Kurzfassung

Der Ausfall von Systemen kann enorme finanzielle Einbußen verursachen, die Folgen können vielfältig sein.

Die Komplexität und der Grad der Vernetzung bei Systemen haben in den letzten Jahren zugenommen. Die Effizienz und Qualität konnte damit zwar steigen, die Systeme sind jedoch auch zunehmenden Bedrohungen ausgesetzt.

Diese Vertiefungsarbeit beschreibt verschiedenste Bedrohungen solcher Systeme und Wege, diesen effektiv entgegenzutreten.

Dabei werden organisatorische Mängel und Maßnahmen beschrieben, detaillierter wird aber auf Maßnahmen, um Komplettausfälle durch den Ausfall von einzelnen Hardwarekomponenten zu vermeiden, eingegangen. Die Sicherheit in Bezug auf die Hardware kann insbesondere durch Redundanzen erhöht werden.

Durch komplett redundant ausgelegte Serversysteme wie Cluster, auf die näher eingegangen wird, kann Hochverfügbarkeit garantiert werden.

Weniger umfangreich werden Viren, Trojaner etc. und Softwarefehler mit den dazugehörigen Maßnahmen, diese zu vermeiden, beschrieben.

Sicherheit von Systemen - Ausfallsicherheit, Redundante Systeme, Notfallmaßnahmen, Technik, Kosten 3

EINLEITUNG   

Inhaltsverzeichnis

Seite   

Kurzfassung.   3

Abk  ürzungsverzeichnis  6

Abbildungsverzeichnis   7

1  Einleitung  8

1.1  Motivation  8

1.2  Problemstellung und -abgrenzung  8

1.3  Ziel der Arbeit Vorgehen  9

2  Grundlagen.  10

2.1  Sicherheit als allgemeiner Begriff und im Zusammenhang mit Systemen.  10

2.2  Risiko  11

2.3  BSI - Bundesamt für Sicherheit in der Informationstechnik.  11

2.3.1  Allgemeines  11

2.3.2  Aufgaben des BSI  11

2.3.3  Tätigkeiten des BSI.  12

2.4  „Entwicklung“ der Bedeutung der Sicherheit in der Informationstechnik  

und  gegenwärtige Lage  12

2.5  Redundanz  13

2.6  Ausfallsicherheit  13

2.7  Ausfallwahrscheinlichkeit  14

2.8  Hochverfügbare Systeme  14

2.9  Single Point of Failure  14

3  Problemanalyse  15

3.1  Organisatorische Mängel menschliches Fehlverhalten.  15

3.1.1  Bedienfehler.  15

3.1.2  Fehlende oder unklare Anforderungen  15

3.1.3  Fehlendes Vorgehensmodell  15

3.1.4  Späte Sicherheitsüberlegungen  16

3.1.5  Mittelbereitstellung  16

3.1.6  Fehlende Standardisierung  16

3.1.7  Bewertung der Sicherheit und des Sicherheitsbedarfs  16

3.2  Unmittelbare Bedrohungen/Gefahren für Systeme.  17

3.2.1  Technische Defekte  17

3.2.1.1  Hardwareausfälle  17

3.2.1.2  Netzwerk  18

3.2.1.3  Stromausfälle  18

3.2.1.4  Höhere Gewalt  19

3.2.1.5  Softwarebugs  19

3.2.2  Malware: Viren, Trojaner Co.  20

3.2.2.1  Viren  20

3.2.2.2  Würmer.  20

3.2.2.3  Trojanische Pferde  20

3.2.2.4  DoS - Denial Of Service  21

Sicherheit  von Systemen - Ausfallsicherheit, Redundante Systeme, Notfallmaßnahmen, Technik, Kosten  4

EINLEITUNG   

3.3  Zusammenfassung.  21

4  Lösungskonzept  22

4.1  Organisatorisches.  22

4.1.1  Allgemeines  22

4.1.2  Bedrohungsanalyse durchführen und Maßnahmen festlegen  23

4.1.3  Sicherheitskonzepte und -richtlinien  23

4.1.4  Kosten.  24

4.2  Hardware: Präventivmaßnahmen  25

4.2.1  Redundante Hardware.  25

4.2.1.1  Festplatten: RAID  25

4.2.1.2  Netzwerkabsicherung: doppelte Netzwerkkarten und Subnetze  26

4.2.1.2.1  Allgemeines  26

4.2.1.2.2  Adapter-Teaming  27

4.2.1.2.3  Internet-Anbindung  28

4.2.1.3  Redundante Netzteile.  28

4.2.2  Thermische Probleme vermeiden  28

4.2.3  Absicherung der restlichen Hardwarekomponenten  29

4.2.4  USV - Unterbrechungsfreie Stromversorgung.  29

4.3  Lösungen mit redundanten Servern.  29

4.3.1  Backup-Server  30

4.3.2  Cluster  30

4.3.3  VMWare: virtuelle Clustersysteme  31

4.4  Software-Probleme: Maßnahmen.  31

4.4.1  Softwarebugs  31

4.4.2  Malware vermeiden.  32

4.5  Zeitpunktbezogene Datensicherungen  32

4.5.1  Allgemeines  32

4.5.2  Notfallmaßnahmen.  33

5  Zusammenfassung und Ausblick  34

5.1  Erreichte Ergebnisse  34

5.2  Ausblick  34

Quellenverzeichnis.   35

Stichwortverzeichnis.   36

Sicherheit  von Systemen - Ausfallsicherheit, Redundante Systeme, Notfallmaßnahmen, Technik, Kosten  5

Abkürzungsverzeichnis

BND Bundesnachrichtendienst BSI Bundesamt für SIcherheit in der Informationstechnik CD Compact Disc DIMM Dual In-Line Memory Module DIN Deutsches Institut für Normung DoS Denial of Service DVD Digital Versatile Disc IP Internet Protocol IT Informationstechnologie MBit Megabit PCI Periphal Component Interconnect RAID Redundant Array of Independent Disks (Redundante Ansammlung unabhängiger Festplatten) SPoF Single Point of Failure USV Unterbrechungsfreie Stromversorgung

Sicherheit von Systemen - Ausfallsicherheit, Redundante Systeme, Notfallmaßnahmen, Technik, Kosten 6

Abbildungsverzeichnis

Seite

Abbildung 1: Schaubild: Verhältnis Nutzungsdauer - Fehlerrate .................................. 18 Abbildung 2: Schaubild: Verhältnis Grad der Sicherheit - Kosten................................. 26 Abbildung 3: Screenshot Adapter-Teaming .................................................................. 28

Sicherheit von Systemen - Ausfallsicherheit, Redundante Systeme, Notfallmaßnahmen, Technik, Kosten 7

1 Einleitung

1.1 Motivation

Ob Webserver, Großrechner oder Arbeitsplatzrechner: der Ausfall von Systemen kann enorme finanzielle Einbußen verursachen. Die Folgen sind vielfältig: Mitarbeiter können nicht arbeiten, Produktionsprozesse werden lahm gelegt, ein schlechteres Ansehen aufgrund eines Webserver-Ausfalls oder der Verlust von wichtigen Daten sind nur einige der denkbaren Konsequenzen. Im schlimmsten Falle kann der Ausfall eines Systems, schlechte Sicherheitsvorkehrungen vorausgesetzt, den Ruin eines Unternehmens bedeuten, zum Beispiel aufgrund des Verlustes essentieller Unternehmensdaten.

Die Komplexität und der Grad der Vernetzung bei Systemen haben in den letzten Jahren zugenommen. Die Effizienz und Qualität konnte damit zwar steigen, die Systeme sind jedoch auch zunehmenden Bedrohungen ausgesetzt.

Dementsprechend sollte im IT-Bereich im sinnvollen Maße Wert auf Sicherheit bei Systemen gelegt werden. Nach einer Risiko- und Bedrohungsanalyse sollte ein Sicherheitskonzept erstellt werden, um Ausfälle zu minimieren bzw. Ausfallzeiten zu reduzieren.

Oftmals legen Unternehmen zu wenig Wert auf Sicherheit. Systeme funktionieren, die finanziellen Mittel sind knapp. Nötige Sicherheitsvorkehrungen sind nicht umfassend genug, da sie augenscheinlich Kosten verursachen und mit hohem Aufwand verbunden sind. Die möglichen enormen indirekten Kosten durch fehlende Maßnahmen werden nicht bedacht und das Risiko in Kauf genommen.

1.2 Problemstellung und -abgrenzung

Es gibt verschiedenste Bedrohungen für Systeme. „Bösartige Angriffe“ von außen, also beispielsweise Viren und Trojaner, können ein System genauso lahm legen wie Hardware-Defekte, Softwarefehler oder Umwelteinflüsse.

Die Problemstellung in dieser Vertiefungsarbeit umfasst im Allgemeinen die verschiedenen Gefahren, die die Aufrechterhaltung des Betriebes von Systemen im IT-Bereich gefährden können.

Sicherheit von Systemen - Ausfallsicherheit, Redundante Systeme, Notfallmaßnahmen, Technik, Kosten 8