datenritter blog

Randall Munroe bringt es mal wieder auf den Punkt:



Leider wird diese Betrachtung von Risiken oft falsch und dann als Fatalismus verstanden. "Man kann sowieso" ist eine Ausrede, die der um Sicherheit besorgte gerne von Betriebswirten und solchen, die es werden wollen, hört. Dabei wird nicht das Risiko durch eine bestimmte Gefahr mit den Kosten für die Sicherheitsmaßnahmen verglichen, wie es eigentlich korrekt wäre, sondern die Maßnnahme einfach kleingeredet.

In den meisten Fällen ist es aber so, dass die beiden verglichenen Bedrohungen voneinander unabhängig sind. Wird zum Beispiel argumentiert, dass es nichts bringt, den Hauptserver besser vor Hackerangriffen zu schützen, weil ja "sowieso" jeder "einbrechen und ihn stehlen" könnte, so ist das schlichtweg ein Fangschluss. Ein russischer Cracker wird sich nach einem gescheiterten Angriff wohl kaum "sowieso" mit dem LKW aufmachen, um den Server zu stehlen. Das Gesamtrisiko wird durch die diskutierten Maßnahmen also real verkleinert.

Etwas anderes wäre es, wenn zum Beispiel eine Verschlüsselung dort eingesetzt würde, wo die selben Datenpakete (sowieso) auch unverschlüsselt über die selbe (potentiell abgehörte) Leitung gehen. Hier wird die Sicherheit real nicht vergrößert. Solche Fälle sind selten und ziemlich nah an unmöglich.

Woran der Comic erinnert, ist trotzdem nicht völlig unerheblich, nur eben ein anderes Thema: Mit zunehmendem Wert einer Information wird die Bedrohung durch Bestechung, Erpressung und nicht zuletzt Schraubenschlüsseleinsätze größer.

Update 2009-03-08: Es gibt tatsächlich einen Fachausdruck für diese Methode. Man spricht allerdings nicht von Schraubenschlüsseln, sondern euphemistisch von "Rubber-hose cryptanalysis", also Gummischlauch-Kryptanalyse.

Robin Harris schrieb 2007 in einem Artikel bei ZDNet, dass RAID5-Systeme seiner Ansicht nach im Laufe dieses Jahres aufhören werden zu funktionieren, bzw. dass und RAID6-Systeme keine größere Sicherheit als RAID5-Systeme geben werden.

Was ist dran an der Behauptung?

Die Zahlenspielereien, die er anstellt, basieren auf der Annahme, dass die durchschnittlichen Lesefehlerraten gleich bleiben, während die Kapazitäten der Laufwerke sich immer weiter erhöhen. Dadurch steigt die Gefahr eines zweiten — fatalen — Fehlers nach dem Ausfall einer Festplatte im RAID5-Verbund. Denn nach so einem Ausfall wird das Reservelaufwerk (Spare Drive) aktiviert, und vollständig beschrieben, um den Verbund wieder zu vervollständigen.

Während dieser Wiederherstellung (Recovery) der vollen Redundanz werden die anderen Laufwerke komplett gelesen. Bei gleichbleibenden Raten von einem unbehebbaren Fehler auf etwa zwölf Terabyte Daten hat man also bereits mit sechs 2TB Laufwerken — und solche wird es im Laufe dieses Jahres geben — ein reale Chance, dass ein solcher Fehler auftritt. Der zweite Lesefehler kann seiner Ansicht nach aber das gesamte RAID5-System ruinieren.

Kurz: Die zur Rekonstruktion des RAID-Verbundes zu lesende Datenmenge steigt gegenüber der Lesefehlerrate.

Nun ist es so, dass mittlere Fehlerraten und ähnliche Kennzahlen gerne missverstanden werden. Doch ist es ohne tief in die Materie einzusteigen und eine anständige Portion Stochastik nahezu unmöglich, die Qualität von Harris' Voraussagen zu bewerten. Deswegen sollte man einen Blick auf weitere Meinungen werfen.

Am Rande erwähnt sei ein Artikel in einem Mitarbeiter-Blog von SUN Microsystems. Hier wurden verschiedene mathematische Modelle verglichen und Berechnungen für RAID-Z2 angestellt, ein Raidsystem, welches mit dem Dateisytem ZFS verbandelt ist und höhere Sicherheit vor Inkonsistenzen bei Scheibfehlern bietet. Das ist auch bei RAID-Systemen ein nicht zu vernachlässigender Punkt, denn Schreibfehler sind möglich und das wird meist nicht berücksichtigt. Der Artikel geht etwas sehr ins Detail, bestätigt Harris' Vorhersage aber zumindest teilweise.

Ein lesenswerter Artikel im Blog von subnetmask255x4 betrachtet viele Äußerungen zum Thema eher kritisch und beruhigt in sofern, dass er die Fehlerraten schneller sinken sieht, als die Kapazitäten der Laufwerke sich erhöhen. Die Annahme, dass die Fehlerraten gleichbleiben, scheint also der Haken an Harris' Prophezeiung zu sein.

Allerdings empfiehlt der Autor, lieber RAID6 statt RAID5 zu nutzen, bzw. RAID10 für den Hausgebrauch. Zudem soll man gezielt spezielle Festplatten mit geringerer Fehlerquote kaufen und natürlich Backups anlegen.

Die sind eine gute Idee, denn im Gegensatz zu RAID-Systemen schützen sie vor Dummheiten und Rechenfehlern.

Nachtrag 2009-02-28: Grundsätzlich sollte man auch bedenken, dass auch RAID5 und RAID6-Systeme nicht vor Bedienfehlern geschützt sind. Wird statt der ausgefallenen Platte vom "Bedienpersonal" versehentlich eine andere Platte entfernt, so wird das Dateisystem möglicherweise schwer beschädigt. Der RAID-Controller bzw. der Daemon gibt dann sofort auf, und überredet man ihn, den Verbund trotz der entstandenen Inkosistenz wieder in Betrieb zu nehmen, kann sonstwas passieren. Eine möglichkeit, ein Laufwerk als "half failed" zu markieren, kenne ich jedenfalls nicht.