"Die meisten Unternehmen sind ohne Daten nach spätestens sieben Tagen pleite", provoziert der amerikanische Organisationsspezialist Sherwood. Ist das Panikmache. Ausnahmefall oder Realität? Untersucht man objektiv Wertigkeit, Abhängigkeit und Schutzbedürfnis der Bereiche EDV und Datenarchiv und analysiert dabei die möglichen Folgen eines Totalausfalles ohne Schönfärberei, muß man Sherwood zweifellos recht geben.

Wann aber passiert schon ein Totalausfall, wie hoch ist die Möglichkeit, daß es gerade mich trifft, einzustufen? Eine Frage, die niemand beantworten kann, da weder Naturkatastrophen noch Sabotageakte zu berechnen sind. Folglich sollte man eine kritische Bestandsaufnahme aller denkbaren Folgen und Konsequenzen für das Unternehmen durchführen und was wichtig ist, schriftlich festhalten.

Das Ergebnis dieser kritischen Analyse sollte dann zu der Überlegung leiten, welche Maßnahmen zu ergreifen sind, um dem Chaos vorzubeugen. Wer bereits hier fahrlässig Risiken und Folgen eines Ausfalls der EDV-Anlage und des Datenarchives nicht wahrnehmen will und auf sein sprichwörtliches Glück baut, handelt unverantwortlich.

Tagesgeschäft verhindert Zukunftssicherung

Aber selbst da, wo man klare Erkenntnisse hat, wird in den meisten Fällen nur punktuell und zögernd die Minderung des Risikos durch vorbeugende Maßnahmen betrieben. Unverständlich, aber erklärbar: Echte aktuelle Probleme hat man als EDV-Leiter täglich bündelweise. Neue Systeme, veränderte Technologien und "ständig erweiterte Anwendungsgebiete" lassen kaum Zeit, sich um Dinge zu kümmern, die einem nicht direkt unter den Nägeln brennen wie Fragen der physikalischen Datensicherung. Von oben verordnete Sparbeschlüsse und Investitionsstops tun ihr übriges. So verhindert oft das Tagesgeschäft die "Zukunftssicherung".

Wo liegen nun aber die Schwachstellen und wie kann man sie beseitigen? Es ist einfach unmöglich, diese allgemein gültig aufzulisten und zu bewerten. Hier wird ein Sicherheitskonzept benötigt, das einen echten Maßanzug für jeden EDV-Anwender darstellt. Dieses "persönliche" Sicherheitskonzept, aufbauend auf einer Schwachstellenanalyse, ist zwingend notwendig. Mängel, die bei vielen Begehungen und Schwachstellenanalysen in deutschen Rechenzentren in einer erschreckenden Vielzahl zu finden waren, sind in den

Übersichten auszugsweise zusammengestellt. Dabei macht der genannte Prozentsatz die Häufigkeit der Fehlerquellen deutlich.

Ergänzt werden müssen alle vorbeugenden Maßnahmen durch ein wirksames Konzept im Zugangsbereich. Ungehinderter Zutritt auch bei Zugangskontrollsystemen ist leider immer noch der Normalfall. Meist reicht forsches Auftreten oder Kenntnis der Internitas aus, um einen unkontrollierten Zugang zu erwirken.

Verfügbarkeit der Daten entscheidet

Der "angebliche" Hardwaremonteur kann auch heute noch in fast allen RZ mit "gefüllten" Werkzeugtaschen die Sicherheitszonen betreten. Hier sind Verfeinerungen organisatorischer und gerätetechnischer Art notwendig. Lücken dieser Art wurden in mehr als 80 Prozent der untersuchten Rechenzentren festgestellt. Abschließend bleibt festzuhalten:

1. Katastrophen und Sabotage sind unkalkulierbar und nicht völlig auszuschließen.

2. Die Wertigkeit von RZ und Datenarchiv steigt mit der Abhängigkeit des Unternehmens von der Dienstleistung der EDV ständig und damit auch deren Gefährdung (höheres Risiko).

3. Einzelmaßnahmen, punktuelle Sicherheitsvorkehrungen müssen durch ein Gesamtkonzept abgelöst werden.

4. Schwachstellenanalysen, die Risiken transparent machen sollten, sind ein unbedingtes Muß für alle DV-Verantwortlichen. Nur bekannte Schwachstellen ermöglichen Abhilfe.

5. Dem RZ und insbesondere dem Datenträgerarchiv sollte bezüglich der Risikominderung für den Ernstfall absolute Priorität bei Investitionsplänen, Baumaßnahmen sowie Organisationskonzepten eingeräumt werden.

6. Anforderungskriterien für Arbeits- und Sicherheitsarchive sollten bekannt sein, ebenso Empfindlichkeit der Datenträger und die "magnetische Brandlast". Fachberater, Sicherheitsspezialisten sowie "Fachlektüre" stehen seitens der spezialisierten Herstellerfirmen zur Verfügung.

Entscheidend für den Fortbestand des Unternehmens nach einer Katastrophe ist nicht die Größe und Konfiguration der EDV, sondern eindeutig die Verfügbarkeit der gespeicherten Daten.

*Dieter Lenz, Geschäftsführer der Otto Lampertz GmbH & Co. KG, Betzdorf/Sieg