Verloren im Labyrinth der IT-Begriffe? Hier finden Sie Definitionen und Basiswissen zu Rechenzentrums-IT und -Infrastruktur.

Keine Chance für Manipulationen Was ist Serversicherheit?

Autor / Redakteur: lic.rer.publ. Ariane Rüdiger / Ulrike Ostler

Jeder Rechner sollte sicher sein, Server erst recht. Denn sie sind der Zugang zu wichtigen Unternehmensressourcen. Doch wie macht man das? Es geht um Serversicherheit, in Englisch: Server Security.

Firma zum Thema

Server Security reicht von der Standortwahl bis hin zu internen Hardwaremechanismen.
Server Security reicht von der Standortwahl bis hin zu internen Hardwaremechanismen.
(Bild: © djama - stock.adob.com)

Server Security umfasst alle Tools und Prozesse, die dabei helfen, den Server und die auf ihm lagernden oder über ihn erreichbaren Ressourcen zu schützen. Das betrifft unautorisierte Zugriffe, unerwünschte Manipulationen oder das Eindringen von Malware jeder Art, etwa von Ransomware.

Für Serversicherheit braucht man erstens geeignete Hard- und Software. Zweitens sind darüber hinausgehende Maßnahmen nötig, die das gesamte Gerät und seine Umgebung betreffen.

Standortwahl

Daher fängt Server Security mit einem sicheren physischen Standort des Servers in einem gesicherten Serverraum beziehungsweise Rechenzentrum an. Er sollte gegen Vorfälle wie Brand oder Wasserschaden schützen.

Zugriff auf Server sollten nur diejenigen Administratoren haben, die tatsächlich für das Server-Management zuständig sind oder für die Serverinfrastruktur sorgen. Dazu gehören auch schon am Zugang zum Serverraum Mechanismen wie Authentisierung und Personenschleusen.

Gegenbenenfalls Sicherheitsüberprüfung

Die Server von sicherheitsrelevanten Unternehmen müssen besonders sorgfältig geschützt werden. Häufig muss sich daher das Personal, das Serverzugriff hat, einer Sicherheitsüberprüfung unterziehen.

Steht ein Server bei einem Betreiber, gehört auch die Überprüfung von dessen Vertrauenswürdigkeit und Zuverlässigkeit zur Server Security – am besten nachgewiesen durch regelmäßig erneuerte einschlägige Zertifikate.

Software-Tools und digitaler Zugriffsschutz

Die nächste Ebene besteht aus Software-Tools, die Server gegen digitale Zugriffe von außen absichern. Dazu gehören Applikationen wie Firewalls, spezielle Virenscanner, Authentisierungs- und Rechte-Management- oder SIEM-Lösungen. Werden Daten auf dem Server oder im Zugriffsbereich des Servers verschlüsselt aufbewahrt, sind auch die Verschlüsselungslösungen im weiteren Sinne ein Teil der Server Security.

Dies gilt auch für die Datensicherung: Absolutes Minimum ist die regelmäßige Sicherung des Servers mit Backup-Programmen vor Ort oder aus der Cloud, die ausreichend leistungsfähig und schnell sind. Regelmäßige Restore-Tests sind dabei unverzichtbar.

Wichtig sind sichere, nicht kompromittierbare Zugriffspassworte und ein entsprechendes Passwort-Management für den Serverzugriff. Nach neuesten Erkenntnissen kommt es hier besonders auf die Länge an: Je länger, desto sicherer.

Zwei-Faktor-Authentisierung geht noch über den üblichen Passwortschutz hinaus. Sie sollte für den Serverzugriff grundsätzlich erwogen werden.

Hochverfügbarkeit und Redundanz

Um Ausfällen von Servern vorzubeugen, gehören Redundanz und Hochverfügbarkeitslösungen zur sicheren Serverimplementierung gerade in geschäftskritischen Bereichen. So sind Komponenten wie Stromversorgung, Lüfter oder Festplatten in Servern meist redundant und bei laufendem Betrieb austauschbar (hot-swappable).

Für Hochverfügbarkeit werden sämtliche oder ein Teil der Serverressourcen andernorts parallel vorgehalten (Aktiv-Passiv) oder laufen mit (Aktiv-Aktiv).

Redundante Server in der Cloud

Standort der redundanten Serverinfrastruktur kann ein getrennter Brandabschnitt im selben Gebäude oder das Cloud-Rechenzentrum eines Hyperscalers in einem anderen Land oder auf einem anderen Kontinent sein. Viele Unternehmen betreiben einen oder mehrere Rechenzentrums-/Server-Ausfallstandorte, um ihre Infrastruktur vor ungeplanten Nichtverfügbarkeiten zu schützen.

Letztlich gehören auch die redundante Anbindung von Servern an Netzwerkressourcen und die Energieversorgung zur Server Security. Denn fällt ein Netzwerk oder die Energiezufuhr aus, ist der Server für die Anwender genauso nicht vorhanden, als wäre er abgestürzt.

Interner Manipulationsschutz

Gegen unerlaubte Zugriffe und raffinierte Manipulationen beispielsweise an der Firmware schützen heute bei entsprechend ausgerüsteten Servern interne Hard- und Softwaremechanismen in der Tiefe der Systeme.

Typische Funktionen eines Trusted Platform Module.
Typische Funktionen eines Trusted Platform Module.
(Bild: Eusebius (Guillaume Piolle)/Wikipedia)

Das fängt mich Softwaremechanismen für ein sicheres Booten der Systeme an, die sämtliche Software vor dem Booten überprüfen. Mechanismen wie UEFI Secure Boot (Unified Extended Firmware Interface) lassen sich aber umgehen.

TPM und ähnliche Mechanismen

Hardwarebasiert arbeiten Trusted Platform Modules nach TCG-Standard (Trusted Computing Group). Sie bestehen aus einer nachrüstbaren Platine mit eigenem Prozessor, auf der Sicherheitsfunktionen realisiert werden, die schon beim Booten greifen. Definitionsgemäß wird ein System so zur Trusted Computing Platform.

Nachrüst-TPM von Asus.
Nachrüst-TPM von Asus.
(Bild: Asus)

Ein TPM, das noch frühzeitiger eingreift, hat Intel mit TXT (Trusted Extension Technology) realisiert. Auch hier wird aber zwar der Boot-Block des BIOS gesichert, nicht aber die Firmware der Serverplatine.

Lückenlose Vertrauenskette

Am sichersten sind sogenannte Roots of Trust. Solche Mechanismen weisen beispielsweise „AMD Epyc“-Prozessoren oder Server der Serie „HPE Proliant Gen10“ auf.

Hier kennt die Spezial-Hardware einen Hash-Wert, der aus Teilen oder der gesamten Firmware des Systems gebildet werden. Beim Einschalten wird zuerst ein aktueller Hash-Wert aus den in die Vertrauenskette eingebundenen Softwareteilen gebildet. Stimmt er mit dem gespeicherten überein, fährt das System hoch, sonst nicht.

Trotz aller dieser Mechanismen ist es wahrscheinlich, dass es Böswilligen immer wieder gelingt, in Serverinfrastrukturen einzudringen. Voraussichtlich bleibt Server Security ein ewiges Wettrennen zwischen Hase und Igel.

(ID:47084726)

Über den Autor

lic.rer.publ. Ariane Rüdiger

lic.rer.publ. Ariane Rüdiger

Freie Journalistin, Redaktionsbüro Rüdiger