Die bundesdeutschen Rechenzentren sind auf eine höchst unerwünschte Weise in den Blickpunkt der Öffentlichkeit geraten: Brand- und Sprengstoffanschläge gegen die viele Millionen Mark teuren Systeme der Informationsverarbeitung häufen sich besorgniserregend. Viele EDV-Leiter suchen deshalb einen schnell realisierbaren Ausweg aus der Bedrohung. "Panzerglas" heißt häufig die spontane Lösung. Versicherungsfachwirt Roland Breuer, DV-Security-Spezialist der Württembergischen Feuerversicherung AG in Stuttgart, gibt im folgenden Beitrag Erläuterungen zur Beurteilung von "Panzerglas" und Vorschläge zu dessen Einsatz.

Das verstärkte Sicherheitsbewußtsein der Betreiber von EDV-Anlagen bezüglich einer wirksamen Zu- und Abgangskontrolle, wie sie das Bundesdatenschutzgesetz fordert, hat mit sich gebracht, das Sabotageanschläge im Inneren von Rechenzentren normalerweise nur noch von bestimmten Personen ausgeführt werden können. Dazu gehören zum Zutritt Berechtigte oder Täter, die sich durch verfeinerte intelligente Methoden die Zugangsberechtigung erschlichen haben. Der Brandanschlag auf ein Hamburger Rechenzentrum vom Oktober 1977, bei dem sich unbekannte Täter nachts scheinbar relativ unbehelligt Zutritt in den Maschinensaal verschaffen konnten und dort an mehreren Stellen in unmittelbarer Nähe der Zentraleinheit Feuer legten, dürfte ein Einzelfall sein. Sabotagetäter, denen es weit mehr um das aufsehenerregende Ereignis geht, das sich beispielsweise mit einem Appell in Form eines Bekennerbriefes verbinden läßt (Terroristen), werden sich weniger damit befassen, komplizierte Sicherheitssysteme zu überwinden. Solche Angreifer gehen gewöhnlich den Weg des geringsten Widerstands. Sie versuchen meist, ihren Anschlag von außen durchzuführen.

Die Fassade eines jeden RZ-Gebäudes weist eine Anzahl von Schwachstellen auf, von denen hier nur einige beispielhaft genannt sein sollen:

Unbewachte Öffnungen können dazu benutzt werden, Brand- oder Sprengsätze in das Gebäude zu transportieren. Häufig finden sich etwa im Papierlager oder in der Tiefgarage Rolltore, bei denen es eine Kleinigkeit ist, brennbare Flüssigkeiten (zum Beispiel Petroleum) unten hindurch fließen zu lassen, um es hernach in Brand zu setzen. Immer wieder weist der Boden sogar Gefälle nach innen auf, das einem solchen Unterfangen dienlich sein könnte.

Konzeptionelle Fehler können einem Eindringling die Gelegenheit verschaffen, die vorhandenen Zugangsbeschränkungen außer Kraft zu setzen. So wäre es etwa fatal, wenn eine Brandmeldeanlage über einen außen am Gebäude befindlichen Druckknopfmelder verfügte und die Alarmauslösung gleichzeitig dazu führte, daß die Türöffner (für die Feuerwehr) ausgelöst würden. Einem Saboteur wäre es ein Leichtes, die Brandmeldeanlage auszulösen, in das RZ einzudringen, einen Brand- oder Sprengsatz zu legen und rechtzeitig vor dem Eintreffen der Feuerwehr unerkannt zu entkommen.

Ungeschützte Verglasungen können eingeworfen oder eingeschlagen werden. Die entstandene Öffnung ermöglicht dem Täter, in das RZ einzudringen oder - noch einfacher - einen Brand- oder Sprengsatz hineinzuwerfen.

Sprengsätze können an der Gebäudefassade von außen befestigt werden. Je nach der Höhe der Sprengkraft und der Widerstandsfähigkeit der Fassade richtet sich der entstandene Schaden am Gebäude und an der EDV-Anlage. Selbstverständlich wird der Täter nach der verletzlichsten Stelle der Fassade in der Nähe der Zentraleinheit beziehungsweise des Datenbankarchivs suchen. Neben Gips- und Gipskarton- sowie anderen Leichtbauwänden stellen insbesondere Verglasungen solche Schwachstellen dar und sind bevorzugte Angriffspunkte von Bombenlegern.

Während sich die meisten Schwachstellen der Gebäudefassade relativ einfach ausschließen oder nachträglich beseitigen lassen, stellt die Art der Verglasung eine erhebliche Hürde bei der Planung neuer oder Überprüfung bestehender Rechenzentren dar. Selten kann auf eine Außenverglasung völlig verzichtet werden und häufig sind mit dem Vorteil einer massiven Gebäudekonstruktion wesentliche Nachteile verbunden, etwa die erhebliche Gefahr von Wasserschäden bei unterirdischen EDV-Räumen. Es liegt deshalb nahe, den Einbau von Gläsern zu erwägen, die einen erhöhten Widerstandswert besitzen.

Der in der Glasindustrie gebräuchliche Begriff "Panzerglas" erweckt bezüglich der Widerstandsfähigkeit der betreffenden Sicherheitsverglasung möglicherweise falsche Vorstellungen. Viele EDV-Betreiber gehen irrtümlich davon aus, Panzerglas sei absolut bombensicher. Treffender ist deshalb die Bezeichnung "Angriffhemmende Verglasung", wie sie in DIN 52 290 gewählt wurde. Die Norm unterscheidet folgende Verglasungen:

- durchwurfhemmende Verglasung (Kennbuchstabe A),

- durchbruchhemmende Verglasung (Kennbuchstabe B),

- durchschußhemmende Verglasung (Kennbuchstabe C),

- sprenwirkungshemmende Verglasung (Kennbuchstabe D).

Durchwurfhemmende Verglasungen schützen primär vor Sabotage- und Vandalismusanschlägen sogenannter "Hit-and-run-Täter", die etwa einen Molotow-Cocktail (Flaschenbrandsatz) durch eine Fensterscheibe schleudern oder mit einem Pflasterstein die Öffnung schaffen, durch die anschließend ein Brand- oder Sprengsatz ins Innere des Gebäudes verbracht wird. Täter, die derartig vorgehen, vertrauen auf den Überraschungseffekt und nehmen unter anderem auch eine Alarmierung der Freilandüberwachung in Kauf. Sie entfernen sich, meist unerkannt, sofort nach dem Anschlag.

DIN 52 290 Teil 4 definiert die Widerstandsklassen durchwurfhemmender Verglasungen anhand ein jederzeit reproduzierbaren Kugelfallprüfung. Diese Prüfmethode ist den teilweise zufälligen Ergebnissen verschiedener Praxistests überlegen. Die Prüfbedingungen (Kugelgewicht und Fallhöhe) beruhen auf realitätsbezogenen Stoß- und Wurfweiten sowie Wurfgegenständen, die folgende Anwendungsempfehlungen zulassen:

- ab dem 2. Obergeschoß empfiehlt sich die Widerstandsklasse A 1,

- im 1. Obergeschoß Widerstandsklasse A2

- und im Erdgeschoß Widerstandsklasse A3.

Eine Verglasung ist durchwurfhemmend, wenn sie das Durchdringen von geworfenen oder geschleuderten Gegenständen behindert. Keine Probe der jeweiligen Beanspruchungsart darf von der Kugel durchschlagen oder aus dem Rahmen herausgezogen werden. Die Prüfung erfolgt bei einer Temperatur von 21 bis 25 Grad Celsius. Da niedrige Temperaturen zu schlechteren Prüfergebnissen führen können, kann die Norm für Verglasungen von ungeheizten Räumen nicht ohne weiteres angewendet werden.

Vielfach genügt es nicht, eine lediglich durchwurfhemmende Verglasung zu wählen. Fehlt etwa eine verläßliche Freilandsicherung, befindet sich die Scheibe in einen nicht genügend kontrollierbaren Bereich (Rückfront, Nachbargrundstück) oder ist aus anderen Gründen ein Angriff denkbar, für den dem Täter längere Zeit zur Verfügung steht, muß eine durchbruchhemmende Verglasung gewählt werden. Eine Verglasung ist durchbruchhemmend (einbruchhemmend), wenn sie das Herstellen einer Öffnung zeitlich verzögert. DIN 52 290 Teil 3 beschreibt die Prüfbedingungen zur Simulation der Beanspruchung durch eine von einem Fachmann optimal benutzte Axt mittels einer maschinellen Einrichtung. Dabei wird berücksichtigt, daß bei Verglasungen mit Silicatglasbestandteilen zunächst mit der stumpfen Seite der Axt zugeschlagen werden kann, um die Silicatglasbestandteile zu zerstören (Lockerungsschläge). Mit sogenannten Trennschlägen wird nun versucht, in der Glasprobe einen quadratischen Durchbruch zu erzeugen. Anhand dieser Prüfung werden nachfolgend genannte Widerstandsklassen (DIN) festgestellt:

- B1 für 30 bis 50 Axtschläge,

- B2 für 50 bis 70 Axtschläge und

- B3 für über 70.

In seinen "Richtlinien für mechanische Sicherheitseinrichtungen - Anforderungen und Prüfmethoden für einbruchhemmende Verglasungen" (Form.3028) hat der Verband der Sachversicherer (VdS), Köln, eine andere Einteilung getroffen. Der VdS war aus praktischen Erwägungen dazu gezwungen, schon vor der Verabschiedung der entsprechenden DIN-Norm ein eigenes Anerkennungsverfahren anzuwenden. Es beruht auf einer manuellen Prüfung durch einen erfahrenen Prüfer. Anstelle der Zahl der Axtschläge steht hier eine Mindestwiderstandszeit. Diese liegt in den VdS-Widerstandsklassen EH 1, EH2 und EH3 bei einer, zwei und vier Minuten.

Der VdS beabsichtigt, das Verfahren zur Anerkennung von einbruchhemmenden Verglasungen der DIN- Norm 52 290 Teil 3 anzulehnen. Einstweilen können die Widerstandsklassen B1 bis 3 und EH 1 bis 3 gleichbedeutend angewendet werden. Bezüglich ihrer Widerstandszeit sind die jeweiligen Verglasungen annähernd gleichwertig, weshalb die in den VdS-Richtlinien angegebenen Mindestwiderstandszeiten auch Rückschlüsse auf die Zeit zulassen, die ein Eindringling benötigt, um eine Verglasung nach DIN 52 290 Teil 3 zu durchbrechen.

Welcher Widerstandsklasse die Verglasung eines Rechenzentrums zugehörig sein soll, läßt sich nicht allgemeingültig sagen. Bei der Auswahl der durchbruchhemmenden Verglasung ist die Zeit zu berücksichtigen, innerhalb der ein Angreifer erkannt und durch entsprechende Maßnahmen abgewehrt werden kann. Es kommt folglich nicht zuletzt auf die

Art der Alarmverfolgung an. Geht man zum Beispiel davon aus, daß durch eine wirksame Freilandsicherung oder Glasbruchüberwachung der Angriff im Moment des ersten Schlags auf die Verglasung gemeldet wird, kann für ein Rechenzentrum, das über einen am Ort stationierten gut ausgebildeten und ausgerüsteten Werkschutz verfügt, eine durchbruchhemmende Verglasung der Widerstandsklasse B1 genügen.

In diesem Falle geht man davon aus, daß der Durchbruchversuch im Verlauf von 60 Sekunden vereitelt werden kann - ein Anspruch, den selbst ein überdurchschnittlich guter Werkschutz nicht unbedingt erheben kann. Befindet sich hingegen beispielweise nachts lediglich ein einzelner Pförtner oder überhaupt niemand im Rechenzentrum, kann auch eine Verglasung der Klasse B3 ungenügend sein, um einen Einbruch oder Anschlag zu verhindern. Die Wertigkeit der Gläser ist folglich immer in Verbindung mit dem organisatorischen und technischen Umfeld zu betrachten.

Auch bei durchbruchhemmenden Verglasungen wird die Widerstandsfähigkeit von der Temperatur der Verglasung beeinflußt. Für Verglasungen ungeheizter Räume sind entsprechende Abstriche bei den Prüfergebnissen zu machen.

DIN 52 290 Teil 2 befaßt sich mit durchschußhemmenden Verglasungen. Eine Verglasung ist durchschußhemmend, wenn sie das Durchdringen von Geschossen verhindert. Die Norm unterscheidet darüber hinaus Verglasungen, die bei Beschuß auf der Rückseite des Glases Splitter freisetzen (Kennzeichen SA) und solche ohne Splitterabgang (SF). Je nach Kaliber und Geschoßart wird die Prüfung in fünf Beanspruchungsarten vorgenommen. Daraus resultiert folgende Einteilung: Für den Schutz von Rechenzentren und deren Personal ist es gewöhnlich nicht erforderlich, durchschußhemmende Verglasungen zu wählen. Muß jedoch aufgrund besonderer Voraussetzungen mit einer entsprechenden Bedrohung gerechnet werden, ist mindestens die Widerstandsklasse C2 zu wählen. Besteht der begründete Verdacht einer terroristischen Bedrohung, ist durchschußhemmendes Glas der Klasse C 4 empfohlen.

Da die Zahl der Sprengstoffanschläge auf deutsche Rechenzentren besorgniserregend steigt, liegt die Frage nahe nach dem Schutz, den eine angriffhemmende Verglasung im Falle einer Explosion bietet. Verbundsicherheitsgläser können bei entsprechender Konstruktion Anschlägen mit kleineren Sprengkörpern Stand halten, insbesondere, wenn diese nicht unmittelbar auf der Glasscheibe angebracht sind. Für die Betreiber von Rechenzentren wird die DIN-Norm 52 290 Teil 5, die sich mit der Prüfung auf sprengwirkungshemmende Eigenschaft von Verglasungen befaßt, durchaus von Interesse sein. Die Norm befindet sich zur Zeit in Bearbeitung; es können bislang noch keine Ergebnisse bekannt gegeben werden.

Das Verhalten von Glas auf die Stoßwellen einer Explosion wird entscheidend beeinflußt von der Frage, ob der Sprengkörper unmittelbar auf der Scheibe befestigt wurde oder ob der Druck aus einer weiteren Entfernung auf die Verglasung einwirkt. Außerdem kommt es auf die Sprengkraft der Ladung an. Selbst extrem widerstandsfähiges Glas kann einer großen Sprengladung nicht widerstehen, wenn diese auf der Scheibe befestigt wurde. Zu dieser schmerzlichen Erkenntnis gelangten die Betreiber des MAN-Rechenzentrums in Ginsheim/Gustavsburg, als am 20. September 1983 eine sogenannte Panzerglasscheibe des Maschinensaals durch die Explosion eines Sprengsatzes barst, der auf dem Glas befestigt wurde. Zum Schutz vor solchen Anschlägen genügt es nicht eine angriffhemmende Verglasung einzubauen. Vielmehr müssen eine Reihe von Sicherheitsmaßnahmen ineinandergreifen, die sich im Rahmen dieses Beitrags nur stichwortartig ansprechen lassen:

- Überwachte Einfriedung des RZ-Grundstücks,

- Freilandüberwachung,

- Schaffen eines frei einsehbaren Streifens vor der Fassade,

- Kontrollgänge (vorzugsweise durch Hundeführer),

- Beleuchtung des Freilands (keine auffällige Scheinwerferbeleuchtung, die unter Umständen Angreifer sogar auf das Objekt aufmerksam machen würde),

- gegebenenfalls Verzicht auf Verglasungen im Bereich des Maschinensaals und Datenträgerarchivs,

- Vorlagerung weniger sensibler Bereiche (Büros, Vor- und Nachverarbeitung, Papierlager) vor den Maschinensaal, das Datenträgerarchiv oder die DFÜ-Einrichtungen;

- Wachsamkeit des Personals durch Schulung.

In der Vergangenheit wurden verschiedentlich EDV-Betreiber seitens der zuständigen Landeskriminalämter oder des Bundeskriminalamtes auf eine mögliche terroristische Bedrohung hingewiesen. Diesen Warnungen lagen jeweils konkrete Erkenntnisse aus der Fahndungstätigkeit der Polizei zugrunde. In diesem Zusammenhang ist es bedauerlich, daß sich der Rat der Polizei vornehmlich auf den Einbau einer angriffhemmenden Verglasung beschränkte. Nur durch die Kombination von organisatorischen Maßnahmen, physischen Sicherungen und elektronischen Überwachungseinrichtungen kann die Gefahr eines Sprengstoffanschlags ausreichend gemindert werden. In den meisten Fällen bedarf es der Beratung durch einen Sicherheitsspezialisten .

Nun kann eine angriffhemmende Verglasung selbstverständlich ein Glied in der Sicherheitskette gegen Brand- und Sprengstoffanschläge sein, nämlich, wenn die aus einer gewissen Entfernung einwirkenden Stoßwellen durch die Widerstandsfähigkeit der Verglasung abgefangen werden sollen. Wie man sich unschwer vorstellen kann, kommt es dabei nicht auf die Dicke des Glases an, sondern auf die Elastizität der Verglasung. Angriffhemmende Verglasungen werden in der Regel als Verbundsicherheitsglas konzipiert, das aus mehreren Schichten besteht.

Starke Glasscheiben sind abwechselnd mit hochreißfester Polybutyralfolie (PVB) verbunden. Das Glas springt zwar bei der Einwirkung der Stoßwelle, wird jedoch durch die elastische Folie zusammengehalten. Erst langanhaltende massive Gewalteinwirkung (zum Beispiel Axtschläge), der Einsatz hochwirksamer technischer Einrichtungen oder die Druckwelle großer Sprengladungen vermögen die Scheibe, je nach der Widerstandsfähigkeit, früher oder später zu zerstören. Legt man hingegen Wert auf Beschußhemmung, muß der Glasanteil erhöht werden.

Neben Glas und Folie haben glasähnliche Kunststoffe große Bedeutung als Werkstoff für Sicherheitsverglasungen erlangt. Bewährt haben sich vor allem Platten aus Polycarbonat (PC), welche unter dem Handelsnamen Makrolon beziehungsweise Lexan auf den Markt kommen. Es handelt sich um einen farblosen, durchsichtigen Kunststoff mit guter mechanischer Festigkeit, hoher Einfriertemperatur und erheblicher Elastizität. Die geringere optische Qualität ist in der Regel ohne Bedeutung. Allerdings kann Polycarbonat das Glas nicht völlig ersetzen. Der Grund liegt in der unzureichenden Hitzebeständigkeit des Kunststoffs, der mit entsprechenden Geräten (Schneidbrenner, Sauerstofflanze) durchgebrannt werden kann. Störend wirkt sich ferner die starke elektrostatische Aufladung des Werkstoffs aus. Polycarbonatplatten werden deshalb gewöhnlich zwischen zwei Verbundsicherheitsglaspaketen in einem Profilrahmen eingesetzt. Derartige Kombinationen haben sich im Test und in der Praxis gut bewährt. Polycarbonat-Glas-Verbundscheiben bieten unter den verschiedenen Glastypen den bestmöglichen Schutz gegen die Auswirkung von Sprengstoffanschlägen.

Endlich besteht die Möglichkeit, vorhandene Verglasungen nachträglich angriffhemmend auszurüsten. Zu diesem Zweck werden Spezialfolien angeboten, die nachträglich auf die Innenseite installierter Fensterscheiben geklebt werden. Im Vergleich mit dem widerstandsfähigen Verbundsicherheitsglas ist die Widerstandsfähigkeit mit Hilfe einer solchen Folie nachgerüsteter Scheiben allerdings durchaus bescheiden. Nicht ohne Grund wurden nachträglich folienverstärkte Verglasungen weder in die Normung nach DIN 52 290 noch in die Anerkennung des Verbandes der Sachversicherer einbezogen.

Nachträglich verklebte Folien haben insbesondere den Nachteil, daß sie sich nicht mit der Rahmenkonstruktion verbinden lassen, so daß vielfach die Verglasung ganz oder teilweise aus dem Rahmen gelöst wird. Zum Schutz höhergelegener Geschosse gegen Bewurf sowie zur Verbesserung der Schadenpräventionen bei Objekten mit niedrigen Sicherheitsanforderungen (zum Beispiel Zweigstellen, die lediglich mit EDV-Peripheriegeräten ausgestattet sind), eignen sich solche Splitterschutzfolien zweifellos. Jedenfalls bieten folienverstärkte Gläser einen besseren Schutz als völlig ungeschützte Scheiben.

Eine angriffhemmende Verglasung kann immer nur ein Teil der gesamten Sicherheitskonzeption gegen Einbruch, Sabotage, Vandalismus und Terrorismus sein. Verschiedene weitere Voraussetzungen sind bereits angeklungen. So ist die angriffhemmende Verglasung etwa in eine bestehende oder neu zu installierende Einbruchmeldeanlage zu integrieren. Außerdem müssen die Fensterrahmen, Beschläge etc. denselben Anforderungen genügen wie die Verglasung.

Angriffhemmende Verglasungen sind keinesfalls "bombensicher", sie stellen aber ein Mittel zur wesentlichen Verbesserung der Sicherheit eines Rechenzentrums dar. Es kommt in erheblichem Maße auf die richtige Auswahl des Glases und auf die sachkundige Einbeziehung desselben in die Sicherheits-Gesamtkonzeption an. Wie bei allen Schadenpräventionen verbleibt selbst bei optimalen Voraussetzungen ein gewisses Risiko, Erfahrungsgemäß begünstigt das Zusammentreffen verschiedener, ungünstiger Umstände den Schadeneintritt häufig. Dieses Risiko kann in Form eines sachgerechten Versicherungsschutzes auf "fremde Schultern abgewälzt" werden. Die Versicherer bieten zu diesem Zweck die Elektronik-Versicherung (Hardwareschäden), die Datenträgerversicherung (Datenträgerschäden einschließlich Datenverlust) sowie die Mehrkostenversicherung (Ausweichkosten) oder die Elektronik-Betriebsunterbrechungsversicherung (Ersatz des entgangenen Gewinns) an. Versierte Versicherungsexperten sind in der Lage, die unter wirtschaftlichen Gesichtspunkten günstigste Kombination aus Sicherheitstechnik, organisatorischen Maßnahmen und Versicherungsschutz vorzuschlagen.