Die nächste Evolutionsstufe ist das Rechenzentrum
... von Heiko Wruck
BERICHT
Ganz plötzlich geht gar nichts mehr. Alle Computer sind eingefroren. Der Server reagiert nicht. Das Telefon ist tot. Eine elektronische Nachricht steht unübersehbar auf jedem Bildschirm. „Zahlen Sie 20.000 Euro (in Bitcoin), dann geben wir Ihre Systeme wieder frei.“ Die Anweisung folgt. Dieses Szenario dürfte für die meisten Computernutzer das Ende der Welt bedeuten. Aber das muss nicht so sein.
Norderstedt/gc. „Als Erstes habe ich die Server abgebaut und die Arbeitsplatzrechner unter den Schreibtischen eliminiert. Die Geschäftsführung habe ich gefragt: Wenn Ihr Büro komplett ausbrennt und das Löschwasser der Feuerwehr den Rest erledigt, ab wann können Sie dann mit Ihrer Firma zu 100 Prozent weiterarbeiten?“ Jetzt würde der „abgebrannte“ Firmenchef seine Leute einfach ins Homeoffice schicken. Dort steht ihnen – dank des Umzugs in ein deutsches Rechenzentrum – sofort alles wieder uneingeschränkt zur vollen Verfügung. Sämtliche Daten sind auf dem aktuellem Stand, die komplette Sofware ist da und alle elektronischen Dienstunterlagen. Peer Casper ist seit Jahrzehnten IT-Profi. Der Vierundfünfzigjährige hat ein Studium der Mathematik und Informatik an der Technischen Universität zu Braunschweig absolviert (summa cum laude). Er hat als Leiter für Datenbewirtschaftung in Informationssystemen gearbeitet und war als Seniorberater Business Intelligence tätig. Peer Casper betreute als Gesamtverantwortlicher bei IBM Deutschland den Kunden-Outsourcingbereich für den größten norddeutschen Kunden. Heute ist der IT-Spezialist und passionierte Segler Geschäftsführer der Smart Data Center GmbH in Norderstedt. Neben den Erfordernissen der Digitalisierung der Arbeitswelt und des gesamten öffentlichen Lebens ist ihm eine gesunde Risikobewertung in der IT ein überaus wichtiges Anliegen. „Nur weil niemand Sicherheit zu 100 Prozent gewährleisten kann, ist man nicht automatisch aus der Nummer raus. Es geht darum, Risiken zu minimieren und Schäden zu begrenzen“, plädiert Peer Casper für eine regelmäßige Risikobewertung. Physische Schäden wie Diebstahl, Brand, Wassereinbruch, Sturm oder ein Gebäudeeinsturz decken nur einen relativ geringen Teil der potenziellen Risiken ab. Die Cyberkriminalität ist da deutlich relevanter.
Cybercrime
Im Bericht „Aktuelles zur Cyber-Sicherheitslage“ vom April 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt, dass allein im Jahr 2019 in Deutschland 114 Millionen neue (!) Schadprogramm-Varianten aufgetreten sind. Ein Jahr später waren es bereits 117,4 Millionen. Das sind durchschnittlich fast 322.000 Schadprogramm-Varianten pro Tag! In Spitzenwerten, so der BSI-Bericht, sind es circa 470.000. Das Haupteinfallstor dafür sind E-Mails, deren Anhänge und Verlinkungen arglos von den Empfängern geöffnet werden oder Downloadlinks. „Überheblichkeit nach dem Motto ,Ich öffne nur E-Mails, deren Absender ich kenne‘ ist keineswegs angebracht. Solche Angriffe erfolgen hoch professionell und häufig unter vermeintlich authentischen Absenderadressen. Die können auch vermeintlich vom Betriebs-Administrator stammen und die Aufforderung enthalten, ein neues Sicherheits-Patch herunterzuladen – Link anbei. Auch solche Fake-Mails sind zu erkennen. Im Zweifel sollte die IT-Abteilung konsultiert werden“, so Peer Casper.
Kleine zahlen immer
Von Zeit zu Zeit berichten die Medien über digitale Erpressungsversuche von großen Konzernen in Millionenhöhe. Das bringt Imageverlust für das Unternehmen, Schlagzeilen für die Gazetten, Einschaltquoten für die Sender und Klicks in der Web-Gemeinde. Sie bergen aber auch ein relevantes Risiko, erwischt zu werden. Der internationale Verfolgungsdruck auf die Kriminellen wächst stetig. Und solche riesigen Geldsummen müssen nicht nur eingesammelt, sondern auch möglichst unsichtbar verteilt werden. All das ist nur mit einem großen Aufwand unter hohen Risiken umsetzbar. Und der betroffene Konzern wird an einer solchen Erpressung vermutlich nicht zugrunde gehen. Bei einem Mittelständler sieht das aber schon ganz anders aus. Hier geht es nicht um Millionenbeträge. „Nur“ 20.000 oder 50.000, vielleicht auch 100.000 Euro werden gefordert, wenn die Firmen-Computer wieder laufen sollen. Zahlt der Firmeninhaber nicht, kann er den Laden abschließen. Das Renommee ist nachhaltig zerstört. Die Produktion und die Kundenbetreuung liegen am Boden. Deswegen ist die Dunkelziffer „erfolgreicher“ Cyberkriminalität signifikant höher als die millionenschwere Spitze des Eisbergs. Je kleiner ein Unternehmen, umso geringer sind die erpressten Summen. Für den betroffenen Unternehmer ist das immer noch eine große Stange Geld – aber bezahlbar. Weil solche Straftaten weniger gemeldet und veröffentlicht werden, ist auch der Verfolgungsdruck erheblich geringer. Damit reduziert sich ebenfalls das Risiko, entdeckt zu werden.
Risiken bewerten
„Es gilt, vor dem Schaden klug zu sein“, rät Peer Casper und empfiehlt, regelmäßig eine Risokobewertung durchzuführen. Das ist weniger kompliziert als man vermutet. Es gibt nur zwei Kategorien: Eintrittswahrscheinlichkeit und Schadenshöhe. Anhand dieser beiden Kategorien lassen sich alle Risiken klar nach ihrer Wichtigkeit klassifizieren. Hier empfiehlt sich eine emotionale Betrachtungsweise ausdrücklich nicht. „Rationalität und Pragmatismus sind dafür die richtigen Weichenstellungen. Das Schadensereignis mit dem allergrößten Maximalschaden und der höchsten Eintrittswahrscheinlichkeit gehört an die erste Stelle der Liste. Im Zweifel kann dies auch eine Mehrfachspitze sein. Die dort versammelten Risiken müssen zuerst vollständig entschärft oder auf ein vertretbares Maß reduziert werden. Das ist durchaus vergleichbar mit der Erstellung einer Gefährdungsbeurteilung für Arbeitsplätze. Nur wird die und ihre Umsetzung von der Berufsgenossenschaft eingefordert, kontrolliert und gegebenenfalls sanktioniert. Dagegen ist eine fehlende IT-Risikobeurteilung eine versteckte Zeitbombe. Denn ob die IT ausfällt ist nie die Frage, nur wann und mit welchen Folgen“, erklärt Peer Casper. Es geht also darum, zuerst alle Risiken zu erfassen und sie formal zu benennen. Danach erfolgt die Priorisierung. Anschließend wird ein Maßnahmenkatalog erstellt und festgelegt, wie mit jedem einzelnen Risiko umgegangen wird. Beim ersten Mal ist das gewiss aufwändig. Aber dafür gibt es auch professionelle Hilfe. Einmal erstellt wird die Risokobewertung dann in die monatliche Arbeitsroutine eingebunden. Wenn dann auch noch wechselnde Verantwortlichkeiten dafür festgelegt werden, hat man immer die Gewähr, dass „fremde“ Augen die aktuelle Situation bewerten. So vermeidet man Betriebsblindheit.
Immer Chefsache
IT-Sicherheit ist immer Chefsache. Die Verantwortung dafür kann nicht delegiert werden. Die Logik dahinter ist ganz einfach: Der Unternehmer geht mit dem Verlust seiner IT in den Konkurs. Möglicherweise hat dies auch strafrechtliche Folgen, wenn ihm entsprechende Versäumnisse nachgewiesen werden und Fremdschäden durch seinen IT-Ausfall verursacht wurden. Da ist es mehr als fraglich, ob der Unternehmer wirtschaftlich überhaupt jemals wieder auf die Beine kommt. Der Mitarbeiter dagegen, der versehentlich nur eine gut getarnte E-Mail mit kriminellem Inhalt geöffnet hat, die schließlich das ganze Unternehmen plättet, kriegt über kurz oder lang woanders einen neuen Job. Abgesehen davon ist natürlich auch nur die Geschäftsführung schlussendlich für den vorschriftmäßigen Umgang mit Daten entsprechend der IT-Sicherheitsrichtlinie verantwortlich. Den Vorgesetzten sollte immer klar sein, dass es Cyber-Kriminellen fast nie darum geht, tatsächlich Daten zu erbeuten. Ihnen geht es fast ausschließlich darum, Unternehmen und Behörden zu erpressen. Datendiebstahl per Download ist mit einem Entdeckungsrisiko verbunden. Ein Erpressungstrojaner dagegen nicht.
Die Zukunft ist mobil
In absehbarer Zukunft funktioniert es noch einfacher: Man braucht nur noch einen Bildschirm, eine Tastatur und eine Maus. Diese drei Geräte können schon bald an die Smartphones angeschlossen werden. Das Smartphone geht automatisch über eine gesicherte Verbindung ins Internet. Dann meldet man sich auf einem großen Bildschirm an. Schon kann die Arbeit beginnen: ob im Büro, daheim, im Hotel oder am Strand ... Der Firmenserver hat längst ausgedient. Das Rechenzentrum ersetzt ihn zunehmend.
Smart Data Center
Ein Smart Data Center ist ein cloudbasiertes, gespiegeltes Rechenzentrum. Physisch bestehen zwei baugleiche Servereinheiten. Sie befinden sich mehrere 100 Kilometer von einander entfernt und sind über eine sichere Verbindung direkt miteinander gekoppelt. Der Hauptserver dient dem Kundenverkehr. Der Spiegelserver dient der permanenten Absicherung per Dauerübertragung. Fällt der Hauptserver aus, tritt der Spiegelserver an seine Stelle. Davon bekommen die Kunden in der Regel nichts mit. Die Kunden wiederum sind über ihre stationären und mobilen Endgeräte über das Internet mittels einer sicheren und verschlüsselten Verbindung in exakt ihren Bereichen auf dem Hauptserver eingeloggt. Zu allen anderen Bereichen auf dem Hauptserver haben sie keinen Zugriff. Jedes Rechenzentrum für sich und jeder Kundenbereich für sich hat seine eigene Firewall und seine eigenen Schutzprogramme. Der Kundenbereich auf einem Server wird auf mehrere Speichersysteme verteilt. Diese werden durch kontinuierliche Spiegelungen und tägliche Backups ausfallsicher auf das jeweils andere Rechenzentrum gedoppelt.
Individual-Software
Innerhalb seines Bereiches kann der Kunde nicht nur die von ihm gebuchten Softwarepakete (zum Beispiel Word, Excel, Access et cetera) benutzen. Er kann dort auch Individualsoftware installieren (zum Beispiel Steuerungstechnik für seine Produktionsstrecken, Maschinen und Anlagen, aber natürlich auch spezielle Warenwirtschafts- und Buchhaltungssysteme und so weiter). Alle seine Kunden- und Produktionsdaten werden ebenfalls auf dem Hauptserver abgelegt. Lokal werden keine Daten mehr gespeichert oder Programme installiert. Damit wird Computerarbeit räumlich vollständig entgrenzt. Der räumlichen Entgrenzung folgt die technische auf dem Fuße. So kann im Büro begonnene Arbeit an jedem beliebigen Ort und zu jeder Zeit fortgesetzt werden. Allein notwendig dafür ist eine stabile Internetverbindung.
Immer skalierbar
Ob ein Kunde ein Rechenzentrum mit einem Einzel- oder Mehrfacharbeitsplatz bucht, ist dabei nicht wichtig. Professionelle Rechenzentren sind für den massenhaften Fremdzugriff konzipiert. Das bedeutet, ein Kunde kann jeden Monat neu Nutzerarbeitsplätze hinzubuchen oder abwählen. Er bezahlt je nach Anzahl der gebuchten Arbeitsplätze nur den Paketpreis des Anbieters. Besonders für kleine und mittlere Unternehmen sind solche Rechenzentren attraktiv. Im Gegensatz zu Konzernen können sich die wenigsten Unternehmen ein eigenes Rechenzentrum leisten. Und auch eigene IT-Abteilungen laufen schnell ins Geld. Von den ständigen Software-Updates und Hardware-Erneuerungen abgesehen. In der Regel bleiben moderne Perepheriegeräte wie Scanner, Kartenleser, Plotter und Drucker für den Betrieb vor Ort erhalten. Rechenzentren sind immer auf dem neuesten Stand.
Immer sicher
Rechenzentren werden ausschließlich von Profis betrieben. Sie sind ausgebildete Experten für Daten-, Hard- und Softwaresicherheit. Selbst das Gebäude des Rechenzentrums wird ausschließlich von ausgebildeten Profis unterhalten und geschützt. Diesen Aufwand kann sich kaum ein einzelnes Unternehmen leisten. Da heute fast kein Unternehmen ohne Computer und Internet funktioniert, ist es nur eine Frage der Zeit, bis sich auch der Mittelstand massiv auf den Weg ins Rechenzentrum macht. Zahlreiche Kommunalunternehmen und Behörden sind hier bereits Vorreiter. Sie tun es heute schon. Denn sie gehören oft zur kritischen Infrastruktur.
Wenige Nachteile
Wo Licht ist, da ist auch Schatten. Das ist selbstverständlich auch bei Rechenzentren nicht anders. Wer sehr spezialisierte Hardware mit einer langen Lebensdauer einsetzt, kann möglichweise Probleme bekommen, diese Hardware über ein Rechenzentrum steuern zu wollen. Es bedarf einigermaßen moderner Technik, um die Vorteile nutzen zu können. Analoge Telefone und Telefaxgeräte, Modems sowieDongles sind längst aus der Zeit gefallen. Auch eine stabile, störungsfreie Internetverbindung ist wichtig. Nicht so sehr die Geschwindigkeit. Die Übertragung der Maus- und Tastaturbefehle an das Rechenzentrum erfordert fast gar keine Kapazitäten. Die Rechenpower wird ausschließlich im Rechenzentrum bereitgestellt. Die Internetgeschwindigkeit und das Ausgabegerät spielen eine untergeordnete Rolle. „Ein möglicher Nachteil kann der Standort eines Rechenzentrums sein“, sagt Peer Casper abschließend. „IT-Technologie zeichnet sich dadurch aus, dass sie weltweit zur Verfügung steht. Das kann ein Problem für die Vorgaben der EU sein. In der EU ist jedes Unternehmen zur Einhaltung der DSGVO verpflichtet.
Und dann der Brexit
Da kann die gewerbliche Nutzung zum Beispiel von Google Drive oder Dropbox unangenehme Fragen aufwerfen. Bevor man sich also für ein Rechenzentrum entscheidet, sollten Unternehmer sehr genau prüfen, wo sich die Rechenzentren tatsächlich befinden. Befinden Sie sich nicht in der EU, deren Vorschriften hier gelten, so ist dringend davon abzuraten, seine Daten dorthin zu geben. In diesem Zusammenhang soll auch der Brexit nicht unerwähnt bleiben. Manches Unternehmen hat sich für ein Rechenzentrum in England oder Schottland entschieden. Die haben nun ein Problem. ■
Bildunterschrift 1:
Peer Casper, Geschäftsführer der Smart Data Center GmbH in Norderstedt: Risiken dürfen keinesfalls emotional bewertet werden. Es zählen lediglich zwei Kategorien: Eintrittswahrscheinlichkeit und Schadenshöhe. Unternehmer sollten sich die folgende Frage stellen. Ab wann kann der Betrieb wieder mit 100 Prozent Leistung weiterarbeiten, wenn wirklich alle Computer und Server verbrannt sind? Dienstleister, die schon vorher ein Rechenzentrum nutzen, arbeiten einfach im Homeoffice weiter – ohne Datenverlust und mit allen Programmen. Foto: Stefan Volk
Bildunterschrift 2:
Anteil der Spam-Mails in 2020 in den Netzen des Bundes. In 2019 waren es 69 %. Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Grafik: Heiko Wruck
Bildunterschrift 3:
Ein Smart Data Center ist eine Cloud in der Cloud – mit physisch und räumlich über mehrere 100 Kilometer getrennten baugleichen Rechenzentren. Der Standort A verfügt über viele Server und Speichersysteme. Innerhalb eines Rechenzentrums werden die Daten so abgelegt, dass einzelne Hardwareausfälle keine Beeinträchtigungen darstellen. Der Standort B ist der Spiegel des Standortes A. Der Standort B übernimmt die Arbeit komplett von Standort A, wenn dieser zerstört wurde. Sichergestellt wird dies durch eine permanente Echtzeitspiegelung. Die Nutzer des Rechenzentrums greifen über individuelle Tunnel nur auf ihre eigenen Bereiche zu. Jeder Standort und jeder Kundenbereich verfügt über eigene aktuelle Firewalls und Schutzprogramme. Grafik:Heiko Wruck
Kontakt:
Heiko.Wruck@t-online.de
_________________________________________