Sicherheit in Rechenzentren ist heute zu einer absoluten Forderung geworden. Sie wird getragen durch die Verwirklichung aller Einzelmaßnahmen der Datensicherung, und zwar organisatorischer, baulicher, maschinentechnischer, programmtechnischer, verfahrenstechnischer, personeller und flankierender Art, gegen unberechtigten Zugriff, Verfälschung und Verlust der DV sowie der Informationen während aller Phasen der Abwicklung, das heißt von der Entstehung bis zur Löschung beziehungsweise Vernichtung einer Information. Eine dieser Maßnahmen sieht als "organisatorisches Hilfsmittel" in jedem Rechenzentrum die Erstellung einer RZ-Notbetriebsordnung vor, die - integriert in einem RZ-Sicherheitshandbuch - eine besondere Stellung einnimmt.

Das Menetekel einer immer stärker werdenden Abhängigkeit bis hin zu einer totalen Abhängigkeit von der EDV steht mahnend am Horizont, aber nur für solche Anwender, die es versäumen oder auch nur vernachlässigen, sich bereits im Vorfeld Gedanken zur Absicherung ihres DV-Betriebs zu machen.

Existenz des Betriebes gefährdet

Innerhalb weniger Tage können Schäden in Millionenhöhe eintreten, und Totalausfälle von EDV-Anlagen können binnen weniger Wochen unter Umständen den Fortbestand und die Existenz eines Betriebes, ja eines ganzen Unternehmens gefährden. Deshalb sind für die verschiedenen Arten von Betriebsunterbrechungen und Störfällen unbedingt Vorsorgemaßnahmen zu treffen, wobei der Grad der Abhängigkeit eines Unternehmens von der EDV die erforderlichen Vorsorge- und späteren Abwehrmaßnahmen wesentlich mitbestimmt.

Dazu zwei einprägsame Leitsätze, die man sich stets vor Augen halten sollte:

* Man kann durch entsprechende Vorsorgemaßnahmen stets nur eine größtmögliche Sicherheit erreichen; eine absolute Sicherheits-"Garantie" kann es niemals geben.

* Eine ernstzunehmende Schwachstelle in jedem Sicherheitskonzept ist (nach wie vor) der Mensch. Er ist das schwächste Glied in der Kette "Sicherheit in Rechenzentren".

Aus dieser Erkenntnis heraus müssen alle Überlegungen zu diesem unter bestimmten Umständen überlebenswichtigen" Thema angegangen werden. Bleiben die vorgenannten Grundsätze unberücksichtigt oder werden sie von einer DV/Org.- oder RZ-Leitung nicht genügend ernstgenommen oder gar überheblich belächelt ( "bei uns könnte so was nie passieren"), so ist mit Sicherheit jedes Konzept zur Bewältigung eines eingetretenen Schadensfalles zum Scheitern verurteilt. Wir haben zwar in der Bundesrepublik Deutschland in puncto EDV-Konzentration noch keine "amerikanischen Verhältnisse", dennoch sollten unsere Fachleute das Ergebnis amerikanischer Studien und Untersuchungen aufmerksam studieren.

Die Untersuchungen besagen, daß ein Totalausfall eines Rechenzentrums von länger als zwei Wochen für neun von zehn Unternehmen das absolute Ende bedeuten kann. Glaubt man der Fachliteratur in der Bundesrepublik Deutschland auch nur auszugsweise, so muß man immer wieder zur Kenntnis nehmen, daß bei uns das Thema "Sicherheit in Rechenzentren" mit großer Sorgfalt betrachtet und behandelt wird. Gar mancher inzwischen alt ergraute RZ-Leiter ist so ehrlich zu bekennen, daß bei ihm nur mit viel Glück "Gott sei Dank nie etwas passiert ist".

Schäden in Milliardenhöhe

Interessant ist in diesem Zusammenhang auch eine erst vor kurzer Zeit durch die Presse gegangene Meldung, in der sich der Bund deutscher Kriminalbeamter (BdK) kritisch und besorgt zugleich über die steigende Anzahl der Fälle von "Computerkriminalität" äußerte und von "vorsichtig geschätzten volkswirtschaftlichen Schäden in Milliardenhöhe"(!) sprach. Das von Fachleuten diskutierte Dunkelfeld müsse "ernstgenommen werden".

Ein Notfall kann nie ausgeschlossen werden, und Notsituationen lassen sich im Normalfall auch weder vorhersehen noch mit absoluter Sicherheit verhindern. Deshalb sollten sich alle Verantwortlichen bereits in "normalen Zeiten" - in Zeiten also, in denen sowohl die RZ-Infrastruktur und der RZ-Betriebsablauf noch vollkommen in Ordnung sind -Gedanken darüber machen und für ihren Verantwortungsbereich Pläne zur Aufrechterhaltung der Betriebskontinuität und zur Behebung von Einzelnotfällen erstellen lassen.

Hauptbestandteil einer RZ-Notbetriebsordnung ist der sogenannte "Katastrophenplan" mit seinen auf die jeweiligen Notfälle zugeschnittenen Alarm- und Einsatzplänen. Um ihn dreht sich alles. Er ist die Drehscheibe, wenn ein Schadensfall eintritt. Seine Definition lautet: "Ein Katastrophenplan beschreibt die Vorgehensweise zur Behebung eines eingetretenen Schadensfalles nach Eintritt eines Notfalls beziehungsweise einer Katastrophe. Er soll die Folgen einer Katastrophe beziehungsweise eines Notfalls überschaubar machen."

Pläne dieser Art - auch Alarm- und Einsatzpläne genannt - müssen auf die verschiedenen Arten und Ursachen der eingetretenen Schadensfälle zugeschnitten sein. In einem Katastrophenplan sind alle Anweisungen, Richtlinien, Maßnahmen und Vorgehensweisen festgelegt, die bei Eintritt eines Schadensfalles (K-Fall) sowohl den Schutz der Mitarbeiter als auch von Datenbeständen, DV-Anlagen, Material und Bauten gewährleisten sollen. Desgleichen ist mit dieser Planung die Wiederaufnahme eines normalen RZ-Betriebes "schnellstmöglich" anzustreben.

Um es aber gleich klarstellend zum letzten Punkt zu sagen: Katastrophenpläne sind kein Ersatz für bislang fehlende oder mangelnde Organisation und Dokumentation. Katastrophenpläne sind ein "Hilfsmittel der Organisation zur schnellen Wiederaufnahme des RZ-Betriebes nach Eintritt eines Schadensfalles. Die Zusammenfassung aller Einzelpläne und Schriftstücke, die sich mit diesem Thema befassen, ergeben dann die RZ-Notbetriebsordnung beziehungsweise das RZ-Sicherheitshandbuch.

RZ-Leiter dirigiert das K-Plan-Team

Um einen Katastrophenplan ins Leben rufen zu können, bedarf es der aktiven Mitarbeit mehrerer Funktionsbereiche wie zum Beispiel Rechenzentrum, Anwender- und Fachabteilungen. Aus dieser Zusammenarbeit heraus ergibt sich nun die Benennung eines Katastrophen-Teams, das mit dem Aufbau und der Ausarbeitung eines Katastrophenplanes betraut wird. Zu den Hauptaufgaben dieses Teams gehört unter anderem die Suche nach einem geeigneten Ausweich-Rechenzentrum, in dem bei Eintritt eines Not- beziehungsweise K-Falles die geeigneten Arbeiten ohne Verzug aufgenommen werden können.

Ein K-Plan-Team kann sich, je nach der Struktur und organisatorischen Einbettung des Rechenzentrums im Betrieb, verschieden zusammensetzen. Der RZ-Leiter sollte - als größter Kenner des Umfeldes - auch zugleich Teamleiter sein. Weitere Mitglieder können sein: Der RZ-Betriebsleiter, Fachleute beziehungsweise Spezialisten der Systembetreuung Hardware und Software, ein Netzadministrator, ein Datensicherungs-Fachmann, ein Archivierungs-Verantwortlicher, eventuell ein Arbeitsvorbereiter. Bei der Benennung eines K-Plan-Teams sollte auf jeden Fall die fachliche Eignung und die Qualifikation im Vordergrund stehen.

Ein effizienter K-Plan muß in drei Hauptteile gegliedert sein:

Teil 1 - Notfalls- beziehungsweise Katastrophen-Vorsorge,

Teil 2 - Verhalten im K-Fall,

Teil 3 - Wiederanlauf des RZ-Betriebes.

Im Teil 1 (Vorsorge) des K-Planes werden Art und Umfang einer möglichen Notsituation betrachtet und daraus resultierende Alarm- und Einsatzpläne erstellt. Für die Erstellung solcher Pläne ist es aber unbedingt erforderlich, vorher alle Risiken zusammenzutragen und sie zu gruppieren. Mögliche Arten von Risiken können sein:

* Naturereignisse wie Erdbeben, Hochwasser, Sturm, Blitz, Feuer, Strom- und Klimaausfall, Einbruch, Diebstahl, Sabotage, Unruhen, Streiks (wilde und organisierte), Besetzung des Rechenzentrums, Terror, Bombendrohung etc.

Die RZ-Leitung sollte sich also in regelmäßigen Abständen - jedoch spätestens alle zwei Jahre - zu einer Risiko- und Schwachstellenanalyse entschließen, denn nur die Erkenntnis über die Schwachstellen im eigenen RZ ermöglicht es den Verantwortlichen, entsprechende Vorsorge- und Sicherheitsmaßnahmen zu treffen. In der Praxis bewährte organisatorische Hilfsmittel dazu sind;

* RZ-spezifische Checklisten zur Überprüfung des Ist-Zustandes.

Diese Checklisten können unter Umständen auch gemeinsam mit der DV-Revision und dem Datenschutzbeauftragten und/oder der DV/Org.-Abteilung erarbeitet werden. Das Ergebnis dieser Schwachstellenbetrachtung ist dann in drei Kategorien zusammenzufassen:

Erstens:

Schwachstellen, die mit einfachen organisatorischen Mitteln und Maßnahmen intern und ohne finanziellen Aufwand schnell beseitigt werden können.

Zweitens:

Schwachstellen, die durch geeignete organisatorische Maßnahmen und Umstellungen intern zu beheben sind, bei denen aber doch gewisse Kosten anfallen.

Drittens:

Schwachstellen, die durch organisatorische Maßnahmen und Mittel intern nicht zu beheben sind und die zusätzlich noch finanzielle Mittel in Anspruch nehmen müssen.

Da jede Sicherheit ihren "Preis" hat, sind die beiden letzten Punkte unter der besonderen Berücksichtigung des Paragraph 6 Abs. 1 des Bundesdatenschutzgesetzes (27. Januar 1977) kritisch ins Kalkül zu ziehen. Die in der Anlage zu Paragraph 6 Abs. 1 aufgeführten zehn Kontrollmaßnahmen (die sogenannten "zehn Gebote")

- Zugangskontrolle,

- Abgangskontrolle,

- Speicherkontrolle,

- Benutzerkontrolle,

- Zugriffskontrolle,

- Übermittlungskontrolle,

- Eingabekontrolle,

- Auftragskontrolle

- Transportkontrolle,

- Organisationskontrolle,

sind im eigenen RZ dahingehend zu untersuchen, ob eventuell einzuleitende Maßnahmen "in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck" stehen.

Die Auswertung der Risiko- und Schwachstellenanalyse muß - aus verständlichen Gründen - vertraulich behandelt werden. Sie soll der RZ-Leitung eine Aussage machen,

- mit welcher Wahrscheinlichkeit ein Schadensfall (und gegebenenfalls noch auf welchem Sektor) eintreten kann,

- welche Folgen damit verbunden sind,

- in welcher Zeitspanne für die zerstörten DV-Anlagen Ersatz beschafft werden kann,

- ob die Ausweichmöglichkeit in ein anderes Rechenzentrum bei Eintritt einer Katastrophe geregelt ist,

- ob eventuell erwartende Einzelschäden durch entsprechende Sach- und Personalversicherungen abgedeckt sind,

- welche Kosten durch die aufgrund der Risikoanalyse ins Auge gefaßten Abwehrmaßnahmen entstehen,

- welche Restrisiken noch vorhanden sind.

Die Auswertung soll als Grundlage für einzuleitende Abwehrmaßnahmen dienen.

Krisenstab trägt volle Verantwortung

Der Krisenstab wird nach Eintritt einer Notsituation unverzüglich informiert und einberufen. Er trägt von diesem Moment an die volle Verantwortung für die Ausführung aller vorher festgelegten Erstmaßnahmen zur Behebung beziehungsweise Beseitigung des eingetretenen Störfalles.

Die Aufgaben des Krisenstabes sind:

- Feststellen: Art, Umfang und Ausmaß der Katastrophe;

- Informieren: übergeordnete Vorgesetzte, Unternehmensleitung, zentrale Dienststellen (wie zum Beispiel Standortverwaltung, Personalabteilung, Poststelle), das Ausweich-RZ, die Mitarbeiter des betroffenen Bereiches über die eingetretene Situation;

- Entscheiden: wann der Betrieb im Ausweich-RZ aufgenommen wird sowie alle sonstigen wichtigen Entscheidungen während der Dauer des K-Falles;

- Einberufen der nötigen und verantwortlichen Funktionsteams;

- Bestimmen, von welchem Standort der Krisenstab seine Operationen dirigiert (ausreichende Kommunikationsmittel wie Telefone, Fax- und Telexanschlüsse sind vorzusehen).

Wiederanlauf in die Wege leiten

Eine weitere Hauptaufgabe des Krisenstabes ist, den Wiederanlauf des RZ-Betriebes im eigenen oder in einem vorher definierten Ausweich-RZ so schnell wie möglich in die Wege zu leiten. Da bei Eintritt von Krisen- beziehungsweise größeren Schadensfällen zumeist Entscheidungen von schwerwiegender Bedeutung zu treffen sind, sollte dem Krisenstab zumindest eine weisungsbefugte Person des oberen Führungskreises angehören, die derartige Entscheidungen in eigener Verantwortung treffen kann.

Der Krisenstab sollte sich wie nachstehend zusammensetzen:

- Leiter des Krisenstabes (oberer Führungskreis),

- RZ-Leiter/RZ-Betriebsleiter,

- Leiter der Systembetreuung Hardware und Software,

- Leiter des Ausweich-Rechenzentrums,

- eventuell Standortverantwortliche.

Bei Bedarf sollte der Datenschutzbeauftragte des betroffenen Bereichs hinzugezogen werden, desgleichen Funktionsverantwortliche aus Spezialgebieten, bei Datenfernverarbeitungsproblemen unter Umständen auch die Bundespost zur Konsultation. Es ist unbedingt erforderlich, daß für jede Funktion des Krisenstabes ein mit allen Einzelheiten vertrauter Stellvertreter benannt wird.

Ein wichtiges Hilfsmittel für den Krisenstab sind übersichtliche Gebäude- und Raumpläne in einem günstigen Maßstab, aus dem alle Versorgungseinrichtungen und speziellen Abwehrmaßnahmen (wie zum Beispiel Sicherheitsübungen und ähnliches) ersichtlich sind, desgleichen ein RZ-Mitarbeiterverzeichnis mit allen Privatanschriften und privaten Telefonnummern sowie Hinweisen auf Spezialkenntnisse (zum Beispiel Erste Hilfe). Beide Verzeichnisse sind vertraulich zu behandeln und unter Verschluß zu halten.

Für die Bewältigung der jeweiligen Spezialaufgaben werden Funktionsteams gebildet. Sie stehen sofort nach Eintritt einer Notsituation dem Krisenstab zur Verfügung und bekommen von ihm präzise Einsatzanweisungen. "Ein "allgemeines Organisations- und Informations-Team" muß zum wichtigsten Ansprechpartner und Bindeglied zwischen den einzelnen Teams und dem Krisenstab werden und während der ganzen Dauer des K-Falles ständigen (24 Stunden) Kontakt zum Krisenstab aufrechterhalten. Je nach der Struktur einer Firma oder eines Bereiches sind folgende Funktionsteams denkbar:

- ein allgemeines Organisations- und Informationsteam mit Leitstellenfunktion (siehe oben);

- ein Umzugsteam, das sich mit sämtlichen Aktivitäten der Umzüge und Auslagerungen befaßt;

- ein Installationsteam von Hard- und Softwarespezialisten für das Ausweich-RZ;

- ein Beschaffungsteam für wichtige Datenbestände, Programme und Unterlagen sowie für alle sonstigen notwendigen Betriebsmittel während des Ausweich-RZ-Betriebes;

- ein RZ-Team, das den Wiederanlauf vorbereitet;

- ein Betreuungsteam für die Wartung der Verfahren;

- ein Aufbauteam, das sich mit dem Wiederaufbau des zerstörten beziehungsweise dem Bau eines neuen Rechenzentrums befaßt;

- ein Softwareteam, zuständig für alle Softwarefragen beim Start des Betriebssystem im Ausweich-RZ;

- ein DFÜ-Team, das das Umschalten der Endgeräteperipherie in die Wege leitet.

Bei der Zusammensetzung des Krisenstabes und der einzelnen Funktionsteams ist es von Wichtigkeit daß zuerst die Benennung der erforderlichen Funktionen erfolgt und erst dann die namentliche Nennung vorgenommen wird.

* Johann Ehbauer, Siemens AG, Abteilung Rechnereinsatz und Rechenzentrenplanung im Unternehmensbereich Kommunikations- und Datentechnik.