wirtschaftlichen DV-Versorgung von Unternehmen:

- Die Hinwendung zu sogenannten "verteilten" Systemen, die in Forschung und Entwicklung heute besonders zum Ausdruck kommt, erhält starke Impulse von der geringeren Katastrophenanfälligkeit dieser Systeme.

- Die Inanspruchnahme spezieller, auf kommerzieller Basis beruhender Ausweichrechenzentren ist für funktionell "unteilbare" Großrechner eine wirtschaftliche Lösung, die durch unternehmensinterne Maßnahmen in ihrer Effizienz kaum erreicht werden kann.

- Für große Aufgabenkomplexe ist zweifellos der Großrechner unverzichtbar. Seine Auffüllung mit einer großen Zahl kleiner Aufgaben, die jede für sich auch auf kleineren Systemen bearbeitet werden könnte, ist sehr aufwendig, wenn gleichzeitig Ausfallsicherheit auch bei Katastrophen gewährleistet werden soll. Die Leistungsfähigkeit des Großrechners liegt in der Abarbeitung sehr großer Aufgaben, die von kleineren Anlagen nicht erledigt werden können beziehungsweise in der Integration von mehreren Arbeitsabläufen kleineren Umfangs, die wegen der hohen Parallelität beziehungsweise der intensivsten wechselseitigen Datenaustausches nicht günstig auf mehrere kleinere Anlagen verteilt werden können.

Wenn beide zuletzt genannten Anwendungsfälle gegeben sind, ist der Großrechner unverzichtbar. In allen anderen Fällen ist sicherheitstechnisch dem verteilten System der Vorzug zu geben. Wegen der im geringeren Umfang nötigen Reservekapazitäten ist letzteres auch wirtschaftlicher.

Grosch'sches Gesetz gilt nicht mehr

Die Gültigkeit des Grosch'schen Gesetzes, das in früheren Jahren die Tatsache zum Ausdruck brachte, daß man mit zunehmender Anlagengröße jeweils für den doppelten Preis die vierfache Leistung erhält, gilt nicht mehr. Im Gegenteil: Gerade mittlere Anlagen können erheblich preisgünstiger gefertigt und angeboten werden, da sie weder im Bereich der Soft- noch der Hardware für die Grenzen des technisch Machbaren konzipiert und zudem in weit größeren Stückzahlen am Markt verlangt werden. Die Tendenz, aus Sicherheitsgründen zu verteilten Systemen überzugehen, steht durchaus nicht im Widerspruch zum ökonomischen Betrieb im Normalfall, wie man an den Preis/Leistung-Verhältnissen entsprechender Anlagen verifizieren kann.

Leistungsangebot konstant

Betrachtet man beispielsweise mittlere Kernkonfigurationen (das heißt lauffähig konfigurierte Zentraleinheiten, aber ohne Band-Plattenund Papierperipherie sowie ohne Terminals) der Systeme IBM 4361-M05, 4381-R03, 3084-QXC, 3090-200, 3090-400 und nimmt man an, daß die systemnahe Software bei der kleinsten Anlage zwischen 15 und 30 Prozent der Hardwarepreise ausmacht, bei der größten zwischen 3 und 8 Prozent (dazwischenliegend, näherungsweise interpoliert), beschafft man weiter für rund 20 Millionen Mark jeweils identische Kernkonfigurationen der obigen Modelle, so erhält man die in der Abbildung wiedergegebenen Leistungen (in Mips) und Hauptspeicherkapazitäten. Wie man aus der Mips-Kurve sieht, ist das Leistungsangebot in etwa konstant - vom Grosch'schen Gesetz kann keine Rede sein. Das Hauptspeicherangebot über die kleineren Anlagen ist erheblich größer als über die Großsysteme. Damit bestätigt sich die bekannte Tatsache, daß eine große Zahl unabhängiger, kleinerer Arbeiten parallel besser in mehreren kleineren Systemen als in einem Großsystem erledigt wird. Die verteilten Systeme haben also nicht mehr gegen das Grosch'sche Gesetz anzukämpfen.

Im Einzelfall mögen Raum- und Personalfragen zu anderen Resultaten führen, grundsätzlich wird aber künftig die einzelne Anlage mehr vom Umfang des größten geschlossenen Aufgabenkomplexes her bestimmt werden und weniger von der Summe aller Aufgabengebiete. Schließlich ermöglicht die Vernetzung der Anlagen untereinander durchaus den Datenaustausch zwischen den einzelnen DV-Systemen wenn keine extremen Anforderungen gestellt werden. Sicherheit und Wirtschaftlichkeit gehen also auf dem Weg zu verteilten Systemen Hand in Hand. Dem von der Struktur her sicheren DV-System - dem Pendant zur selbsttragenden statischen Konstruktion - kommen wir über die verteilten Systeme einen wesentlichen Schritt näher. Eine weitere Entwicklung, die sich gerade in letzter Zeit im Hardwarebereich vollzog kann als ein zweites Element der strukturell sicheren DV-Konfiguration angesprochen werden:

Es sind dies die sogenannten "Kanalverlängerungen" über Glasfaserkabel, die das Absetzen von Steuereinheiten auch für schnelle Ein- und Ausgabegeräte bis zu mehreren Kilometern Entfernung erlauben. Beispielsweise gestattet die Kanalverlängerungseinheit BASF 6044 Übertragungsraten bis zu 1,4 MB pro Sekunde und bis zu 5 Kilometern Entfernung. Es wird damit möglich, die operateurbedienten Peripheriegeräte, wie Konsole, Drucker, Magnetbandgeräte etc. vom Nukleus der DV-Anlage (CPU, Plattenspeicher) hinreichend weit abzusetzen.

"Verteilte DV-Anlage" wird möglich

Diese Distanzen von mehrere Kilometer überbrückende Kanalverlängerungen sind in der Lage, die Geometrie von Rechenzentren zu revolutionieren. Die Unterbringung von Zentraleinheiten und Hintergrundspeichern in einem Raum oder Wand an Wand ist nicht länger erforderlich: Die "verteilte DV-Anlage" wird möglich, das heißt, Komponenten ein und derselben Anlage können auf mehrere Stockwerke, ja Gebäude verteilt aufgestellt werden, ohne daß ihre Funktionsfähigkeit im geringsten leidet. Die nicht operateurbedienten Komponenten können an passenden Stellen eingebunkert werden.

Ebenso kann eine größere Zahl verteilter DV-Anlagen von einer Bedienerzentrale aus gesteuert und zumindest softwaretechnisch gewartet werden. Es ist absehbar, daß die Geschwindigkeit dieser Kanalverlängerungen über kurz oder lang auch das Absetzen von Plattenspeichern erlauben wird. Damit wird es möglich sein, Mehrrechner-Systeme ohne Leistungseinbußen beliebig, ja kilometerweis, zu verteilen. Obwohl man hiervon sicher nur in Ausnahmefällen Gebrauch machen wird dürfte es doch zur Regel werden, zumindest die nicht operateurbedienten Systemkomponenten, CPU und Plattenspeicher, gesichert in entsprechender Entfernung vom normalen Geschäftsbetrieb unterzubringen und die Archivspeicher (automatische Datenspeicher beziehungsweise optische Plattenspeicher)' an einem dritten Ort in größerer Entfernung abzustellen.

Bisher sind wir davon ausgegangen, gleichrangige Arbeitsgebiete, die untereinander nicht in einem permanenten, sehr intensiven Datenaustausch stehen, auf unterschiedlichen DV-Anlagen zu installieren, die wir der Einfachheit halber als etwa der gleichen Leistungsklasse zugehörig annahmen. Wir haben damit die Möglichkeit wahrgenommen, die Last eines Großrechners - sofern sie, wie häufig, nur aus einem Konglomerat mittelgroßer Aufgaben besteht - gewissermaßen horizontal auf mehrere DV-Systeme zu verteilen.

Es gibt aber auch die Möglichkeit einer hierarchischen Aufteilung von Aufgaben auf DV-Anlagen verschiedener Größenordnungen - vom Großrechner bis hin zum Arbeitsplatzrechner - etwa derart, daß der übergeordnete Rechner die räumlich oder zeitlich übergreifenden Aufgaben wahrnimmt und die detailliertere Bearbeitung von Teilaufgaben jeweils an die Rechner der darunterliegenden Hierarchiestufe vergibt. Entsprechend kann man mit den Daten verfahren werden: Beispielsweise wird der Bestand an Kundenaufträgen in den DV-Anlagen der höchsten Hierarchiestufen abgespeichert werden, bereits die Betriebsaufträge eines Monats können auf Produktionsplanungsrechnern, Wochenbestände von Betriebsaufträgen auf Produktionsleitrechnern, Tagesbestände auf direkt in der Fertigung eingesetzten Steuerungsrechnern abgespeichert sein. Bei einer derartigen hierarchischen Stufung enthält das übergeordnete DV-System immer die Datenbestände, aus denen nach einem Ausfall einer Anlage jene der darunterliegenden Hierarchiestufe wiederhergestellt werden können. Auch diese vertikale Verteilung der DV-Leistung hat neben vielen anderen Vorzügen solche der Selbstabsicherung von DV-Systemen.

Bei bewußter Berücksichtigung der horizontalen und vertikalen Strukturierung "verteilter DV-Systeme" wird es nun möglich, die (eventuell ebenfalls "verteilten") Groß- und Größtrechner im wesentlichen wirklich nur den großen Aufgaben vorzubehalten - die es natürlich immer geben wird. Während in den unteren Hierarchiestufen jede DV-Anlage, sowohl durch solche der gleichen Hierarchiestufe als auch der darüberliegenden substituiert werden kann, besteht für die oberste Hierarchiestufe bei Bedarf die Möglichkeit, sie über externe Ausweichrechenzentren abzusichern.

Die Planung eines strukturell sicheren DV-Systems muß, wie wir gesehen haben, wegen deren Komplexität, aber auch im Interesse der Ausnutzung der immer breiter angebotenen technischen Möglichkeiten bereits von Beginn der Systemplanung an betrieben werden; sie ist nicht Sache eines zweiten Schrittes. In dem Maße, wie es gelingt, durch "verteilte" DV-Systeme, ja sogar durch "verteilte" DV-Anlagen dieses zu realisieren, wird es allmählich uninteressant, vorsätzlich DV-Anlagen zu zerstören, denn der erreichbare Schaden sinkt dann fast auf den Materialwert - vom heute hochempfindlichen Nervenzentrum kann sich so die DV zu einer der robustesten Gerätschaften des Unternehmens entwickeln.

Professor Dr. Adolf Schreiner ist Ordentlicher Professor am Lehrstuhl für große Rechenanlagen an der Universität Karlsruhe und Direktor des Rechenzentrums der gleichen Universität.