Ohne funktionierende Informationsverarbeitung sind insbesondere Großunternehmen nicht mehr lebensfähig: Bei einem vollständigen Ausfall des Rechenzentrums, weist eine Studie der Universität Minnesota nach, können Vertriebsfirmen zum Beispiel noch drei Tage, Produktions- und Versicherungsunternehmen rund fünf Tage überleben. Die Vorsorge für den Fall einer DV-Katastrophe wird damit zu einer Frage der Existenzsicherung für das gesamte Unternehmen.

Obgleich dieser DV-bedingte Unternehmens-Exitus jedem widerfahren kann, hält sich in bundesdeutschen Firmen in Sicherheitsfragen hartnäckig die "Wasch mir den Pelz, aber mach mich nicht naß"-Attitüde. Schwachstellenanalysen zur Überlebensvorsorge zeigen immer wieder, daß Sicherheitskonzepte unvollständig sind und Vorsorge für den DV-Katastrophenfall nur halbherzig betrieben wird. Der Hinweis auf unzureichende Sicherheit im Rechenzentrum wird in Diskussionen gerne mit Kostenargumenten vom Tisch gewischt. Diese sind unter Berücksichtigung der sicher fatalen Konsequenzen eines längeren Ausfalls nach Ansicht von Sicherheitsexperten allerdings nur vordergründig stichhaltig.

Als effiziente Sicherheitslösung empfiehlt zum Beispiel Dipl.-Kfm. Werner Götze, Mitglied des Vorstandes der AHW-Bausparkasse, Hameln und dort unter anderem verantwortlich für den Org./DV-Bereich und die "Katastrophenplanung", warme Back-Up-Rechenzentren: "Ein jederzeit betriebsbereites Back-Up-Rechenzentrum, das nur für den Notfall vorgesehen ist, ist die einzige Alternative für die Weiterführung eines ununterbrochenen EDV-Betriebes. "

Dieses Back-Up-Rechenzentrum müsse von mehreren Unternehmen finanziell in Form eines eigenen oder eines Dienstleistungsunternehmens getragen werden. Ein wichtiger Nebeneffekt dieser Sicherheitslösung: Die Entwicklungs- und Testarbeiten aller beteiligten Partner können (und sollten) in diesem Back-Up-Rechenzentrum durchgeführt werden. Unter diesen Umständen sei es möglich, meint der Hamelner Sicherheitsexperte, im Katastrophenfall die gesamte Anlage dem betroffenen Unternehmen für die Durchführung der komplexen Praxisarbeiten zur Verfügung zu stellen. Die Entwicklungs- und Testarbeiten der übrigen Kooperationspartner könnten dann in den Nacht- und Wochenendzeiten wenn auch vorübergehend eingeschränkt - auf deren Anlagen durchgeführt werden.

Um für den Ernstfall eine kurzfristige Übernahme und störungsfreie Durchführung sicherzustellen, muß das Konzept natürlich getestet, der Ablauf trainiert werden: "Mindestens sechsmal im Jahr", fordert der auf 20-jährige DV-Erfahrung zurückblickende AHW-Vorstand. Und zwar müsse das eigene Personal die Durchführung aller seiner Aufgaben im Back-Up-Rechenzentrum testen.

Wie wichtig es ist, das eigene Sicherheitskonzept konsequent zu testen, zeigt sich spätestens, wenn der Ernstfall - ungeplant und ungetestet - eintritt. Ein Beispiel für viele: Als ein Großunternehmen seine teure und sorgfältig geplante Brandmelde- und Löschanlage in Aktion treten ließ, mußten die Sicherheitsplaner überrascht feststellen, daß das Personal den brennenden Raum nicht mehr verlassen konnte.

Dieser Fall mag zwar besonders kraß erscheinen, er illustriert aber anschaulich, wie notwendig eine umfassende Katastrophenplanung ist und wie wichtig es ist, dieses "Überlebens-Konzept" auch konsequent auf seine individuelle Eignung für das Unternehmen zu überprüfen.

Die im Betrieb installierten Informations-Systeme werden immer komplexen, Sicherheits-Konzepte, die gestern noch einer Überprüfung standgehalten hätten, brauchen heute schon nicht mehr zu "passen". Grundlage jeglicher detaillierter DV-Notfallplanung ist dabei eine umfassende Analyse der möglichen Risiken. Zeigt doch die Praxis - wie etwa einer Untersuchung der Diebold Parisini GmbH, dem Wiener "Ableger" der Diebold-Gruppe, zu entnehmen ist, "daß die größten Gefahren in ganz anderen Bereichen liegen als man aufgrund der Berichterstattung in den Medien annehmen würde".

Nur 15 Prozent aller Computerkriminalitätsdelikte entfallen, so die Diebold-Studie, auf den Diebstahl von Datenträgern und Informationen, auf jenen Bereich also, für den das Management durchaus sensibilisiert ist und durch organisatorische Maßnahmen entsprechend Vorsorge betreibt. Gravierender: Bereits 20 Prozent aller Delikte betreffen heute den Bereich "Brandstiftung und Bombenanschläge", und weitere 20 Prozent werden in der Kategorie "Sabotage" registriert.

Über die Gesamtauswirkungen derartiger Delikte für ein davon betroffenes Unternehmen lassen sich nur Vermutungen anstellen. Sicher dürfte bei aller "Geheimniskrämerei" der Betroffenen indes sein, daß der indirekte Schaden den direkt zurechenbaren im Regelfall weit übersteigt. Die Zahl von Kriminalitätsdelikten im DV-Bereich scheint zudem anzusteigen: Keine Vorsorge für den DV-Katastrophenfall zu betreiben, kann sich eigentlich heute niemand mehr erlauben.

*Volker Lindemann ist als Objektleiter bei CW-CSE, der Seminargruppe aus dem Verlag der Computerwoche, zuständig für die Planung und Durchführung von Kongressen und Seminaren. Am 16./17. Mai 1984 veranstaltet CW-CSE unter dem Titel "RZ 84" - "Leistungsoptimierung und Leistungssicherung im Rechenzentrum" im Europäischen Patentamt in München eine Fachtagung für effizientes RZ-Management, auf der unter anderem detailliert auf Konzepte zur Katastrophenplanung sowie auf praktische Back-Up-Lösungen zur Sicherung der Kontinuität der Datenverarbeitung eingegangen wird. Nähere Auskünfte erteilt: CW-CSE, Friedrichstr. 31, 8000 München 40, Tel.: 089/3 81 72-1 66/1 69, Telex: 5 215 350.