Security und Zutrittskontrolle im Rechenzentrum

Serverräume und Data Center wirkungsvoll absichern

ist Director of Operations bei Equinix Deutschland.
Ein Rechenzentrum mit Servern, Storage und Netzwerk bildet oft das Herzstück eines Unternehmens. Um Angreifer abzuwehren, muss der IT-Verantwortliche vielfältige Sicherheitsmaßnahmen implementieren. Wir geben Tipps gegen Spionage, Sabotage oder Diebstahl.
Stopp: Unbefugter Zutritt verboten – der Eingang zum Rechenzentrum bedarf eines besonderen Schutzes.
Stopp: Unbefugter Zutritt verboten – der Eingang zum Rechenzentrum bedarf eines besonderen Schutzes.
Foto: Equinix

Im Data Center ist die Absicherung von Prozessen und IT-Systemen eine unerlässliche Aufgabe. Betreiber von Rechenzentren (RZ) müssen den funktionalen Rahmen für ein sicheres Rechenzentrum schaffen. Dabei bedarf schon der Eingang zum Rechenzentrum besonderer Schutzmaßnahmen.

Klare Regeln für den Zutritt

Für den Zutritt zu Rechenzentren sind strukturierte Abläufe aus Sicherheitsaspekten unerlässlich. Dabei sollte die Zugangskontrolle über mehrere, parallel eingesetzte Verfahren geregelt werden. Hierfür bieten sich die Kriterien Besitz (zum Beispiel ID-Karte), Wissen (zum Beispiel PIN-Code) und Eigenschaften (zum Beispiel Handflächen- oder Iris-Scan) an. Alle Identifikationsvorgänge - erfolgreiche wie nicht erfolgreiche – sind zu protokollieren, die Protokolle aufzubewahren.

Wichtig ist zudem, neben dem Zugang auch das Verlassen des Data Centers zu erfassen, um temporäre Zugangsberechtigungen widerrufen und bei einer nicht regelkonformen Abmeldung den erneuten späteren Zutritt verweigern zu können. Organisatorische Regelungen und Verfahrensdokumentationen belegen definierte Verantwortlichkeiten des Zutritts zum RZ, die Vergabe von Berechtigungen, die Kontrolle und Überwachung sowie die unabhängige Auditierung der Verfahren, zum Beispiel gemäß den Standards ISO 27001, ISAE 3402 und SSAE 16.

Einrichten von Sicherheitszonen

Um Sicherheitsmaßnahmen für das Data Center zielgerichtet umzusetzen, zählt das Schaffen von Sicherheitszonen zu den organisatorischen Aufgaben eines RZ-Betreibers. So lassen sich sensible von weniger sensiblen Gebieten trennen, um in sich homogene Security-Konzepte für die einzelnen Bereiche zu realisieren. Solch eine Strukturierung fasst beispielsweise zusammen:

  • Grundstück: Gebäude- und Umgebungsflächen

  • Büroflächen: halböffentlicher Bereich

  • IT-Nebenräume: Operating

  • Technische Betriebsräume: Anlagen für den IT-Betrieb wie Strom und Kühlung

  • IT-/Netz-Infrastruktur: Kern des Rechenzentrums

Kontrolle innerhalb des Rechenzentrums

Alle im Blick: Videoüberwachung gehört in sensiblen Rechenzentren zur Standardausstattung.
Alle im Blick: Videoüberwachung gehört in sensiblen Rechenzentren zur Standardausstattung.
Foto: Equinix

Basierend auf den unterschiedlichen sicherheitsrelevanten Anforderungen, die den einzelnen Sicherheitszonen zugrunde liegen, sollten RZ-Verantwortliche Maßnahmen für die Kontrolle von Personen innerhalb des Data Center organisieren. Hierzu zählen unter anderem eine möglichst flächendeckende Videoüberwachung – Videoprotokolle sind zu archivieren – sowie Zugangskontrollen für einzelne Zonen über Schleusen. Der Zutrittsschutz für besonders zu schützende IT-Bereiche kann durch eine doppelte Absicherung mit unterschiedlichen Zutrittsverfahren ausgebaut werden. Wünschenswert ist, dass Kunden in herstellerneutralen Rechenzentren Einfluss auf die Sicherungsmaßnahmen innerhalb des Rechenzentrums nehmen können, soweit sie ihren eigenen Bereich betreffen. So lässt sich gewährleisten, dass firmeninterne Security-Vorgaben eingehalten werden.

Wartung und Kontrolle des Security-Equipments

Ein häufig vernachlässigter Aspekt bezüglich der für die aktive und passive Sicherheit verwendeten Systeme ist die regelmäßige Wartung. Während Fehler und Ausfälle häufig eingesetzter Bestandteile wie Zugangslösungen oder Videoüberwachung schnell augenscheinlich sind, geraten etwa Brandwarn- oder -Löschsysteme schnell in Vergessenheit.

Entsprechend sind eindeutig definierte Wartungspläne, die alle Bestandteile einer Sicherheitsinfrastruktur erfassen, unerlässlich. Wartungsintervalle sollten dort regelmäßig vorgesehen sein und entsprechende Arbeiten sowie erledigte Veränderungen oder Reparaturen dokumentiert werden.

Schulung des RZ-Personals

Neben der technischen Security-Ausrüstung spielt das Personal eines Rechenzentrums eine wichtige Rolle beim Umsetzen von Sicherheitskonzepten. Innerhalb der Belegschaft müssen Zuständigkeiten und Verantwortlichkeiten klar definiert und - ebenso wie Alarmierungs- und Notfallpläne - nach außen transparent dargestellt sein.

RZ-Betreiber müssen dafür Sorge tragen, dass ihre Mitarbeiter durch Einarbeitung, Einweisung und Zertifizierung nachweisbar qualifiziert werden. Diese Qualifikation ist durch regelmäßige Überprüfungen zu kontrollieren sowie durch Schulungen zu vertiefen und zu aktualisieren. Hierfür bieten sich folgende Themenbereiche an:

  • Bewertung von Vorfällen

  • Abläufe beim Eintreten von Eskalations- und Alarmierungsplänen

  • Schadensmindernde und deeskalierende Vorgehensweisen

  • Umsetzen von Notfallplänen und -prozessen

  • Kommunikationswege bei Ereignissen

  • Auswertungen von eingetretenen Vorfällen zur Optimierung der Vorgehensweisen