Martin Seeger1d ago

In Golem wurde neulich über den Raketenschutz von Rechenzentren geschrieben:

https://www.golem.de/news/deutschland-und-der-nahostkrieg-duerftige-auskuenfte-zum-raketenschutz-fuer-rechenzentren-2603-206832.html

Einen Raketenschutz für Rechenzentren gibt es nicht und wird es nicht geben. Auch ein "Härten" von Rechenzentren (außer für kleine Installationen) ist aussichtslos. Die Systeme sind einfach zu sensibel.

Außerdem ist es verdammt schwer, Verbraucher im Bereich von 10-1000 Megawatt zu verstecken. Die sind im IR-Bereich praktisch Leuchttürme.

Schaut man sich den Status der AWS-Rechenzentren in Dubai und Bahrein an, dann sind die immer noch tief rot:

https://health.aws.amazon.com/health/status

In beiden Fällen stehen die Services in Ländern, die sich über die kinetische Reaktion des Iran sehr wohl bewusst waren und einige zig Milliarden in eine Luftabwehr investiert hatten.

Die haben dort ca. 900 Patriot- und THAAD-Interceptors verschossen. Mehr als z.B. Deutschland jemals hatte.

Genutzt hat es den Ländern schon was: die zivilen Opfer hätten sonst im Tausender-Bereich gelegen. Aber Rechenzentren sind einfach dankbare Ziele.

Ich bin sicher, Elon Musk wird als Gegenmaßnahme vorschlagen, die ganzen Rechenzentren in das Weltall zu schicken:

https://www.sueddeutsche.de/wirtschaft/musk-spacex-xai-zusammenlegung-weltall-rechenzentren-li.3380373

Abgesehen von den physikalischen und kostentechnischen Problemen: im Weltall wären Rechenzentren noch einfachere Ziele.

Dei einzige Gegenmaßnahme, die eine echte Chance hat, wäre eine resiliente Architektur.

Aber wenn heutzutage ein Cloud-Projekt mit einem Multi-Cloud-Multi-Region-Ansatz und einer Option auf OnPrem startet, dann steht am Ende "aus Praktikabilitätsgründen" doch oft nur ein "Single Availability Zone Deployment".

Je moderner eine Gesellschaft, desto verwundbarer wird sie. Daran müssen wir uns gewöhnen.

10% der Bomben, die im letzten Monat auf den Iran gefallen sind, hätten bei uns zu einem Kollaps der gesamten Wirtschaft geführt.

Strategisch ist der einzige Weg für Mittelmächte ein Allianz-System, dass a) das Risiko auf mehr Schultern verteilt und b) den potentiellen Schaden für einen Angreifer drastisch erhöht.

Nun sind wir aber mitten in einem Allianz-System, wo der Anführer der einzigen Supermacht dieses auf ein Schutzgeld-System umstellen will.

Wahrhaft interessante Zeiten...

Deutschland und der Nahostkrieg: Dürftige Auskünfte zum Raketenschutz für Rechenzentren - Golem.de

Die Frage, wie gut Rechenzentren in Deutschland gegen Raketenangriffe abgesichert sind, wird offenbar nicht gerne gehört. Antworten dazu fallen teils irritierend aus.

Golem.de
Show threadMartin Seeger1d ago

Ach dieser Artikel war mir durchgerutscht: https://www.golem.de/news/nahostkrieg-rechenzentrumsbetreiber-wollen-mehr-staatlichen-schutz-2603-207002.html

Zitat der German Datacenter Association (GDA):

"Die aktuellen geopolitischen Entwicklungen zeigen, dass digitale Infrastrukturen zunehmend auch strategisch betrachtet werden. Vor diesem Hintergrund halten wir es für entscheidend, dass Staat und Betreiber eng zusammenarbeiten und Rechenzentren in übergeordnete Schutz- und Resilienzkonzepte einbezogen werden."

Auf Deutsch:

Wir haben keine Idee, wie wir das Risiko managen können. Habt Ihr eine?

Nahostkrieg: Rechenzentrumsbetreiber wollen mehr staatlichen Schutz - Golem.de

Auch in Deutschland fragen Rechenzentrumsbetreiber nach mehr staatlichem Schutz. Im Nahostkrieg sind bereits AWS-Standorte zum Ziel geworden.

Golem.de
Show threadAndreas

@masek ich habe das mal recherchiert. Auch mit Hinweis auf Kritis bekomme ich weder Boden-Luft noch Boden-Boden Raketen genehmigt.

Auch wenn letztere die Verfügbarkeit massiv erhöhten, könnte ich doch jeden Bagger in Sichtweite abschießen noch bevor er meine Kabel ausgräbt.

Und selbst einen Geparden darf ich nicht bei mir parken.

Was ich aber kann als Kritis Betreiber ist mir einen eigenen Drohnenschwarm zuzulegen. Bewaffnen darf ich ihn aber nicht.
Ich kann ihn aber auf meinen Firmengrundstück fliegen lassen. Außer ich bin in der Nähe des Flughafens.

Aber selbst wenn ich den habe und damit erfolgreich andere Drohnen anfangen könnte, ich würde niemals eine Haftungsfreistellung bekommen.

Wir können also aktive Drohnenabwehr komplett vergessen.
Passiv geht aber auch nicht, weil Breitbandstörsender mit hoher Leistung kriege ich nicht genehmigt.

Kann ich also nur die üblichen Sachen machen. Redundanz bei der Stromversorgung und Netz etc.
Deutlich mehr Autarkie sowieso.

Und hey, vielleicht statt einfachem Lagerhaus baue ich jetzt in Stahlbeton, mit viel unterirdischer Komponente.

Und bei der Verwaltung nix Cloud oder US Software sondern nur einheimisches mit on-prem.

Aber wer nimmt mir den Service dann ab? VPS für 5,99€ gibt’s da nicht mehr. BunkerVPS kostet dann 59,99€.
Und selbst unsere Regierung kauft gerne bei Microsoft in der Cloud und AWS sowieso.

Da ist kein Markt für da.

Mar 28 at 7:21pmWeb
Show threadMartin Seeger14h ago

@ixs Aber ich kann nicht das offensichtliche Risiko bauen und damit Milliarden verdienen und dann sagen: die Risiken muss die Gesellschaft absichern.

Bzw. kann man schon. Ist derzeit ja SOP 😠.

Show threadAndreas12h ago

@masek Naja... Ich finde man darf das schon stark differenzieren.

Als Infrastrukturbetreiber muss ich dafür sorgen, daß meine Infrastruktur sinnvoll abgesichert ist.
Das bedeutet halt, daß ich dafür Sorge trage, daß genug Redundanz dabei ist um den Anforderungen entsprechend einen Verfügbaren Dienst anzubieten.

Die Anforderungen sind aber unterschiedlich, ob ich jetzt ein Wald-und-Wiesen-Hoster bin, der die Webseite des "Kaninchenzüchtervereins Buxtehude (in Gründung)" hostet oder ob es der "Integrierte Gefechtsstand Bundeswehr (digital)" ist.

Und dieser Unterschied ist in der Diskussion nicht immer so klar definiert.

Wenn ich der Bundeswehr den digitalen Gefechtsstand hoste, dann kann ich das nicht auf der Kaninchenzüchter-Infrastruktur machen.
Wenn dies geschieht, dann ist das offensichtlich nicht okay und kann thematisiert werden.

Die zweite Schwierigkeit, die ich bei der Diskussion habe, ist, daß sich der Staat dort teilweise sehr geschickt aus der Verantwortung zieht.
Ich würde einfach mal erwarten, daß ich mich um physische Angriffe oberhalb von einfacher Sabotage auf meine Infrastruktur nicht kümmern muss.

Das Gewaltmonopol liegt nunmal beim Staat. Wenn der das haben will, dann muss er es auch nutzen um mich vor der Gewalt eines anderen Staates zu schützen.

Die einzelne Kabelbrücke in Berlin mit beiden redundanten Kabeln in der selben Trasse, das ist mein Problem als E-Werk.

Aber die so oft beschworenen Drohnen? Oder der Lieferwagen voller Sprengstoff bei meiner Umspannstation?

*DAS* ist Aufgabe des Staates. Wenn der das nicht erfüllen kann oder mag, dann ist das okay. (Eigentlich nicht, aber egal)

Aber zu sagen, daß sich jetzt bitte mal die Privatwirtschaft darum kümmern soll, das ist IMHO ziemlich verlogen. Weil die hat im allgemeinen nicht die Mittel dazu.

Und das ist vielleicht auch garnicht so schlimm.

Aber allgemein finde ich die Diskussion irgendwie unehrlich geführt.

Weil ich sehe es irgendwie nicht wirklich wiedergespiegelt, daß für viele Anwendungen die geforderten Maßnahmen überhaupt nicht notwendig sind und Standardmaßnahmen wie funktionierendes Backup oft ausreichend.

Gleichzeitig sehe ich wie echte Verfehlungen wie komplett kaputte Redundanz oder absolute Fahrlässigkeit, die jeden Tag bei "Crypto-Vorfällen" demonstriert wird, mit echten Herausforderungen wie z.B. kriegerische Handlungen durch andere Staaten ("Drohnen") vermischt wird.

Und dazu kommt dann öffentlich demonstrierte Hilflosigkeit die mit Aktionismus ("Bundesdrohnenabwehrzentrum") überdeckt wird...

Show threadMartin Seeger12h ago

@ixs Der Staat ist mit in der Verantwortung. Aber ich will die Betreiber daraus nicht komplett entlasten.

Bis vor 5 Jahren war die IT stark dezentralisiert. Es gab Rechenzentren, aber die waren (für heutige Verhältnisse) eher klein. Das Risiko war individuell hoch, aber für die Gesellschaft eher überschaubar.

Das ändert sich gerade, getrieben von den RZ-Anbietern. Und diese verdienen extrem gut daran. Das bedeutet, dass die an der Mitigation der Risiken beteiligt werden müssen, zumindest finanziell.

Das Problem, dass Du korrekt aufzeigst, ist das diese Betrachtung "keine Tradition hat" und z.B. Energie- und Telko-Versorger das gleiche gemacht haben und da auch nicht die Kosten tragen.

Dazu kommt, dass es noch keine zuverlässigen Abwehr-Konzepte gibt...

Beispiel für Regelungen, die ich mir vorstelle:

  • RZ-Anbieter sind für die passive Sicherheit verantwortlich. Die Anforderungen steigen je nach Kapazität der RZ.
  • Weiterhin gibt es Gebühren anhand der Risikogröße, die zweckgebunden für staatliche Schutzmaßnahmen sind (Beispiel: Hochrisiko-Spiele in Bremen).

Das erfordert noch eine Menge Detailarbeit, das ist mir klar.

Wir sehen an AWS und Amazon, dass die Gewinne unversteuert in das Ausland fließen. Das ist mit einem lokalen Schutzanspruch nicht kompatibel.