Grundlagen

Physische Sicherheit im Serverraum

Eines der komplexesten Themengebiete im Bereich der IT-Sicherheit ist der physische Schutz. Gleichwohl ist dies eine der unterschätztesten Sicherheitsaufgaben. Sehr viele Unternehmen ergreifen konkrete technische Maßnahmen zur Absicherung vor Viren und sonstigem Schadcode oder dem Hacker- Angriff von außen. Vernachlässigt wird dabei immer wieder, das eigene Rechenzentrum gegen einschlägige Gefahren zu wappnen.
Die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben im Rahmen des Maßnahmenkataloges "Infrastruktur" 73 Empfehlungen für eine vollumfängliche physikalische IT-Sicherheit. In diesem Artikel behalndeln wir die wichtigsten Aspekte.

Angepasste Aufteilung der Stromkreise
Sobald hohe oder sehr hohe Anforderungen an die Verfügbarkeit der IT gestellt werden, ist eine Stromversorgungen der IT über zwei voneinander unabhängige elektrische Versorgungsstränge und der Einsatz von IT-Geräten mit zwei Netzteilen üblich und angemessen. Unabhängige Versorgungsstränge bedeuten in diesem Zusammenhang, dass die Einspeisung tatsächlich getrennt voneinander erfolgt (am besten über unterschiedliche Trassen).

Handfeuerlöscher
Die jeweils einzusetzenden Handfeuerlöscher sind durch einschlägige Normen (DIN EN 3) geregelt. In Serverräumen sollte nicht mit Wasser, sondern mit Kohlendioxyd gelöscht werden. Dabei ist drauf zu achten, dass die Dimensionierung für den Raum ausreichend ist und der Feuerlöscher zyklisch überprüft wird (auf Funktion und Haltbarkeit).

Verwendung von Sicherheitstüren und -fenstern
Entsprechende Komponenten schützen nicht nur vor Feuer oder Rauch, sondern auch vor Einbruch. Verschiedene Normen legen die jeweiligen Klassen fest (DIN EN 1627 für Fenster, Türen, Abschlüsse, Einbruchhemmung und DIN 18095-1 für Türen und Rauchschutztüren). Generell sollten Sie in einem Serverraum oder Rechenzentrum den Einsatz entsprechender Türen und Fenster nicht nur erwägen, sondern zwingend in der Realität umsetzen. Obwohl wir eigentlich davon ausgehen, dass dies eine Selbstverständlichkeit ist, sollten Sie zudem eine konkrete Regelung dazu finden, Fenster und Türen stets geschlossen zu halten. Diese Maßnahme richtet sich natürlich gegen unbefugten Zugriff, aber auch gegen Brandschutz (eine Sauerstoffreduktionsanlage wird bei geöffneten Türen oder Fenstern an Effektivität verlieren).

Gefahrenmeldeanlage
Eine Gefahrenmeldeanlage ist ein komplexes Gesamtsystem bestehend aus zahlreichen Komponenten. Eine solche Anlage sollte jede Form der Gefahr melden können (Wasser, Feuer, Rauch, Temperatur, Einbruch). Technisch existieren viele Lösungen dafür – auch quelloffene Software kann in Kombination mit entsprechenden Meldern genutzt werden (Nagios). Jedoch ist die Hauptherausforderung die entsprechende Meldung und Reaktion auf solche Vorfälle. Diesen Ablauf sollten Sie organisatorisch regeln und eventuell entsprechende Schichtpläne erstellen.

Einbruchschutz
Die Kombination verschiedener Maßnahmen stellt einen effektiven Schutz gegen Einbruch in das Unternehmen (und damit das Rechenzentrum) dar. Beispielsweise sind dies einbruchhemmende Türen und Fenster (mit entsprechenden Widerstandsklassen), Rollladensicherungen bei einstiegsgefährdeten Türen oder Fenstern, besondere Schließzylinder, Zusatzschlösser und Riegel, Sicherung von Kellerlichtschächten, Verschluss von nicht benutzten Nebeneingängen oder einbruchgesicherte Notausgänge. Auch den Einsatz eines Zugangskontrollsystems – vielleicht sogar auf Serverschrankebene – sollten Sie prüfen.

Vermeidung von wasserführenden Leitungen
Häufig werden Serverräume oder Rechenzentren nicht speziell geplant, sondern vorhandene Räume umfunktioniert. Jedoch sind solche Räume meist ungeeignet. Ein Hauptaugenmerk sollten Sie auf wasserführende Leitungen (Abwasser, Heizungen und vergleichbare) legen. Selbst das sogenannte “Blindschalten” oder abklemmen von Heizkörpern birgt große Gefahren, da Leitungen unter Umständen korrodieren, so zu einem Wassereinbruch führen und sensible IT-Technik gefährden. Sind wasserführende Leitungen nicht zu verhindern, sollten diese speziell abgesichert werden, etwas durch die erwähnte Gefahrenmeldeanlage oder der Implementierung einer Auffangwanne.

Klimatisierung
Nicht nur die ausreichende Dimensionierung (inklusive Puffer für künftige Anforderungen) einer Klimaanlage ist enorm wichtig, sondern auch die Redundanz im Falle eines Ausfalls und die Absicherung wasserführender Leitungen. Stellen Sie daher eine Überwachung der Temperatur und der Funktionsfähigkeit der Anlage ebenso sicher wie regelmäßige Wartungen (alle zwei Jahre).

Brandlastreduzierung

Viele Serverräume und Rechenzentren dienen als Zwischenlager für Kartons aller Art, etwa Verpackungsmaterial für neues Equipment. Nicht nur, dass diese sehr gut brennbar sind, sie entwickeln dabei auch viel Rauch. Beides ist sehr schlecht für eine laufende IT. Selbst eine abgehängte Decke oder die Wahl der falschen Wandfarbe stellen eine große Brandlast dar. Daher sollten Sie jederzeit darauf achten, dass entsprechende Brandlasten im Serverraum keinen Einzug finden.
30.09.2015/Thomas Gronenwald/dr

Nachrichten

IT-Defense 2021 in Berlin [24.09.2020]

Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren treffen sich vom 27. bis zum 29. Januar 2021 auf der IT-Sicherheitskonferenz IT-Defense in Berlin, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren. Die IT-Defense findet zum neunzehnten Mal statt und zählt zu den größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. [mehr]

Zero Trust für IoT im Unternehmen [24.09.2020]

Das Zero-Trust-Sicherheitsmodell ist so konzipiert, dass es die sich ausdehnenden Grenzen des Netzwerks eines Unternehmens umfasst. Es beruht auf dem Prinzip "niemals vertrauen, immer überprüfen" und gewährt autorisierten Benutzern und Geräten kontrollierten Zugriff ausschließlich auf der Grundlage, ob sie ihre Identität eindeutig authentifizieren können, um das Privileg zu erhalten. Palo Alto Networks erläutert, wie maschinelles Lernen helfen kann. [mehr]

Gefährliche Kurzlinks [18.09.2020]

Tipps & Tools

HVI als Open Source erhältlich [14.08.2020]

Bitdefender hat sein Endpunkt-Sicherheitssystem "Hypervisor Introspection" als Open Source verfügbar gemacht. Die Technologie sucht nach Angriffsverfahren wie Pufferüberläufen, Heap-Spray und Code-Injektion, um schädliche Aktivitäten zu erkennen und zu unterbinden. Die Firma hat den Code als Teil des Xen Project unter der Lizenz Apache 2.0 veröffentlicht. [mehr]

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen