Es verwundert, wenn ein Rechenzentrumsplaner, der über Fehler der RZ-Planung zu berichten hat, nicht mit dem Zentrum selbst, sondern auf dem Weg zum Endnutzer beginnt. Das hat seine Gründe: Wir betreiben Anlagen der Mikroelektronik mit der Technologie von morgen auf Basis der elektrischen Hausinstallation von gestern und vorgestern. Und - was noch schlimmer ist - wir betreiben sie nicht nur, wir lassen sie uns auch noch in die neuen Häuser von morgen einbauen!
Die elektrische Hausinstallation führt sehr häufig zu Unverträglichkeiten beim Betrieb mit modernen, hochempfindlichen DV-Anlagen. Ursache ist die bislang übliche, dreiadrige PEN-Verdrahtung. Bei dieser nach geltenden VDE-Vorschriften (Stand Januar 1997) noch immer "richtigen" Installation kommt es fast zwangsläufig zu Unverträglichkeiten mit den DV-Komponenten. Die elektrischen Netze leiten Betriebsströme in den Schutzleiter ab. Bildschirme und PCs sind über Datenleitungen im Haus miteinander verbunden. Es fließen Ausgleichsströme in der Größenordnung von mehreren Ampere kreuz und quer durch das Haus. Die Folgen sind:
- unkontrollierte Abstürze von PCs;
- Systemstörungen an Servern, für die es sonst keine Erklärung gibt, sowie
- ständig wechselnde, intermittierende Fehler mit Host-Anwendungen, und zwar nicht immer dieselben Fehler mit denselben Teilnehmern, sondern auch hier stets wechselnd.
Die Basis für die Störungen wächst. Mit immer neuen Geräten am Stromnetz, nichtlinearen Verbrauchern verschiedenster Art, wird der Zustand schleichend schlimmer. Jede zusätzliche Halogenleuchte, Kaffeemaschine, das Ladegerät für die Akkus vom Diktiergerät, Bildschirme, Drucker und Kopierer, alle tragen zur Verschmutzung der Netze und ihrer Instabilität bei. Netzfilter und Kompensationsanlagen werden zerstört und verändern ihrerseits nachteilig und schadenfördernd die Gesamtsituation. Neben den immer stärkeren Störungen für den Betrieb baut sich eine wachsende Brandgefahr auf.
Die Fehler sind erfahrenen IT-Planern bekannt, sie werden immer wieder wiederholt, weil man sich nicht die Mühe macht, den Planern bei anstehenden Installationen Pflichtenhefte zur Festlegung der Nutzererfordernisse vorzugeben:
- eine tragfähige Erdungsanlage;
- eine sicherungsfähige Installation statt PEN-Verdrahtung;
- einen zentralen, gemeinsamen Erdungspunkt (ZEP);
- das Vermeiden reduzierter Kabelquerschnitte für den Neutralleiter (Nulleiter);
- das Vermeiden nicht verdrillt verlegter Einzeladern vom Trafo zur NSHV (Niederspannungshauptverteilung);
- der Verzicht auf einphasige, nicht im Null-Durchgang schaltende Kompensationsanlagen für alle drei Phasen;
- Überspannungsschutz für Kompensationsanlagen;
- qualifiziertes Energie-Monitoring aller elektrischen Parameter sowie
- der Einsatz von Differenzstrom-Überwachungsgeräten RCM.
Die Techniken sind bekannt, sie werden aber nur selten eingesetzt, weil man die Fehlerwirkungen den Versäumnissen nicht immer zuordnen kann.
Nur etwa fünf Prozent der LAN-Verteiler- oder Server-Räume in Unternehmen werden stärker gesichert als normale Büros, teilweise sogar noch erheblich weniger, da in zahlreichen Unternehmen viele sogenannte LAN- und Server-Räume "multifunktional" genutzt werden und auch die Kopierer oder Etagenfaxgeräte dort untergebracht wurden. Dadurch müssen die sicherheitsbedürftigen Räume stets offengelassen werden. Aber auch unter Brandschutzaspekten wird überwiegend nichts getan. Weder werden die Räume gegen Rauchgaseintritt aus dem Umfeld hinreichend abgeschottet, noch verfügen sie über einen Anschluß an die Brandmeldeanlage. Gerade Brandschutzaspekte spielen aber, wenn man an die Sicherstellung der Verfügbarkeit denkt, eine wichtige Rolle.
Dabei entwickeln sich die LAN- und Server-Räume immer mehr zu echten Kommunikationszentralen mit Leistungen und Abhängigkeiten für die angeschlossenen Nutzer, wie sie früher nur beim Host bestanden. Unberücksichtigt ist auch die wechselseitige Interdependenz zwischen den Netzkomponenten und der Funktionsfähigkeit der Hosts.
Doch es geht bei diesem Fehler in der IT-Sicherheit nicht nur um die Verfügbarkeit der Subsysteme und die Sicherheit der Nutzer, es geht vielmehr auch um gravierende und so nicht lösbare Datensicherungs- und Datenschutzaspekte, um nahezu ungehinderten Zugriff auf Daten, denn ein Server-Zugang ist eine Einladung zu Manipulationen, Datenklau und Sabotage. Übrigens: Ein versperrbares Gehäuse ist nicht sicherer als der Verschluß einer Konservendose. Ein Unterschied: Bei einer Dose erkennt man, daß sie geöffnet wurde.
Ein weiterer Fehler bei der IT-Planung ist, daß noch immer Nutzer und Planer einer Informationsverarbeitung auf starke Dezentralisierung setzen. Sie erkennen nicht, daß sich bald keiner diesen Luxus mehr leisten kann. Zum einen sind die dezentralen Systeme meist - allein wegen der Zahl - nicht konsequent sicherungsfähig, zum anderen wird der Servicebedarf immer größer und teurer. Man rechne nur einmal aus, wieviel Wegezeiten der Support verbraucht, um an den dezentralen Systemen die notwendigen Aufrüstungen vorzunehmen. Nicht alles geht online, man benötigt viel häufiger den Schraubenzieher, als es den Beteiligten lieb sein kann.
Kaum etwas spricht dagegen, die Server räumlich zu konzentrieren. Was dann entsteht, ist nichts anderes als ein Rechenzentrum, nur mit inhaltlich anderer oder wenigstens teilweise anderer Technik, als wir es vom Mainframe her kennen. Einige Unternehmen praktizieren dies schon konsequent. Dennoch gibt es Planer, die die Zukunft der Rechenzentren ignorieren und den Flächenbedarf nach dem vermeintlichen Status quo vorgeben.
Rechenzentrumsplanung benötigt Flächen- und Energieprognosen. Flächenplanung wird überwiegend von Organisations- und Büroplanern betrieben. Sie basiert auf Befragungen des Nutzers. Zu erwartende technische Entwicklungen werden dabei nicht berücksichtigt, und schon gar nicht wagt es ein Büroorganisator, dem Bauherrn Prognosen zu stellen. Dabei gibt es Werkzeuge, die auf Erfahrungen basieren und alle bekannten Parameter einbeziehen.
Drei wesentliche Faktoren beeinflussen oftmals den Platzbedarf und lassen es daher angeraten erscheinen, an die Zukunft zu denken.
Imageverarbeitung: Mit der Imageverarbeitung sind neue Speichertechniken zu erwarten, die vermutlich zusätzlichen Platz beanspruchen werden. Aus Sicherheitsgründen kann auch eine Aufteilung auf mehrere Raumeinheiten im Interesse eines funktionierenden Verfügbarkeits-Managements erforderlich werden.
Akquisition: Die Akquisition anderer Unternehmen und die Integration ihrer Informationsverarbeitung in die eigene erfordert Flexibilität. Andererseits kann mit einer Fusion auch eine Reduktion der Flächen verbunden sein.
Aus diesem Grund sollten zum einen unmittelbar an die unbedienten IV-Räume bei Bedarf zu nutzende Flächen angelagert werden. Das können zum Beispiel Lagerflächen sein, die brandlastarm sind, etwa Elektrolager, Lager der Hauswerkstätten. Sie könnten im Bedarfsfall der Informationsverarbeitung weichen. Bei der Planung der Räume für die technische Infrastruktur sind die Möglichkeiten der Mitversorgung eines solchen Raums vorzubereiten.
Andererseits mußte bei den Rechenzentrumsplanungen der letzten Jahre stets auch daran gedacht werden, Räume der Informationsverarbeitung reduzieren und damit andersweitig nutzen zu können.
Das alles muß auch in der technischen Infrastruktur und der sichernden Technik abgebildet werden. Wichtig ist daher, schon bei der Planung etwa die Wegeführungen, die Standorte, Zutrittssicherung und Brandschutzprobleme für Wachstum oder aber Schrumpfung einzubeziehen.
Übrigens: Rechenzentren, die heute auf Basis des Status quo geplant werden, werden in der Regel in vier Jahren veraltet sein.
Zuviel in zu wenigen Räumen
Es klingt banal, weil der Satz auch vor 20 Jahren schon stimmte: Die Abhängigkeit von der Informationsverarbeitung steigt. Doch sie nimmt heute dramatisch zu: durch das Zusammenwachsen von Telekommunikationstechnik und Informationsverarbeitung. Ein TK-Rechner ist ein Computer, der zufällig telefonieren kann. Schon auf der letzten CeBIT wurden Telefonanlagen vorgestellt, die die Telekommunikationsindustrie das Fürchten lehren. Simple PCs übernehmen künftig die Aufgaben von Hicom-Anlagen. Telefonieren wird nur noch ein Modul im Rechner erfordern. Um so wichtiger aber ist es, daß die Rechnerabhängigkeit frühzeitig ermittelt und Vorsorge getroffen wird. Vorsorge, die den Ausfall des Systems praktisch unmöglich macht.
Redundanz ist für viele ein kostenrelevantes Schreckenswort. Redundanz heißt aber nicht, alles exakt doppelt zu haben. Es heißt vielmehr, darüber nachzudenken, wie sich Systeme und Daten auf verschiedene Räume verteilen, wie sich ausfallgefährdete Komponenten der technischen Infrastruktur so aufstellen und intelligent verschalten lassen, daß die überlebenswichtigen Komponenten der Systeme auf Dauer und auch in kritischen Systemen verfügbar bleiben.
Jüngst wurde in den neuen Bundesländern ein Rechenzentrum (überwiegend prozeßsteuernd) in Betrieb genommen, bei dem die Nutzervorgabe an das Umzugs-Management eine maximale Havariezeit im Umschaltprozeß von kleiner als 24 Sekunden betrug. Bei Überschreitung bestand die Gefahr, daß prozeßbedingte Schäden bis zu 30 Millionen Mark betragen konnten. Ein besonderer Fall, und zwar nicht weil der Schaden so groß angenommen wurde, sondern weil ein Unternehmen einmal realistisch seine Probleme ermittelt, bewertet und planerisch berücksichtigt hat. Denn es ist einer der größten Sicherheitsfehler, nicht zu wissen, welche Konsequenzen ein Fehler für das Unternehmen haben kann.
Angeklickt
"Architektur darf nicht nur als die gebäudliche Hülle verstanden werden. Architektur ist Funktion", sagte jüngst ein Referent auf einer Tagung für Planer von Verwaltungsgebäuden und Industriebauten. Er hat recht. Vieles greift ineinander. Sicherheitsarchitektur macht dies noch deutlicher, denn der Standort des Gebäudes, der innergebäudliche Standort sicherungsbedürftiger Funktionen, die Sicherstellung der Verfügbarkeit von Medien - all das gehört zusammen. Sicherheit ist für ein Rechenzentrum nicht die Zutrittskontrolle, die durchbruchhemmende Verglasung oder die Brandmeldeanlage, Sicherheit ist - auch wenn sie auf diese Details nicht verzichten kann - Verfügbarkeits-Management.
*Rainer von zur Mühlen ist geschäftsführender Gesellschafter der von zu Mühlen'schen Unternehmensberatung GmbH und Gesellschafter der RZ-Plan GmbH (beide in Bonn, Berlin und Wien).