Fachartikel

Zugangssicherheit im Data Center

Daten sind ein extrem wertvolles Gut. Daher unternehmen Cyberkriminelle immer raffiniertere Anstrengungen, um an sensible Informationen in Rechenzentren zu gelangen. Auch wenn die meisten Attacken mit Hilfe von Social Engineering geschehen, beginnen manche Cyberangriffe mit einem physischen Angriff – je größer das Data Center und je weitläufiger das Außengelände, desto anfälliger die Einrichtung. Moderne Rechenzentren benötigen deshalb integrierte Sicherheitslösungen zur Eindämmung interner und externer Bedrohungen. Jede der fünf Schutzebenen eines Rechenzentrums bringt dabei besondere Bedrohungsszenarien und mögliche Lösungsansätze mit sich.
Der Perimeterschutz des Rechenzentrums sollte mehr bieten als einen Maschendrahtzaun.
Rechenzentren sind in den vergangenen Jahren zu einem essenziellen Teil der Kritischen Infrastruktur (KRITIS) geworden. Denn jede Störung kann schwerwiegende wirtschaftliche Folgen für den Betreiber einer solchen für das Gemeinwohl wichtigen Einrichtung, aber auch für die gesamte Gesellschaft haben. Durch ihre Sensibilität und den Wert der in ihnen gespeicherten Daten sind Rechenzentren ein beliebtes Ziel für Angriffe geworden, sowohl im Cyber- als auch im physischen Bereich. Wobei die beiden Angriffsarten nicht klar trennbar sind, denn viele Cyberattacken beginnen mit einem physischen Einbruchsversuch. Der für Eindringlinge einfachste Weg in die Serverschränke führt über Personen mit entsprechender Zugangsberechtigung – das können unzufriedene, verärgerte Mitarbeitende sein, aber auch Personen, die von Kriminellen dazu gezwungen werden.

Mehrschichtige Sicherheitslösungen zur Eindämmung interner und externer Bedrohungen sind deshalb für moderne Rechenzentren unerlässlich. Diese reichen vom Schutz des Außengeländes bis hin zu einem effektiven Cyberschutz. Wir definieren fünf Schutzebenen für Rechenzentren.

Ebene 1: Die Außengrenze
Die äußerste Sicherheitsebene ist der sogenannte Perimeterschutz, also die Überwachung des Bereichs außerhalb der Umgrenzung des eigentlichen Geländes. Je größer das Rechenzentrum und je weitläufiger das Außengelände, desto anfälliger ist auch die Einrichtung selbst für Eindringungsversuche. Netzwerk-Videokameras, Wärmebildkameras und intelligente Analysefunktionen können die gesamte Außengrenze abdecken und so potenzielle Eindringlinge bereits dort erkennen und überprüfen. Das spart Ressourcen für regelmäßige Patrouillengänge und verringert die Bearbeitungszeit von Fehlalarmen.

Audiosysteme spielen am Perimeter ebenso eine wichtige Rolle: Druckkammerlautsprecher ermöglichen die Wiedergabe von Live- oder von aufgezeichneten Warnungen und verhindern so potenzielle Eindringungsversuche, indem sie Personen außerhalb des Geländes darauf aufmerksam machen, dass sie entdeckt wurden, und sie so von ihrem weiteren Tun abschrecken. Die offiziellen Ein- und Ausgänge des Geländes sind ebenfalls ein wichtiger Teil des Perimeters und sind zu schützen: Kennzeichenerkennungssoftware kann in Kombination mit Videolösungen sicherstellen, dass nur autorisierte Fahrzeuge in das Gelände gelangen.
Ebene 2: Das Gelände
Sobald sich Personen oder Objekte auf dem Gelände befinden, kann deren Weg mit Videokameras nachverfolgt werden. In ausgewählten Bereichen können Kameras auch zur Personenerkennung zum Einsatz kommen. Mit Radartechnik lassen sich die Entfernung, Bewegungsrichtung und Geschwindigkeit von Personen und Objekten erfassen. Die Technologie ist besonders geeignet, um Personen und bewegliche Objekte über große, offene Flächen zu verfolgen. PTZ (Pan/Tilt/Zoom)-Autotracking und Infrarot-Beleuchtung ermöglichen außerdem automatische Nahaufnahmen von Objekten, die der Radar erfasst hat. Personen und Objekte lassen sich so selbst bei völliger Dunkelheit identifizieren.

Radar bringt zudem den Vorteil, dass sich bewegende Schatten und Lichtverhältnisse, kleine Tiere und Insekten, Regentropfen, Wind und allgemein schlechtes Wetter kaum Falschalarme auslösen. Zusätzliche Netzwerk-Audiowerkzeuge können Personen auf dem Gelände, die eine verbotene Zone betreten, warnen oder ermahnen. Wichtig ist, dass Rechenzentrumsbetreiber nicht nur das eigentliche Standortgelände, sondern auch den Luftraum darüber schützen. Durch installierte Drohnenerkennung lassen sich Unternehmensspionage und Angriffe aus der Luft verhindern.

Ebene 3: Das Gebäude
Ein zentraler Baustein für die physische Sicherheit eines Rechenzentrums ist die Zutrittskontrolle zum Gebäude, um jeglichen unbefugten Zutritt durch Identifizierungs-, Authentifizierungs- und Autorisierungsmaßnahmen zu unterbinden. Die kontaktlose Zutrittskontrolle kann neben der Zutrittsberechtigung über RFID-Karten oder Mobiltelefone mit QR-Codes  eine Videoüberprüfung umfassen. Damit erhalten nur diejenigen Personen Zugang zu den Gebäuden und Bereichen, für die sie eine Berechtigung haben. Die Zutrittskontrolle lässt sich, je nach Anlagengröße, auch anlagenübergreifend von einem entfernten Standort aus leiten.

Auch Sensoren spielen eine wichtige Rolle innerhalb des Rechenzentrumgebäudes: Rauchmelder erzeugen mithilfe von Sensoren Alarme, die die Schwere eines Brandes aus der Ferne verifizieren. Audiosensoren wiederum erkennen das Geräusch von zerbrechendem Glas oder aggressiven Stimmmustern – auch das löst einen Alarm aus und benachrichtigt entsprechend das Sicherheitspersonal.

Ebene 4: Der Serverraum
Die Zutrittskontrolle endet nicht an der Eingangstür. Da der physische Zugang zum Server die Einschleusung von Mal- oder Spyware ermöglicht, ist der Zutritt zum Serverraum und den Racks das eigentliche Ziel von Cyberkriminellen. Um diese kritischste aller Sicherheitsebenen zu sichern, lassen sich sämtlichen Mitarbeitenden der Organisation individuelle Freigabestufen zuweisen. Eine Multi-Faktor-Authentifizierung durch Fingerabdruck-Scans, Video-Türsprechstellen oder QR-Codes auf Mobilgeräten erhöht die Sicherheit zusätzlich. Kameras in Serverräumen nutzen außerdem Bewegungssensoren, um sicherzustellen, dass keine unnötigen Aufzeichnungen von leeren Räumen gespeichert werden.

Ebene 5: Die Serverracks
Die Serverracks sind das Herzstück eines jeden Rechenzentrums und sollten durch Alarme und Warnungen vor Kriminalität und Nachlässigkeit geschützt sein. Diese Sicherheitsebene verhindert, dass Beschäftigte absichtlich oder unabsichtlich Schäden an den Servern verursachen. Warnungen sollten beispielsweise dann ausgespielt werden, wenn Aktivitäten zu untypischen Zeiten stattfinden oder eine Serverschranktür länger als die festgelegte Minutenanzahl geöffnet bleibt. Im Alarmfall kann sich der Betreiber dank der Videoaufzeichnung ein Bild der Lage machen und über einen Zwei-Wege-Lautsprecher direkt mit den Personen an den Server-Racks kommunizieren.

Hochauflösende Kameras lassen sich außerdem so programmieren, dass sie automatisch schwenken und zoomen, wenn bestimmte Serverschranktüren entriegelt oder geöffnet werden. Gleichzeitig kann auch eine visuelle Sicherheitsüberprüfung der Person erfolgen, die den Schrank öffnet, indem ein Abgleich von Identität und Berechtigungsstufe erfolgt.

Fazit
Ein optimales Sicherheitskonzept für ein Rechenzentrum betrachtet alle fünf Schutzebenen und integriert alle Komponenten zu einem Gesamtkonzept, um bei Sicherheitsverstößen sofort auf Alarme reagieren zu können. Durch eine Zentralisierung sämtlicher Netzwerktechnologien (Audiolösungen, Zutrittskontrolle, Sensoren und Netzwerkkameras) können Betreiber für erhöhte Sicherheit mit weniger personellen Ressourcen sorgen. Moderne Video- und Audioanalysen verstärken die Automatisierung und verringern den Bedarf an Patrouillen vonseiten des Sicherheitspersonals. Mitarbeitende müssen außerdem nicht ständig Videofeeds betrachten, weil Alarme und Warnungen sie gezielt darüber informieren, wenn an den Standorten Unerwartetes geschieht.
14.07.2021/ln/Thorsten Grimm, Manager Area Sales Middle Europe bei Axis Communications

Nachrichten

Genauer Blick aufs Active Directory [30.07.2021]

Angesichts der wachsenden Zahl von Ransomware-Angriffen und ausgeklügelten Cyberangriffen hat Tenable zehn grundlegende Konfigurationschecks für seine Produkte entwickelt, darunter Tenable.io, Tenable.sc sowie Nessus Professional und Nessus Essentials. Diese bewerten die Active-Directory-Sicherheit und stimmen die Gegenmaßnahmen auf die Bedrohungslage ab. [mehr]

Erweiterte Angriffserkennung [30.07.2021]

Sophos hat sein Endpoint-Detection-and-Response-Angebot "Intercept X with EDR" und sein Extended-Detection-and-Response-System "XDR" in einem Produkt zusammengefasst. Kunden, die Sophos-Security-Dienste mit EDR im Einsatz haben, würden derzeit automatisch und kostenlos auf die umfangreichere XDR-Technologie umgestellt. Zudem hat der Hersteller die Datenhistorie im "Sophos Data Lake" von sieben auf 30 Tage erhöht. [mehr]

Tipps & Tools

Intensiv-Seminar "Aufbau einer PKI unter Windows Server" [2.08.2021]

Microsoft verwendet Zertifikate für mehrere PKI-fähige Produkte, daher bedarf es sowohl innerhalb der Organisation als auch für externe Partner einer fehlerfreien Zertifikatausstellung. Anfang September erfahren Sie in unserem Intensiv-Seminar in Hamburg, was Sie beim Aufbau einer Public-Key-Infrastruktur unter Windows Server beachten müssen. Dabei zeigen wir unter anderem, wie Sie PKI-fähige Anwendungen identifizieren und eine Testumgebung aufbauen und konfigurieren. Zögern Sie nicht zu lange – und sichern Sie sich einen der letzten Restplätze für das Intensiv-Seminar! Abonnenten nehmen wie immer zum Vorzugspreis teil. [mehr]

Portabler Holzkohlegrill im Notebookdesign [1.08.2021]

Ein passendes Sommer-Gadget für IT-Nerds: In seinem Alukoffer verpackt sieht der Fennek-Grill aus wie ein Laptop und eignet sich ebenso gut für den mobilen Einsatz. Im Inneren ist er ein vollwertiger Holzkohlegrill, der an zalreichen schönen Stellen des Groß- oder Kleinstadt-Dschungels einsatzbereit ist und seine Besitzer samt Mitstreiter dazu einlädt, sich in der Mittagspause, nach dem Feierabend oder am Wochenende wie auf dem Campingplatz oder am Badesee zu fühlen. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen