Glücklicherweise ist die Bundesrepublik kein Land, das für verheerende Naturkatastrophen bekannt ist: Wirbelstürme wie jüngst in der Karibik oder gar Erdbeben größeren Ausmaßes gab es hier seit Menschengedenken nicht. "Normale" Unwetter, Brandkatastrophen oder Anschläge aus dem terroristischen Umfeld machen aber auch hierzulande Betreibern von DV-Anlagen Sorgen. Doch nicht nur diese Extremfälle können Rechenzentren gefährden: Ein falscher Handgriff eines "unbefugten" Mitarbeiters im Rechenzentrum, ein Ausfall des öffentlichen Stromnetzes, ganz profane Wassereinbrüche oder eine unbemerkt gebliebene Überhitzung eines mechanischen Teils genügen, um Rechner oder Bandarchiv für kurze oder längere Zeit auszuschalten. zek

Dieter Siekmann,

DV-Leiter, Weltmarken Import GmbH, Frankfurt

Sicherheitsaspekte halte ich für sehr wichtig. Das fängt mit der baulichen Situation an. Das Rechenzentrum sollte von vornherein in einer geschätzten Zone liegen. Wenn es baulich möglich ist, im Tiefparterre. Zumindest sollten die baulichen Maßnahmen auf dieses Rechenzentrum zugeschnitten werden. Bei Neubauten sollte man das Rechenzentrum auf jeden Fall als einen zentralen Punkt ansehen. Erschütterungsfreie Wände und Böden können dann ohne Probleme eingebaut werden, was beim nachträglichen Bezug eines Gebäudes nicht mehr so leicht möglich ist. Das Rechenzentrum kann dann auch ziemlich einfach gegen andere Bereiche abgegrenzt werden.

Wesentlich ist auch, daß kein Unbefugter an das Rechenzentrum herankommen darf. Es sollte abseits des Personenverkehrs im Unternehmen liegen. Das sind heute Mindestvoraussetzungen bei der baulichen Situation. Im Dauerbetrieb muß dann aber auch für ständige Zugangskontrollen gesorgt werden. Wichtig sind hier die Fragen: Wer hat Zugang? - Wann war der Zugang? - Wie lange hat jemand sich im Rechenzentrum aufgehalten?

Das Gleiche gilt für Netzausfallsicherung. Dann kommt es natürlich darauf an, in welcher Gegend man am Stromnetz hängt. Es passiert immer wieder, daß durch Bauarbeiten in der Umgebung Stromausfälle vorkommen, und da sollte man die entsprechenden Vorkehrungen mit Notstromanlagen treffen. Es gibt heute batteriebetriebene Netzausfallsicherungen, die sich automatisch dazuschalten. Im Bereich unserer 38er Rechner, die mit einer relationalen Datenbank arbeiten, brauchen wir das, um den Wiederanlauf nach einem Stromausfall zu minimieren. Wenn bei uns ein Stromausfall eintritt - was bereits vorgekommen ist - , dann bricht das System ab und vernichtet alle logischen Dateien. Die Wiederherstellung dauert dann extrem lange.

Netzausfallsicherung ist zwar teuer, sie spart in so einem Fall aber viel Zeit und Nerven.

Teuer sind auch Sicherungseinrichtungen gegen Wasser- oder Brandschaden. Zunächst sollte das Rechenzentrum natürlich nicht dort angelegt werden, wo die Kanalabflüsse oder ähnliches liegen. Vor Feuer kann man sich mit Sprinkleranlagen und Alarmgeräten - zum Beispiel Infrarotgeräten - schützen. Diese Sprinkleranlagen sind aber auch ein zweischneidiges Schwert, da hier wieder die Gefahr eines unvorhergesehenen oder versehentlich ausgelösten Wassereinbruchs in das Rechenzentrum besteht. Am besten ist es, über Signalanlagen kundzutun, daß sich im Rechenzentrum etwas tut, so daß Maßnahmen ergriffen werden können.

Da die meisten Anlagen heute 24 Stunden am Tag arbeiten, sollte auch das Personal hin und wieder nach dem Rechten sehen. Es gibt nämlich auch mechanische Teile - zum Beispiel in Laufwerken - , die heiß werden können. Ganz unbeaufsichtigt sollte man EDV-Anlagen meines Erachtens nicht lassen.

Bei der Frage nach Personalzugang kann man unterscheiden zwischen "Close-Down", so daß überhaupt keiner mehr ins Rechenzentrum kommt, oder den Fall, daß so gut wie jeder Zugang hat. Ich halte es für nötig, daß nur autorisierte Mitarbeiter Zugang bekommen. Sie müssen sicherheitstechnisch geprüft werden, und sie müssen wirklich mit der EDV zu tun haben. Die EDV sollte als geschätzte Zone dastehen. Natürlich muß auch das Wach- und Schutzpersonal, das die Anlagen wegen Brand- oder anderer Schadensgefahren überprüft, qualifiziert sein, und es muß auf die Besonderheiten einer DV-Abteilung hingewiesen werden. Gerade im Notfall, wenn es darauf ankommt irgendein Knöpfchen zu drücken, sollten diese Mitarbeiter auch wissen, worum es eigentlich geht. Man sollte auf keinen Fall das Wachpersonal mit dem Auftrag "lauf da mal durch" losschicken. Zumindest eine Schulung sollten diese Mitarbeiter schon hinter sich haben.

Wenn es in einem größeren Betrieb eine Werkfeuerwehr gibt, sollte man auch diese auf Notfallsituationen im Rechenzentrum schulen. Wenn es aber einmal richtig brennt, und die DV ist nicht durch Betonwände und sichere Türen abgeschottet, dann hilft ohnehin nichts mehr. Die Schutzmaßnahmen müssen also in der baulichen Vorsorge liegen. Natürlich sollten die Feuerwehren schon wissen, wo EDV-Räume mit sensiblen Geräten liegen, und daß sie dort eventuell vorsichtiger vorgehen müssen.

Bei Rechenzentren, für die kein Neubau erstellt werden kann, muß man um so vorsichtiger sein. Auf keinen Fall sollte man irgendeinen Raum nehmen und sagen: "Hier bauen wir das Rechenzentrum ein". Alle Vorkehrungen, die bei einem Neubau getroffen würden, sollten auch bei einem Ein- oder Umbau berücksichtigt werden. Dazu zählt vor allem das Einziehen erschütterungsfreier Wände und Böden. Gerade hier gilt es daran zu denken, daß es sich um einen sensiblen Bereich handelt.

Dietmar Praschak,

Leiter zentraler DV-Betrieb, Degussa, Frankfurt

In unserem Fall ist der naheliegendste Sicherungsaspekt der Wassereinbruch - wir sind in der Nähe des Mains gelegen. Nach Analysen haben wir uns deshalb entschlossen, nicht in die Tiefe zu gehen. Damit haben wir die Gefahr des externen Wassereinbruches erst einmal gebannt. Was den internen Wassereinbruch betrifft, ist das nicht so dramatisch: Wir haben luftgekühlte Rechner und damit keine Wasserleitungen im Rechenzentrum. Alles andere Wasser im Haus ist in Naßzellen untergebracht, Leitungen sind gekapselt und haben mit den EDV-Räumen keine Verbindung. Wenn wir einmal einen wassergekühlten Rechner bekommen sollten, sieht das natürlich anders aus. Dann müssen wir zusätzliche Sicherungen einbauen. Unsere Situation ist hinsichtlich der Frage nach Sicherheit ohnehin ideal, da wir über ein reines EDV-Gebäude verfügen. Das Gebäude steht zwar auf einem Werkgelände, liegt aber bewußt abseits der Hauptverkehrswege und Produktionsstätten, so daß Störungen im Werk nicht auf uns übergreifen können.

Wir haben alle räumlichen und baulichen Vorkehrungen getroffen, um Notstromgeräte einzubauen. Installiert haben wir aber in dieser Richtung noch nichts. Der Grund dafür ist, daß wir in der Online-Welt noch sehr spartanisch vertreten sind. Unsere Stromausfallsicherung besteht darin, daß wir über drei verschiedene Eingänge für die Stromzufuhr verfügen. Sollte einmal ein Bagger ein Kabel zerstören, bekommen wir über die beiden anderen Stränge immer noch genug Strom. Seitdem wir in diesem Haus sind, hatten wir auch noch keinen Netzausfall. Wenn wir mehr Online-Betrieb fahren, werden wir natürlich Notstromsysteme einbauen.

Wir haben das gesamte Gebäude mit Feuermeldern ausgestattet. Es gelten im Hinblick auf die Feuergefahr unterschiedliche Vorschriften: Im Bürotrakt darf man rauchen, im gesamten Rechenzentrum nicht. Rechnerraum und Bandarchiv sind Halon-gesichert, doppelt ausgelegt. Das heißt, auch wenn die Räume durch einen Fehlalarm geflutet werden, haben wir noch genug HaIon in Reserve, um den Raum bei einem zweiten "echten" Alarm nocheinmal zu fluten. Eine eigene Werkfeuerwehr haben wir keine, sind also auf die Berufsfeuerwehr Frankfurt angewiesen, die in unmittelbarer Nähe stationiert ist. Natürlich sind wir zur Feuerwehr und Polizei durchgeschaltet; zur Feuerwehr ständig, zur Polizei nur nachts. Eine Begehung mit der Feuerwehr fand statt, das Funktionieren der Feuersicherung haben wir durch ein Probefluten nachgewiesen, was auch einen Prämiennachlaß von der Versicherung mit sich brachte. Die Feuerwehr ist genau in die Belange unseres Gebäudes eingewiesen. Sollte es zum Alarm kommen, finden die Feuerwehrleute im technischen Zentrum einen genauen Lageplan, aus dem sie entnehmen können, welcher Melder den Alarm ausgelöst hat, und wie sie an diese Stelle kommen.

Gegen mechanische Schäden von außen - also Sturm, Hagel oder Gegenstände, die jemand in das Gebäude werfen will - ist unser Gebäude in erster Linie durch hochhemmendes Glas und Betonwände abgeschottet.

Das gesamte Gebäude ist natürlich mit Zugangskontrollen versehen. Die schärfste Kontrolle besteht beim Rechenzentrum. Der Strom der zugelassenen Personen wird dort von Raum zu Raum immer geringer, am geringsten ist er dann im Hauptrechnerraum und im Bandarchiv, die praktisch "verbunkert" im Innenbereich sind, das heißt ohne Fenster und mit extrastarken Betonwänden. Ein System, das auf einem extra Vax-Rechner läuft, protokolliert, wer wann durch welche Tür ging. Diese Informationen werden auf Platte und Band gespeichert. Sie sind nur einer Person zugänglich, die bei uns den Titel "Datensicherheits-Administrator " trägt. Nur er kann Unregelmäßigkeiten überprüfen. Abteilungsleiter und Vorgesetzte dürfen das nicht ohne Anhörung des Fachbereichsleiters, Betriebsrates und der Personalabteilung.

Der Werkschutz bewacht das Rechenzentrum fünf Tage die Woche von fünf bis 24 Uhr. Nach 24 Uhr werden die Alarmanlagen scharf geschaltet, die gegebenenfalls die Polizei verständigen. Die Räume selbst werden vom Werkschutz nicht überprüft. Das ist nach unserer Meinung nicht nötig aufgrund der vielen Melder, die wir im Hause installiert haben.

Auf jeden Fall kann ich nur empfehlen, ein neues Rechenzentrum vollständig neu zu bauen. Sollte ein RZ-Leiter gezwungen sein, in ein bestehendes Gebäude zu ziehen, sollte er zuallererst dafür Sorge tragen, daß Zugangskontrollen in geeigneter Form eingeführt werden. Die Durchführung dieser Kontrollen muß absolut gewährleistet sein. Die wichtigsten Baugruppen, also Rechner und Bandarchiv, sollten gegen Feuer gesichert werden. Zumindest der Doppelboden sollte erschütterungsfrei eingebaut werden. Die Wände bei bestehender Bausubstanz erschütterungsfrei hinzubekommen, dürfte jedoch sehr schwer sein. Nach außen hin sollte das Gebäude so stabil sein, daß nicht irgendjemand einen Molotow-Cocktail hineinwerfen kann. Die wichtigsten Baugruppen sollten nach Möglichkeit ohnehin im Innenbereich angeordnet werden. Bei der Gefahr von externen Wassereinbrüchen sollte man auf keinen Fall in die Tiefe bauen. Allein die Kosten für die nötigen Wannen sind in so einem Fall exorbitant hoch.