Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
12.08.2008 01:00
Schutz geschäftskritischer Daten
Rechenzentren haben sich für viele Unternehmen zur Schaltzentrale entwickelt, ohne die sich der reguläre Geschäftsbetrieb nicht aufrechterhalten lässt. Dem Schutz des Rechenzentrums, der dort laufenden Applikationen und den geschäftskritischen Daten kommt somit eine zentrale Bedeutung zu.
So manchem Entscheider ist gar nicht bewusst, dass er je nach Rechtsform und Art des Unternehmens mehr oder minder strengen Gesetzen und Verordnungen unterworfen ist, die dazu verpflichten, dessen Fortbestand auch im Fall von Naturereignissen oder Terrorakten zu gewährleisten. Durch die Eigenkapitalvereinbarung "Basel II" und die Standards zur Vergabe von Krediten kommt es verstärkt darauf an, Risiken des IT-Betriebs einschätzen zu können. Die Firmen-IT ist häufig eng mit kritischen Bereichen wie Buchhaltung, Warenwirtschaft oder Produktionssteuerung verzahnt oder stellt sogar die Grundlage des Geschäftsmodells dar. Daher müssen die Sicherheit des Rechenzentrums (RZ) im Allgemeinen und die häufig unterschätzte physikalische Absicherung im Besonderen in den Mittelpunkt des Interesses rücken. Dies gilt nicht nur für große Konzerne, Banken und Versicherungen, sondern zunehmend auch für Mittelständler und ist unabhängig davon, ob das Unternehmen ein eigenes Rechenzentrum betreibt oder RZ-Dienstleistungen über einen Provider einkauft.
Sicherheit beginnt mit der Planung
Um herauszufinden, welche physikalische Sicherheit sie brauchen, sollten Unternehmen methodisch vorgehen und mindestens einen Verantwortlichen für das Thema benennen. Auf diese Weise lässt sich mit vertretbarem Aufwand ein auf die jeweilige Organisation zugeschnittenes Sicherheitskonzept entwickeln.
Am Anfang der Planung sollte in jedem Fall die Anforderungsanalyse stehen. Hierbei handelt es sich um eine Risikoabschätzung im Hinblick auf mögliche Gefahren, die sich beispielsweise durch die Art des Geschäftsbetriebs, den Standort des RZ und weitere Faktoren ergeben. Als Nächstes gilt es, die erforderlichen Schutzmaßnahmen samt technischer Umsetzung zu ermitteln. Da sich die Parameter im Lauf der Zeit ändern, sollte alles schriftlich dokumentiert und im Sinn eines Qualitäts-Managements regelmäßig überprüft werden. Nur so kann Sicherheit dauerhaft aufrechterhalten werden.
"Wird der Betrieb eines eigenen RZ in Betracht gezogen, ist es wichtig, eine Vision zu entwickeln und diese während der gesamten Planung und Umsetzung im Auge zu behalten", rät Peter Heinemann, der als Senior Consultant beim Frankfurter Rechenzentrumsbetreiber Interxion tätig ist. "Essenziell ist zudem, nicht die technisch perfekte Detaillösung anzustreben, sondern auf eine optimale Abstimmung der einzelnen Elemente zu achten."
Anhaltspunkte, welche Anforderungen bei der physikalischen Sicherheit zu berücksichtigen sind, liefern beispielsweise das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), der BSI-Standard 100-2 oder die ISO-Norm 27001:2005. Bei Bedarf kann sich ein RZ-Betreiber beispielsweise vom TÜV gemäß ISO 27001 zertifizieren lassen, um den eigenen Qualitätsstandard zu dokumentieren.
Gefahren erkennen
Schon der Standort macht ein Rechenzentrum sicher oder unsicher. So kann ein nahe gelegener Bach bereits ein Überschwemmungsrisiko bedeuten. Dasselbe gilt für nahe Industrieanlagen, etwa der chemischen Industrie.
Ist der geeignete Standort identifiziert, ist es notwendig, sich dem Thema Zutrittsschutz zu widmen. Sofern sich das Rechenzentrum nicht ohnehin auf einem geschützten Werksgelände befindet, muss unbefugter Zutritt zum Gelände eigens verhindert werden. Dazu können kameraüberwachte Zäune ebenso dienen wie Sicherheitspersonal, das in regelmäßigen Abständen Kontrollgänge absolviert. Auch einbruchssichere Türen und Fenster sowie weitere Überwachungs- und Alarmeinrichtungen können sich als sinnvoll erweisen.
Ohne Zutrittskontrolle keine Sicherheit
In einem nächsten Schritt gilt es, zu überlegen, wer Zutritt zum Gebäude erhalten soll - und den Zugang entsprechend abzusichern. So empfiehlt es sich, einen Empfangsbereich einzurichten, der etwa durch Vereinzelungsschleusen von den technischen Bereichen abgetrennt ist. Namen und Anwesenheitszeiten von Besuchern sollten vom Sicherheitspersonal dokumentiert werden. Zudem ist der Zutritt zu den Technikräumen sowie zu den einzelnen Schränken über geeignete Zutrittssysteme nochmals separat abzusichern. Dies gilt insbesondere, wenn RZ-Dienstleistungen über einen Provider in Anspruch genommen werden. Häufig bieten diese separat abschließbare, kundenindividuelle Cages an, die ausschließlich für das Equipment eines Kunden reserviert sind.
Bewegungsmelder sowie zusätzliche Kamerasysteme unterstützen das Sicherheitspersonal dabei, Missbrauch, Manipulationen oder Diebstahl vorzubeugen. Für Interxion-Berater Heinemann stellt die Zutrittsregulierung sogar den wichtigsten Aspekt der physikalischen Sicherheit dar: "Als Rechenzentrumsbetreiber ist es für uns essentiell, die volle Kontrolle darüber zu behalten, welche Personen unsere Anlagen betreten und wieder verlassen. Dies gilt speziell für Betriebsfremde."
Gefahren drohen jedoch nicht nur von außen, sondern lauern auch im Inneren des Rechenzentrums. Ein wichtiges Thema ist hier der Brandschutz. In jedem Fall sinnvoll ist eine Unterteilung des RZ in verschiedene Brandschutzabschnitte, wobei durch bauliche Maßnahmen vermieden wird, dass ein Brand von einem Bereich auf einen anderen übergreift. Durch Cluster-Systeme und andere Redundanzen kann so der IT-Betrieb selbst dann aufrechterhalten werden, wenn ein Raum brennt. Auch Sicherheitszonen im Sinne einer Haus-im-Haus- oder Raum-in-Raum-Lösung, die von der Industrie angeboten werden, können sich dabei als sinnvoll erweisen. Systeme, die sich in solchen Schutzräumen befinden, sind über mehrere Stunden sicher vor Bränden, die sich außerhalb der Sicherheitszelle ereignen. Um einen Brand rechtzeitig erkennen zu können, ist zudem die Installation von Sensoren und Detektoren sinnvoll, die auf Rauch- und Schwelgase sowie einen ungewöhnlichen Temperaturanstieg reagieren.
Kühlung schützt vor Feuer
Überhitzung kann zu Systemausfällen oder gar Bränden führen. Deshalb ist die ausreichende Kühlung der empfindlichen Gerätschaften Pflicht. Dabei ist zu überlegen, ob eine Kühlung über den Doppelboden ausreicht oder die spezielle Kühlung jedes einzelnen Schrankes über ein High-Density-Klimagerät ratsam ist. Besonders Blade-Systeme neigen zur Bildung von "Hotspots" im Server-Schrank.
Gefahren birgt zudem die Stromversorgung. Abhilfe schaffen können hier eine gut geplante Elektromagnetische Verträglichkeit (EMV) sowie unterbrechungsfreie Stromversorgungen (USV) oder Notstromaggregate. Als USV empfehlen sich Geräte mit hohem Wirkungsgrad, die mit den Anforderungen im Rechenzentrum wachsen können. Wichtig sind zudem intelligente Ladekonzepte und Überwachungsmechanismen für die in der USV eingesetzten Batterien. Nur so lässt sich sicherstellen, dass diese im Bedarfsfall die benötigte Leistung bringen und über eine lange Lebensdauer verfügen.
Die Kunst der Organisation
Sämtliche technischen Maßnahmen müssen eingebettet sein in ein organisatorisches Rahmenwerk. Dazu ist eine Festlegung von Prozessen und Abläufen erforderlich, die sich etwa an der IT Infrastructure Library (Itil) orientieren kann. Wichtig ist die Entwicklung eines Notfallplans, um den operativen IT-Betrieb auch in einer Notsituation aufrechterhalten zu können. Je nach Art und Tätigkeit eines Unternehmens kann es dabei sogar erforderlich sein, den Betrieb teilweise oder vollständig auf ein Ausweichrechenzentrum umzuschalten.
Outsourcing als Alternative
Allein die dargestellten Grundabsicherungen im Bereich des Zutritts- und Brandschutzes, der Klimatisierung und der Stormversorgung können mit beträchtlichen Kosten verbunden sein. Hier ist zu klären, ob das Outsourcing an einen RZ-Dienstleister gegebenenfalls günstiger ist, da dann die Kosten auf mehrere Parteien umgelegt werden. Der IT-Verantwortliche sollte hierbei jedoch kritisch prüfen, ob der Dienstleister die in der Planungsphase ermittelten Anforderungen auch tatsächlich erfüllen kann, und dies bei der Vertragsgestaltung und den Service-Level-Agreements (SLAs) berücksichtigen. (kf)
NIFIS WarnhinweiseNews
- NIFIS gibt Positionspapier zur Erarbeitung einer prototypischen eIDAS 2.0- konformen Infrastruktur...
- Sichere Verschlüsselung (Ende-zu-Ende) in Gefahr, Office 365 sicher einsetzen
- NIFIS wendet sich in offenem Brief an Dorothee Bär gegen das Ende der privaten Datenverschlüsselung...
- Virtuelle Verhandlungen vor Gericht
- Cyber Security Fairevent in Dortmund 4./5.3.2020
NIFIS jetzt auch bei Twitter
Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
Dienst des Monats
