Das Internet nachgebaut

Ich mag Filme von David Lynch: Man versteht die ersten zwanzig mal nur die Hälfte des Films und hat auch beim vierzigsten Mal noch das Gefühl, daß einem etwas Wichtiges entgeht, aber ich finde sie trotzdem toll. Auch und vor allem, weil sie so surreal anmuten. Was ich dagegen überhaupt nicht schätze, ist wenn sich in meinem Berufsleben Anspruch und Realität zueinander surreal verhalten - und glücklicherweise ist die Firma, in der ich derzeit arbeite, weit davon entfernt, mit solchen Problemen kämpfen zu müssen, egal ob in der IT oder in anderen Bereichen des Unternehmens. Umso amüsanter ist es, wenn ich dann von anderen Firmen mitbekomme, wie die Dinge dort manchmal gehandhabt werden.

Eine besonders, äh, “interessante” Geschichte habe ich gestern erlebt - und zwar mit einer richtig großen Bank. Einer wirklich großen. Einer, die jeder von Euch kennt - und deren Name, das sei hier dazu gesagt, weder mit “D”, “N” oder “S” anfängt. Zwischen besagter Bank und uns gibt es schon seit längerem eine Kooperation, die auch den Austausch kleiner Datenmengen beinhaltet. Damit man dort nicht auf Mails angewiesen ist, besteht zwischen uns und der zentralen IT dieser Bank, deren Netzwerk hier den Namen PrivateNet tragen soll, schon seit längerem eine VPN-Verbindung. Auf unserer Seite ist der PrivateNet-Tunnel ganz normal in einer dedizierten, hochverfügbaren DMZ auf zwei redundanten VPN-Routern terminiert, klassische Netztrennung, Zugriff aus dieser DMZ gibt es nur auf gesondert gesicherte weil eben für den Datenaustausch mit externen Partnern vorgesehene Server. Sowohl unsere VPN-Kisten als auch die Datenaustausch-Server stehen natürlich nicht bei uns im Keller (Büroraum in München ist viel zu teuer für solche Vorhaben), sondern in einem externen Rechenzentrum, komplett mit Sicherheitsmaßnahmen, die Panzer abwehren können sollen und mehrfach redundanten Anbindungen an Strom und “Internet”. Soweit ist nichts unüblich, aber bei der Beschreibung fällt vielleicht schon auf, daß ich mehrmals Worte wie “redundant” oder “hochverfügbar” verwendet habe - sprich, die Chancen, daß diese Anbindungen jemals ausfallen, sind recht gering (und daß unsere Konzepte nicht nur in der Theorie funktionieren wissen wir, weil wir mindestens einmal pro Jahr im RZ einfallen und dort nach Lust und Laune Kabel herausrupfen. Na ja, nicht ganz so, aber ihr ahnt, worauf ich hinauswill: Failover-Testing halt). Und so könnte eigentlich auch alles gut sein.

Ist es aber nicht. Seit kurzem besteht besagte Bank darauf, daß wir die Anbindung an sie nicht mehr über VPN-Tunnel vornehmen. Zum einen sei das zu unsicher und zum anderen könne man ja die Verfügbarkeit nicht gewährleisten. Deswegen werden wir nun mehr oder weniger dazu “ermuntert”, die Anbindung auf eine einzelne Business-SDSL-Strecke umzustellen. Wer jetzt “WTF?!?” denkt, dem geht es genauso wie mir, die IT unseres Partners jedoch versteht da wenig Spaß.

Gestern also hatte ich die Gelegenheit, ein Gespräch (zwar nur unsere Seite, aber das war vielsagend genug) zwischen dem bei uns für externe Verbindungen zuständigen Mitarbeiter und seinem Pendant bei PrivateNet mitzubekommen. Und plötzlich wundert mich nichts mehr: Die IT dieser wirklich, wirklich großen Bank hat anscheinend noch nie etwas von RFC 5737, ja, noch nicht mal was von RFC 1918 gehört. Die Liste der IP-Adressen, die man uns als Transfernetze angeboten hat, liest sich wie das “Who is Who” der großen, vor dem Internet-Boom vergebenen Allokationen. Auf die vorsichtige Frage meines Kollegen hin, ob besagte Bank diese IP-Adressen denn auch alle besitze, wurde ihm versichert, das sei kein Problem, innerhalb des PrivateNet seien die meisten der angebotenen IP-Adressen routebar und eindeutig, man arbeite ja professionell.

Manchmal besteht zwischen Selbstwahrnehmung und Realität eben eine wirklich ausgeprägte Dichotomie. Ich glaube, der Kollege hat besagte Bank dazu bekommen, die Adressen für die Verbindung zu uns in den RFC1918-Space hinein zu NAten. Und das sollte man sich jetzt wirklich mal auf der Zunge zergehen lassen.