DV-SICHERHEIT

RZ-Ausfall: Vertragsstrafe kann in die Millionen gehen

11.12.1992

Immer mehr Manager erkennen: Lieber ein kalkuliertes Risiko mit realistischem Notfallkonzept als ein zwar relativ unwahrscheinliches aber darum desto katastrophaleres Computerchaos. Beides hat seinen Preis; doch aus dem Daten-Tohuwabohu kann der weitere Weg des Unternehmens dann anschließend auch ins totale Abseits führen. Konsequenz: Die 90er Jahre verzeichnen einen wachsenden Markt im Recovery-Service.

Mehr für die Schulung ausgeben

Insgesamt gesehen dürfte das Risiko im Umgang mit der Datenverarbeitung auch in Zukunft weiter steigen, genauso wie die Summen, die direkt in die DV-Sicherheit investiert werden. Absolut sind die Zahlen gestiegen, prozentual jedoch gesunken (von

5,2 auf 4,8 Prozent).

Ob sich indes die Ausgaben gelohnt haben, bleibt zweifelhaft. Der größte Risikofaktor für die Gesamt-DV ist immer noch der Mitarbeiter des Unternehmens. Irrtum und Nachlässigkeit zeichnen für 83 Prozent aller Beeinträchtigungen des DV-Ablaufs verantwortlich. Technische Defekte und Bedienungsfehler folgen mit knapp 72 Prozent auf Platz zwei. So wären die Unternehmen gut beraten, mehr für die Schulung ihres Personals zu tun. Gravierend ist das Ausmaß der Schäden, die durch fehlerhafte, auch virusinfizierte Software verursacht werden. Waren es 1990 nur 9 Prozent aller Fälle, sind es heute trotz Aufklärung und verbesserter Prüfsoftware schon 23 Prozent. Dagegen spielen Hacking mit drei Prozent und Spionage mit einem Prozent eine untergeordnete Rolle.

Bei den Sünden dominieren die Klassiker: Nur in 25 Prozent der Fälle wird ein Backup auf Abteilungsrechnern durchgeführt, und das Paßwortverfahren ist bei einem Drittel der Anwender sinnlos.

Als neue Sicherheitslücke entpuppt sich die Ignoranz des Managements gegenüber der Sicherheit. So zeigt sich, daß nur die Hälfte der Führungskräfte in Unternehmen Informationssicherheit als Problem ernst nimmt. 57 Prozent der DV-Chefs beklagen den Mangel an Sensibilität ihrer Vorgesetzten, die Hälfte vermißt gar ein Gesamtkonzept zur IT-Sicherheit, und 44 Prozent sind der Meinung, daß die Umsetzung von Konzepten bei den Anwendern auf Schwierigkeiten stößt.

Größte Sorgenkinder in der zerbrechlichen Kette der IT-Sicherheit bleiben aber die Personal Computer. Im Gegensatz zu früher werden wesentlich mehr sensible Daten auf PCs verarbeitet, was sich aber in den Kontrollmechanismen kaum widerspiegelt. 37 Prozent der DV- Verantwortlichen prüfen nicht selbst, sondern überlassen die Verantwortung den Benutzern, und 57 Prozent besitzen keine technischen Sicherheitslösungen für PCs.

*Diese und die folgenden Werte und Angaben sind zitiert nach der KES Sichereits-Enquete aus dem Secumedia Verlag, Ingelheim.

Hand in Hand

müssen menschliche und technische Intelligenz bei Sicherheitsfragen arbeiten.

"Bezahlt wird in jedem Fall", meint der Berater von der Deutschen Treuhand Unternehmensberatung GmbH" Jens Voh. Der Unterschied zwischen Planung eines Notfallkonzepts und einer Laisser-faire-Einstellung liegt im Preis. Jens Voh: "Im schlimmsten Fall kann ein Ausfall der Informationstechnik die Existenz eines Unternehmens kosten."

Je mehr Computer in einem Unternehmen laufen, desto gravierender sind die Auswirkungen, wenn sie ausfallen. Funktioniert zum Beispiel bei einem Zulieferer, der Just-in-time-Lieferung anbietet, die Computer- und Netzwerktechnik nicht mehr, können Lieferabrufe, Transporteur-Bestellungen etc. zwar manuell, sprich telefonisch, erfolgen, Verzögerungen werden aber nicht ausbleiben. Das heißt, das Unternehmen wird mit hohen Konventionalstrafen konfrontiert. Jens Voh rechnet in seinem Beispiel mit 600 000 Mark Konventionalstrafe bei hundertprozentigem Ausfall schon für nur einen Tag, von verlorenen Aufträgen oder auch Kunden ganz zu schweigen. Ein angekratztes Image durch reduzierten Service kann sich noch Monate nach einem Notfall negativ aufs Geschäftsergebnis niederschlagen. Einer amerikanischen Studie zufolge gehen 25 Prozent der Firmen, deren Rechenzentrum zerstört wurde, in Konkurs. Der Haftpflichtverband der Industrie hat bereits vor Jahren darauf hingewiesen, daß etwa 40 Prozent der Firmen, die einen DV-Crash ohne Notfallplanung erleiden, spätestens nach zwei Jahren in die Knie gehen.

DV-Crashs sind häufiger als zugegeben wird

Ein Computer-Tohuwabohu können nicht nur spektakuläre Katastrophen wie Feuer oder Wasserflut verursachen. Schon der aggressive Rauch, der von einem nahegelegenen Brand in die Klimaanlage gesogen wird, kann schlimme Schäden auf den Magnet- und Leiterplatten anrichten.

Die Heine & Partner-Unternehmensberatung verweist zudem darauf, daß 84 Prozent der mehr oder weniger großen Ausfälle der Informations- und Kommunikationstechnik auf die Fehlerquelle "Mitarbeiter" zurückgehen und zwei Drittel der Knockouts im Rechenzentrum durch technische Defekte hervorgerufen werden.

Aber egal, ob Blitz, Viren oder Smog die Zerstörer sind, "nicht die Ursache, sondern die Reaktion darauf ist die Basis eines Notfallplanes". Steffen Heine, der Geschäftsführer von Heine & Partner (vgl. den Gastkommentar auf Seite 8), hält deshalb nicht allzuviel von Mammut-Notfall-Projekten, die mit ausschweifenden Analysen der Gefahrenherde und ihrer Bewertung beginnen und Jahre dauern können. "Je größer die Rechenzentren, desto überflüssiger ist eine Risikoanalyse für die Backup-Entscheidung." Sie ist in diesem Fall sowieso Gebot, meint der Berater und verkneift sich nicht einen Seitenhieb auf sein eigenes Gewerbe: "Risikoanalysen sind die Goldgruben der Beratungsfirmen." Nach seinen Erfahrungen werden mit der Risikoanalyse oftmals tausend andere Forderungen verknüpft - Datenfluß-, Schwachstellen-, Organisations- oder Effizienzuntersuchungen -, die beileibe nicht in ein Notfallprojekt gehören.

Präventive Sicherheitstechniken wie bauliche Maßnahmen, Zugriffsregelungen und die gesamte Netz- und Datensicherheit sind Heines Meinung nach wichtige Vorsorgemaßnahmen, um die Möglichkeit einer Katastrophe zu minimieren, sollten aber nicht übertrieben werden.

"Ab einem gewissen Punkt", so der Sicherheitsberater, "muß das Augenmerk auf den Notfall gelenkt werden", den niemand herbeireden will, der aber auch nie ganz auszuschließen ist. "Für präventive Maßnahmen wird in der Regel viel Geld ausgegeben",

weiß Steffen Heine. Backup-Analyse und Realisation führten dagegen eher ein Mauerblümchendasein.

Bei der Konzeption eines Notfallplanes, der einen Wiederanlauf der Elektronengehirne und Netzwerke innerhalb einer festgelegten Frist sichern soll, forcieren heute viele Dienstleister im Recovery-Service-Markt eine pragmatische Lösung. Peter Brandl von DEC: "Unser Notfall-Projekt beim Kunden darf nicht länger als drei Monate in Anspruch nehmen, und zwar von der Risikobewertung bis zur Realisierung der Backup-Lösung und dem Test." Für Steffen Heine ist es darüber hinaus auch wichtig, bei der Zielvorgabe eines Notfallprojekts auf dem Boden der Tatsachen zu bleiben und keine Lösungen auf der grünen Wiese zu konstruieren: "Wiederanlauf-Forderungen haben ihre Grenzen in den technischen und finanziellen Möglichkeiten des Unternehmens."

"Heiße" und "warme" Version der Backup- Lösung

Jedes Unternehmen hat für sich zu entscheiden, wie lange es sich ohne Rechnerleistungen über Wasser halten kann. Von dieser Einschätzung und vom Rechnerprinzip - Host oder verteilte Rechner - hängt es ab, welche Backup-Lösung gewählt wird. Die "heiße" Version mit einem firmeneigenen Hot-stand-by-Rechner, der sofort in Aktion tritt, wenn der andere versagt, wird häufig in sehr empfindlichen Anwendungsbereichen wie Banken, Lottozentralen, Flughäfen etc. realisiert. Die "warme" Variante erlaubt je nach Hardwarekonstellation und Software-Umfang einen Wiederanlauf der wichtigsten Applikationen nach acht bis 48 Stunden. Sie wird meist über mobile oder stationäre Ausweichrechenzentren abgesichert. Für die Vorhaltung von Rechnerleistung und periodische Wiederanlauf-Tests zahlt das Unternehmen an die Dienstleister monatliche Mieten. Für große Rechenzentren kommt nach Steffen Heines Meinung eine "kalte" Strategie - Hallen und Rechner werden im Notfall kurzfristig angemietet - gar nicht mehr in Betracht, weil die Wiederanlauf-Zeit von zirka zehn Tagen viel zu lange ist. Der Berater: "Bei den meisten sind 14 Tage Ausfall der DV tödlich."

Der DEC-Sicherheits-Spezialist Stewart Townsend aus England spricht aus eigener Erfahrung, wenn er für den Notfallplan eine weitere Komponente einbezogen wissen will: "Notfallplanung darf sich nicht nur auf die DV beziehen." Er war vor zwei Jahren DV-Manager im "Crescent", einem halbmondförmigen Gebäude von Digital Equipment in Basingstoke, als das Firmendomizil fast bis auf die Grundmauern niederbrannte. Obwohl das Rechenzentrum von Feuer und Wasser verschont blieb - die Feuerwehr fand noch Zeit, die Geräte mit Folien vor dem Löschwasser zu schützen -, verlor DEC informationstechnische Ausstattung im Wert von 2,5 Millionen Pfund. Andere DEC-Niederlassungen mußten mit Bürocomputern aushelfen.

Den raschen Wiederanlauf - nach rund 24 Stunden arbeiteten die beiden ersten Systeme wieder - verdankten die DEC-Planer auch ihrem eigenen

Rechnerprinzip der verteilten Datenverarbeitung. Die Backup-Regelung, die Daten täglich auszulagern, hielt die Dateneinbußen gering. Nicht vorbereitet war man aber auf den Verlust von Büroräumen und die dazugehörende lntrastruktur wie Telefon, Fax und Kopierer.

Kein Wunder, daß DEC in seinen Backup-Zentren, die es seit ein paar Jahren überall einrichtet - das erste deutsche Ausweichrechenzentrum wurde im Juli diesen Jahres in Offenbach eingeweiht -, auch Räume mit kompletter Büroausstattung anbietet. Eine weitere Lehre, die der ehemals reine Computerhersteller DEC aus dem Brand in Südengland zog, läßt sich auf die Formel "Clean Desk" bringen: Im Schreibtisch verstaut sind persönliche Gegenstände besser geschützt und müssen hinterher nicht ersetzt werden. Gleichzeitig findet das Feuer nicht mehr so viel Brennstoff auf den Bürotischen. Die Lektionen, die DEC aus dem Crescent-Feuer zog, nutzte das Unternehmen nicht nur für die eigene Katastrophenplanung, sondern ließ sie auch in seine neue Dienstleistung, den Business-Protection-Service, einfließen.

Mit dem Vormarsch der hochleistungsfähigen Midrange-Systeme in die ehemaligen Domänen der Großrechner entwickelte sich in den 80er Jahren auch in diesem Bereich ein Bedarf an Ausweichmöglichkeiten im Notfall. Seit dieser Dekade kümmern sich deshalb auch Hersteller wie HP, DEC, Wang, Unisys etc. um die Notfallplanung ihrer Kunden. Einige Jahre früher angefangen haben die Großunternehmen-Hersteller mit ihrem Restart-Angebot. IBM bietet zum Beispiel seit 1987 einen Backup-Service, der auf mobilen Vorsorgerechenzentren, montiert auf Sattelschlepper, beruht. Siemens hat bereits seit 1985 Backup-Diensleistungen im Angebot. Zu den bedeutendsten Backup-Dienstleistern zählen zudem Firmen wie MDH, die besonders stark im Bereich der mobilen Datenhalle sind, die Info AG, die seit 1989 auch Netzbetreiber ist, und die Restart mbH, die heute das Geschäft der SNI betreibt. Bonnadata, ein Unternehmen der Versicherungsgruppe Herold, ist seit 1986 hauptsächlich im Bereich von Handel, Banken und Versicherungen tätig. Darüber hinaus sind gerade in den vergangenen drei Jahren einige, meist kleinere Newcomer in den Markt eingestiegen (Ares, Help, SIS, Softpro). Dieses Jahr hoben das Systemhaus Debis und Comdisco Recovery Services, ein weltweit führender Anbieter von Business-Continuity-Leistungen, das Joint-venture-Systemhaus Recovery Services aus der Taufe.

Der Markt ist in Bewegung geraten, nicht allein aus Diversifikations-Gründen der Computerhersteller, die wegen sinkender Gewinnmargen im Hardwarebereich nach neuen Geschäftsfeldern Ausschau halten. Eine Umfrage der Zeitschrift KES bei DV-Leitern zeigte, daß in den Unternehmen noch ein erheblicher Nachholbedarf an Recovery-Maßnahmen besteht. Die Londoner Input-Studie geht ferner davon aus, das der Recovery-Service-Markt in Westeuropa von 200 Millionen Dollar im Jahr 1990 auf 550 Millionen Dollar im Jahr 1995 anwächst. Für Deutschland wurde im gleichen Zeitraum ein Aufstieg von 58 Millionen Dollar auf 100 Millionen Dollar prognostiziert.

Bleibt abzuwarten, ob die Sensibilisierung der Manager für den eventuellen Notfall dem gegenwärtigen Konjunkturtief standhält.

* Gaby Visintin ist freie DV-Journalistin in Filderstadt-Bonlanden.