Pictures of the Future    Frühjahr 2006

Immunspritze für Computersysteme

So mancher IT-Chef eines Unternehmens wünscht sich ein Computersystem, das sich nicht nur selbst heilt, sondern sich auch automatisch gegen mögliche Angriffe immunisiert. Wunschdenken? Eine Projektgruppe von Fujitsu Siemens Computers (FSC) und Siemens Business Services arbeitet mit Hochdruck an solchen Autoimmunsystemen.

Stellen Sie sich einen Geldautomaten vor, der Störungen selbstständig in Sekundenschnelle behebt – ohne dass der Kunde etwas merkt; ein Gerät, kaum noch störanfällig, da es aus seinen und den Fehlern anderer Bankautomaten lernt; und eines, das sogar auf externe Angriffe vorbereitet ist, obwohl es sie noch nicht kennt", formuliert Christoph König von Siemens Business Services (SBS) seine Vision.

Daran arbeitet seit etwa einem Jahr ein zehnköpfiges Team. Es geht letztlich darum, IT-Systeme hochverfügbar und sicher zu machen. "In der Informationstechnologie werden viele Probleme von der IT selbst erst hervorgerufen. Dabei sollte doch die Technik dem Menschen helfen – und nicht umgekehrt", erklärt Projektleiter König. Transparenz, Ausfallsicherheit und Beherrschbarkeit sind immer größere Herausforderungen, denn die Komplexität der Geschäftsprozesse und der unterstützenden Infrastruktur nimmt dramatisch zu. So entstand die Idee, Systeme zu entwickeln, die sich selbst heilen – so genannte Autoimmunsysteme (AIS). Der Begriff könnte verwirren, weil bei einer Autoimmunerkrankung im medizinischen Sinn der Körper gegen sich selbst ankämpft. Hier sind indes Systeme gemeint, die sich automatisch immunisieren. "Damit können wir Probleme nicht nur schnell beheben, sondern sie gar nicht erst entstehen lassen", sagt König. "Das ist ein neuer, radikaler Denkansatz im Service Management. Eine ähnliche Idee hatte IBM mit dem Konzept des selbst lernenden Computers – das greift aber, denke ich, zu kurz. Statt eines Computers lernt bei uns das ganze vernetzte IT-System."

Erste Bausteine. Komplette Autoimmunsysteme sind noch eine Vision, aber seit Oktober 2005 gibt es drei erste Bausteine: Mit Corporate Error Analysis (CEA) bekommt der Kunde einen vollständigen Überblick über Verfügbarkeit und Sicherheit seines IT-Systems. Eine Software auf Microsoft-Basis sammelt und gewichtet Informationen und schlägt Lösungen vor, wenn die Speicherkapazität sinkt, Updates nicht funktionieren oder Programme abstürzen. Am SBS-Standort in Paderborn mit 1 700 Computern ist CEA seit November 2005 im Einsatz. "Nun haben wir einen umfassenden Überblick über die häufigsten Fehler", sagt Projektkoordinator Fritz Greisinger von FSC.

Bei Remote Services (RS) melden sich Server krank, wenn sie sich "unwohl fühlen". Ist die Temperatur zu hoch, der Speicherplatz nicht ausreichend oder die Auslastung über einen längeren Zeitraum an der Obergrenze, setzt der Server automatisch eine Alarmmeldung ab. Das Advanced Patch Management (APM) ermöglicht effektive und schnelle Software-Updates. Bei der Landesbank Rheinland-Pfalz ist dieser dritte Baustein im Einsatz. Damit können innerhalb von zwei Stunden 2 000 Systeme an einem Standort mit Sicherheits-Patches versorgt werden. Früher dauerte die Verteilung der Patches ein bis zwei Tage.

Das allerdings ist nur der Anfang. Bis Herbst 2006 will das SBS-Team die so genannte Service Engine entwickelt haben. Sie ist die Basis dafür, dass sich Systeme selbst heilen und gegen Störungen immunisieren. Das Szenario: Tritt in einem IT-System eine Störung auf, führt die Service Engine eine Erste-Hilfe-Maßnahme aus. Nach wenigen Sekunden geht der Betrieb weiter, ohne dass der Anwender von der Störung etwas mitbekommen hat. Zudem fragt die Service Engine laufend ab, ob die Maßnahmen geholfen haben und ob es Nebenwirkungen gab. Damit kann sie optimale Gegenmaßnahmen ableiten und automatisch umsetzen. Daraus ergibt sich eine ständige Qualitätsverbesserung. Das heißt, die Service Engine lernt aus Fehlern und wird gegen Angriffe immun. Dabei greift sie nicht nur auf individuelle Lösungen zurück, sondern auch auf Datenbasen gängiger Software- und Hardware-Hersteller wie beispielsweise Microsoft, IBM und SAP. Schließlich kämpfen viele Anwender mit Problemen, die irgendwann schon einmal gelöst wurden. Dieses Wissen soll die Service Engine nutzen und Lösungsmöglichkeiten an vielen Stellen abfragen. "Wir wollen Weltmeister im Vernetzen von Lösungen werden", sagt Projektleiter König.

Für das Service Management bedeutet ein Autoimmunsystem große Veränderungen. In der Regel ist es dreistufig aufgebaut: Der First Level Support bearbeitet alle eingehenden Anfragen und wird vom Second Level Support bei komplexen Problemen unterstützt. Im Third Level Support kümmern sich Experten um Spezialprobleme, bei denen Wissen einzelner Fachgebiete gefragt ist. Mit Autoimmunsystemen entscheidet beim First und Second Level Support statt eines Mitarbeiters die Service Engine. Nur um Probleme, die das erste Mal auftreten, kümmert sich der Mensch. Zwar gibt es in diesem Zukunftsszenario auch im Second Level Support Mitarbeiter, doch ihre Aufgabe ist komplett anders: Sie verwalten die Regelwerke, die so genannten Policies, die dem System zugrunde liegen.

Die Projektgruppe AIS hat sich ein weiteres ehrgeiziges Ziel gesteckt: Bis Herbst 2007 soll das Cybernetic Defence System Wirklichkeit sein, das umfassende Sicherheit bieten soll. "Das wird immer wichtiger, da die Verbreitungsgeschwindigkeit von Viren und Trojanischen Pferden immens ansteigt. Hatte die IT-Industrie vor einigen Jahren noch Monate Zeit, um Lücken zu schließen, so sind es heute nur Tage und künftig nur noch wenige Stunden", erklärt König. Angriffe laufen oft so ab: Die Software-Hersteller geben Korrekturen heraus, und die Hacker-Gilde versucht sofort, Sicherheitslücken zu finden und die IT-Systeme zu schädigen. Das gelingt immer schneller, da die Systeme immer komplexer und vernetzter werden. "Die gesamte IT-Branche fürchtet sich vor dem Tag, an dem der erste massive Angriff sofort nach der Veröffentlichung der Korrektur startet", sagt König.

Abwehr startet sofort. Das Projektteam will daher ein System entwickeln, das schnell mit der richtigen Abwehr reagiert – eben das Cybernetic Defence System. Auch hier ist die Service Engine die Basis, auch hier wird sie mit den Datenbasen der großen Software- und Hardware-Hersteller vernetzt. Wichtig ist, dass die Service Engine nicht nur über umfangreiche Informationen für Abwehrmaßnahmen verfügt, sondern deren Folgeschäden bewerten und dem Risiko von Angriffen gegenüberstellen kann. "Kommt sie zu dem Schluss, dass eine Abwehrmaßnahme mehr Kosten verursacht als die Folgen eines Angriffs, entscheidet sie sich für das Risiko – wie wohl auch ein Mensch reagieren würde, nur eben viel schneller", erläutert König.

Autoimmunsysteme wirken wie Medizin ohne Nebenwirkungen – und nützen jedem Unternehmen, das ein IT-System hat. Ebenso profitieren Hersteller komplexer Technik wie Geldautomaten, Ultraschallgeräte, Magnetresonanz-Tomographen, Sicherheits-, Telematik- und Robotersysteme, Steuerungsgeräte in Kraftwerken oder in der Produktion. Bei den hier zugrunde liegenden Systemen – den Embedded Systems – treten mitunter Probleme auf, die in einer anderen Branche schon längst gelöst sind. Deswegen ist AIS hilfreich, da Erfahrungen übergreifend abgefragt werden. Aus diesem Grund arbeitet die Projektgruppe AIS eng mit den Siemens-Bereichen Communications, Medical Solutions und der Corporate Technology zusammen. "Hier haben wir eine einmalige Position, da wir sowohl über das IT- als auch das Geräte-Know-how verfügen", sagt König. Der Vorteil für die Gerätehersteller: Sie können ihre Geräte bereits in einem relativ frühen Zustand ausliefern. Königs Resümee: "Mit AIS machen wir den Weg frei zu wesentlich zuverlässigeren, sicheren und damit wirtschaftlichen Geschäftsprozessen."
                                                                                                                    Gitta Rohling