Amadeus-Konzept:

Integriertes Backup durch redundante Räume und Hardware

26.08.1988

Herr Dr. Koerver, Sie bauen eine Festung. Dieser Eindruck drängt sich auf, wenn man die Pläne des künftigen Amadeus-Rechenzentrums betrachtet. Warum muß sich Amadeus derartig martialisch präsentieren?

Der Festungscharakter ist nicht beabsichtigt. Wir bauen hier ein reines Zweckgebäude, das alle Funktionen beinhaltet, die mit einem Rechenzentrum an sich zu tun haben. Ausgeklammert sind solche Funktionen, die mit der Entwicklung der Software zusammenhängen oder mit dem Verkauf des Systems. Diese sind in Madrid oder in Nizza angesiedelt.

Die, wie Sie sagen, "martialisch" wirkende Form des Rechenzentrums ergibt sich aus einem dezentralen Konzept gewollter Flexibilität. Dezentral heißt, daß wir nicht die insgesamt für die Hardware benötigte Fläche in einem großen Raum oder in einem Gebäude konzentrieren wollten, sondern auf mehrere Etagen und Gebäudeteile verteilen, und zwar zur Absicherung im Hinblick auf Brandfälle in einzelnen Räumen, um notwendige Redundanzen zu schaffen.

Diese Dezentralisierung respektive Flexibilität des Systems bedeutet, daß wir zur Zeit erst einmal 60 Prozent dessen bauen, was auf diesem Grundstück möglich ist. Das sind rund 6000 Quadratmeter an reiner Hardwarefläche, verteilt auf sechs Räume.

Dezentral bedeutet weiter, daß wir die zugeordneten notwendigen Technikeinheiten ebenfalls dezentralisiert haben. Jeweils eine autonome technische Einheit versorgt zwei dieser Hardwarezellen von jeweils tausend Quadratmetern.

Aufgrund der gewählten Pentagon-Form für den Endausbau kann das Gebäude der ersten Realisierungsphase leicht erweitert werden, ohne daß der laufende Betrieb dadurch gestört werden müßte.

- Die Pentagon-Form resultiert also aus einem Konzept redundanter Flächen, die um eine gemeinsame Mitte angeordnet werden.

Ja. Die Kabellängen zwischen den Zentraleinheiten sollen nämlich nicht mehr als 60 Meter betragen. Von daher bietet sich ein Rundbau an. Man kann also auch bei künftigen Erweiterungen im Ramen dieser 60 Meter bleiben, wobei der Mittelturm naturgemäß von zentraler Bedeutung ist. Über ihn werden alle Räume verkabelt und erschlossen.

- Welche Vorbilder standen für die Trutzburg-Architektur Pate?

Wir haben keine derartigen Vorbilder gesehen, obwohl wir verschiedene EDV-Zentren in den USA besichtigt haben, zum Beispiel von CRS-Systemen (CRS = Computer Reservation System). Auch deutsche Zentren, die wir uns angeschaut haben, sind nicht vergleichbar. Das Amadeus-Konzept ist ganz in unserer Planung entstanden. Bewußt haben wir eine Lösung angestrebt, die im Hinblick auf die endgültige Größenordung voll flexibel ist, wobei Reservierungssysteme hinsichtlich der Rechnerarchitektur so konstruiert sind, daß acht Großrechner zusammenarbeiten. In der maximal möglichen Ausbaustufe hätten wir dann acht Räume mit jeweils einer IBM 3090/600 sowie den zugeordneten Platteneinheiten und Konzentratoren. Dazu kommen in der Endausbaustufe ein Raum, der die Trainings- und Entwicklungsmaschine beinhaltet, welche darüber hinaus auch eine Backup-Funktion wahrnimmt, ferner ein Reserve-Raum, der Umbauten zuläßt.

- Eine Ausdehnung in die Höhe ist keinesfalls möglich?

Nein. Wir haben zwei Etagen, die ausschließlich der Hardware und der sonstigen Technik zugeordnet sind; eine dritte Etage ist Sitz des eigentlichen Operation Centers, wo neben den Operatoren noch weitere Mitarbeiter stationiert sind, die sehr engen Kontakt mit der Hardware haben.

- Hat es eigentlich eine Ausschreibung für den architektonischen Rahmen gegeben?

Nein. Wir haben aufgrund der zeitlichen Engpässe auf ein Architekturbüro zurückgegriffen, das über Erfahrungen im Sektor Bau von Rechenzentren verfügte, nämlich das Büro Kammerer und

Bels & Partner in Stuttgart. Mit diesem Unternehmen sind wir unmittelbar in die Planung eingestiegen.

- Haben Sicherheitsaspekte bei der Standortwahl Erding eine wichtige Rolle gespielt?

Weniger Sicherheitsaspekte, als die kurzfristige Verfügbarkeit des Grundstücks haben zur Entscheidung Erding geführt. Die Geschwindigkeit, mit der das Amadeus-Projekt realisiert werden sollte, bedingte, daß wir ein Grundstück suchen mußten, daß volle Bebauungsrechte für ein Industrieobjekt hatte. Im Münchner Raum standen derartige Flächen nur sehr begrenzt zur Verfügung. Das Erdinger Areal kam aber auch einer anderen Anforderung entgegen, nämlich der Nähe zum neuen Flughafen. Wir glauben, daß wir unsere östliche Randlage in einer Entfernung von fünf bis sechs Kilometern besonders gut nutzen können; die Hauptverkehrsströme verlaufen nämlich auf der westlichen Seite.

- Was sprach gegen eine Positionierung unmittelbar am Flughafen?

Es gibt einschlägige Beispiele von CRS-Systemen, bei denen sich diese Überlegung als falsch erwiesen hat. Sie haben sich, gerade aus Sicherheitsgründen, vom Flughafen wegbewegt. Also haben wir die unmittelbare Nähe nicht gesucht. Hinzu kommt, daß die Infrastruktur am Airport selbst noch wenig erschlossen ist.

- Unabhängig von Architektur und Standort - welches waren normale und welches außerordentliche An- oder besser Herausforderungen, die an den Security-Planer gestellt wurden?

Ich möchte hier von der inneren Sicherheit sprechen. Wir haben versucht, die Möglichkeiten eines Systemausfalls weitestgehend zu reduzieren. In dem Konzept mit den sechs Räumen ist jeweils in einem solchen Segment nur ein Teil der Hardware untergebracht; fällt also ein Raum aus, kann der Betrieb des Systems dennoch störungsfrei weitergehen. Dieses Konzept der genügenden Redundanz auch durch das Gebäude und auf der technischen Seite ist hier perfekt durchgehalten. Das fängt damit an, daß wir die Hardwarezellen wie ein Batteriesystem zu dieser Pentagon-Form addieren können, so daß jede technische Zelle die andere, wenn sie Probleme hat, unterstützen kann. Das geht weiter mit der Energiezufuhr zu diesem Gebäude, die über zwei separate Leitungen eingespeist wird. Diese ist intern nochmals durch Anlagen für eine unterbrechungsfreie Stromversorgung gesichert beziehungsweise unterstützt. Zusätzlich gibt es Notstrom-Diesel-Aggregate.

- Welche Ausfallzeiten können Sie damit überbrücken?

Wir können hier unbegrenzt arbeiten, wenn wir genügend Diesel in den Tanks haben.

- Wenn ich Sie recht verstanden habe, ist das Backup im Gebäude selbst integriert. Sie verfügen also über kein externes Ausfallrechenzentmm beziehungsweise keine Anbindung an eine solche Einrichtung. Das kommt mir recht mutig vor. Immerhin gibt es auch in Bayern Erdbeben oder andere Katastrophen, von Flugzeugabstürzen gar nicht zu reden.

Das CRS-System basiert, wie schon gesagt, darauf, daß acht Rechner im Verbund arbeiten können und im Endausbau arbeiten werden. Diesen Rechnern sind über entsprechende Control Units ungefähr 350 Platteneinheiten zugeordnet. Auf diesen ist die Information gedoppelt, wobei es wichtig ist, daß man die Daten verschiedenen Räumen und technischen Einheiten zugeordnet hat, um bei Ausfall eines Raumes oder eines technischen Systems die andere Hälfte der Basisinformation noch zur Verfügung zu haben. Wenn man ein solches Rechenzentrum doppeln wollte, um ein entsprechendes Backup herzustellen, dann würde das ja bedeuten, daß man das Investment in Gebäude und Hardware nochmals duplizieren müßte, immerhin ein Investment von über 200 Millionen Dollar.

- Auffallend ist, daß hier zwar einem, wie Sie sagen "dezentralen Konzept" gehuldigt wird, aber dennoch alle Gebäude, alle Hardware, alle zu speichernden Daten an einem Ort - wenn auch nach dem Prinzip der Ausfallsicherheit - zentriert sind. Gibt es nicht dennoch ein Teil-Backup?

Ein Teil-Backup ist aufgrund der Architektur der Computer nicht möglich. Jeder Rechner hat eine spezielle Teilaufgabe; der eine macht Tarifberechnung, der andere zeigt welche Flüge buchbar sind, ein weiterer wickelt die Telekommunikation zu den rund

50 000 Terminals an den Buchungsstellen ab, auch die Reservierung von Hotels und Mietwaren liegt jeweils auf einem Rechner etc. Diese Spezialisierung der einzelnen Rechner bedingt, daß man das nicht irgendwo hinstellen und verkleinern kann. Das Erdbebenrisiko haben wir bei japanischen Rechenzentren studiert. Dabei hat sich gezeigt, daß dieses Gebäude kleinere Beben aushalten kann, auch sind die Maschinen nicht so empfindlich, wie man das normalerweise annimmt, speziell die Plattenstationen.

- Das Amadeus-Rechenzentrum scheint ein Prototyp eines "Smart-" oder "Intelligent Buildings" zu werden. Über den Grad der durch die Architektur bereits vorgegebenen Ausfallssicherheit hinsichtlich der Datenvolumina haben Sie schon gesprochen. Wie steht es mit der Infrastruktur, in erster Linie dem Verkabelungskonzept, das unter anderem ja auch für eine konstante Verfügbarkeit von entscheidener Bedeutung ist?

Wir haben auf der einen Seite die Kabel, die von außen kommen, die praktisch von der Bundespost gestellt werden und die zu Knotenpunkten gehen wie zum Beispiel Frankfurt, Stockholm, Paris, Nizza und Madrid oder auch nach Miami und zu Partnergesellschaften, die sich dem System angeschlossen haben. Sie kommen im Operator Center an, also im obersten Geschoß des eigentlichen RZ-Gebäudes. Von dort fließen die Daten in die Computer und wieder zurück zum Terminal des einzelnen Reisebüros oder der Luftverkehrgesselschaft.

Daneben existiert ein internes Datennetz, was erlaubt, Informationen aus den Rechnern herauszuholen oder, ein Terminal eines Reisebüros zu simulieren oder, um die Systemsoftware zu ändern, wenn neue Versionen der zugrunde liegenden Softwaresprache kommen. Dieses interne Netz läuft primär vom Rechenzentrum zum sogenannten Bürogebäude, besser Betriebsgebäude, weil hier alle Funktionen zusammengefaßt sind, die mit Systemprogrammierung, mit dem Netzwerk und der Telekommunikation zusammenhängen. Die Systemprogrammierer und Netzwerkexperten sind also von hier aus mit dem eigentlichen Rechenzentrum "verkabelt". Dieses Netzwerk ist ein modern konzipiertes Local Area Network (LAN), das von jedem Zimmer aus den Zugriff auf bestimmte Bereiche des Rechners erlaubt.

- Welche Art von LAN ist denn installiert, ein Hochgeschwindigkeits-Netzwerk auf der Basis von Token Ring?

Ja. Zwischen den beiden Gebäuden, werden die Daten auf einer Hochgeschwindigkeits-Lichtwellenleiter-Strecke übertragen. In dem Betriebsgebäude selbst setzen wir um auf Kupfer.

-Es war anläßlich der Grundsteinlegung zu diesem Gebäudekomplex von einem organisatorischen Sicherheitskonzept der sozusagen getrennten Personalwelten die Rede. Das verweist auf ein besonderes "Bedrohungspotential". Welche Risiken will man speziell damit ausschalten, und in welchem Maße kann das geschehen?

Die Grundidee ist, daß jedem Personalbereich mit bestimmten Funktionen nur ein bestimmter Zugriff gegeben wird. Ein Operator soll also das System betreiben können, aber nicht gleichzeitig technische Anlagen reparieren. Umgekehrt soll ein Techniker, der beispielsweise Filter auswechselt, keinen Zugang haben zu Computer-Räumen, weil er dort unter Umständen etwas verstellt oder beschädigt und damit eine unnötige Störquelle darstellt. Deshalb gibt es eine strikte Gliederung zwischen Operator-Personal und Technikern, die bedeutet, daß sie sich in dem Gebäude eigentlich nie begegnen können. Wir glauben, daß dies das erste Mal ist, daß man eine derartige Personaltrennung in einem Gebäude so konsequent konzipert hat.

- Wie ist die Rolle des Sicherheitsverantwortlichen definiert und abgegrenzt, funktional und zeitlich? Sicherheit ist zwar, wie gesagt wurde, ein Teil der "Business Administration". Eine Sicherheits-Schwachstellen-Analyse muß aber doch wohl durch alle Bereiche gehen und auf spezifische Verantwortlichkeiten aufsetzen?

Wir haben eine Einheit, die mit allem konfrontiert ist, was mit dem Gebäude und der Infrastruktur zu tun hat. Für diese Einheit gibt es einen verantwortlichen Leiter. Der Sicherheitsaspekt ist von daher in dieser Zentrale abgedeckt.

Alle Abteilungsmitarbeiter, die beispielsweise mit Equipment in die Gebäude rein und raus wollen, müssen an Lesegeräten vorbei, müssen sich also sozusagen unterordnen oder koordinieren, damit in den Gebäuden kein Wildwuchs stattfinden kann oder man nicht mehr feststellen kann, wo was fehlt oder wo zusätzliche Wärmelasten eingebracht worden sind. Gerade auf dem Kabelsektor ist das ein sehr wichtiger Punkt - der entsprechende Sicherheitseinrichtungen beispielsweise für den Feuerschutz berücksichtigen muß. Alles was den Zugang zum Gebäude, das Herein- und Herausbringen von Material, den Feuerschutz etc. angeht, ist in einer Einheit zusammengefaßt.

- Wie will man aber im engeren Bereich der eigentlichen Datenverarbeitung sicherstellen, daß Software und sensible Daten nicht in unrechte Hände respektive Rechner geraten, von Hacking und Virus-Implementationen gar nicht zu reden?

CRS-Systeme sind Systeme besonderer Art zumal sie in dieser TPF-Softwaresprache geschrieben sind und ohnehin spezielles Wissen erfordern, um überhaupt eingreifen zu können. Ein wesentlicher Punkt ist sicherlich, daß die Development-Gesellschaft, die die Software schreibt nicht am gleichen Ort stationiert ist. Schon deshalb besteht eine gewisse Schwierigkeit, als Applikationssoftware-Experte Veränderungen im System herzustellen. Das ist eine Abgrenzung, die in dieser Hinsicht sicherlich einen Vorteil darstellt. Das CRS-Gebiet ist sehr speziell. Das ist auch ein Schutz. Außerdem ist das CRS-System kein Time-sharing-System, was ein unbefugtes Eindringen ins System erschwert.

- Inwieweit sind die einzelnen Partner, also die Entwicklung in Nizza oder auch der Generalunternehmer IBM und der Softwareproduzent SystemOne mit im Obligo, wenn "etwas passiert". Gibt es spezielle vertragliche Klauseln und "Konventionalstrafen" oder Entsprechendes.

Zunächst einmal ist die Verantwortung, daß die Hardware und Software zusammenpassen bei IBM angesiedelt, bedingt durch deren Expertise. Wobei man bei unserem System sehen muß, daß das, was in den USA in zehn bis 15 Jahren gewachsen ist, hier innerhalb von zwei bis zweieinhalb Jahren aus dem Boden gestampft werden muß. Es ist nicht so, daß wir hier ein CRS-System einfach übernehmen. Wir möchten eine europäische Lösung. Das heißt wir wollen viele Dinge, die heute in den europäischen CRS-Systemen der einzelnen Luftfahrtgesellschaften Standards sind, auch in unserem System wiederhaben. Das bedingt, daß man in dem gewählten US-System entsprechende Änderungen machen muß.

- Was bedeutet europäisch?

Der Komfort beim Einwählen ins System und bei der Abfrage ist in Europa höher. Was wir hier nicht haben, nämlich alles was mit Hotel- und Autovermietung zusammenhängt, war das entscheidende Kriterium für die Beschaffung eines US-Systems.

- Wenn ich interpretieren darf: Es ist vieles neu zu entwickeln. Allzugroße Sicherheitsgarantien kann man fairerweise nicht verlangen.

Im Vordergrund steht zunächst einmal nicht so sehr die Sicherheit, als die Performance, also das System überhaupt operabel zu machen. Auf der anderen Seite haben wir die IBM, die dafür sorgen muß, daß die Software im Ramen des Gesamtprojekts auch auf die Hardware paßt.

- Welche interne und externe Bedrohung oder Fehlerquelle ist eigentlich die dominante, womit rechnen Sie am meisten?

Intern ist sicherlich Feuer ein ganz wesentlicher Punkt, weil man einfach durch die vielen Kabel und die hohe elektrische Energie, die hier reingeht, ständige Brandgefahr hat. Wir haben die Zwischenböden mit CO2 abgesichert, auch aus dem Umweltschutzgedanken heraus. Man hätte auch Halon nehmen können.

Dazu haben wir noch die Absicherung durch eine Sprinkleranlage. Die Hauptbrandlasten liegen aber im Boden, und die kann man am wirkungsvollsten mit Gas bekämpfen.

- Sieht Ihre Katastrophenplanung eine über das Übliche hinausgehende Einbeziehung der örtlichen Feuerwehren mit ein?

Der Schutz unserer Anlagen ist primär eine innerbetriebliche Aufgabe, zum Beispiel auch die Mitarbeiter im Feuerschutz zu schulen, damit man auch intern möglichst umfassende Mittel zur Verfügung hat, und nur in den wenigsten Fällen Hilfe von außen braucht.