Physische Sicherheit im Serverraum

Lesezeit
2 Minuten
Bis jetzt gelesen

Physische Sicherheit im Serverraum

30.09.2015 - 00:00
Veröffentlicht in:
Eines der komplexesten Themengebiete im Bereich der IT-Sicherheit ist der physische Schutz. Gleichwohl ist dies eine der unterschätztesten Sicherheitsaufgaben. Sehr viele Unternehmen ergreifen konkrete technische Maßnahmen zur Absicherung vor Viren und sonstigem Schadcode oder dem Hacker- Angriff von außen. Vernachlässigt wird dabei immer wieder, das eigene Rechenzentrum gegen einschlägige Gefahren zu wappnen.
Die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben im Rahmen des Maßnahmenkataloges "Infrastruktur" 73 Empfehlungen für eine vollumfängliche physikalische IT-Sicherheit. In diesem Artikel behalndeln wir die wichtigsten Aspekte.

Angepasste Aufteilung der Stromkreise
Sobald hohe oder sehr hohe Anforderungen an die Verfügbarkeit der IT gestellt werden, ist eine Stromversorgungen der IT über zwei voneinander unabhängige elektrische Versorgungsstränge und der Einsatz von IT-Geräten mit zwei Netzteilen üblich und angemessen. Unabhängige Versorgungsstränge bedeuten in diesem Zusammenhang, dass die Einspeisung tatsächlich getrennt voneinander erfolgt (am besten über unterschiedliche Trassen).

Handfeuerlöscher
Die jeweils einzusetzenden Handfeuerlöscher sind durch einschlägige Normen (DIN EN 3) geregelt. In Serverräumen sollte nicht mit Wasser, sondern mit Kohlendioxyd gelöscht werden. Dabei ist drauf zu achten, dass die Dimensionierung für den Raum ausreichend ist und der Feuerlöscher zyklisch überprüft wird (auf Funktion und Haltbarkeit).

Verwendung von Sicherheitstüren und -fenstern
Entsprechende Komponenten schützen nicht nur vor Feuer oder Rauch, sondern auch vor Einbruch. Verschiedene Normen legen die jeweiligen Klassen fest (DIN EN 1627 für Fenster, Türen, Abschlüsse, Einbruchhemmung und DIN 18095-1 für Türen und Rauchschutztüren). Generell sollten Sie in einem Serverraum oder Rechenzentrum den Einsatz entsprechender Türen und Fenster nicht nur erwägen, sondern zwingend in der Realität umsetzen. Obwohl wir eigentlich davon ausgehen, dass dies eine Selbstverständlichkeit ist, sollten Sie zudem eine konkrete Regelung dazu finden, Fenster und Türen stets geschlossen zu halten. Diese Maßnahme richtet sich natürlich gegen unbefugten Zugriff, aber auch gegen Brandschutz (eine Sauerstoffreduktionsanlage wird bei geöffneten Türen oder Fenstern an Effektivität verlieren).

Gefahrenmeldeanlage
Eine Gefahrenmeldeanlage ist ein komplexes Gesamtsystem bestehend aus zahlreichen Komponenten. Eine solche Anlage sollte jede Form der Gefahr melden können (Wasser, Feuer, Rauch, Temperatur, Einbruch). Technisch existieren viele Lösungen dafür – auch quelloffene Software kann in Kombination mit entsprechenden Meldern genutzt werden (Nagios). Jedoch ist die Hauptherausforderung die entsprechende Meldung und Reaktion auf solche Vorfälle. Diesen Ablauf sollten Sie organisatorisch regeln und eventuell entsprechende Schichtpläne erstellen.

Einbruchschutz
Die Kombination verschiedener Maßnahmen stellt einen effektiven Schutz gegen Einbruch in das Unternehmen (und damit das Rechenzentrum) dar. Beispielsweise sind dies einbruchhemmende Türen und Fenster (mit entsprechenden Widerstandsklassen), Rollladensicherungen bei einstiegsgefährdeten Türen oder Fenstern, besondere Schließzylinder, Zusatzschlösser und Riegel, Sicherung von Kellerlichtschächten, Verschluss von nicht benutzten Nebeneingängen oder einbruchgesicherte Notausgänge. Auch den Einsatz eines Zugangskontrollsystems – vielleicht sogar auf Serverschrankebene – sollten Sie prüfen.

Vermeidung von wasserführenden Leitungen
Häufig werden Serverräume oder Rechenzentren nicht speziell geplant, sondern vorhandene Räume umfunktioniert. Jedoch sind solche Räume meist ungeeignet. Ein Hauptaugenmerk sollten Sie auf wasserführende Leitungen (Abwasser, Heizungen und vergleichbare) legen. Selbst das sogenannte “Blindschalten” oder abklemmen von Heizkörpern birgt große Gefahren, da Leitungen unter Umständen korrodieren, so zu einem Wassereinbruch führen und sensible IT-Technik gefährden. Sind wasserführende Leitungen nicht zu verhindern, sollten diese speziell abgesichert werden, etwas durch die erwähnte Gefahrenmeldeanlage oder der Implementierung einer Auffangwanne.

Klimatisierung
Nicht nur die ausreichende Dimensionierung (inklusive Puffer für künftige Anforderungen) einer Klimaanlage ist enorm wichtig, sondern auch die Redundanz im Falle eines Ausfalls und die Absicherung wasserführender Leitungen. Stellen Sie daher eine Überwachung der Temperatur und der Funktionsfähigkeit der Anlage ebenso sicher wie regelmäßige Wartungen (alle zwei Jahre).

Brandlastreduzierung

Viele Serverräume und Rechenzentren dienen als Zwischenlager für Kartons aller Art, etwa Verpackungsmaterial für neues Equipment. Nicht nur, dass diese sehr gut brennbar sind, sie entwickeln dabei auch viel Rauch. Beides ist sehr schlecht für eine laufende IT. Selbst eine abgehängte Decke oder die Wahl der falschen Wandfarbe stellen eine große Brandlast dar. Daher sollten Sie jederzeit darauf achten, dass entsprechende Brandlasten im Serverraum keinen Einzug finden.

Thomas Gronenwald/dr

Mehr zu diesem Thema erfahren Sie in der Oktober-Ausgabe des IT-Administrator mit dem Schwerpunkt "Client- und Datensicherheit".

Tags

Ähnliche Beiträge

Pass-the-Hash-Angriffe

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Der ursprünglich sehr aufwendige Pass-the-Hash-Attacke ist heute nur noch eine Sache weniger Klicks. Wir beleuchten die Grundlagen dieses Angriffsvektors.

Browser-Isolation mit Adaptive-Clientless-Rendering

Web-Browser gehören heute zu den wichtigsten Anwendungen in Unternehmen - damit allerdings auch zu den bedeutendsten Schwachstellen für Angriffe. Das simple Laden einer bösartigen Web-Site reicht aus, um das Endgerät des Nutzers zu kompromittieren und kann zur Installation von Malware, Datendiebstahl oder der Penetration von Firmennetzen führen. Neue Isolationstechniken versprechen Abhilfe. Dieser Grundlagen-Artikel erläutert, wie die Browser-Isolation mit Adaptive-Clientless-Rendering funktioniert.