CERN-IT-Sicherheitschef Stefan Lüders

"Wir leben ByoD seit 20 Jahren"

Viele IT‘ler kennen das CERN bei Genf als den Ort, an dem Tim Berners-Lee das World Wide Web erfand. Oder auch als riesigen Teilchenbeschleuniger. Hier arbeiten tausende Wissenschaftler in Großforschungsprojekten. Da stellen sich natürlich einige Fragen zum Thema IT-Sicherheit.

Dr. Stefan Lüders ist seit 2009 Computer Security Officer am CERN, der Europäischen Organisation für Kernforschung bei Meyrin im Schweizer Kanton Genf. Bevor Lüders 2002 zum CERN kam, promovierte er an der ETH Zürich. Zu seinen aktuellen Aufgaben gehört unter anderem auch die Leitung des Computer Incident Response Teams. Über einzelne Aspekte seiner Arbeit hat er bereits auf zahlreichen Veranstaltungen und in Publikationen berichtet. Lüders ist Mitglied im Schweizer Chapter des (ISC)²-Konsortiums, dem international größten Zusammenschluss von IT-Security-Verantwortlichen. Im CW-Interview erklärt er den IT-Kosmos des CERN und gewährt Einblick in die Methoden, mit denen das Thema IT-Security in zehntausende Forscherköpfe gelangt.

Herr Lüders, was tun Sie und Ihr Team am CERN?

STEFAN LÜDERS: Ich arbeite als Computer-Sicherheitschef am CERN. In meinem früheren Leben war ich zunächst als Physiker, dann als Kontrollsystem-Ingenieur mit Safety-Fokus am CERN tätig. Über den Schutz kritischer Infrastrukturen und die Sicherheit von Industrieanlagen bin ich dann auf den Stuhl des CSO gekommen. Das ist eine nicht unübliche CERN-Karriere.

Mein Team ist relativ klein, wir sind fünf CERN Angestellte sowie eine Handvoll Studenten - je nach Jahreszeit zwei bis fünf -, die an verschiedenen Projekten arbeiten. Wir decken alle Computer-Sicherheitsaspekte ab, die es am CERN gibt. Ich rede da nicht von Physical Security, von Wachmännern oder Eingangskontrollen, sondern von purer IT. Wir kümmern uns um vier große Bereiche - Office Computing Security, Computer Centre Security, GRID Computing Security und Control System Security.

Wie funktioniert das Thema Office Computing Security in solch einer großen Organisation?

LÜDERS: Das CERN hat in etwa 2250 Mitarbeiter, dazu 10.000 bis 15.000 Gastnutzer - das sind Menschen, die von Universitäten und Instituten außerhalb abgestellt sind und am CERN arbeiten - Studenten, Doktoranden, Professoren, Physiker, Ingenieure, Techniker aus Hamburg, München, Bonn, Frankreich, China, Iran, Japan, USA. Diese werden zwar von ihren jeweiligen Instituten bezahlt, leben und arbeiten für eine begrenzte Zeit aber bei uns.

Wir haben hier also ein ständiges Kommen und Gehen. Unser Office-Bereich samt Security hat sich darauf eingestellt - das Netzwerk umfasst 40.000 bis 45.000 Geräte, die meisten davon nicht unter Kontrolle der IT-Abteilung - nur wenige Windows- und Linux-Systeme werden zentral verwaltet. Der wesentliche Teil - Notebooks, Smartphones, Tablets - werden durch die Nutzer selbst eingerichtet. Ist ja auch klar, wer hauptberuflich für die Uni Hamburg arbeitet und dann eine Woche zum CERN kommt, will nicht ein neues Gerät in Betrieb müssen. Wir leben hier deshalb schon seit 20 Jahren das Mantra "Bring your own device".

"Niemand muss hier in die Cloud gehen"

Computer Centre Security - CERN-Fremde würden einfach ‚RZ-Sicherheit‘ dazu sagen - ist ein weiteres wichtiges Betätigungsfeld von Ihnen. Wie sieht Ihre Infrastruktur hier aus?

LÜDERS: Wir betreiben acht Rechenzentren mit jeweils 3000 bis 12.000 Servern, die die IT-Infrastruktur bereitstellen, um unter anderem Teilchenbeschleuniger und Experimente laufen lassen und alle Mitarbeiter mit ausreichend technischen Ressourcen versorgen zu können. Verwaltet wird das Ganze durch unser IT Department, das Web-Services und Datenbanken bereitstellt, die beispielsweise von HR, Finance und für die wissenschaftlichen Experimente genutzt werden können. Dazu haben wir Fileserver für den Dokumentenaustausch, Archivierungs- und Backup-Systeme sowie Services für Webcasts, Videostreaming und Conferencing in Betrieb. Wir betreiben also die gesamte Infrastruktur selbst - niemand muss in die Cloud gehen, sondern kann alles über die CERN-Server erledigen.

Stichwort Cloud - Sie nannten das ‚GRID‘ des CERN als dritten wichtigen Arbeitsbereich…

LÜDERS: Ja, ich meine das GRID Computing, ein verteiltes Netzwerk von Rechenzentren weltweit. Die Datenraten unserer Teilchenbeschleuniger sind immens - es entstehen jährlich zwischen 20 und 30 Petabyte an Daten, die der Physikergemeinschaft zu Analysezwecken bereitgestellt werden müssen. Diese Bereitstellung realisieren wir über das so genannte "Worldwide LHC Computing Grid" (WLCG). Am CERN halten wir derzeit rund 130 Petabyte Daten auf Festplatten und Bändern vor und replizieren diese in das Grid hinein, das aus 13 Tier-1 Rechenzentren weltweit besteht, deren Server dann wiederum die Daten in rund 160 weitere Tier-2 Rechenzentren weitergeben. Wie das World Wide Web für viele Menschen ein Informationsmedium darstellt, ist das Grid für uns am CERN ein Computing-Medium - die Funktionsweise ist die gleiche.

Benötigt ein Anwender Forschungsergebnisse oder auch eine bestimmte Rechenoperation, loggt er sich am Grid ein, gibt seine Anfrage ein oder bekommt dann von irgendeinem Rechenzentrum eine Antwort zurück. Das CERN stellt einen Anteil der Computing- und Storage-Kapazitäten des Grids bereit. Diese enormen Ressourcen sind natürlich auch für die "dunkle Seite der Macht" interessant, wenn es beispielsweise um Bitcoin-Mining oder ähnliche illegale Dinge geht, für die starke Rechenleistung benötigt wird.

Ihr vierter Arbeitsschwerpunkt ist die Sicherheit der Kontrollsysteme. Was für Systeme setzen Sie da ein?

LÜDERS: Unsere Beschleuniger und Experimente werden ähnlich geplant wie eine klassische Fahrzeugproduktionslinie oder eine Raffinerie. Es geht hier teils um Kontrollsysteme, die wir selbst entwickelt haben, teils Kontrollsysteme, die Sie am Markt bei Siemens, Schneider Electric, ABB und anderen bekommen. Die Sicherheit dieser Systeme muss gewährleistet sein, damit nicht irgendjemand anders als das CERN die Teilchenbeschleuniger betreibt.