Unfälle

Menschen machen Fehler. Manchmal kopierst du die falsche Datei an die falsche Stelle und überschreibst eine gute Datei mit einer schlechten Datei. Manchmal versuchst du, Platz für neue Daten zu schaffen und löschst einen Haufen Dateien und räumst den Mülleimer aus - nur um Sekunden später festzustellen, dass du etwas gelöscht hast, was du nicht wolltest.

Als jemand, der fast sein ganzes Leben lang an einer Tastatur gearbeitet hat, kann ich dir gar nicht sagen, wie oft ich mit nur ein paar Tastenanschlägen einen "Fettfinger" hatte und damit einen unglaublichen Schaden angerichtet habe. Manche von uns nennen das PEBKAC, was so viel bedeutet wie "Problem zwischen Tastatur und Stuhl".

Wenn wir an das denken, was wir als Benutzerfehler bezeichnen, denken wir oft an das, was unsere Branche den Endbenutzer nennt, also die Person oder die Personen, die die von der IT-Abteilung bereitgestellten Systeme und Datenbanken tatsächlich benutzen. Es ist sehr einfach zu denken, dass alle Benutzerfehler von ihnen und nicht von uns kommen. Aber die Realität ist, dass auch System-, Netzwerk- und Datenbankadministratoren ziemlich fehleranfällig sind.

Tatsächlich machen Verwaltungsangestellte nicht nur Fehler wie alle anderen, sondern ihre Fehler können viel größere Auswirkungen haben. Ich habe in meiner Laufbahn Hunderte von Beispielen dafür gesehen. Hier ist nur eine kurze Liste, die mir gerade einfällt.

• Lösche die falsche Tabelle in einer Datenbank.

• Formatiere das falsche Laufwerk und lösche ein perfekt funktionierendes Dateisystem.

• Führe eine Wiederherstellung einer Entwicklungsdatenbank auf eine Produktionsdatenbank durch.

• Schreibe ein Skript, das verwaiste Home-Verzeichnisse löschen soll, aber tatsächlich alle Home-Verzeichnisse löscht.

• Lösche die falsche virtuelle Maschine (VM).

Diejenigen von uns, die Administratorenrechte haben, schwingen ein mächtiges Schwert. Ein kleiner Schlag in die falsche Richtung kann tödlich sein. Wir sind ein weiterer Grund, warum wir uns absichern.

Schlechter Code

Schlechter Code kann von überall her kommen. Es kann etwas so Einfaches sein wie ein Shell-Skript, das übereifrig wird und die falschen Daten löscht, oder es kann ein tatsächlicher Fehler in der Kernsoftware sein, der stillschweigend Daten korrumpiert. Diese Geschichten schaffen es normalerweise nicht in die Nachrichten, aber sie passieren immer wieder.

Vielleicht ist es ein interner Entwickler, der sich nicht an grundlegende Regeln hält, z. B. wo er seinen Code ablegt. Ich erinnere mich, dass vor Jahren ein ganzes Entwicklungsteam von etwa einem Dutzend internen Entwicklern seinen gesamten Codebaum auf /tmp auf einem HP-UX-System gespeichert hatte, während /tmp im RAM gespeichert war. Der Code war wunderbar, bis jemand den Server neu startete und /tmp zusammen mit allem anderen im RAM gelöscht wurde.

Auch kommerzielle Software, die von einem professionellen Entwicklerteam entwickelt wurde, ist nicht immun. Nicht nur, dass ihre Software oft auf einer privilegierten Ebene läuft und daher viel Schaden anrichten kann, dieselbe Software wird auch in Hunderten oder Tausenden von Unternehmen eingesetzt. Manchmal wird ein Fehler erst bemerkt, wenn er bereits großen Schaden angerichtet hat.

Meine Lieblingsgeschichte, um dies zu veranschaulichen, handelt von einer Version eines bestimmten kommerziellen Sicherungssoftwarepakets, dessen Entwickler es schneller machen wollte, ein elektronisches Etikett auf der Vorderseite jedes Bandes anzubringen. Es gab zwei Beschwerden über das alte Verfahren. Die erste war, dass ein Band, das wiederverwendet und daher elektronisch neu beschriftet wurde, mehrere Tastendrücke erforderte, um sicherzustellen, dass man das Band auch wirklich mit einem neuen elektronischen Etikett überschreiben wollte. Zweitens wurde immer nur ein Bandlaufwerk verwendet, auch wenn sich mehrere Laufwerke in der Bandbibliothek befanden. Mit der neuesten Version der Software wurde die so genannte "Fast-and-Silent"-Option eingeführt. Das bedeutet, dass so viele Bänder wie gewünscht beschriftet werden, ohne dass eine Eingabeaufforderung zum Überschreiben der Bänder erfolgt, und zwar auf so vielen verfügbaren Bandlaufwerken, wie du zur Verfügung hast.

Diese neue Funktion brachte einen neuen Fehler mit sich. Wenn du bisher in einer Liste von Bändern auf ein Band doppelgeklickt hast, wurde ein Dialogfeld angezeigt, in dem du gefragt wurdest, ob du dieses Band überschreiben möchtest. Wenn du jetzt auf ein einzelnes Band doppelklickst, erscheint ein Dialogfeld, in dem alle Bänder in der Bandbibliothek aufgelistet sind.

Wie bei der Kombination aus Benutzerfehler und fehlerhaftem Code, die dazu führte, dass ich eine Version dieses Kapitels verlor, war ein Benutzer, der dachte, er würde ein Band überschreiben, zwei Mausklicks davon entfernt, jedes Band in der Bandbibliothek ohne Eingabeaufforderung zu überschreiben - und dabei jedes verfügbare Bandlaufwerk zu benutzen, um diesen Vorgang so schnell wie möglich zu machen.

Bei einem Kundentreffen saß ich neben einem Berater, der von dem Hersteller der Software geschickt wurde und genau das tat. Er wollte ein einzelnes Band in der Bandbibliothek des Kunden neu beschriften, also machte er einen Doppelklick auf das Band, wahrscheinlich so wie er es immer tat. Er sah die neue Option "Schnell und leise" und wählte sie aus. Es dauerte einige Minuten, bis er merkte, was er getan hatte: Er hatte alle Bänder in der Bandbibliothek des Kunden überschrieben und sie damit unbrauchbar gemacht. Ja, der Kunde hatte Kopien von all diesen Bändern an einem anderen Ort, so dass er keine Daten verloren hat. Nein, sie waren nicht sehr verständnisvoll.

An dieser Stelle möchte ich dir von der 3-2-1-Regel erzählen, die besagt: drei Versionen deiner Daten auf zwei verschiedenen Medien, von denen eine irgendwo gespeichert ist.

Menschen machen Fehler. Manchmal tun gute Menschen schlechte Dinge, die entweder Daten löschen oder beschädigen, und das ist ein weiterer Grund, warum wir sie sichern .

Bösartige Angriffe

Werfen wir nun einen Blick auf die zweite Art von Datenrisiko: böse Menschen, die böse Dinge tun. Böswillige Angriffe auf dein Rechenzentrum sind leider ziemlich häufig geworden. Deshalb sind die wahren Feinde des modernen Rechenzentrums bösartige Akteure, die deinem Unternehmen mit einer Art elektronischem Angriff schaden wollen. Mach dich auf was gefasst, das kann ein bisschen holprig werden.

Terrorismus

Jemand kann sich dazu entschließen, deine Organisation gezielt anzugreifen und ihr auf irgendeine Weise physischen Schaden zuzufügen. Sie könnten versuchen, deine Gebäude in die Luft zu sprengen, sie in Brand zu setzen, Flugzeuge in sie hineinzufliegen oder alle möglichen physischen terroristischen Aktionen zu begehen. Das kann zu politischen Zwecken geschehen, wie am 11. September 2001, oder zur Sabotage von Unternehmen. Letzteres ist zwar weniger wahrscheinlich, aber es kann und wird passieren.

Der Schutz deiner Infrastruktur vor Terrorismus liegt außerhalb des Rahmens dieses Buches. Ich wollte nur erwähnen, dass Terrorismus ein weiterer Grund ist, warum es die 3-2-1-Regel gibt. Lege Backups deiner Daten an und bringe sie weit weg von den Daten, die du schützen willst.

Leider hörten am 11.9. mehrere Organisationen auf zu existieren, weil ihnen die 3-2-1-Regel fehlschlug. Sie hatten zwar Backups. Sie verfügten sogar über DR-Hotspots, die bereit waren, den Betrieb im anderen Turm zu übernehmen, wenn es nötig war. Wenn wir also von der "1" in der 3-2-1-Regel sprechen, meinen wir weit weg. Eine synchron replizierte Kopie deiner Datenbank auf einem Server, der ein paar hundert Meter entfernt steht, ist kein guter Notfallplan.

Elektronische Angriffe

Das häufigste Ereignis, dem dein Unternehmen ausgesetzt ist, ist ein elektronischer Angriff einer Art. Auch wenn es sich dabei um jemanden handeln könnte, der deine Firewall hackt und eine Hintertür in dein Rechenzentrum öffnet, ist es wahrscheinlicher, dass es sich um eine Art von Malware handelt, die in deine Computerumgebung gelangt ist. Diese Schadsoftware öffnet dann die Tür von innen.

Ich habe einen Vortrag von einem Sicherheitsexperten gesehen, der live demonstrierte, wie man sich in Unternehmen einhackt. Bei keiner dieser Demonstrationen wurden Firewalls oder Ähnliches ausgenutzt. Jeder einzelne Fall nutzte eine menschliche Schwachstelle aus, um dich dazu zu bringen, ihm die Hintertür zu öffnen. Das war ehrlich gesagt ziemlich beängstigend.

Solche Malware wird in der Regel über eine Art von Phishing und/oder Social-Engineering-Mechanismus eingeschleust, der dazu führt, dass jemand in deinem Unternehmen den fehlerhaften Code direkt in deine Computerumgebung herunterlädt. Das kann eine E-Mail, eine gehackte Website oder sogar ein Telefonanruf an die falsche Person sein. (In der oben erwähnten Rede war ein Angriffsvektor ein Handy-Ladekabel, das Malware verbreitete, wenn man es an einen Computer anschloss, der Daten über den USB-Anschluss freigab). Sobald die Malware eingedrungen ist, kann sie sich über verschiedene Wege auf das gesamte Unternehmen ausbreiten.

Ransomware

Die häufigste Malware, die heutzutage Amok läuft, ist die sogenannte Ransomware. Sobald sie in dein System eingedrungen ist, verschlüsselt sie unbemerkt Daten und bietet dir dann einen Entschlüsselungsschlüssel im Austausch gegen eine finanzielle Summe (d. h. ein Lösegeld) an. Dieses Lösegeld kann ein paar hundert Dollar betragen, wenn du eine Einzelperson bist, oder Millionen von Dollar, wenn du ein großes Unternehmen bist.

Ransomware-Angriffe sind auf dem Vormarsch, und die Lösegeldforderungen werden immer höher. Dieser Trend wird sich fortsetzen, bis jedes Unternehmen die einfache Antwort auf einen solchen Angriff gefunden hat: ein gutes DR-System.

Aus diesem Grund gehe ich in Kapitel 11 ausführlicher auf Ransomware ein. Meiner Meinung nach ist Ransomware der Hauptgrund, warum du dein DR-System nutzen solltest. Es ist viel wahrscheinlicher, dass du von einem Ransomware-Angriff betroffen bist als von einer Naturkatastrophe oder einem böswilligen Administrator, der deine Daten löscht. Und die einzig richtige Antwort darauf ist ein DR-System mit einer kurzen Wiederherstellungszeit.

Malware und Ransomware sind schon seit einiger Zeit ein Problem. Das liegt zum Teil daran, dass Ransomware-Angriffe auf diejenigen beschränkt waren, die über die technischen Mittel verfügten, um sie durchzuführen, aber das ist nicht mehr der Fall. Das ändert sich mit dem Aufkommen von Ransomware-as-a-Service (RaaS) Anbietern, die es viel einfacher machen, in das Ransomware-Spiel einzusteigen.

Du gibst das Ziel und alle Informationen an, die hilfreich sind, um Zugang zu diesem Ziel zu erhalten, und sie führen den Angriff aus. Diese kriminellen Organisationen tun dies ausschließlich aus Profitgründen, weil sie einen erheblichen Anteil des Gewinns aus dem Angriff einstreichen. Sie haben wenig Interesse an anderen Verwendungszwecken für Ransomware oder Diebstahlsoftware.

RaaS ist für diese Diskussion relevant, weil es meine Behauptung untermauert, dass dies eine größere Gefahr für deine Daten darstellt als alles andere. Erfahrene Hacker, die dein Unternehmen aus altruistischen Gründen oder aus Gründen der Wirtschaftsspionage hacken, gibt es schon, seit es Computer gibt, aber sie sind zahlenmäßig begrenzt. Damit du für einen solchen Angriff anfällig bist, bräuchtest du jemanden, der einen ausreichenden Anreiz hat, dich anzugreifen, und der weiß, wie er das anstellen kann. Durch die Existenz von RaaS entfällt diese letzte Voraussetzung. Das einzige Wissen, das ein Angreifer jetzt braucht, ist, wie er ins Dark Web kommt und einen solchen Dienst kontaktiert.

Mein Punkt ist folgender: Nicht nur, dass Naturkatastrophen aufgrund des Klimawandels häufiger auftreten als je zuvor, auch Ransomware-Angriffe werden mit jedem Tag zu einem größeren Risiko für deine Daten. Sie sind ein weiterer Grund, warum wir Backups durchführen.

Externe Bedrohungen wie Naturkatastrophen und elektronische Angriffe sind jedoch nicht dein einziges Problem. Du musst auch das Risiko berücksichtigen, das von deinem eigenen Personal ausgeht. Werfen wir einen Blick auf die internen Bedrohungen für deine Daten.

Interne Bedrohungen

Viele Unternehmen bereiten sich nicht richtig auf Angriffe vor, die von innen kommen, was ihnen zum Nachteil gereicht. Experten für Informationssicherheit warnen immer wieder, dass viele Angriffe von innen kommen. Selbst wenn ein Angriff nicht von innen initiiert wird, kann er von innen ermöglicht werden, z. B. indem ein unschuldiger Mitarbeiter versehentlich auf den falschen E-Mail-Anhang klickt.

Die häufigste interne Bedrohung ist ein Mitarbeiter oder Auftragnehmer mit privilegiertem Zugang, der auf irgendeine Weise verärgert ist und beschließt, dem Unternehmen zu schaden. Der Schaden kann von der Beschädigung von Abläufen oder Daten aus reiner Boshaftigkeit bis hin zur Nutzung ihres Zugangs für einen Ransomware-Angriff reichen.

Dies wird typischerweise als "Rogue Admin" -Problem bezeichnet. Eine Person mit privilegiertem Zugang kann ziemlich viel Schaden anrichten, ohne dass es jemand merkt. Sie können sogar Code einschleusen, der Schaden anrichtet, nachdem sie gegangen sind.

Ich denke dabei an Yung-Hsun Lin, den Unix-Administrator, der 2004 auf 70 Servern seines Unternehmens eine so genannte "Logikbombe" installiert hat. Das fragliche Skript sollte als Vergeltung für seine Entlassung alle Daten auf den Servern zerstören. Obwohl sich seine Befürchtungen, entlassen zu werden, als unbegründet herausstellten, ließ er die Logikbombe trotzdem an Ort und Stelle. Glücklicherweise wurde sie entdeckt, bevor sie explodieren konnte, und richtete keinen Schaden an. Er wurde im Jahr 2006 verurteilt.

Ich denke auch an Joe Venzor, dessen vorsätzlicher Angriff auf die Daten seines Unternehmens zu einem wochenlangen Rückstau bei einem Schuhhersteller führte. Aus Angst, dass er gefeuert werden könnte, baute er eine als Drucker getarnte Hintertür ein. Er wurde tatsächlich gefeuert und aktivierte sofort seine Malware. Sie legte die gesamte Produktion innerhalb einer Stunde nach seiner Entlassung lahm.

Als ich für diesen Abschnitt recherchierte, stieß ich auf eine Online-Diskussion, in der eine bissige Person sagte, dass Joe Venzor einen Fehler gemacht hat, indem er die Dinge so anstellte, dass er erwischt werden konnte. Was er hätte tun sollen, so dieser Poster, war, den Angriff so einzurichten, dass er ständig überprüft, ob sich die Person angemeldet hat. (Wenn die Person sich länger als einen Monat nicht einloggt, wird der Angriff gestartet und führt aus, was immer der Angreifer tun wollte, um die Organisation zu bestrafen.

Dies verdeutlicht die Macht, die Systemadministratoren haben können, wenn du ihnen dies erlaubst. Deshalb musst du wirklich dein Bestes tun, um den Aktionsradius derjenigen mit privilegiertem Zugang zu begrenzen.

Der uneingeschränkte Zugriff auf das Administratorkonto in Windows oder das Root-Konto in Unix und Linux oder ähnliche Konten in anderen Systemen kann es einem böswilligen Administrator leicht ermöglichen, Schaden anzurichten, ohne zur Rechenschaft gezogen zu werden. Tu alles, was du kannst, um die Möglichkeit einzuschränken, sich direkt mit diesen Konten anzumelden, einschließlich der folgenden Ideen.

Benutze benannte Konten für alles

Jeder sollte sich immer als er selbst anmelden. Wenn du Root- oder Administratorrechte brauchst, solltest du dich als du selbst anmelden und diese Rechte dann über einen protokollierten Mechanismus erhalten. Schränke Werkzeuge, die als root oder Administrator ausgeführt werden müssen, ein oder beseitige sie.

Gib niemandem das Root-Passwort

Ich habe in Organisationen gearbeitet, die das Root- oder Administrator-Passwort auf eine zufällige Zeichenfolge gesetzt haben, die niemand aufzeichnet. Wenn du Administrator- oder Root-Zugang brauchst, kannst du dir diesen Zugang über Systeme wie sudo oder Run as Administrator jederzeit selbst gewähren. So kannst du deine Arbeit machen, aber alle deine Aktivitäten werden aufgezeichnet.

Programme mit Shell-Zugriff löschen oder deaktivieren

Dies ist eher ein Unix/Linux-Problem, aber es gibt viele Befehle (z.B. vi), die das Escaping in die Shell unterstützen. Wenn du vi als root ausführen kannst, kannst du jeden Befehl als root ausführen, ohne dass er protokolliert wird. Deshalb ersetzen diejenigen, die über dieses Problem besorgt sind, vi durch einen ähnlichen Befehl, der keinen solchen Zugriff hat.

Superuser-Login nur auf der Konsole zulassen

Eine andere Möglichkeit, den uneingeschränkten Superuser-Zugriff zu begrenzen, ist, diesen nur von der Konsole aus zuzulassen. Das ist zwar nicht ideal, aber besser als nichts. Stelle dann sicher, dass jeder physische Zugriff auf die Konsole protokolliert wird. Das funktioniert genauso gut in einer virtuellen Konsolenwelt, in der sich die Personen beim Zugriff auf die virtuelle Konsole anmelden müssen.

Off-Host-Protokollierung

Jeder Zugriff auf ein Superuser-Konto (autorisiert oder nicht) sollte als Sicherheitsvorfall protokolliert werden, und alle damit verbundenen Informationen (z. B. Videoüberwachungs- oder virtuelle Konsolenprotokolle) sollten sofort so gespeichert werden, dass ein Hacker die Beweise nicht entfernen kann. Wenn jemand ein System kompromittiert, kann er seine Spuren nicht so leicht verwischen.

Booten von alternativen Medien einschränken

Entferne so wie möglich die Möglichkeit, den Server oder die VM von einem alternativen Medium zu booten. Der Grund dafür ist, dass jeder Linux- oder Windows-Administrator den Server leicht booten, das Boot-Laufwerk einbinden und alle Einstellungen bearbeiten kann, die ihm im Weg sind, wenn du von einem alternativen Medium booten kannst.

Ich konzentriere mich auf die Dinge, die ein Datenschutzbeauftragter tun sollte, um die Daten zu schützen. Du solltest auch mit einem Fachmann für Informationssicherheit zusammenarbeiten, was eine ganz andere Disziplin ist und nicht in den Rahmen dieses Buches passt.

Stromunterbrechungen

So sehr ich es hasse, meinen Wohnort als Beispiel heranzuziehen, so erleben wir derzeit das, was wir rollende Stromausfälle nennen. Wir befinden uns in der Feuersaison und die Energieversorgungsunternehmen versuchen mit Stromausfällen, die Gefahr von Bränden zu verringern.

Das ist etwas, für das du leicht planen kannst und das du aus Sicht der Datensicherheit überleben solltest. Jedes Rechenzentrum mit einer angemessenen Größe hat eine redundante Stromversorgung und einen großen Generator. Du kannst einen relativ großen Stromausfall überstehen, vorausgesetzt, du weißt, dass er kommt.

Was jedoch passieren kann, ist eine unerwartete Stromunterbrechung. Wenn der Strom in deinem Rechenzentrum ohne Vorankündigung ausfällt, werden alle deine Server nicht mehr funktionieren. Die Daten werden nicht ordnungsgemäß gespeichert und einige davon könnten beschädigt werden. Die meisten strukturierten Daten sollten aufgrund der eingebauten Datenintegritätsfunktionen überleben, und die meisten unstrukturierten Daten sollten überleben, mit Ausnahme einiger weniger Dateien, die zum Zeitpunkt des Stromausfalls gerade geschrieben werden. Während eine Datenbank aufgrund ihrer Datenintegritätsfunktionen überleben kann, kann der Medienwiederherstellungsprozess (siehe Kapitel 7) länger dauern als eine vollständige Wiederherstellung.

Im vorigen Absatz gibt es mehrere "sollte", deshalb machen wir Backups. Manchmal lassen sich Datenbanken nach einem Serverabsturz nicht wiederherstellen. Manchmal war die Datei, die gerade geschrieben wurde, als der Strom ausfiel, eine wirklich wichtige Datei, an der die Leute mehrere Tage lang gearbeitet haben. Das ist der Grund, warum wir Backups erstellen.

Es gibt keine Wolke

So sehr ich auch ein Fan der öffentlichen Cloud bin, so ist sie doch nur Verpackung und Marketing. So etwas wie eine Cloud gibt es nicht; es gibt nur den Computer eines anderen. Ja, es wurde alles Mögliche programmiert, um die Cloud einfach bereitzustellen und zu verwalten und um sie generell widerstandsfähiger zu machen. Aber die Cloud ist keine Zauberei, sondern nur eine Ansammlung von Computern, die dir einen Dienst anbieten. Diese Computer können immer noch fehlschlagen, genauso wie die Festplatten in ihnen.

Es ist auch wichtig zu wissen, dass nicht alle Speicherungen in der Cloud aus Sicht des Datenschutzes gleich sind. Während Objektspeicher in der Regel an mehreren Standorten repliziert werden und daher eine Reihe von Katastrophen überstehen können, handelt es sich bei den meisten Blockspeichern einfach um eine logische Einheitsnummer (LUN) auf einem virtuellen Laufwerk von einem einzigen Speicherarray in einem einzigen Rechenzentrum. Er bietet keinerlei Redundanz und muss daher gesichert werden. Redundante Blockspeicherung ist in der Cloud verfügbar, aber die meisten Menschen nutzen diese Option nicht. Außerdem löst Redundanz, wie wir später in diesem Kapitel noch sehen werden, keine von Menschen verursachten Probleme.

Systemausfälle

Egal, ob es sich um einen einzelnen Server mit einer einzelnen Speicherung, einen Metro-Cluster, der sich über mehrere Rechenzentren und geografische Standorte erstreckt, oder um einen Dienst in der Cloud handelt, nichts ist perfekt. Programmierer machen Fehler und schlechte Dinge passieren. Aus diesem Grund sichern wir alle Daten, die wirklich wichtig sind.

Die Ironie an der Sache ist, dass ein Programmierfehler in Kombination mit einem Benutzerfehler dazu geführt hat, dass ich die erste Version dieses Kapitels komplett verloren habe. Wie bereits an anderer Stelle im Buch erwähnt, schreibe ich dieses Buch mit der Diktiersoftware Dragon, während ich mitten in einer Pandemie auf einem Laufband laufe. In der Standardeinstellung speichert Dragon den Ton deines Diktats automatisch zusammen mit dem Dokument, wodurch das Speichern des Dokuments viel länger dauert. Da ich den Ton noch nie benutzt hatte, beschloss ich an diesem Morgen, die Einstellung zu ändern und das Programm zu bitten, mich zu fragen, bevor ich den Ton speichere.

Ich diktierte etwa zwei Stunden lang, während ich auf dem Laufband lief, und erinnerte mich dann plötzlich daran, dass ich nicht wie üblich gespeichert hatte. Ich sagte: "Klicke auf Datei... Speichern", was den Speichervorgang auslöste. Es öffnete sich ein Dialogfeld, in dem ich gefragt wurde, ob ich das Dokument speichern wollte, aber aus irgendeinem Grund dachte ich, dass ich gefragt wurde, ob ich den Ton speichern wollte. Ich antwortete mit "Nein", und das Dokument wurde geschlossen, ohne es zu speichern. Das waren zwei Stunden Diktat.

Ich hätte besser aufpassen sollen, als ich auf das Dialogfeld antwortete, und es hätte die Datei nicht schließen sollen, die ich nicht zum Schließen aufgefordert hatte. Ich habe Dragon einfach gesagt, dass es speichern soll, und dann gesagt, dass es nicht speichern soll; ich habe nie gesagt, dass es schließen soll. Ich will damit sagen, dass Software und Hardware manchmal nicht das tun, was du von ihnen erwartest, und genau deshalb machen wir Backups. Das ist ein schlechtes Beispiel, denn eine Sicherung würde in diesem Fall nicht helfen; das gesamte Dokument befand sich einfach im RAM. Auch ein CDP-Produkt (Continuous Data Protection) hätte in dieser Situation nicht geholfen.

Da die Systeme und die Speicherung heutzutage sehr stabil sind, sollte ein Datenverlust aufgrund eines physischen Systemausfalls nicht allzu oft vorkommen. Es gibt jedoch nur wenig, was dein Unternehmen tun kann, um die nächste Bedrohung für deine Daten zu verhindern, die wir besprechen werden. Wenn dein Unternehmen von einer Naturkatastrophe heimgesucht wird, solltest du darauf vorbereitet sein.

Überschwemmungen

Überschwemmungen können dein Rechenzentrum zerstören und aus verschiedenen Gründen auftreten. Vielleicht ist die Sprinkleranlage deines Gebäudes defekt und überflutet dein Gebäude mit Wasser. Vielleicht ist dein Dach undicht und es regnet in Strömen; dann sind deine Server weg. Oder vielleicht wohnst du in einem Überschwemmungsgebiet und ein riesiger Fluss tritt über die Ufer und reißt dein Gebäude mit sich. Das Ergebnis ist dasselbe: Computer und Wasser vertragen sich nicht.

Ich habe meine ersten Back-up-Zähne in Delaware gezogen, direkt am Delaware River. Wir machten uns keine allzu großen Sorgen über Hurrikane, außer dass ein Hurrikan, der die Küste hochkam, einen großen Sturm auslösen konnte, der den Delaware River überschwemmen konnte. Unsere Rechenzentren befanden sich im Erdgeschoss, und das war ein Problem. Hinzu kam, dass sich unsere externe Speicherung in einem Bunker aus dem Zweiten Weltkrieg befand, der eigentlich unterirdisch war.

Wenn es um Überschwemmungen geht, ist hoher Boden eine wunderbare Sache. Wie bei den anderen bereits erwähnten regionalen Katastrophen ist es wichtig, dass sich dein Katastrophenschutzstandort außerhalb des möglichen Überschwemmungsgebiets befindet. Je nach Region kann das sogar relativ nah sein, aber auf höherem Grund liegen. Wie bei allem anderen auch, solltest du einen Experten zu Rate ziehen, bevor du eine Entscheidung triffst.

Brände

In Kalifornien gibt es vier Jahreszeiten: Feuer, Flut, Schlamm und Dürre. Es ist ein Wüstenklima, und es braucht nicht viel, um einen Flächenbrand auszulösen. Sind diese Brände erst einmal außer Kontrolle geraten, sind sie ein Eigenleben und kaum noch zu stoppen. Ich bin mindestens einmal wegen eines Feuers evakuiert worden, weil ein großer Waldbrand außer Kontrolle geraten war und direkt auf mein Haus zusteuerte. (Wenn du dir die Karte des Feuers ansiehst, siehst du, dass es die Form eines riesigen Dreiecks hat. Die Spitze dieses Dreiecks war direkt auf mein Haus gerichtet.) Das Feuer kam bis auf ein paar Kilometer an uns heran, aber wir hatten Glück.

Es muss aber nicht unbedingt ein Großbrand sein, der dein Rechenzentrum auslöscht. Es könnte etwas so Einfaches wie ein Kurzschluss in einem einzelnen Stromkasten sein. Deshalb gibt es Unterbrecher, aber die funktionieren nicht immer. Vielleicht lagert jemand zu viele ölige Lappen an der falschen Stelle und es kommt zu einer Selbstentzündung. Vielleicht wirft jemand eine Zigarette aus dem Fenster und es entsteht ein Feuer in der Nähe deines Gebäudes, bevor du es aufhalten kannst. Brände sind für ein Rechenzentrum unglaublich schädlich. So wie sich Wasser und Computer nicht vertragen, vertragen sich auch Computer und Rauch nicht.

Es gibt eine Vielzahl von Methoden, um einen Brand in einem Rechenzentrum zu überleben, die nicht in den Bereich Backup und DR fallen. Aber wenn du einen Brand hast, brauchst du höchstwahrscheinlich einen soliden Backup- und DR-Plan. Ein Brand ist also ein weiterer Grund, warum wir Backups erstellen.

Erdbeben

Ich lebe in Südkalifornien, daher bin ich mit Erdbeben sehr vertraut. Diejenigen unter euch, die nicht hier leben, sollten wissen, dass die meisten Erdbeben unglaublich schwach sind und sich nur so anfühlen, als ob man für ein paar Sekunden auf einem großen vibrierenden Bett sitzt. Ich kann mich nicht daran erinnern, wann in meiner Gegend das letzte Mal ein Erdbeben stark genug war, um etwas aus dem Regal zu werfen, geschweige denn wirklichen Schaden anzurichten. Das Northridge-Beben in Los Angeles (100 Meilen von mir entfernt) ist das letzte große Erdbeben der Geschichte, und das war 1994.

Der Schlüssel zum Überleben eines Erdbebens ist die Vorbereitung. Gebäude sind so gebaut, dass sie kleinere Erdbeben überstehen, und die Bauvorschriften schreiben vor, dass alles in diesen Gebäuden festgeschnallt werden muss. Selbst in meinem Haus muss zum Beispiel mein Warmwasserbereiter mit einem Gurt gesichert werden. Racks in Rechenzentren sind auf Stoßdämpfern montiert, die es dem Rack ermöglichen, sich ein wenig zu bewegen, wenn der Boden wackelt. Wenn du nicht in Kalifornien lebst, hört sich das wahrscheinlich völlig fremd an, aber in Kalifornien ist das ein ganz normaler Bestandteil der Gebäude- und Rechenzentrumsplanung.

Du musst auch bedenken, wie viel Schaden ein Erdbeben anrichten kann, und sicherstellen, dass sich die DR-Kopie deiner Daten außerhalb des Explosionsradius dieses Schadens befindet. Das ist eigentlich gar nicht so schwer, denn Erdbeben sind in der Regel sehr lokal begrenzt. Wende dich an einen Erdbebenexperten, der dich in dieser Hinsicht beraten kann.

Wirbelstürme, Taifune und Zyklone

Hurrikane, Taifune und Zyklone sind tödliche Stürme, die sich über Wasser bilden. (Im westlichen Nordpazifik werden Hurrikane als Taifune bezeichnet, im Indischen Ozean und im Südpazifik als Zyklone). Ich bin in Florida aufgewachsen und habe viel Zeit an der texanischen Golfküste verbracht, also kenne ich mich auch ein bisschen mit Hurrikanen aus. Meine Familienmitglieder und ich haben mehrere Hurrikane miterlebt und viele weitere am Rande mitbekommen. Im Gegensatz zu einem typischen Erdbeben ist das Tolle an einem Hurrikan, dass man ein wenig vorgewarnt wird. Je nachdem, wo du wohnst, hast du auch eine gute Vorstellung davon, welche Schäden ein Hurrikan anrichten kann. Vielleicht hast du es mit einer Sturmflut zu tun, die Überschwemmungen verursacht. Du könntest es mit Dach- oder Gebäudeschäden zu tun haben. Du musst diese Probleme in deinem Notfallplan berücksichtigen.

Der eigentliche Schlüssel zum Überleben eines Hurrikans liegt darin, sicherzustellen, dass dein Notfallplan auf der Verwendung eines Systems basiert, das sich komplett außerhalb der Zugbahn eines potenziellen Hurrikans befindet. Das bedeutet, dass du deinen Katastrophenschutzstandort nicht an der Südostküste der Vereinigten Staaten oder an der Golfküste einrichten solltest. Hurrikane können unglaublich unberechenbar sein und überall entlang der Küste in diesen Regionen auftreten. Wie wir im DR-Kapitel besprechen werden, halte ich ein Cloud-basiertes DR-System für die beste Option, um einen Hurrikan zu überleben, denn damit kannst du deinen DR-Standort an einem anderen Ort im Land oder sogar an einem anderen Ort auf der Welt haben.

Tornados

Tornados sind tödliche, wirbelnde Windstürme mit extrem konzentrierter Kraft. In den Vereinigten Staaten gibt es die so genannte Tornado Alley, in der Tornados häufig vorkommen. Sie umfasst Teile von neun Bundesstaaten, beginnend im Norden von Texas bis hinauf nach South Dakota. Wer mit Tornados nicht vertraut ist, weiß, dass es sich dabei um unglaublich konzentrierte Ereignisse handelt, die ein Gebäude komplett zerstören können, während das Gebäude nebenan völlig unberührt bleibt. Sie vereinen die schlimmsten Kräfte eines Hurrikans mit der Unberechenbarkeit eines Erdbebens, denn ein Tornado kann tatsächlich innerhalb von Sekunden aus dem Nichts auftauchen.

Wie bei Hurrikans ist der Schlüssel zum Überleben von Tornados ein DR-Standort, der sich nicht in der Tornadostraße befindet. Du kannst vielleicht argumentieren, dass Tornados so konzentrierte Ereignisse sind, dass ein DR-Standort in, sagen wir, South Dakota ein Rechenzentrum in, sagen wir, Kansas schützen kann. Ich wüsste nur nicht, warum du das tun solltest, wenn du die Wahl hast. Meiner Meinung nach sollte der Standort sehr weit westlich oder östlich von deinem Standort liegen.

Sinklöcher

Ich streite mich oft mit meinen Eltern darüber, welcher Staat die schlimmsten Naturkatastrophen hat: Florida oder Kalifornien. Ich erkläre ihnen, dass es in Florida jedes Jahr Hurrikane gibt, während in Kalifornien große Erdbeben unglaublich selten sind. Sie entgegnen, dass man bei Hurrikanen im Voraus Bescheid weiß und sich vorbereiten kann, während Erdbeben einfach ohne Vorwarnung auftreten. Die Trumpfkarte sind Erdfälle. Sie treten nicht nur ohne Vorwarnung auf, sondern können in kürzester Zeit unglaublich viel Schaden anrichten. Sie kombinieren den chirurgischen Schlag eines Tornados mit dem Null-Warnungs-Aspekt eines Erdbebens. Überlebende eines Tornados sagen, dass es sich wie ein Güterzug anhört, während es passiert; Erdfälle sind völlig geräuschlos - abgesehen von den massiven Schäden, die sie verursachen. Das ist wirklich beängstigend!

Für diejenigen, die dieses Phänomen, das in Florida recht häufig vorkommt und auch in anderen Teilen der Welt nicht unbekannt ist, nicht kennen, sei gesagt, dass es dadurch entsteht, dass das Fundament aus Kalkstein auf riesigen Unterwasserreservoirs liegt. Diese unterirdischen Flüsse und Seen verlaufen überall in Florida und werden oft als Süßwasserquelle angezapft. Wenn man das gesamte Süßwasser aus einem bestimmten Stausee ableitet, entsteht eine Schwachstelle im Kalkstein. Das ist ein Kartenhaus und kann so etwas Kleines wie ein Schlafzimmer oder so etwas Großes wie mehrere Häuserblocks sofort einnehmen.

Ich habe einen Dokumentarfilm gesehen, in dem es darum ging, dass die Betten von Menschen im Schlaf in ein Erdfallloch gesaugt wurden. Darin wurde auch das berüchtigtste Erdfallloch erwähnt, das sich 15 Minuten von meinem Wohnort entfernt ereignete: das Winter Park Sinkhole von 1981. Eines Nachmittags versanken mehrere Häuserblocks auf Nimmerwiedersehen in der Erde und rissen ein Haus, den Swimmingpool der Gemeinde und ein Porsche-Autohaus mit sich.

Auch auf die Gefahr hin, dass ich mich wiederhole: Achte darauf, dass dein DR-Standort nicht in der Nähe deines Hauptstandorts liegt. Sinkholes sind relativ selten, wenn man die Anzahl der Sinkholes pro Quadratmeile betrachtet, aber sie kommen immer wieder vor . Das ist ein weiterer Grund dafür, dass du die 3-2-1-Regel befolgen solltest, die ich in Kapitel 3 näher erläutern werde.