Nicht zum besten bestellt ist es in den meisten deutschen Unternehmen um die Brand- und Katastrophenvorsorge. Die Reaktionen der Anwender reichen von Ahnungslosigkeit über Schulterzucken bis Fatalismus. Besonders schlimm sieht es mit der Sicherheit der unternehmenswichtigen Daten aus. Jeder weiß, daß es ohne sie kein Weiterarbeiten gibt, aber kaum jemand trägt dieser Tatsache Rechnung. Ein sorgsam ausgetüfteltes Konzept, das jedem Mitarbeiter seine Aufgabe für den Ernstfall zuweist, ist eher die Ausnahme.

Wenn in den Räumen des regionalen Rechenzentrums im Großraum Stuttgart Feueralarm gegeben wird, bedeutet das für die Mitarbeiter nicht gleich einen Grund zur Panik. Der Schichtleiter tritt sofort in Aktion und weist den Anwesenden ihre Aufgabe zu: Als erstes wird die Klimaanlage abgeschaltet, damit nicht zusätzliche Frischluft zum Brandherd gelangt. Mittlerweile ist bereits die Feuerwehr alarmiert und wird wie Tests bewiesen haben, in spätestens drei Minuten an Ort und Stelle sein.

Zweifache Vorsorge für den Brandfall

Vorsorge hat die Geschäftsführung vor allem für die unternnehmenswichtigen Daten getroffen. Magnetbänder und Platten sind das erste, was im Ernstfall in Sicherheit gebracht wird. Über die Fluchtwege weiß grundsätzlich jedermann Bescheid, der länger als eine Woche hier arbeitet. Es scheint also auch im Ernstfall gar keinen Grund zu geben, den Kopf zu verlieren.

Natürlich fiel den Stuttgartern ihr Brandschutzkonzept nicht in den Schoß, sondern ist das Ergebnis einer genauen Planung: 1981 ließ sich das Unternehmen eine systematische Sicherheits- und Risikoanalyse erstellen. Die im Gutachten aufgeführten Maßnahmen zur Verbesserung der Sicherheit wurden kalkulatorisch bewertet und schließlich im Rahmen eines auf drei Jahre angesetzten Investitionsplans realisiert.

Für den Ernstfall ergab sich hieraus eine Vorsorge in zweifacher Hinsicht. Einmal ist ein Katastrophenplan vorhanden, der allen Entscheidungsträgern einen gewissen Spielraum läßt. Er wurde, so der Geschäftsführer, der aus Sicherheitsgründen nicht namentlich genannt sein will, ganz bewußt nicht bis ins letzte Detail perfektioniert. Damit soll das Moment der Eigenverantwortlichkeit stärker betont werden. Im Vergleich zu diesem theoretischen Plan hat sich jedoch die praktische Katastrophenübung als wesentlich wichtiger erwiesen: Von Zeit zu Zeit trifft sich die gesamte Mannschaft außerhalb der eigentlichen Arbeitszeit im Rechenzentrum. Die Daten werden vom System heruntergeladen und ins Archiv gebracht. Aufgabe der Mitarbeiter ist es jetzt, das System aus den bei zwei verschiedenen Banken abgelegten externen Beständen mit allen Anwendungen und Benutzerdaten hochzufahren.

Um im Ernstfall mit den unternehmenswichtigen Daten sofort weiterarbeiten zu können, werden die Backups im Banksafe deponiert. Einmal wöchentlich findet eine Generalauslagerung aller Dateien, Bibliotheken und Prozeduren statt. Da auch die Wichtigkeit der Bewegungsdaten nicht zu unterschätzen ist, kommen sie ebenfalls in das Bankdepot - und zwar in täglichem Rhythmus. Der Geschäftsführer: "Durch diese Maßnahmen können wir im Extremfall mit dem Nachfahren von fünf Arbeitstagen jederzeit den absolut aktuellen Stand rekonstruieren. Dieser Zeitraum ist zu verkraften, ohne daß wir in eine unternehmensbedrohende Situation geraten."

Risikovorsorge ist der Ausnahmefall

Auch an die Sicherheit der Mitarbeiter haben die Verantwortlichen gedacht: Überall im Rechenzentrum sind große Hinweistafeln angebracht, die in Form von fünf Stichpunkten genau erklären, was im Brandfall zu tun ist. Diese Plakate haben die Mitarbeiter täglich vor Augen. Dadurch, so der Geschäftsführer, gehen diese Regeln allen Beteiligten so in Fleisch und Blut über, daß sie sich im Ernstfall automatisch richtig verhalten.

Bei einem Rundblick über die deutsche DV-Landschaft stellt sich eine so genau kalkulierte Risikovorsorge jedoch eher als Ausnahmefall dar. Hierzulande gehören etwa 90 Prozent der Anwender zu den kleinen oder mittleren Betrieben von ihnen ein Fremdwort, oft gibt es nicht einmal einen Datensafe. Die 3000 Mark, die ein solcher Tresor kostet, werden lieber gespart oder an anderer Stelle ausgegeben - im Vertrauen darauf, es werde schon nichts passieren. Daß im Brandfall die Existenz des ganzen Unternehmens auf dem Spiel steht, verdrängen auch die DV-Chefs geflissentlich. Oft ist nicht einmal bekannt, welche zusätzlichen Risikofaktoren die Datenverarbeitung mit sich bringt.

So ist in vielen Rechenzentren die Beleuchtung 16 Stunden oder gar "rund um die Uhr" eingeschaltet. Neigt sich die Lebensdauer einer solchen Leuchtstoffröhre dem Ende zu, beginnen die Leuchtkörper zu flackern, und es herrscht erhöhte Brandgefahr. Ein anderes düsteres Kapitel ist die Verwendung von PVC im Rechenzentrum. Nicht nur Kabelisolierungen sind aus diesem Material gefertigt; es gibt immer noch Bodenbeläge oder Schrankverkleidungen, die aus Poly-Vinyl-Clelorid bestehen. Mag PVC aus vielen Gründen noch so praktisch sein, im Brandfall wird es zur Gefahrenquelle. Schon bei Temperaturen ab 80 Grad Celsius kommt es zur Freisetzung von gefährlichen Gasen, die sich mit dem fast überall vorhandenen Wasserdampf zu Säuren verbinden. Auch daß das Innere eines Computers fast ausschließlich aus Kunststoff besteht, wird geflissentlich ignoriert. Dabei stellt gerade eine DV-Anlage eine enorme Brandlast dar, die auch für angrenzende Räumlichkeiten als Stützfeuer wirkt.

Risikofaktor Nummer eins ist nach Ansicht von Rainer von zur Mühlen, Geschäftsführer der Bonner Simedia Sicherheitsberatung, das Umfeld des Rechenzentrums. Der eigentliche Brandherd liege nur selten im RZ selbst. Im Laufe seiner Beratungstätigkeit hat von zur Mühlen festgestellt, daß 90 Prozent aller Schadensfälle, die auf die DV-Einrichtungen einwirkten, vom Umfeld aus übergreifen. Diese Sekundärschäden legen jedoch oft die gesamte Datenverarbeitung lahm. Sind beispielsweise Lüftungs- und Kabelschächte nicht hinreichend abgesichert oder ist die Installation der Brandschutztüren mangelhaft, so ist immer auch das eigentliche RZ gefährdet.

Durch Nichtwissen oder Mißachtung dieser Tatsache begehen viele Unternehmen schwere konzeptionelle Fehler. Wie die Simedia herausfand, sind fast alle in Rechenzentren eingebauten Brandschutzklappen falsch konzipiert. Lediglich dort, wo stationäre Löschanlagen installiert sind, gebe es pneumatisch angesteuerte Brandschutzklappen, die automatisch zufahren, wenn Löschgas in das Rechenzentrum eindringt. Demgegenüber funktionierten etwa 90 Prozent der Brandschutzklappen thermisch über sogenannte Schmelzlotmelder. Von zur Mühlen: "Denkt man daran, wie sich Rauch im Gebäude verteilt, wie schnell er erkaltet und welch korrosive Wirkung er trotzdem hat dann müßte eigentlich jedermann klar werden, daß ein solches Konzept falsch sein muß."

Am Schutzziel vorbei geht auch die Konzeption der meisten Rechenzentren. Zwar sind die unmittelbaren Räumlichkeiten des RZ mit Brandmeldeanlagen und Löscheinrichtungen ausgerüstet. Bei Betrachtung der umliegenden Zimmer, Gänge und Treppenhäuser stellt sich jedoch sehr oft heraus, daß von derartigen Feuerschutzmaßnahmen nichts mehr zu merken ist. Unter dem Risikoaspekt ist dies völlig falsch, da ein von außen kommender Brand nahezu unbemerkt auf das Rechenzentrum übergreifen könnte.

Katastrophenpläne sind oft falsch konzipiert

Ein Kapitel für sich sind die in den Unternehmen kursierenden Katastrophenpläne. Nach Erfahrung der Experten von Simedia sind auch sie unter dem Schutzzielgedanken oft falsch aufgebaut. Diese Konzepte, so von zur Mühlen, haben meist einen beachtlichen Umfang und sind schon in dem Augenblick veraltet, wo sie verabschiedet werden. Als geradezu gefährlich könne es sich erweisen, wenn ein perfektionistisch ausgeklügelter Plan die Mitarbeiter im RZ der Eigenverantwortung enthebt. Im Katastrophenfall müsse nämlich oft aus der Situation heraus entschieden werden, was zu tun ist. Dies aber sei ohne Bereitschaft zur Übernahme von Verantwortung nicht möglich. Das Konzept dürfe nicht für die ewigen Zauderer zum willkommenen Alibi gegen notwendige Entscheidungen werden.

Für die Wiederanlaufphase nach der eigentlichen Katastrophe haben die Sicherheitsberater ebenfalls ein paar Tips. Auch hier setzen sie auf den mündigen Mitarbeiter, vor allem im Bereich der DV-Leitung. Der Idealfall würde nach Ansicht von zur Mühlens so aussehen: Der Vorstand setzt dem DV-Leiter einen Termin, bis zu dem die Datenverarbeitung wieder einsatzfähig sein muß. Alles andere sollte in der Verantwortung des DV-Leiters liegen, der sich mit dieser Materie ja auskennt. Wichtig ist, daß das Verhältnis zur Fachabteilung als Teil des Katastrophen-Rahmenplans eindeutig festgelegt wurde. Sonst besteht immer die Gefahr, daß eine hierarchisch höher angesiedelte Person dem DV-Leiter in seine Entscheidungen hineinredet.

Wiederaufbau erfordert Eigenverantwortlichkeit

So muß auch klargestellt sein, daß der DV-Leiter über einen bestimmten Sicherheitsetat, der nicht zu knapp bemessen sein sollte, frei verfügen kann. Oft scheitert nämlich die Katastrophenvorsorge bereits daran, daß der DV-Boß aus Kostengründen nicht eigenmächtig Sicherheitseinrichtungen anschaffen kann, da jede Kleinigkeit erst vom Vorstand genehmigt werden muß. Da niemand gern als "Kostenverursacher" ins Fettnäpfchen tritt, unterbleiben viele lebensnotwendige Maßnahmen von vornherein.

Wie Dieter Lenz, Geschäftsführer der auf Brandschutz- und Datensicherheitsprodukte spezialisierten Otto Lampertz GmbH, feststellen konnte, sind sich die Verantwortlichen in den oberen Unternehmensetagen inzwischen immerhin der Bedeutung der Datenverarbeitung bewußt geworden. Sie haben auch erkannt, daß es sich hier um einen neuralgischen Punkt handelt. Eine logische Konsequenz aus dieser Tatsache wäre für Lenz, daß die DV-Leitung den Auftrag bekommt, Risikogröße und -faktoren zu bestimmen. Im Gespräch stelle sich jedoch meist heraus, daß die Verantwortlichen nur im Ausnahmefall mit klaren Vorstellungen aufwarten könnten. Dies aber sei Grundvoraussetzung für eine sinnvolle Analyse, aus der dann Maßnahmen abgeleitet werden sollten.

Nicht zu vernachlässigen ist bei all diesen Überlegungen natürlich der Kostenfaktor. Können sich einige wenige Großanwender ein komplett eingerichtetes Reserve-Rechenzentrum leisten, so scheidet diese Möglichkeit der Katastrophenvorsorge für den "kleinen Mann" meist schon von vornherein aus. Deshalb ist es für ihn wichtig, Prioritäten zu setzen. Lenz: "Die schönsten Katastrophenpläne und Wiederaufbaukonzepte nützen nichts, wenn sie sich nicht auf Daten und Dateien konzentrieren." Denn was nur wenige Anwender beachten: Seit es einen großangelegten Leasing-, Gebraucht- und PCM-Markt gibt, läßt sich die Hardware meist relativ schnell ersetzen. Anders sieht es mit den unternehmenseigenen Daten aus, ohne die weder der kleine noch der große Betrieb seine Arbeit wieder aufnehmen kann. Den Datenträgern muß deshalb die Hauptvorsorge gelten.

Inzwischen gibt es durchaus bezahlbare Maßnahmen, die Brandvorsorge für jedes Unternehmen möglich machen. Sparen an Sicherheitsvorkehrungen ist deshalb Sparen am falschen Platz, und das Erwachen im Ernstfall könnte leicht ein böses sein. Je abhängiger ein Unternehmen von der Verfügbarkeit seiner Datenverarbeitung ist, desto eher kann sich Leichtsinn bei der Brandvorsorge als fatal erweisen: Zahlen aus den Vereinigten Staaten beweisen, daß in etwa 40 Prozent der Fälle ein Großbrand innerhalb von zwei Jahren zum Zusammenbruch eines Betriebes führte. Von zur Mühlen: "Mit der Brandgefahr verhält es sich wie mit dem Rauchen und dem Krebs. Jeder weiß heute, daß Rauchen schädlich ist, verdrängt dieses Risiko jedoch in der Hoffnung, daß es ihn schon nicht treffen werde."