Zugriffsschutz an der Serverschranktür Faktoren, die die Rack-Absicherung entscheiden
Anbieter zum Thema
Die Berücksichtigung physischer Gefahren für Rechenzentren ist – neben der Cybersecurity – essentiell zur Absicherung kritischer Infrastrukturen. Das zieht sich durch bis auf die Rack-Ebene.

Um die Risiken physischer Schäden möglichst gering zu halten, ist vorgeschrieben, dass IT-Racks als Teil kritischer IT-Infrastrukturen ausreichend gesichert sind. Das gilt sowohl seitens des IT-Grundschutzkompendiums des Bundesamtes für Sicherheit in der Informationstechnik (BSI) , als auch durch die Norm für Sicherungssysteme in Einrichtungen und Infrastrukturen von Rechenzentren (DIN EN 50600-2-5) sowie seitens der Datenschutzgrundverordnung.
Das IT-Grundschutzkompendium des BSI weist im Baustein INF.2 darauf hin, dass sich die Gefahrenlage erhöht, wenn Zutrittskontrollen fehlen oder unzureichend sind und somit Zutritte unberechtigter Personen erfolgen können. Aus der DIN EN 50600-2-5 geht zusätzlich hervor, dass mechanische Zugangskontrollen und Überwachung unnötige oder unerwünschte Zugänge zu Server-Schränken verhindern sollen.
Die Datenschutzgrundverordnung hingegen fordert die physische Sicherheit von Systemen, da in IT-Racks sensible personenbezogene Daten sowohl verarbeitet als auch gespeichert werden. Somit sind Unternehmen dazu verpflichtet ihre Daten vor Manipulation, unbefugtem Zugriff und vor höherer Gewalt zu schützen. Mit der Einhaltung dieser Anforderungen gewährleisten Unternehmen gleichermaßen die Aufrechterhaltung des Betriebes sowie die Funktionsweise gesellschafts- und geschäftskritischer Abläufe. Doch welche Faktoren sind konkret bei der Rack-Absicherung zu beachten?
Drei Möglichkeiten der Zugriffsauthentifizierung
Zuerst sollte das Rack-Schloss selbst im Wesentlichen über drei Authentifizierungsmechanismen verfügen.
- Die gängigste Methode ist gegenwärtig die Authentifikation mittels RFID Transponder. Aktuell wird hier häufig der „Mifare Desfire Standard EV2/3“ genutzt. Der Vorteil? Dadurch ist oft nur ein Transpondertyp notwendig, um mehrere Türen bedienen zu können.
- Als zweiter Mechanismus kann ein 4-stelliger PIN-Code dienen, welcher häufig auch zur Zwei-Faktor-Authentifizierung mit dem RFID Transponder kombiniert wird.
- Als dritte Möglichkeit bietet sich die Authentifikation über die Systemmanagement-Software, eine Smartwatch, eine Mobile-App oder über einen persönlichen Digital-Token an. Mit dieser Authentifizierungsmöglichkeit können Personen, die bereits vorab verifiziert wurden, dokumentierte Remote-Öffnungen ausführen.
Echtzeitprotokollierung der Zugriffe
Um den genannten regulatorischen Anforderungen gerecht zu werden, ist die Echtzeit-Protokollierung von berechtigten sowie unberechtigten Zugriffen enorm wichtig. Nur so können verantwortliche Personen bei zukünftigen Vorfällen die unmittelbare Nachvollziehbarkeit aller Zugriffe garantieren.
Sollte die Rack-Tür bei einem Zugriff nicht ordentlich verschlossen sein, ist es zwingend notwendig, dass auch dieser Vorfall unverzüglich und über redundante Wege gemeldet werden kann. Um dies zu gewährleisten, muss das System mit entsprechenden Sensoren im Rack-Schloss ausgestattet sein. Ebenfalls sollten Seitenwände, Türen und Deckel des Serverschrankes mit Hilfe von Sensoren überwacht werden können.
Einbettung in ein IoT-basiertes System
Bei der Beschaffung neuer IT- oder Technikschränke lohnt es sich definitiv zu überlegen, ob mit dem Rack-Zugriffskontrollsystem weitere Schutzziele erreicht werden sollen. Das elektronische Schrankschloss kann sowohl mit Systemen zum Umgebungs-Monitoring als auch zum Power-Management kombiniert werden.
Durch solch eine Kombination profitiert nicht nur die gesamte Systemstabilität, auch die Transparenz über potentielle Gefahren in den IT- und Server-Schränken verbessert sich merklich. Neben wichtigen Parametern der permanenten Ableitstrommessung zur Erfüllung der Anforderungen aus der DGUV V3 sowie des Stromverbrauchs zur effizienten Lastverteilung im Rack können Umgebungsbedingungen in Echtzeit gemessen werden. Dazu zählen unter anderem Temperatur, Luftfeuchtigkeit und Anzeichen für sich entwickelnde Schmorbrände.
Diese Messungen können über ein Online-Dashboard überwacht, gesteuert und dokumentiert werden. Ebenfalls ist an dieser Stelle anzumerken, dass die Anschaffung eines Komplettsystems häufig kostengünstiger als die Beschaffung adäquater Einzelkomponenten ist.
Eine frei skalierbare Systemarchitektur
Um ein Zugriffssystem ohne größere Probleme in ein übergeordnetes Sicherheitssystem integrieren zu können, muss es über eine frei skalierbare Systemarchitektur verfügen sowie frei von proprietären Standards sein. Zudem sollten die IT-Verantwortlichen darauf achten, dass sich das System möglichst einfach installieren und verkabeln lässt, wofür sich beispielsweise RJ45-Patch-Kabel eignen.
Zur Gewährleistung eines reibungslosen Betriebsablaufes gilt, dass es sich hinsichtlich der Hard- und Software um ein robustes System handeln sollte und notwendige Software-Updates, auch über Netzwerkgrenzen hinweg, mühelos und ohne größeren finanziellen Aufwand zentral installiert werden können. Auch an eine redundante Stromversorgung aller Rack-Zugriff-Systeme ist zu denken, damit bei Stromausfällen eine permanente Zugriffs-Dokumentation erfolgen kann. Sollte es tatsächlich zu einem Stromausfall kommen, ist eine nachvollziehbare Notfallöffnung der einzelnen Schrankschlösser von großem Nutzen.
Zentralisiertes und dauerhaftes Online-Management
Zur Minimierung des Aufwandes für IT-Verantwortliche empfiehlt sich ein permanentes Online-Management von zentralen und verteilten Infrastrukturen. Dafür können moderne IoT-Systeme in Main-Device-Satellite-Topologie eingesetzt werden, welche ortsunabhängig eine zentrale Verwaltung ermöglichen. Besonders vorteilhaft: Statt eines zusätzlichen Servers mit entsprechender Client-Software wird lediglich ein Internet-Zugang benötigt.
Des Weiteren sollte das System über offene Schnittstellen verfügen. So wird sichergestellt, dass Zugangsberechtigungen dynamisch mit weiteren Systemen synchronisiert werden können, zum Beispiel durch LDAP. Außerdem können IT-Verantwortliche mittels SNMP, per Push-Benachrichtigung oder E-Mail über einen unerwünschten Türstatus benachrichtigt werden – und das in Echtzeit.
(ID:47342957)