Datenträgern drohen im Prinzip dieselben Gefahren wie der EDV-Hardware; sie sind jedoch noch empfindlicher, was den Bereich tolerierbarer Tempe-ratur und Luftfeuchtigkeit betrifft. Häufigste Schadenursache sind Brandereignisse jeder Art, wozu auch Schäden durch Ruß oder korrosive Brandgase zählen. Daneben kann auch Feuchtigkeit, z.B. durch Leitungswasser, Überschwemmungen, undichte Flachdächer oder ein Versagen der Klimaanlage, eine katastrophale Auswirkung haben. Schließlich droht bei magnetischen Wechsel- und Festplatten noch die Gefahr eines Headcrashs, für den wiederum verschiedene Ursachen verantwortlich sein können.
Der Diebstahl der Festplatten eines Rechenzentrums ist, wenngleich schon vorgekommen, so gut wie auszuschließen. Jedoch sind inzwischen komplette PC-Systeme, teilweise sogar Netzwerke, zum beliebten Diebesgut geworden. Neben dem Verlust der Hardware ist dabei dann immer auch der gesamte Inhalt der Festplatte betroffen.
Geradezu alarmierend ist die Situation bei den mobil eingesetzten Geräten, also Laptops, Notebooks und Palmtops. Auch vor den reinen Datenträgern hat die Miniaturisierung nicht haltgemacht. Disketten, kleine Streamertapes oder DAT-Kassetten passen in jede Jackentasche und lassen sich, meist von Betriebsangehörigen, unbemerkt mitnehmen.
Aber selbst in einem Rechenzentrum mit Abgangskontrolle verschwanden Kassetten und Bänder: Bei der Sicherheitsüberprüfung in einem Unternehmen stellte sich heraus, dass zwar die Aktenkoffer der Mitarbeiter, nicht aber die ausgehenden Hauspostumschläge kontrolliert wurden...
Beim Programmieren sind Fehler unausweichlich. Statistisch enthält ein "gutes" Programm immer noch durchschnittlich acht bis zehn Fehler pro 1.000 Programmzeilen, und umfangreiche Programme haben viele hunderttausend Zeilen. Trotz aller Anstrengung in der Softwarequalitätssicherung werden wir niemals ein Programm erhalten, in dem nachweislich kein Fehler mehr ist. Man kann Software nicht vollständig testen; zu groß ist die Anzahl möglicher Eingabedaten, Parameter und Variablen. Genau dies ist der Grund, warum Softwarehersteller für ihre Erzeugnisse im Normalfall keinerlei Garantie bei Folgeschäden – und dazu gehören auch Datenverluste – übernehmen.
Natürlich ist es möglich, Daten direkt über die Tastatur zu löschen oder zu verändern. Je geringer der Zugriffsschutz eines Systemes ist, umso leichter fällt es Unbefugten, hier ihr Unwesen zu treiben.
Unter diese Rubrik fällt aber auch der weite Bereich der Sabotagesoftware, wie etwa logische Bomben oder Computerviren. Es bedarf keiner besonderen Erwähnung, dass durch diese Arten von Manipulation nicht nur der Softwarebestand zum Beispiel durch Infektion verändert wird, sondern die eigentliche Manipulationsaufgabe der Sabotagesoftware weitere Daten verändern oder zerstören kann.
Leider trägt das Internet durch seine E-Mail-Funktionen maßgeblich zum explosionsartigen Anstieg der Vireninfektionen bei, woran wiederum die Entstehung von so genannten Makroviren entscheidenden Anteil hat.
Ein leidiges Alltagsproblem, das jeder kennt: Man "vertippt" sich beim Schreiben eines Briefes oder eines Formulars. Wird der Flüchtigkeitsfehler nicht entdeckt, liegt auch eine Datenveränderung (nämlich vom theoretisch richtigen Zustand) vor. In diesen Fällen hilft natürlich die Datensicherung nicht weiter. Die Schäden sind, was den Rekonstruktionsaufwand anbetrifft, minimal, können aber in ihrer Auswirkung gravierend sein (z.B. Aufwand zur Fehlersuche, Fehlproduktion, falsche Konstruktion einer Brücke...).
Datenverlust oder -veränderung durch menschliche Fahrlässigkeit im Umgang mit EDV-Systemen ist seit der Verbreitung von PCs, bei denen jeder sein eigener Operator ist, ebenfalls alltäglich geworden. Ob man vor dem Ausschalten das Abspeichern einer wichtigen Datei vergisst, unbeabsichtigt eine bestehende Datei mit einer neuen gleichen Namens überschreibt oder sogar die gesamte Festplatte formatiert, stets ist die Ursache mangelnde Konzentration oder Ausbildung.
Aber auch in einem gut organisierten und automatisierten Großrechenzentrum haben die Abteilungen Operating und Arbeitsvorbereitung noch genügend Möglichkeiten, aus Versehen so in den Betriebsablauf einzugreifen, dass Datenbestände unwiederbringlich verloren gehen.
EDV-Anlagen, insbesondere Festplattenspeicher, sind aufgrund ihrer Miniaturisierung und der hohen Integration gegenüber störenden Beeinflussungen aus ihrer Umgebung außerordentlich anfällig geworden. Weithin gefürchtet ist der Stromausfall bei laufendem Betrieb. Der Datenverlust beschränkt sich häufig nicht nur auf die Daten, die nur im Arbeitsspeicher oder im Cache, aber noch nicht auf der Festplatte stehen. Vor dem Rückspeichern kann es Situationen geben, wo der Datei-Header noch nicht mit dem geänderten Dateiinhalt übereinstimmt, also Teile von Datenbanken in einem inkonsistenten Zustand sind. Sie müssen dann normalerweise durch die letzte verfügbare Datensicherung ersetzt werden.
In ungünstigen Fällen treten diese Effekte schon dann auf, wenn nicht der Strom völlig ausfällt, sondern nur die Netzspannung in ihrer Höhe schwankt (Gewitter, Schalten von Aufzugsmotoren etc.). Bei elektromagnetischen oder elektrostatischen Beeinflussungen der Festplatte bzw. ihres Controllers oder Hardwareschäden in benachbarten Systemteilen können ebenfalls Daten unbeabsichtigt überschrieben werden. Passiert dies in der FAT (File Allocation Table), ist der gesamte Platteninhalt gefährdet. Schließlich ist Datenveränderung zwar unwahrscheinlich, jedoch möglich durch eine Fehlfunktion der Datenfernübertragung.
In allen diesen Fällen, wo Daten verloren gegangen sind, sieht sich der EDV-Betreiber vor die Notwendigkeit gestellt, auf seine Datensicherung zurückgreifen zu müssen. Häufig stellt sich nun heraus, dass die Backups ganz oder teilweise unbrauchbar sind. So müssen Daten mühsam manuell wieder eingegeben werden.
Ursache ist meistens ein Sachschaden. Befinden sich die Sicherungsdatenträger im selben oder in einem benachbarten Raum, ist die Wahrscheinlichkeit groß, dass auch sie in Mitleidenschaft gezogen werden. Auch der "feuersichere" Datentresor versagt, wenn die Brandeinwirkung über die spezifizierten 60, 90 oder 120 Minuten andauert, oder wenn man vergessen hat, rechtzeitig die Tür zu schließen.
Zu einer "Datenkatastrophe" kam es vor kurzem in Passau: Man lagerte zwar täglich die Sicherungsbänder in einen anderen Feuerbereich (anderes Gebäude) aus. Allerdings lag der Raum auf gleichem Niveau wie das Rechenzentrum, im Erdgeschoss. Beim bayrischen "Jahrhundert"-Frühjahrshochwasser wurden nun beide Gebäude gleichzeitig überflutet; das für unmöglich gehaltene war eingetreten.
Erschwerend kommt hier dazu, dass man sich durch Schadenverhütungsmaßnahmen kaum schützen kann. Fallen manipulierte oder fehlerhafte Dateien nicht sofort auf, werden sie natürlich periodisch mitgesichert. Meistens bedient man sich einer rollierenden Sicherung (z.B. Großvater – Vater – Sohn), so dass nach einiger Zeit die Situation erreicht ist, dass keine intakte Sicherungsgeneration mehr vorhanden ist.
Auch wenn eine Datensicherung unzerstört und nicht manipuliert ist, wird mit ihr in vielen Fällen der Wiederanlauf nicht gelingen – dessen sind sich nur die meisten EDV-Betreiber nicht bewusst.
Im PC-Bereich zeigt die Schadenerfahrung, dass sich viele Anwender über die Fülle und Auswirkungen der möglichen Parameter der BACKUP- und RESTORE-Befehle nicht bewusst sind (gilt noch mehr bei speziellen Hilfsprogrammen zum Backup), dass mit unterschiedlichen Versionen oder sogar an einem Rechner mit mehreren, untereinander nicht kompatiblen Programmen zur Datensicherung gearbeitet wird.
Geradezu erschreckend jedoch ist die Erfahrung im Bereich größerer Rechenzentren, die Datensicherung mit erheblich höherem organisatorischen Aufwand und geschultem Personal betreiben: Der allererste Test zum vollständigen Restart versagt in 90 % der Fälle. Dies belegen die Aussagen führender Ausweichrechenzentren, die mit ihren Kunden den Wiederanlauf nach einer (simulierten) EDV-Katastrophe üben. Die mitgebrachte Kundendatensicherung "läuft" auf dem Ersatzrechner nicht. Neben der Vollständigkeit und Konsistenz der Datensicherung ist die Geräteadressierung (Speicher, TP, Endgeräte) ein häufiger Schwachpunkt.
Auch diese banale Feststellung gehört zum Alltag bei Versuchen zur Datenrekonstruktion. Die Ursachen liegen in drei Bereichen: menschliche Fahrlässigkeit, technische oder Operating-Fehler. Datensicherung und auch die Auslagerung von Sicherungen werden von Menschen erledigt, die nach Anweisungen handeln (sollen). Was aber tut der Mensch, wenn er bei Feierabend in Eile ist, oder wenn er bei starkem Regenschauer den Betriebshof überqueren sollte? Er verschiebt die Aktion (vielleicht) auf "morgen"...
In einem konkreten Schadenfall unterblieb die sonst tägliche Datensicherung für über eine Woche, weil der Verantwortliche im Urlaub war, und sich von den Kollegen niemand zuständig fühlte. Die Schlampigkeit fiel auch nur zufällig auf, weil es ausgerechnet in dieser Woche zum Datenverlust kam.
Technische Ursachen sind meist eine Fehlfunktion des Bandlaufwerks: Es werden zwar Sicherungsbänder "erzeugt", die aber sind leer. Das gilt besonders für die kleinen Bandlaufwerke im PC-Bereich, die kein automatisches "Read after Write" vorsehen. Davon unabhängig können natürlich Magnetbänder nach langer Lagerung oder Gebrauch "von selbst" schadhaft und damit nicht mehr lesbar werden.
Schließlich können zum Nicht-Vorhandensein der Datensicherung auch Operating- oder Programmierfehler beitragen. Eine Firma bewahrte seit zwei Jahren leere Sicherungskassetten für ihr UNIX-System im Tresor auf. Die Datensicherung sollte nachts erfolgen und wurde durch ein Batch-Programm gesteuert. In diesem – niemals getesteten – Programm fehlte jedoch der eigentliche Befehl, der das Kopieren der zu sichernden Dateien von der Festplatte auf die Kassette veranlasst hätte...
Wie einige Schadenfälle der letzten Jahre zeigen, ist selbst Standardsoftware zum Backup genauso fehleranfällig wie alle anderen Programme auch. Die damit erstellten Sicherheitskopien sind entweder fehlerhaft, komplett nicht vorhanden oder lassen sich nicht öffnen, was auf das Gleiche herauskommt.
Sofern die Daten auf der Festplatte zugriffsgeschützt (z.B. verschlüsselt) sind, trifft dies meistens auch auf die Dateien der Datensicherung zu. Geht durch einen Schadenfall der Kodierungsmechanismus mit dem EDV-System verloren (Diebstahl, Sachschaden), ist die vorhandene Sicherung unbrauchbar, so lange man nicht auf dem Ersatzsystem den gleichen Mechanismus wieder installieren kann. Im konkreten Fall war das nicht möglich, weil der Hersteller der Verschlüsselungskarte (Hardware!) nicht mehr auf dem Markt war. Weniger schlimm, aber auch kostspielig ist der Einsatz von Software, die mit einem Kopierschutzstecker ("Dongle") gegen Raubkopieren geschützt wurde. Hier ist die Datensicherung zwar verwendbar, es fehlt jedoch die Software, um sie zu verarbeiten. In solchen Fällen versucht der SW-Hersteller erfahrungsgemäß, sich den vollen Lizenzpreis erneut bezahlen zu lassen, bevor er neue Software (mit Stecker) zur Verfügung stellt.
Welche Kosten kann eine Rekonstruktion nach Datenverlust verursachen? Nehmen wir an, dass durch ein oben genanntes Risiko Daten verloren gegangen oder verändert worden sind und dass aus einem der im folgenden erwähnten Gründe nicht auf die Datensicherung zurückgegriffen werden kann.
Standard-Software kann vom Hersteller neu beschafft werden. Dies ist, aufgrund der unklaren Rechtslage, beim einen Hersteller gegen eine geringe Bearbeitungsgebühr möglich (schließlich hat der Kunde ja eine Lizenz zur Nutzung des Programms erworben), der andere verlangt erneut den vollen Kaufpreis. Es ist ratsam, sich mit seinen SW-Lieferanten vor einem konkreten Bedarfsfall hierüber zu einigen.
Individuell erstellte Software und Benutzerdateien lassen sich nur manuell wieder rekonstruieren – man muss die Daten erneut über die Tastatur ins System eingeben. Hier liegt das eigentliche (finanzielle) Risiko. Die manuelle Eingabe eines Megabytes an Daten (vereinfachend: eine Million Zeichen) dauert bei einer Eingabegeschwindigkeit von 100 Zeichen/Minute und acht Stunden/Tag 20 Manntage; das kostet bei einem kalkulatorischen Stundensatz von DM 50,- insgesamt DM 8.000,- für ein MB. Geht man von höheren Eingabegeschwindigkeiten oder niedrigeren Stundensätzen aus, reduziert sich natürlich der Preis; unterhalb von DM 4.000,- je MB wird man aber kaum kommen.
Eine gute Messlatte bieten auch Service-Rechenzentren, die im Jahr 1993 in Deutschland für die Dienstleistung Datenerfassung durchschnittlich DM 9.680,- je MB berechneten (Quelle: "HANDELSBLATT" vom 29.08.1994). Für 1995 gibt die Zeitschrift ONLINE (7/95) den Wert bereits mit DM 13.600 je MB an.
Aktuellere Zahlen liegen nicht vor. Es ist jedoch keinesfalls anzunehmen, dass seit 1995 die Personalkosten gefallen sind. Die zitierten "historischen" Zahlen dürfen als absolute Mindestwerte gelten. Anhand dieser Zahlen wird überhaupt erst deutlich, welche Werte (Betriebsvermögen!) auf den Festplatten selbst kleiner PCs gespeichert sein können.
Die Unterbrechung ist als typischer Folgeschaden stets die Konsequenz eines direkten Schadens. Hier ist die Ursache "Feuer" ein gutes Beispiel: Nach dem Brand in einer Produktionshalle sind die beschädigten Maschinen wieder zu reparieren oder sogar die ganze Halle zu ersetzen. Dies ist der direkte Schaden. Während der Reparatur- oder Aufbauzeit steht zwangsläufig die Produktion still. Dieser Folgeschaden "Produktionsausfall" kostet indirekt auch Geld, weil nämlich dem Produzenten Umsatzerlöse fehlen.
In vielen Fällen ist der Schaden durch die Betriebsunterbrechung deutlich höher als der direkte Sachschaden. Ganz besonders gilt dies, wenn wir nicht über eine Produktionshalle, sondern über die EDV-Welt sprechen. Ohne EDV "läuft nichts mehr", der gesamte Betrieb steht still. Damit kommt bei EDV der Betriebsunterbrechung eine ganz zentrale Bedeutung zu, die allerdings manchmal unterschätzt oder verdrängt wird.
Der Schaden pro Ausfalltag lässt sich überschlägig mit dem an diesem Tag verlorenen Umsatz gleichsetzen. Hat ein Unternehmen 250 Arbeitstage im Jahr, bedeutet ein EDV-Ausfall von 10 Tagen bereits 4 % vom Jahresumsatz! Noch nicht dabei berücksichtigt ist die Tatsache, dass man am 11. Tag, wenn also "die EDV wieder läuft", noch nicht den vollen Tagesumsatz erwirtschaften wird, weil man die Rückstände aufholen und gleichzeitig das Neugeschäft bewältigen muss.
Sicherheitsmaßnahmen und Versicherungsschutz müssen einander sinnvoll ergänzen. Eine Versicherung kann den Schadeneintritt nicht verhindern und deckt keine immateriellen Schadenfolgen (z.B. den Verlust an Image). Sie fängt aber die finanziell messbaren Schadenfolgen ab; und renommierte Versicherer können ihren Kunden wertvolle Erkenntnisse aus Schadenforschung und -erfahrung als Hinweise zur Erhöhung der betrieblichen Sicherheit zur Verfügung stellen.
Selbst wenn zur Realisierung von Sicherheitsmaßnahmen das Geld überhaupt keine Rolle spielte, ist sehr bald der Punkt erreicht, wo eine weitere Verdoppelung der eingesetzten Mittel nur noch eine marginale Erhöhung der erreichten Sicherheit brächte. Das stets verbleibende Restrisiko kann wirtschaftlich nur durch eine Versicherung abgedeckt werden. Hier wird nämlich 100 %ige (finanzielle) Sicherheit erzielt, und der Mitteleinsatz ist begrenzt (Versicherungsprämie). Insofern ist das Restrisiko "kalkulierbar" geworden.
Die wirtschaftliche Überlegung bei der Kombination Schadenverhütung und Versicherung ist stets zweistufig:
Dabei kommt allerdings erschwerend hinzu, dass sich der "Preis für Versicherung" (Prämiensatz) in der Regel nach der Größe des Restrisikos richtet, man die Überlegung also mehrfach anstellen muss, wenn man mehrere Varianten durchspielen möchte. Es wird dann aber häufig übersehen, dass eine zusätzliche Schadenverhütungsmaßnahme nur in den seltensten Fällen durch einen Prämienrabatt in der Versicherung zu finanzieren ist. Das heißt, dass die Verringerung der Schadeneintrittswahrscheinlichkeit für den EDV-Anwender neben dem finanziellen Aspekt offensichtlich auch einen Wert an sich haben muss.
Rechenzentrum, EDV-Sachversicherung. In diesem Bereich ist es heute eigentlich, unabhängig vom Restrisiko, keine Frage mehr, dass man die Hardware versichert. Nun baut man eine automatische Brandmeldeanlage ein, das Restrisiko sinkt, ebenso sinkt natürlich die Versicherungsprämie (z.B. um 5 %). Obwohl man eigentlich mehr bezahlt (die jährliche Abschreibung auf die BMA dürfte höher als der Prämienrabatt sein), fühlt man sich "besser", weil eine BMA für ein Rechenzentrum eigentlich "Stand der Technik" ist. Die Reduzierung des Restrisikos hilft dem Versicherer (daher der Rabatt), aber auch einem selbst (wer möchte schon, dass sein RZ abbrennt, auch wenn es versichert ist...).
Rechenzentrum, Softwareversicherung. Hier ist der Mechanismus derselbe, und dennoch gibt es einen gravierenden Unterschied: Man ist sich des Restrisikos aus seiner Datensicherung nicht so bewusst, wie man das bei der Hardwaresicherheit ist. Vielleicht sieht man noch die Risiken für einen Datenverlust, glaubt aber, mit den implementierten Maßnahmen zur Datensicherung das Restrisiko auf nahezu Null reduziert zu haben.
Analysiert man Schadenfälle, zeigt sich aber genau Gegenteiliges: Wie viel Aufwand an Schadenverhütung bei der Datensicherung man auch immer betreibt, das verbleibende Restrisiko ist stets größer, und zwar erheblich größer als im Hardwaresektor. Dabei täuscht die Erinnerung, noch nie einen gravierenden Datenverlust erlebt zu haben, vielleicht über das wahre Ausmaß des Risikos hinweg. Schließlich werden die meisten ebenfalls noch nie einen Großbrand in ihrem RZ erlebt haben; dennoch "weiß" man, dass so etwas durchaus vorkommen kann. Gerade angesichts der abnehmenden Bedeutung von Hardware und zunehmender Bedeutung von Daten und Software für ein EDV-System sollte die Sensibilisierung bei letzterem Bereich dringend wachsen.
Dipl.-Ing. Christian Mehl ist Prokurist der TESCON Beratungsgesellschaft für betriebliche Sicherheit mbH in Muenchen. TESCON ist Tochtergesellschaft der TELA Versicherung AG.
----------Anfang Textkasten----------
Die Versicherungswirtschaft hat das Risiko eines Datenverlusts bei EDV-Anlagen schon in den sechziger Jahren erkannt und die "Datenträgerversicherung" entwickelt. Sie baut direkt auf die Elektronik-Sachversicherung für die EDV-Hardware auf. Leistungspflicht besteht, wenn Daten infolge eines Sachschadens an dem Datenträger, auf dem sie gespeichert waren, verloren gehen. Der Begriff "Sachschaden" ist dabei, wie in der Elektronikversicherung üblich, sehr weitgehend. Er beinhaltet jede Beschädigung, Zerstörung oder Entwendung des Datenträgers aufgrund einer versicherten Gefahr. Daher rührt dann auch der Name "Datenträgerversicherung", obwohl ja eigentlich Rekonstruktionskosten für Daten (und Software) versichert sind.
Die "Softwareversicherung" wurde als Erweiterung zur Datenträgerversicherung im Jahr 1990 von der TELA Versicherung AG auf dem Markt eingeführt. Der Versicherungsschutz erstreckt sich auf Verlust oder Veränderung von Daten auch ohne Sachschaden am Datenträger bei Schäden durch:
Auch die Softwareversicherung leistet (wie die Datenträgerversicherung) für die Kosten der Wiederherstellung verloren gegangener oder veränderter Daten- und Programmbestände, so dass für die Versicherungssumme die oben erläuterten Überlegungen anwendbar sind. Vollständig neuartig ist vor allem die Möglichkeit, Schäden durch fahrlässige Bedienung der EDV-Anlage zu versichern, völlig unabhängig davon, ob im PC-Bereich durch den "COPY"-Befehl unbeabsichtigt eine bestehende Datei überschrieben wird, oder ob es in einem Großrechenzentrum die Arbeitsvorbereitung bei der Zusammenstellung der nächtlichen Batch-Jobs einmal an der nötigen Sorgfalt mangeln lässt.
Erstmals bietet auch die Einbeziehung der Schäden aus Daten- und Softwaremanipulation die Möglichkeit, die fatalen Auswirkungen von Computerviren (überwiegend im PC-Bereich), Trojanischen Pferden, Falltüren oder logischen Bomben (vor allem bei größeren Rechnern) durch Versicherungsschutz kalkulierbar zu machen.
Eine Versicherung gegen die Betriebsunterbrechung (BU) aufgrund von Sachschäden an der EDV kennt die Elektronikversicherung bereits seit den sechziger Jahren des vorigen Jahrhunderts. Weithin als unversicherbar galt die BU aufgrund von Datenverlust oder Datenveränderung. Als völlig unversicherbar galt die BU aufgrund der Nichtverfügbarkeit externer Netze und den daran angeschlossenen Kommunikationspartnern (also der Netzdienstleistungen).
Auch für diese beiden Risikofelder bietet nun die TELA Versicherung AG pauschale Deckungen an. Ein Konzept dieser Art gibt es momentan bei keinem anderen Versicherer.
----------Ende Textkasten----------
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 35