Grundanforderungen an ein Rechnersystem für eine ordnungsgemäße Datenverarbeitung
Was bedeutet "ordnungsgemäße Datenverarbeitung"!?
In Anlehnung an gesetzliche Regelungen (z.B. BDSG §9, AO u.a.) wird die Grundlage einer ordnungsgemäßen Datenverarbeitung durch den Einsatz von Einrichtungen oder Betriebsweisen geschaffen, die mit Erfolg im Betrieb erprobt worden sind!?
Die Anforderungen an den Betreiber werden von mir wie folgt definiert:
Der Betreiber muß sicherstellen, daß die genutzten Systeme (Hardware) im Rahmen der geschäftlichen Erfordernisse verfügbar sind für Datenverarbeitungsprozesse (Lese-und Schreibprozesse), d. h. er steht in der Verantwortung die Systeme regelmäßig auf ihren Nutzungszustand zu prüfen und ggfs. Instandsetzungsmaßnahmen oder Ersatzbeschaffungen/Erneuerung vorzunehmen.
Der Betreiber muß sicherstellen, daß die elektronisch gespeicherten Daten bzw. abzuspeichernden Daten wahr (unverfälscht) sind und vor Verfälschung geschützt sind (Bereich - Betriebssystem, Anwendungssoftware, Virenschutz, sonst. Kontrollen, organisatorische Maßnahmen).
Der Betreiber muß sicherstellen, daß elektronisch gespeicherte Daten gesichert aufbewahrt werden (Maßnahme "Datensicherung" = eine Maßnahme zur Realisierung der Datenschutzes)
Grundforderungen an die Hardware eines Rechnersystems
Daß alle Leser dieser Ausführungen wissen, wie ein Computer von außen aussieht setze ich voraus, hinsichtlich des vorhandenen Erfahrungsumfangs in Bezug auf das Innenleben fehlt mir eine angemessene Vorinformation.
Der bedeutsamste Unterschied zwischen dem Heimrechner und der gewerblich genutzten Maschine sollte in qualitativen Verbesserungen von Ausstattungskomponenten bestehen, diversen Zusätzen wie SCSI-Controller, Netzwerkkarten, u.a.m. Die Namensgebung für ein System, wie Hostrechner, Client, Server, Laptop, Schlepptop, Notebook, auch vor einem Compaq Proliant RAID-System, Level 3,5 oder eine andere Nummer, sollte hier nebensächlich sein.
Den Sockel eines gewerblich genutzten Rechners sollte ein solides Motherboard bilden, nicht der letzte Schrei, der beinhaltet wie bei allen folgenden Baugruppen in der Regel mehr Kinderkrankheiten, wie das auslaufende Vorgängermodell. Reichlich Speicher (REM), nicht unter 32 MB, einen bewährten SCSI-Controller, CD-ROM-Laufwerk, Diskettenlaufwerk, Netzwerkkarte und eine nicht überzüchtete Festplatte. Auch bei 7.200 U/pro Min. reicht die Performance auch bei anspruchsvollen Anwendungen. Ein qualitativer guter Monitor, Tastatur, Maus..
Auf eine leistungsfähige Soundkarte kann häufig verzichtet werden, in einem Server ohnehin, es sei denn der Internetbesuch muß tonunterlegt sein, oder das Multimediaangebot- oder Gutachten soll Wirklichkeit werden.
Das Grundgerüst steht, das Wichtigste fehlt!.... Ein Laufwerk zur Datensicherung, ob Bandlaufwerk, ergänzende Fest-oder Fest-/Wechselplatte, CD-ROM-Brenner, denn:
"Eine Datensicherung ist bei jedem Betrieb einer Computeranlage "ein Muß",
sie ist "absolut unverzichtbar" und das "oberste Gebot der Datenverarbeitung".
OLG Karlsruhe, 10U 123/95, bestätigt durch Urteil des BGH, Akz X ZR 64/94 vom Juli 1996
Die über meine Tätigkeit erhaltenen Erfahrungen zeigen, daß es durchaus sinnvoll ist, eine Kombination von 2 unterschiedlichen Sicherungsverfahren zu wählen, Band und Fest-/Wechselplatte oder CD-ROM und Band usw.
Das zuvor gesagte gilt uneingeschränkt auch für Systeme die als sogenannte RAID-Lösungen angeboten werden.
Bekannt sind hier besonders die Lösungen mit Level 1
(einfache Spiegelung), 3 und 5.
Je nach Bedeutung von Daten auf einem Rechnersystem sollte bereits heute darüber nachgedacht werden, inwiefern nicht bereits bei Kauf oder Installation eine Zugangssicherung implementiert wird, damit nicht jeder, der sich illegitimer Weise das System aneignet, z.B. bei Diebstahl, das System ungehindert in Betrieb nehmen kann. Entsprechende Lösungen sind bereits für "kleines Geld" zu erhalten (z.B. Flashcard).
Letztlich ist die Anschaffung einer sogenannten USV (Unterbrechungsfreie Stromversorgung) sinnvoll um einen Grundschutz gegen Stromausfälle zu gewährleisten. Folglich den Angaben der Energieversorgungsunternehmen ist in der Bundesrepublik mit ca. 40 Störungen der Energieversorgung pro Jahr zu kalkulieren. 
Hiervon sollen statistisch wenigstens 5 geeignet sein einen Rechnerabsturz zu bedingen. Auch wenn ein Rechner bei einem "Absturz" nicht zwingend einen physischen Schaden erleidet, so besteht hinreichend die Möglichkeit eines Verlustes gespeicherter Daten bzw. Dateien, die z.Z. des Ereignisses geöffnet und nicht gespeichert waren.
2.3 Softwareausstattung eines Rechnersystems
Auf unterer Ebene benötigt jeder Rechner ein Betriebssystem, wie DOS, Windows ab 95 (3.11 ist kein Betriebssystem) Win98, Unix (Linux), WinNT, OS/2, VMS u.a.. Diese Betriebsysteme ermöglichen die Nutzung der Grundfunktionen eines Rechners und enthalten häufig bereits Elemente von Verarbeitungsprogrammen z.B. der Text- oder Grafik- verarbeitung, der Datenübermittlung bis hin zur Internetnutzung.
Als klassische Verarbeitungsprogramme seien hier nur benannt, Winword, StarOffice, Excel, CorelDraw u.a.m.
Als Verarbeitungsprogramme sind auch Individual-programme zu betrachten, sie werden in der Regel nur für eine definierte Anwendung oder Anwendergruppe erstellt. 
Auf dem vorstehenden Gerüst erstellt der Nutzer nunmehr seine Anwendungsdaten.
Wie bereits bei der Hardware bildet das zuvor beschriebene Gerüst nur eine Arbeitsgrundlage mit erheblichen Lücken. Es fehlen in der Regel wichtigste Elemente, z.B. ein Virenschutz(programm), Hilfsprogramme zur Bewältigung kleinerer und mittlerer Systemstörungen, eventuell ein Firewall zum Schutz gegen Eindringlinge über offene Internetverbindungen (Hacker, Cracker, Datendiebe und Datenmörder). Softwareseitig einzurichtende Sicherheits-mechanismen, z.B. Paßwortlösungen sind hier ebenfalls zu berücksichtigen.
Quelle: CW 28/1998
In meiner Vorbereitung zu dieser Darstellung kam ich zu der Entscheidung, über ein Fallbeispiel zum Thema "Datenverlust" einzusteigen:
Am 20 Januar diesen Jahres erreicht mich der im folgenden frei zitierte Anruf eines Versicherungskonzerns.
Wir brauchen Ihre Hilfe, folgendes ist passiert: Unser zentraler Server ist ausgefallen. Wir bekommen ihn nicht mehr ans laufen. Kurzfristig beschafften wir uns eine Ersatzmaschine, die letzte Datensicherung ist jedoch 8 Wochen alt, eine Nacherfassung der in dieser Zeit bearbeiteten Unterlagen ist nahezu ausgeschlossen. Wir arbeiten hier mit ca. 150 Personen auf dem System, schriftliche Unterlagen existieren in vielen Fällen überhaupt nicht, insoweit können wir ohnehin nicht alles wiedererfassen. Weitere Sicherungen waren bei uns nicht eingebaut. Der Vorstand hat uns jedoch jetzt einen Backup-Server genehmigt.
Der zentrale Server, ein Compaq-System enthielt 54 Gigabyte (GB) Plattenkapazität verteilt auf 6 Festplatten a 9 GB. Implementiert war eine RAID-Lösung, Level 5. RAID-Lösungen stehen für erhöhte Sicherheit und Verfügbarkeit. Technische Details zu "RAID" Details folgen im Rahmen der späteren Ausführungen. Das System war wenig länger als 1 Jahr in Betrieb. Kalkuliert wurde für den Fall, daß keine Wiederherstellung der Daten gelingt, ein Kostenblock von weit über DM 100.000,00. Das Ergebnis der Analyse, eine Rettung wäre nicht erfolgreich durchzuführen.
Ergänzend einige statistische Daten:
- 7% aller Unternehmen, die einen totalen Datenverlust erlit-ten bestehen nach 5 Jahren nicht mehr
- 40 % aller Firmen, die einen totalen Datenverlust erlitten, müssen nach 2 Jahren die Tore schließen
- die Überlebensfähigkeit einer Großbank nach einem Rechnerausfall wird kalkuliert mit 12-36 Stunden, dann ist die Fortführung des Geschäftsbetriebes fraglich.
Auf die Frage "Wieviel kostet es, wenn der Computer ausfällt" sollen hier zwei aktuelle Veröffentlichungen eine erste Information geben:
Ausfallkosten durch Störungen der Energieversorgung
Quelle: IT-Sales-Week
Die Schadenfolgen bei Datenverlust oder böswilliger Manipulation liegen für den Betroffenen bei:
- Rekonstruktionskosten, Programmierkosten
- Nachforschungskosten - Mehrkosten (z.B. Mietgeräte)
- Fortlaufenden Kosten, entgangener Gewinn
- Vermögensschäden, z.B. durch fehlerhafte Geldbewegungen
- Vertragsstrafen
- gesetzliche wie vertragliche Schadenersatzansprüche
Quelle: NC 3/1999
Meine folgenden Ausführungen sollen dem Ziel dienen, aufmerksam zu machen auf eine Schadenart, die das Bisherige in Güte, Umfang und Qualität leicht erreichen, ja übertreffen kann. Die Beteiligung von Speichermedien bei Ausfällen von Rechnersystemen ist überproportional, hierzu eine Auswertung aus der Computerwoche:
Quelle: IDC / Computer-Zeitung 40/1997
Manch einer mag nach einer tiefreichenden Störung der Datenverarbeitung und Datenverlust sagen: "Mein Unternehmen wäre doch besser abgebrannt". Und wo stehen wir, wie schauen wir auf diese Herausforderung!?
- Die Folgen von Schäden an elektronisch gespeicherten Daten wachsen unaufhaltsam.
Das Wissen um Risiken und Folgen von Handlungen nach Ereigniseintritt sinkt in der "Breite" der Betroffenen. - Fehlhandlungen von Anwendern, Wartungsunternehmen, Labors von Versicherungsgesell-schaften und Sachverständigen sind "alltäglich", sie können den "Schaden" erst produzieren.
- Weder die Bewertung des Sachschadens an einem Datenspeicher (incl./excl. Rechnersystem), noch die Feststellung von Datenrekonstruktionsaufwendungen sind eine "Sache am Rande" (... eines Großschadens), sie werden zum Mittelpunkt.
Schäden an Hardware und Daten und/oder Der "Datengau"
...ein Thema für Naive oder für Experten Ursachen und Folgen von Verlust elektronisch gespeicherter Daten
- Einleitung
- Grundanforderungen
- Datensicherung
- Datenverlust
- Datenwiederherstellung
© 1999 by J. Kupfrian, Öffentl. best. u. vereid. SV für Schäden an rotierenden Datenspeichern, Lüdenscheid
|
||||||||||
Seite 3 von 6
- Aktuelle Seite:
-
Startseite
- Inhalt