Rechenzentrumsplanung und -organisation: Zum Datenschutz gehört die physische RZ-Sicherheit

Ransomware, Cyberangriffe und andere Schadsoftware-Attacken werden oft als DAS Thema bei der IT-Sicherheit verstanden. Jüngst führten aber Naturkatastrophen wie Unfälle, Brände und Hochwasser eine ganz andere Facette und das ganz Elementare vor Augen: IT-Sicherheit beginnt bei der Konzeption, Planung und Bau eines Rechenzentrums.

Die physische und organisatorische Sicherheit ist ein grundlegender Bestandteil der Informationssicherheit in einem Unternehmen. Ein Sicherheitskonzept muss dabei drei Ebenen abbilden: technische, logische und physische Sicherheit mit dem Ziel, die Verfügbarkeit der Informationstechnik sowie die Vertraulichkeit, Integrität und Authentizität von Daten sicherzustellen.

In Deutschland ist der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) der Standard für Informationssicherheit [1]. Geeignete Maßnahmen finden sich auch in den international gültigen Normen der ISO/IEC-27000-Reihe [2]. Eine wichtige Komponente ist die Einrichtung eines Informationssicherheits-Managementsystems (ISMS), welches als wichtiger Bestandteil eines umfassenden IT-Sicherheitskonzepts gesehen wird [3]. 

Maßnahmen für die physische IT-Sicherung. Physische IT-Sicherheit umfasst Maßnahmen zur Vermeidung von Gefahren durch physische Einwirkungen auf die zentralen IT-Systeme. Naheliegend sind Risiken wie Feuer, Brand, Wasser, Diebstahl oder Vandalismus. Aber auch Schäden durch Staub, Aerosole, gasförmige und korrosive Luftbelastungen können eine zentrale IT gravierend beschädigen. 

Ebenso banal klingt: Server sollten in speziellen Serverräumen untergebracht werden, in dem auch andere Hardware wie Router, Storages, Switches, USV oder Klimatechnik vorhanden sein können. IT-Geräte benötigen geeignete Umgebungsbedingungen, damit der Anspruch auf Garantie, Gewährleistung und Wartung der Hersteller oder Versicherungsleistungen der Versicherer nicht gefährdet werden.

Es mag etwas deutsch klingen, aber die IT-Sicherheit beginnt bei der Ordnung und Sauberkeit der IT-Systeme und -Räume. Die Reinigung gehört zur Instandhaltung. Verantwortliche müssen die zentrale IT-Infrastruktur im Serverraum in einem angemessenen Zustand halten. Allerdings wird diese Aufgabe zunehmend komplexer, da immer mehr IT-Aufgaben in Außenstandorte, Filialen und das sogenannte »Edge« verlagert werden. Die Lösung »Cloud« entbindet auf den ersten Affekt von der Sicherung. Praktisch und rechtlich nicht. Die Hinzuziehung des »Edge« macht die Aufgaben für Sicherheitsbeauftragte aber zunehmend komplex. 

Die angemessene Schutzklasse auswählen. Das ist Analyseaufgabe von CIOs. IT-Leistung und benötigte IT-Security-Level müssen definiert werden. Falls personenbezogene Daten verarbeitet werden, ist ein hoher Schutz des Rechenzentrums notwendig. In einer normalen Büroumgebung wäre für ein IT-Rack die Schutzart IP20 ausreichend. Steht die IT-Lösung aber in einer staubigen Produktionshalle, sind Sicherheitsanforderungen ganz anders: Schutzarten bis IP55 gegen die Umweltbedingungen wie Staub, gegen vollständigen Berührungsschutz und gegen Strahlwasser müssen gewährleistet werden.

Ein einfacher, aber zentraler Punkt ist die Zutrittskontrolle. Beispielsweise erleichtern elektronische Türschlösser die Auswertung, wann welche Mitarbeiter Zugriff auf die IT-Systeme hatten. Die Verriegelung mit elektronischen Methoden ermöglicht, dass sich Türen über ein netzwerkfähiges Monitoring-System automatisiert überwachen lassen. Das betrifft nicht nur das gesamte RZ, auch einzelne Gehäuse und Rack-Türen inklusive der Seitenwände können überwacht werden.

Alternative: Container-Rechenzentren. Angesichts unsicherer Wirtschaftsprognosen tendieren Unternehmen vermehrt zu Zwischenlösungen. Teilweise sind dies Abo-Modelle für diverse Kapazitäten in der Cloud. Im Trend liegen aber auch mobile Edge-Rechenzentren. Diese ersparen langwierige und kostspielige Baumaßnahmen. Die Container-Rechenzentren sind robust und bieten eine hohe physische Sicherheit sowie eine wetterfeste Ummantelung, in der Regel aus Stahl. Die Container lassen sich flexibel auf dem Firmengelände aufstellen, entweder auf dem Außengelände oder innerhalb einer Lager- oder Produktionshalle. Vorkonfigurierte Komponenten ermöglichen den schnellen Auf- und Ausbau über Standardmodule. Je nach benötigter Schutzklasse lassen sich diese Systeme mit feuerfester Ummantelung (bis F90) sowie mit Wasser- und Einbruchschutz (typischerweise bis IP55) erwerben.

Aspekte der RZ-Sicherheit. Bei der Konzeption eines sicheren Rechenzentrums bedarf es eines ganzheitlichen Konzepts, um die Anforderungen an die entsprechende Sicherheit zu gewährleisten. Gebäudesicherheit, Klimatisierung, Effizienz, Skalierbarkeit, Störungsmanagement – dies sind zu berücksichtigende Aspekte. Nicht nur aufgrund von Compliance- und EU-Richtlinien sind Unternehmen und Organisationen zur sicheren Datenhaltung verpflichtet, es verbindet sich natürlich ein wirtschaftliches Interesse damit. 

So kann eine Löschanlage kann im Brandfall großen Schaden von einem Rechenzentrum abwenden. Ist sie aber auch rentabel? Wesentliche Bestandteile der physischen Sicherheit sind Stromversorgung, Klimatisierung, Kommunikationsanbindung, Brandschutz, Gebäudesicherheit und restriktive Zutrittsregelungen.

Ohne Anspruch auf Vollständigkeit formulieren wir einige praktische Tipps:

  • Gebäudesicherung und Zutrittsregelung
    Zutrittskontrolle, die jeden Zutritt kontrolliert und protokolliert, ist ein Muss. Nur so haben Benutzer die Gewissheit darüber, welche Personen sich zu welcher Zeit im Rechenzentrum aufhielten. Biometrische Zugangssysteme, Schlüsselkarten, Personenvereinzelungsanlagen und Kameraüberwachung haben sich als Standard für ein zuverlässiges Zutrittssystem bewährt.
    Dies bewegt sich durchaus in einem Zwiespalt: Inwiefern werden Persönlichkeitsrechte beschränkt, inwiefern kann ein Unbefugter Zugang zu Technik im Inneren des Rechenzentrums erlangen.
  • Brandschutz
    Die Ereignisse bei OVHcloud in Straßburg haben es verdeutlicht: Brände können zu existenzbedrohenden wirtschaftlichen Folgen für Unternehmen führen. Heute gibt es Früh-Testerkennungssysteme, die mit Lasern die Luft im Rechenzentrum permanent prüfen und bereits bei einem geringen Anteil an Rußpartikeln Alarm schlagen.
    Beim Brandschutz ist auch die Aufteilung in verschiedene Brandabschnitte elementar, Brandschutztüren und -fenster ein Muss. Wichtig ist aber auch, ob beispielsweise Entgasungs-, Ventilations- und Druckentlastungssysteme vorhanden sind und ob Systeme auch nach einem Brandfall weiter betrieben werden können?
  • Unterbrechungsfreie Stromversorgung
    Dies ist bei geschäftskritischen Komponenten im IT-Gerät längst Standard. Aber das gesamte RZ muss ebenfalls diesem Sicherheitskriterium entsprechen. Die Anschlussfrage ist: Kann man sich autark vom öffentlichen Stromnetz unterbrechungsfrei im Geschäftsbetrieb halten? Wie lange sind redundante Systeme unter dann erforderlicher Volllast lauffähig? Wurde das getestet? Gibt Blitzschutzvorrichtungen und eine galvanische Trennung der Leitungen?
  • Kühlung und Luftfeuchtigkeit
    Die Klimatisierung spielt angesichts der Wärmeabgabe der IT-Geräte eine wichtige Rolle, weswegen auch sie redundant ausgebaut werden sollte. Es kann durchaus eine große Herausforderung sein, im Rechenzentrum Temperatur und Luftfeuchtigkeit im Idealbereich zu halten. Bei der Planung müssen auch bei der Klimatisierung Überkapazitäten einberechnet werden, zumal angesichts des IT-Equipments, das schneller gewechselt wird und zunehmend Energie verbraucht.
  • Netzwerkanbindung
    Als essenzieller Bestandteil für den externen Datenaustausch sollte die Netzwerkanbindung redundant aufgebaut sein. Das beinhaltet, dass beispielsweise eine zusätzliche Anbindung durch einen zweiten Netzbetreiber, oder Notfallpläne mit Richtfunk oder Satellit bereitgestellt werden. 

Denn in der Praxis gibt es das tägliche Dilemma: Wer die Sicherheitsanforderungen zu hoch ansetzt, wird die Wirtschaftlichkeit des Projekts gefährden. Umso wichtiger sind genaue innerbetriebliche Definitionen. Die Sicherheitsvorgaben eines CIO erreichen letztlich IT-Direktoren und -Manager, die für die Umsetzung sorgen. Wichtig erscheint in einem Unternehmen die Ganzheitlichkeit der Konzepte, Maßnahmen und Prozesse.

 


Michael Baumann,
Fachautor

 

 

[1] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html 
[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/
4GS_Tag_2018/ISO_27001_und_modernisierter_IT-Grundschutz.html
 
[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/
Broschueren/Leitfaden_zur_Basis-Absicherung.html

 

Illustration: © Creative Hawk/shutterstock.com

 

2262 Artikel zu „Rechenzentrum Sicherheit“

Datenmanagement: Schutz und Sicherheit im Rechenzentrum

Egal ob infolge von Hardware- oder Softwarefehlern, menschlichem Versagen oder einem Viren- oder Hackerangriff, die Gründe für einen möglichen Datenverlust in Unternehmen sind vielfältig. Doch noch immer realisieren viele nicht die Gefahr eines Datenausfalls oder -verlustes. Der IT-Sicherheitsspezialist Datarecovery aus Leipzig hat Ende 2018 in einer Studie herausgefunden, dass 29 Prozent der Unternehmen ihre Daten…

Umfrage: Standards wichtig für Sicherheit im Rechenzentrum

Deutsche Wirtschaft zeigt hohe Verantwortung für Datenschutz. Vertrauen in transatlantischen Datenschutz ist gering. Rechenzentren, die sich an anerkannte Normen halten, werden von den Unternehmen als sicherer und vertrauenswürdiger eingestuft, hat eine aktuelle Umfrage ermittelt [1]. Laut einer Befragung von 100 überwiegend mittelständischen Unternehmen sind beinahe zwei Drittel (65 Prozent) fest davon überzeugt, dass die neue…

Sicherheit im Rechenzentrum: Verordneter IT-Schutz

Der IT-Branchenverband Bitkom schätzt, dass im Jahr 2015 gut die Hälfte aller Unternehmen in Deutschland von Datendiebstahl, Sabotage oder Spionage betroffen waren. Auch mittelständische Unternehmen müssen ihre Systeme zunehmend stärker schützen, da in Zeiten von Industrie 4.0 und mit dem Internet der Dinge die Technologie bis zu den Maschinen an der Bandstraße vordringt. Jedes zehnte…

Neue Hochsicherheitsarchitektur: Rechenzentrum wird zum »Stealth Data Center«

Mit dem »Stealth Data Center« präsentierte Fujitsu in diesem Jahr auf der CeBIT ein völlig neues Sicherheitskonzept. Jetzt beginnt im Wilken Rechenzentrum in Ulm der Aufbau einer derartigen Infrastruktur: Zunächst wird im Rahmen des Pilotprojekts ein Sicherheitsrack von Fujitsu installiert, das den unerlaubten physischen Zugriff auf die Systeme verhindert. Zum Schutz vor elektronischen Angriffen kommt…

Das Rechenzentrum wird »unsichtbar«: »Stealth Data Center« mit neuartiger Sicherheitsrack-Lösung

Auf der CeBIT präsentiert Fujitsu mit dem »Stealth Data Center« ein neues Sicherheitskonzept für das Rechenzentrum. Ein patentiertes Verfahren sorgt dafür, dass derzeit bekannte Angriffsmethoden ins Leere laufen. Dies gilt sowohl für Portscans als auch für gezielte Angriffe auf einzelne Dienste. Durch die neue Technologie ist das Rechenzentrum für Angreifer nicht ansprechbar und deswegen nicht…

Softwareentwicklung erste Wahl bei Informatikstudenten: Sicherheitsausbildung mangelhaft

Studie zeigt Bildungslücken künftiger Entwickler bei IT-Sicherheit und Programmiersprachen auf. Unter den Informatikstudenten, die gerade ihr Studium abgeschlossen haben, rangiert Softwareentwicklung an erster Stelle bei der Berufswahl. Dies ist das Ergebnis einer Befragung von CloudBees mit 1000 Teilnehmern zwischen 19 und 24 Jahren aus Deutschland, Frankreich, den USA und dem Vereinigten Königreich. 90 % der…

XDR: Wie Sicherheitsteams Cyberangriffe frühzeitig erkennen und abwehren können

Sicherheitsteams haben aufgrund der Implementierung von neuen Technologien und Remote-Work-Prozessen zunehmend Schwierigkeiten, die Kontrolle über die komplexe Unternehmens-IT zu behalten. In Sachen IT-Sicherheit kann dies zu Problemen führen, da sich Cyberbedrohungen nicht mehr effektiv abwehren lassen. Eine einheitliche Plattform, die sämtliche Sicherheitsfunktionen zentralisiert, schafft Transparenz und effizientes Bedrohungs-Management. Tanja Hofmann, Lead Security Engineer bei McAfee…

Produktsicherheit: Erfolgreiches Product Security Incident Response Team (PSIRT) aufbauen

In den letzten Jahren sind aus gutem Grund immer mehr Gerätehersteller dazu übergegangen, die Produktsicherheit stärker in den Fokus zu rücken. Dazu zählt auch, den Aufbau eines Product Security Incident Response Teams (PSIRT) in die strategische Planung einzubeziehen, um das Risiko eines erfolgreichen Exploits zu senken. Unternehmen, die vernetzte Produkte und IoT-Geräte entwickeln, sind sich…

Hohe Komplexitätsanforderungen der Cloud führen zu häufigen Sicherheitsfehlern – Firewall-Fehlkonfigurationen

Das Scheitern klassischer Netzwerksicherheitstechnologien in hybriden Multicloud-Umgebungen lässt sich beziffern. Marktforschungen zufolge gehen 99 Prozent der Firewall-Verstöße auf falsch konfigurierte Sicherheitsrichtlinien zurück. Was sind die häufigsten Fehler bei der Konfiguration und wie lassen sie sich vermeiden?

Rechenzentrum: Intelligente Stromverteilungssysteme –
Smarte Zone

Die entscheidenden Performance-Indikatoren bei der IT-Infrastruktur sind Leistungsfähigkeit, Verfügbarkeit und Effizienz. Für die Verfüg­barkeit eines Rechenzentrums ist die ­sichere Stromversorgung, die bereits bei der Einspeisung und der Verteilung beginnt, von ent­scheidender Bedeutung. Ob Core-, Cloud- oder Edge-Data-Center – die aktuellen Markttreiber erfordern von Rechen­zentrums­­infra­strukturen drei Merkmale: Smarter, effizienter und sicherer.

Leistungsoptimiert und zweckgerichtet: Neue Servergeneration für das Rechenzentrum

  Der chinesische Serverhersteller Inspur stellte im April 2021 seine neue M6-Serverfamilie vor. Die Vier-Sockel-Server unterstützen skalierbare Intel-Xeon-Prozessoren der 3. Generation und sind für SAP HANA zertifiziert. Im Vergleich zu vorherigen Servergenerationen von Inspur bieten die M6-Server eine Leistungssteigerung von bis zu 46 Prozent. Die M6-Serverfamilie bietet 16 Produkte für rechenintensive Anwendungen wie künstliche Intelligenz,…

Cybersicherheit: Vier Eckpfeiler zur Absicherung digitaler Innovationen in der Produktion

Heute ist nahezu jeder stark digitalisierte oder automatisierte Industriezweig mit dem Risiko einer Cyberbedrohung konfrontiert. Ein gutes Beispiel, dass die möglichen Auswirkungen auf eine Lieferkette in der Fertigung zeigt, ist die Halbleiterbranche. Ein Cyberangriff auf eine Halbleiter-Fertigungsstätte (Fab) kann in weniger als einem Tag Schäden von mehreren Millionen Euro verursachen. TXOne Networks, Spezialist für OT-Sicherheitslösungen,…

Mehr Sicherheit im Finanzsektor – Jetzt und zukünftig

  Die Branche der Banken und Finanzdienstleister steht unter Dauerbeschuss. Sei es durch gezielte Cyberangriffe, nationalstaatlich gesponsert, durch Gruppen von ambitionierten Angreifern oder einzelne Kriminelle. Das verwundert nicht, haben doch diese Ziele in punkto Risiken, Reputation und Wert am meisten zu bieten. Allerdings gehören sie auch zu der Art von Zielen, die gemeinhin am besten…

IT-Sicherheit im Mittelstand verbessern

Mit Fachvorträgen und Diskussionen in Online-Sessions will die SecurITy Week (17. bis 21. Mai 2021) insbesondere Verantwortliche in mittelständischen Unternehmen für das Thema IT-Sicherheit sensibilisieren und über neue Trends informieren. Zu den kompetenten Unterstützern und Vortragenden des Online-Events zählt der Nürnberger IT-Dienstleister noris network, der in eigenen Colocation-Hochsicherheitsrechenzentren umfangreiche Services im Bereich IT-Sicherheit anbietet.  …

Sicherheitsrisiken durch Identity Sprawl: Fünf Maßnahmen zum Schutz

Da Unternehmen zunehmend neue Technologien wie die Cloud, Big Data, DevOps, Container oder Microservices nutzen, stellt diese wachsende Komplexität auch neue Herausforderungen an das Identitäts- und Zugriffsmanagement. Denn mit diesen aufkommenden Technologien wachsen die Workloads und Datenmengen und befinden sich zunehmend in der Cloud. Die Anzahl menschlicher und maschineller Identitäten steigt hierdurch exponentiell an. Um…