Möglichst uneinnehmbar: Rechenzentren Zehn Regeln für die physische Sicherheit von Datacenter

Autor / Redakteur: lic.rer.publ. Ariane Rüdiger / Ulrike Ostler

Rechenzentren gehören in Zukunft weit öfter als bisher zur kritischen Infrastruktur. Gleichzeitig wachsen die Bedrohungen. Kentix, ein Spezialist für physische IT-Sicherheit hat zehn Grundregeln definiert, die das Rechenzentrum zur sicheren Burg machen.

Firmen zum Thema

Physische Sicherheit ist eine unverzichtbare Voraussetzung für die Sicherheit der Informationstechnik.
Physische Sicherheit ist eine unverzichtbare Voraussetzung für die Sicherheit der Informationstechnik.
(Bild: Kentix)

„Die physische IT-Sicherheit ist eine zwingende Komponente des IT-Sicherheits-Management-Systems“, sagt Jan Sanders, Chief Sales Officer von Kentix. Sein Unternehmen hat sich auf Produkte spezialisiert, die die physische IT-Sicherheit sicherstellen.

Im Zuge verschärfter IT-Sicherheitsregeln und gleichzeitig zunehmender Angriffe wird es immer dringlicher, auf allen Ebenen ständig für die kontinuierliche Sicherheit der Informationstechnik zu sorgen. Beispielhaft dafür stehen die Regeln des IT-Sicherheitsgesetzes (ITSiG) 2.0. Sie dehnen den Kreis der Unternehmen und Organisationen, die sich als Betreiber kritischer Infrastrukturen an verschärfte Regeln halten müssen, erheblich aus.

IT-SIG gilt jetzt auch für Entsorger, Rüstung, viele DAX-Unternehmen und Datacenter

„Neben den Entsorgern sind jetzt auch Unternehmen im besonderen wirtschaftlichen Interesse verpflichtet, die KRITIS-Regeln einzuhalten“, sagt Sanders. Dazu gehören nun auch beispielsweise Energie-Erzeuger ab 36 Megawatt Erzeugungsleistung – hier lag die Grenze früher bei 420 MW.

Rechenzentren sind jetzt ab 3,5 MW Leistung dabei (bisher 5 MW). Weitere Betroffene: Rüstungsindustrie, viele DAX-Unternehmen, Automobilhersteller und deren Zulieferer. Zudem wurden die Bußgelder auf die bei der DSGVO üblichen Dimensionen angehoben.

Für die Sicherheit spielt die physische Ebene eine große Rolle: Immerhin die Hälfte der Ausfälle haben eine physische Ursache. Weitere wichtige Schadensquellen sind begrenzte personelle und finanzielle IT-Ressourcen, mangelhafte Umsetzung eines ISMS, steigende Komplexität und damit einhergehender steigender Wartungsaufwand.

Digitale Infrastrukturen sind anfällig für Hacker-Attacken

Viele sensible Infrastrukturen wie das Energie- oder das Verkehrssystem werden in den kommenden Jahren mittels IoT und 5G weitgehend durchdigitalisiert – wodurch natürlich die Anfälligkeit gegenüber digitalen und physischen Angriffen steigt. „Doch zu proprietären, abgeschotteten Technologien und Netzen führt kein Weg mehr zurück – schon allein, weil die Manpower fehlt, sie weiterzuentwickeln und zu pflegen“, ist Sanders überzeugt.

Was bleibt: Wirksame Sicherheitsstrategien entwickeln und vor allem befolgen. Dafür hat Kentix zehn wichtige Punkte definiert, die sich an entsprechenden Regeln im IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik) orientieren.

Grundvoraussetzung: Stabile physische Bedingungen

Erstens müssen einheitliche physische Bedingungen hergestellt werden. Das betrifft Temperatur, Luftfeuchtigkeit, Staubgehalt der Luft, Schmutz und die rasche Detektion von Leckagen. Für IT-Räume und Schränke sind vor allem Temperatur und Luftfeuchtigkeit relevant.

Zweitens ist für eine sichere und überprüfbare Zutrittskontrolle zu sorgen, und zwar von der Zufahrt zum Grundstück bis hin zum einzelnen Rack. Insbesondere für die Zugriffskontrolle am Rack haben einige Brachen, neben den allgemeinen Grundschutz-Regeln, weitergehende Regelwerke definiert: TISAX (Trusted Information Security Assessment Exchange) gilt für die Automobilindustrie, VAIT (Versicherungsaufsichtliche Anforderungen an die IT) für Versicherungen und BAIT (Bankenaufsichtliche Anforderungen an die IT) für Banken und Sparkassen.

Die IT-Sicherheitsspezialisten müssen sich mit wachsenden Herausforderungen und Gefahren herumschlagen.
Die IT-Sicherheitsspezialisten müssen sich mit wachsenden Herausforderungen und Gefahren herumschlagen.
(Bild: Kentix)

Drittens muss der Zustand der physischen Umgebung kontinuierlich überwacht werden. Dazu gehört es, Türen auf allen Ebenen zu schließen und zu sichern sowie zu überprüfen, ob die Sicherung beständig ist. Das gilt auch für Türen oder Seitenwände von IT-Racks. Letztere dürfen keinesfalls grundlos offenstehen. Weitere Themen in diesem Sektor sind Videoüberwachung sowie Einbruch- und Sabotageschutz von der Eingangstür bis ins Rack.

Brände schon erkennen, bevor es raucht

Viertens müssen Rechenzentren gegen Systemdefekte gesichert werden. Hierzu gehören Branderkennungs- und Brandlöschsysteme sowie Systeme, die die IT und die Belegschaft vor Rauchgas schützen.

Schon im Vorfeld konventioneller Branderkennung, die meist auf Rauchdetektion basiert, arbeiten Systeme zur frühesten Branderkennung. Hier ist der eigentliche Brand noch nicht entstanden.

Entsprechende Technik registriert beispielsweise mittels Wärmebildsensor ungewöhnliche Oberflächenerhitzungen, zum Beispiel an stromführenden Komponenten, etwa der USV, die Entwicklung von CO-Gasen oder volatilen organischen Kohlenstoffverbindungen. Sie sind charakteristisch für die früheste Phase einer Brandentstehung.

Ein brennendes Rechenzentrum ist der Alptraum jedes IT-Sicherheitsverantwortlichen.
Ein brennendes Rechenzentrum ist der Alptraum jedes IT-Sicherheitsverantwortlichen.
(Bild: Kentix)

Fünftens muss auch die Energieversorgung laufend überwacht werden, und zwar im Rack genau wie in den vorgeschalteten Ebenen. Hier geht es um die möglichst synchrone Phasenverteilung, die Vermeidung von Überlasten, aber auch um die effiziente Energienutzung.

Ein weiteres wichtiges Thema sind laufende Ableitstrommessungen. Sie verhindern, dass das Versagen von Isolierungen zu Stromschlägen am Rack führen. Solche Schutzmaßnahmen schreiben die Berufsgenossenschaften mit der BGUV V3 vor.

Ohne Automatisierung geht es nicht

Sechster Punkt ist die automatisierte Anlagenüberwachung, die sich auf Brandmelde- und andere sicherheitsrelevante Anlagen sowie die IT-Infrastruktur bezieht, um abnorme Bedingungen jederzeit im Blick zu behalten und entsprechend zu alarmieren.

Siebtens müssen Betrieb und ungewöhnliche Ereignisse lückenlos dokumentiert werden – schon allein, um Haftungsrisiken des Betreibers oder Dienstleisters zu verringern. Empfehlenswert ist, die Einhaltung der Sorgfaltspflichten jederzeit nachzuweisen zu können. Nur so lassen sich Bußgelder vermeiden, die sehr hoch ausfallen können. Außerdem lassen sich die Ereignisse mit einer umfassenden Dokumentation leichter nachvollziehen und Fehlerquellen analysieren.

Integration erleichtert die Wartung

Achtens sollte die Sicherheitstechnik einfach integrierbar, leicht zu bedienen und zu warten sein. Dafür ist nützlich, wenn möglichst viele Anforderungen in ein System integriert werden können. Die Bedienelemente sollten schnell erlernbar und so übersichtlich sein, sodass wenig Aufwand für den Anwender besteht. Ein solches System wird zudem den Wartungsaufwand auf das Unvermeidliche reduzieren.

Neuntens sollten Systeme nach oben und unten skalierbar, offen und aktualisierbar sein, damit sie wirklich „vom Edge bis zur Cloud“ einsetzbar sind. Damit Produkte von Drittherstellern in eine Sicherheitsumgebung integriert werden können, sind offene Schnittstellen wie SNMP, ReST-API, Web-Hooks oder LDAP erforderlich – das ist heute keineswegs selbstverständlich.

Kosten sollen sich in Grenzen halten

Zehntens schließlich sollten sich die Kosten in Grenzen halten. Das erreicht man durch eine Systemauswahl, die die Zahl der verwendeten Einzelsysteme, besonders solcher, die nicht integrationsfähig sind, begrenzt. Denn damit sinken auch Wartungs-, Support-, Schulungs- und Personalaufwand. Zudem sind so weniger Softwarelizenzen notwendig.

Mögliche Lizenzkosten müssen im Vorfeld klar abgeklärt sein. Denn sie können über die Lebensdauer der Hardware ein Vielfaches der ursprünglichen Investitionskosten verschlingen.

Stiefkinder Monitoring und Zugangsdokumentation

Derzeit ist der Idealzustand, bei dem alle Regeln berücksichtigt werden, laut Sanders in den meisten Unternehmen noch nicht erreicht. „Sehr häufig fehlen das ständige Monitoring und die Brandfrühsterkennung. Beim Zugangsschutz wird oft die Dokumentation vergessen und dann lässt sich nicht nachvollziehen, wer wann auf die Ressourcen zugegriffen hat.“ Neue Herausforderungen erwartet Sanders durch die Edge-Technologien – besonders beim Power-Management und bei der Absicherung der Infrastruktur.

„Bei wachsenden physischen und gesetzlichen Anforderungen, steigenden Gefahren und gleichzeitig tendenziell stagnierenden Ressourcen müssen Systeme zum Einsatz kommen, die vollumfänglichen Schutz vor physischen Gefahren sicherstellen. Man sollte nur wenige Systeme mit offenen Schnittstellen und einer zukunftsorientierten Systemtopologie einsetzen. Das sind die entscheidenden Komponenten, um den aktuellen Risikotrends effizient entgegenzutreten“, lautet das Fazit von Sanders.

Ergänzendes zum Thema
Kentix-Expertenwoche

Ins Detail geht es auf der Expertenwoche "Physische IT-Sicherheit" vom 18. bis 21. Mai 2021, die Kentix gemeinsam Partner und fachübergreifenden Experten veranstaltet.

(ID:47400276)

Über den Autor

lic.rer.publ. Ariane Rüdiger

lic.rer.publ. Ariane Rüdiger

Freie Journalistin, Redaktionsbüro Rüdiger