Aus den Lehren des Titanic-Untergangs lassen sich für die Planung eines modernen Rechenzentrums viele Lehren ziehen, um sich dadurch gegen unvorhergesehene Bedrohungen besser zu schützen.
Vor mehr als 30 Jahren wurde die Titanic auf dem Meeresgrund entdeckt. Die Legende des Untergangs dieses Schiffs wurde in Büchern und Filmen verbreitet. Ein wesentlicher Aspekt der Titanic-Geschichte sind die hohen Anforderungen an die Sicherheit, die von seinen Erbauern und Besitzern an dieses Schiff gestellt wurden. Die Titanic galt als „UNSINKBAR“. Selbst als Berichte über die Schiffskatastrophe langsam in New York bekannt wurden, sagte der Vizepräsident der White Star Line: „Wir haben absolutes Vertrauen in die Titanic. Wir glauben, dass das Boot unsinkbar ist.“ Offensichtlich hatte die Realität kein so großes Vertrauen in die maritimen Ingenieure.
Welche Lehren kann man aus der berühmten Schiffskatastrophe für das Design eines modernen Rechenzentrums ziehen? Wie können feindliche Angriffe verhindert werden? Wo lauern die Eisberge, die unter Umständen katastrophale Probleme verursachen können?
Das Vertrauen der Planer der Titanic beruhte auf der Umsetzung von bisher nicht gekannten Sicherheitsmaßnahmen und war daher nicht völlig unbegründet. Das Schiff wurde in 16 Abteilungen unterteilt, von denen jede durch wasserdichte Schotten (Türen) isoliert werden konnte. Bis zu vier solcher Abteilungen konnten überschwemmt werden, ohne das Schiff zu versenken.
Die Netzwerke in den heutigen Rechenzentren folgen einem ähnlichen Designprinzip. Die Netze werden segmentiert und die logischen Abtrennungen dienen dem Schutz der darin installierten Server vor Angriffen.
Leider waren die Schotten der Titanic nicht hoch genug, so dass das Wasser von einem Segment zum nächsten Segment überlaufen konnte. Die Bedrohung erfolgte zuerst von außerhalb des Rumpfes, aber zu einem späteren Zeitpunkt des Untergangs auch von benachbarten Schiffssegmenten.
Inzwischen erkennen die Planer von Rechenzentren, dass die Bedrohungen nicht allein von Außen auf die Rechner wirken, sondern auch von Innen (innerhalb des Unternehmens) ausgehen. Dieser Angriffsverkehr hat seine Ursachen in kompromittierten Servern, die automatisch nach Schwachstellen im Unternehmen suchen.
Der normale Datenverkehr umfasst beispielsweise alle kundenorientierten Anwendungen, die interne Datenbanken abfragen, um eine gewünschte Kontoinformation abzurufen. Solche Abfragen dürfen jedoch nicht ohne die notwendigen Einschränkungen über das Netzwerk fließen. Dies wäre vergleichbar wie eine Seepassage mit einem Schiff ohne Schotten. Daher werden die Rechenzentren zunehmend in kleinere abgedichtete Einheiten unterteilt. Dieser Ansatz wird auch als Mikrosegmentierung bezeichnet.
Die Automatisierung ist ein wesentlicher Baustein
Im Jahr 1911 berichtete die Zeitschrift Shipbuilder folgendes: „Der Kapitän kann durch einfaches Betätigen eines elektrischen Schalters sofort das Schott vollständig schließen und das Schiff wird dadurch praktisch unsinkbar.“ Damals waren einige automatische Kontrollmechanismen zwar vorhanden, aber eine solche Abhängigkeit von menschlichen Eingriffen kennzeichnet doch eine der Schwächen des Systems. Bei Problemen und dem dadurch entstehenden Chaos kann dies bei tatsächlichen Notfällen sich als Nachteil erweisen.
In einem Rechenzentrum entspricht eine solche manuelle Vorgehensweise dem Öffnen von Tickets, um einem menschliche Administrator zur Veränderung einer Firewall-Konfiguration aufzufordern. Ein solcher Prozess ist nicht viel besser als die Meldung von der Brücke an den Maschinenraum: „Volle Kraft zurück! Der Eisberg ist bereits in Sichtweite!“
Ein modernerer Sicherheitsansatz besteht darin, jedem Server automatisch bei dessen Aktivierung eine entsprechende Sicherheitsgruppe zuzuweisen. Hierbei ist darauf zu achten, dass sich die möglichen Zugriffsmöglichkeiten nur auf das unbedingt Notwendige beschränken. Dies gewährleistet die automatische Sicherstellung von Tausenden von Anwendungen.
Natürlich bleibt der Mensch als zentrales Element nach wie vor wichtig, auch wenn kein Menschen mehr an den Transaktionen beteiligt ist. Eine Empfehlung aus dem britischen Bericht der Titanic-Katastrophe besagt: „Die Männer, die das Kommando über die Rettungsboote hatten, hätten wesentlich häufiger eine Seenotrettungsübung durchführen müssen. … Diese Seenotrettungsübungen hätten auch im offiziellen Logbuch verzeichnet werden müssen.“
Diese Anmerkungen und Richtlinien klingen jedem vertraut, der sich mit der Sicherheitszertifizierungen eines modernen Rechenzentrums befasst ist. Die aktuellen Gesetze und Richtlinien für den sicheren Betrieb von IT-Systemen geben hierfür jede Menge an Anhaltspunkten.
Der älteste Funker an Bord der Titanic blieb bis zum Untergang des Schiffs auf seinem Pfosten und versuchte Hilfe von anderen Schiffen zu bekommen. Einer der überlebenden Funker schrieb über seinen Kollege verstorbenen Kollegen: „Mich überkam plötzlich eine große Ehrfurcht, als ich ihn vor dem Funkgerät stehen und arbeiten sah, während um ihn herum die ganze Welt in Chaos versank.“
Jeder, der bereits einen größeren Hackerangriff erlebt hat, kann sich leicht vorstellen, was es bedeutet, gegen die drohende Katastrophe anzukämpfen und sich dabei an der Arbeit festzuhalten.
Fazit
Aus der Geschichte lernen bedeutet die notwendigen Schritte im Voraus zu gehen. Die Cybersecurity versucht daher mögliche Katastrophen zu erkennen, bevor diese geschehen. Einige der aus der Titanic-Katastrophe gelernten Lektionen lauten daher:
- Im Rechenzentrum können jederzeit durch unvorhergesehene Bedrohungen ernstzunehmende Probleme auftreten.
- Diese Probleme sind durch Vorsorgemaßnahmen und entsprechende Sicherheitsmaßnahmen zu vermeiden bzw. so abzumildern, dass diese keine oder nur geringfügige Auswirkungen haben.
- Automatisierte Sicherheitsmechanismen in Kombination mit fortlaufenden Schulungen der Administratoren und Nutzer erhöhen deren Wachsamkeit. (mh)