"Rent-a-Guru" hat sich seit den fruehen achtziger Jahren im Unix-Umfeld bewegt, sicherheitssensitive DV-Anwendungen sind seither eine bekannte Gruesse. Ziel des Zusammenschlusses von Freiberuflern aus dem Rhein-Main-Gebiet war der Austausch von Know-how und Personal im Trainings- und Projektbereich.Die im folgenden zu beschreibende Anwendung war durch das neueste Betaetigungsfeld motiviert: den Betrieb eines Web-Servers fuer eigene Zwecke und das Angebot entsprechender Dienstleistungen fuer Dritte. Dass Rent-a-Guru hier zugleich Anwender und Provider ist, rueckte die Zuverlaessigkeit der eingesetzten Software und des verwendeten Verfahrens in den Mittelpunkt der Ueberlegungen.
Verbindungsausfall kann ein Meldekriterium sein
Zuverlaessigkeit muss auch dann gewaehrleistet sein, wenn herkoemmliche Meldewege, wie zum Beispiel Mail-Verbindungen, ganz oder teilweise versagen, denn der Ausfall von Kommunikationsverbindungen kann ja gerade das Meldekriterium sein.Viel Personal will man nicht brauchen. Der Servicetechniker, der rund um die Uhr neben der Konsole des Servers sitzt und auf den hoffentlich nie eintretenden Stoerungsfall wartet, ist sicher nicht die geeignete Loesung.
Bei naeherem Hinsehen zeigte sich, dass die vermeintlich vorhandenen Loesungen meist darin bestanden, dass anstelle eines D- Netz-Mobiltelefons ein Pager (Cityruf oder aehnliches) verwendet wurde. Dieser Benachrichtigungsweg hat jedoch den gravierenden Nachteil, dass die Nachricht leicht verlorengehen oder verstuemmelt werden kann - fuer ein Alarm- und Telemetriesystem schlichtweg inakzeptabel. In einigen Faellen konnte der Verkaeufer eine funktionierende D-Netz-Software fuer Windows vorweisen, der es jedoch an Offenheit mangelte. Die Unterstuetzung von Unix- Plattformen war in einigen Faellen wohl bestenfalls angedacht, und von der Integrationsfaehigkeit in ein Warnsystem war man in jedem Fall weit entfernt.Es genuegt keineswegs, ein geeignetes Softwarepaket zu finden, denn die eigentliche Arbeit steckt in der Konzeption, und die Software ist lediglich eines von mehreren Mitteln zum Zweck. Die geplante Dienstleistung ist fuer Betreiber von grossen Rechnersystemen gedacht, die fast staendig verfuegbar sein muessen. Den Zuschlag bekam das Muenchener Unternehmen "Dignatz Consulting", das nicht nur die entsprechende Software fuer Unix- Plattformen anbot.Dass die verwendete Software "SMS-Alert" nur Werkzeugcharakter haben kann, bestaetigt selbst deren Hersteller: "Das ist keine Plug-and-play-Anwendung. Die eigentliche Leistung steckt in dem Konzept, das fuer jede Anwendung kundenspezifisch erstellt werden muss. Und genau damit sind die PC-Fritzen ueberfordert, selbst wenn sie ihre Software erfolgreich von Windows auf Unix portiert haben. Von Sicherheit und von Hochverfuegbarkeits-Anwendungen auf wirklich grossen Maschinen verstehen die soviel wie Eskimos von der grossen Hitze." Die meisten Systembetreiber schaffen es nicht aus eigener Kraft, Konzepte zu entwickeln, deren Umsetzung Sicherheit oder extrem hohe Systemverfuegbarkeit garantieren soll. In der Regel ist externes Know-how notwendig, um folgende Punkte zu klaeren:
1. Wie hoch muss die Verfuegbarkeit/Sicherheit eines Systems oder Netzwerks wirklich sein? 100 Prozent sind unmUeglich.
2. Worin besteht die Verfuegbarkeit/Sicherheit im einzelnen (Kriterien)?
3. Was darf die Verfuegbarkeit/Sicherheit maximal kosten?
4. Welche Arten von Betriebsstoerungen koennen eintreten, bei denen ein Systemtechniker alarmiert werden soll?
5. Wie sollen die Schwellenwerte pro Ereignis eingestellt werden, bei deren Ueber- oder Unterschreitung eine Alarmierung erfolgen soll?
6. Welcher Personenkreis soll per Handy oder auf anderen Meldewegen informiert werden?
7. Was soll der alarmierte Personenkreis bei welchem Ereignis tun, und welche Infrastruktur ist dafuer bereitzustellen?
8. Soll vorgesehen werden, dass zum Beispiel ein Supervisor mitverfolgen kann, wann seine Systemtechniker die Alarmmeldungen auf ihren Handies erhalten?
Diese Liste ist keineswegs vollstaendig, kann aber einen Eindruck davon vermitteln, dass es nicht genuegt, "drauflos" zu alarmieren.
Das Rent-a-Guru-Alarmierungssystem (vgl. Abbildung) sollte fuer eigene Zwecke folgende Ereignisse, zum Teil nach Ueberschreitung bestimmter Schwellenwerte, per Handy melden:
1 Nichtautorisierte Systemverwalter-Login- oder Su-Versuche, vor allem ueber Modemanschluesse (Meldung immer);
2 volle Dateisysteme (Meldung bei Ueberschreitung eingestellter Grenzwerte);
3 Fehler bei der automatischen Datensicherung (Meldung immer);
4 Nichterreichbarkkeit von Rechnern im LAN (Meldung immer) sowie
5 Spannung des Notstromakkus einer remote eingesetzten Alarmanlage sinkt unter oder steigt ueber die eingestellten Schwellenwerte.
Die Loesung nennt bei Meldungen zu jedem dieser Punkte immer den Namen und Standort des betreffenden Rechners mit. Bei nichtautorisierten Systemverwalter-Logins (Punkt 1) wird auf das Handy-Display uebermittelt, auf welchem Rechner an welchem Ort zu welcher Zeit an welchem Anschluss ein solcher Versuch erfolgte und ob er erfolgreich war. Dieses Verfahren laesst sich durch einfache Konfigurationseintraege auf beliebige Benutzer ausdehnen. Die ersten vier Zeilen einer solchen Meldung werden auf dem Handy angezeigt. Es kann nur vier Zeilen a 16 Zeichen gleichzeitig darstellen, doch eine SMS-Meldung kann maximal 160 Zeichen lang sein. Wer noch mehr braucht, kann bis zu 640 Zeichen verschicken. In diesem Fall segmentiert das Mobilfunknetz die lange Nachricht in vier einzelne SMS-Nachrichten a 160 Zeichen.
Unautorisierte Login-Versuche gab es in der Vergangenheit - vom Prinzip her - ausschliesslich ueber Modemanschluesse. Durch das Internet wird sich das aendern. Der Zufall wollte es, dass auch Dignatz Consulting im vergangenen Jahr zeitweilig unter Einbruchsversuchen zu leiden hatte und deshalb schon im eigenen Interesse ein entsprechendes Warnsystem zur sofortigen Benachrichtigung implementierte. Ein weiteres Problem: Wenn Mitarbeiter, die keine Systemverwalterfunktion haben, versuchen, sich als Root einzuloggen, dann sollten Sie zumindest telefonisch reagieren koennen. Entweder braucht der Mitarbeiter Hilfe, und wenn man Pech hat, stehen alle Raeder still, oder er versucht einen Sicherheitsbruch.
Wann ein Dateisystem als ueberfuellt gelten soll (Punkt 2), laesst sich nur empirisch ermitteln. Zum einen soll die Alarmierung erfolgen, bevor ein bestimmtes Dateisystem tatsaechlich voll ist und gar nichts mehr geht. Nur so laesst sich vermeiden, dass Anwendungen, die auf Plattenplatz angewiesen sind, zwangsweise beendet werden. Zum anderen will man die Aufmerksamkeit eines Systemtechnikers aber auch nicht dadurch strapazieren, dass staendig Meldungen auf seinem Handy eingehen, die inhaltlich belanglos sind und keine Intervention erfordern. Hier wird mitgeteilt, welche Partition wie voll ist.
Schwellenwerte richtig festlegen
Fehler bei der Datensicherung (Punkt 3) ergeben sich typischerweise bei Schreibfehlern auf dem verwendeten Magnetband. Kritischer kann es jedoch werden, wenn die Datensicherung nicht erfolgt, weil die vorangehende Dateisystemueberpruefung auf einer Plattenpartition Fehler festgestellt hat. In diesem Fall ist manuelles Eingreifen vor Ort zwingend erforderlich. Dieser letztere Fall ist heute extrem selten. Wenn er allerdings auftritt, sind die Fehler auf der Plattenpartition gravierend.
Das System informiert ueber LAN-Fehlfunktionen und Rechnerabstuerze (Punkt 4), die in der vorgegebenen Umgebung jedoch ausgesprochen selten sind.Die Kontrolle von sicherheitsrelevanten Stromspannungen (Punkt 5) stellt eine typische Telemetrieanwendung dar, bei der eine Messung in regelmaessigen Abstaenden genuegt. Die Intervalle muessen allerdings so kurz sein, dass sich signifikante Wertaenderungen rechtzeitig erkennen lassen. Das sogenannte Polling-Verfahren hat den Vorteil, dass an der entfernten Messstelle keinerlei eigene Intelligenz etwa in Form eines Rechners oder Mikro-Controllers notwendig ist. Dadurch lassen sich bei Bedarf mit geringsten Mitteln zusaetzliche Messstellen einrichten, die jeweils ueber eine Telefon-Modem-Verbindung abgefragt werden. Eine Zentrale kann beliebig viele Messstellen abfragen und bei Bedarf alle Messwerte miteinander verknuepfen. Rent-a-Guru ueberwacht auf diese Weise eine Muenchner Notstromversorgung von Darmstadt aus.
Eine typische Telemetrieanwendung
Keinen eigenen Gebrauch macht Rent-a-Guru von einer Softwarefunktion, die fuer einige Kunden unverzichtbar sein duerfte: Wenn eine Alarmmeldung an das Handy eines Systemtechnikers verschickt wird, kann beispielsweise ein Supervisor bei Bedarf feststellen, wann das Handy des Technikers die Nachricht tatsaechlich bekommen hat. Dazu wird der Mobilfunkrechner des D2-Netzes von der SMS-Alert-Software zusaetzlich aufgefordert, auf ein weiteres Handy eine Art Zustellbericht zu schicken. SMS-Nachrichten des Mobilfunknetzes gehen naemlich nicht verloren, sondern werden zwischengelagert, wenn das Handy des Empfaengers nicht erreichbar ist. Die Zustellung der Nachrichten erfolgt dann aber voellig automatisch, sobald sich das Handy wieder in das Mobilfunknetz einbucht. Anders als bei Pagern, die reine Empfangsgeraete sind, geschieht die Uebertragung von SMS-Nachrichten zum Handy unter Verwendung eines Kommunikationsprotokolls, so dass sie nicht verfaelscht ankommen koennen.Dignatz Consulting stellte sich schon in der ersten Version von SMS-Alert auf einen mUeglichen Boom des Internet-Bankings ein: "Wer als Geldinstitut Internet-Banking anbietet, braucht im Katastrophenfall schnelle Meldewege, die notfalls auch quer durch die Hierarchie gehen. Und da muss sofort nachvollziehbar sein, wer was wann bekommen hat."
Abschliessend noch eine kurze Anmerkung zum Thema "Make or Buy". Die "Gurus" vom Main hatten erwogen, die Software ausschliesslich selbst zu erstellen. Kostenmaessig waere das allerdings kein sehr weiser Entschluss gewesen, und auch die unmittelbare Verfuegbarkeit der benUetigten Funktionalitaet sprach gegen die Selbstprogrammierung.
Auch wenn demnaechst die Ueberwachung fremder Web-Server angeboten wird, wird daher das mittlerweile bewaehrte Prinzip des Meldewegs ueber SMS-Nachrichten beibehalten.
*Martin Weitzel ist DV-Berater in Darmstadt.
Kurz & buendig
Der Betrieb eines Web-Servers fuer eigene Zwecke war zunaechst Anlass genug fuer das Unix-orientierte Beraterteam "Rent-a-Guru" in Darmstadt, ein ausgefeiltes Sicherheitskonzept zu entwickeln. Fernziel: Vermarktung einer Sicherheitsdienstleistung auch im Internet-Umfeld an Dritte, zum Beispiel fuer Electronic Banking. Generell sind Hochverfuegbarkeits-Anwendungen auf grossen Unix- Servern anvisiert. Auch fuer typische Messwerterfassungen mit Sensoren ist das Verfahren geeignet. Eine Zentrale kann damit beliebig viele Messstellen abfragen und die Werte auch miteinander verknuepfen.