Sicherheit im Rechenzentrum – Data Center Security

Sicherheit Rechenzentrum

Die Sicherheit im Rechenzentrum spielt in vieler Hinsicht eine zentrale Rolle. Auch wenn heute wahrscheinlich niemand in ein Rechenzentrum einbricht, um Daten zu stehlen, ist dieses dennoch vor unerwünschtem Zutritt zu schützen. Zu groß ist das Risiko der Auswirkungen von Vandalismus, Sabotage oder sonstigen kriminellen Absichten auf den zentralen IT-Betrieb.

Aus Gründen der Wirtschaftlichkeit und Praktikabilität ist das Ziel hierbei stets:
Nicht so sicher wie möglich, sondern so sicher wie nötig.

Wie bei anderen Sicherheitsmaßnahmen auch, sind drei elementare Aspekte aufeinander abzustimmen:

Gebäude (physischer bzw. mechanischer Schutz)

Abhängig von der baulichen Gegebenheit wird ein physisches Schutzzonenkonzept erarbeitet. Idealerweise sollte ein „Zwiebelprinzip“ umgesetzt werden, in deren Mitte sich der sensibelste Bereich, also das Rechenzentrum, befindet.

1. Gelände- 2. Gebäude / Büros -3. IT-Infrastruktur / Technikräume- 4. Rechenzentrum

In Bestandsgebäuden ist die Umsetzung dieses Prinzips allerdings nur selten oder mit unverhältnismäßigem Aufwand möglich. Gerade bei Rechenzentren und Serverräumen im Mittelstand sind an dieser Stelle daher oft Kompromisse einzugehen, welche durch mechanische Maßnahmen auszugleichen sind. Hierzu gehören u. a. die Vergitterung oder das Zumauern von Fenstern, Sicherheitsverglasung, einbruchhemmende Türen etc. Neben dem Schutz des Serverraums an sich sind die Versorgungswege, wie Elektrozuleitungen und Kälteverrohrungen, sowie die außen befindlichen Anlagen (z. B. Trafostation und Rückkühler) in die Betrachtung einzubeziehen.

Technik (Anlagen zur Vermeidung, Detektion und Alarmierung)

Abhängig von der Risikobewertung, den Sicherheitsanforderungen und der baulichen Gegebenheit ist die Sicherheitstechnik zu planen. Dabei ist festzulegen, in welchen Bereichen oder Zonen der unerwünschte Zutritt verhindert und detektiert werden soll. Zudem sind die Fragen der Zugangsregelung zu beantworten, das heißt, wann wer wo hinein darf. Hierauf ist die geeignete Technik zur Identifikation und ggf. zur Protokollierung festzulegen. Zur diesbezüglichen Sicherheitstechnik gehört das Zugangskontrollsystem, die Einbruchmeldeanlage und sinnvollerweise die Videoüberwachung.

Organisation und Prozesse (strukturiertes Handeln)

Auch in diesem Kontext gilt der Grundsatz: Die beste Technik ist nur so gut wie die Organisation und die Prozesse, die dahinterstehen. Im Bereich des Zugangs- und Einbruchschutzes für Rechenzentren ist zu klären, in welcher Form auf bestimmte Alarme der Sicherheitstechnik reagiert wird, wer eine Zugangsberechtigung für schutzbedürftige Bereiche erhält und wie der Prozess für die Vergabe von Zutrittsrechten organisiert ist. Ferner sind diese Prozesse entsprechend zu dokumentieren.

Die PRIOR1 hat in vielen Projekten und betrachteten Rechenzentren und Serverräumen die Erfahrung gemacht, dass vor allem diese organisatorischen Aspekte (Sicherheitskonzept) unverständlicherweise häufig von RZ-Betreibern vernachlässigt werden.