Grundlagen

Physische Sicherheit im Serverraum

Eines der komplexesten Themengebiete im Bereich der IT-Sicherheit ist der physische Schutz. Gleichwohl ist dies eine der unterschätztesten Sicherheitsaufgaben. Sehr viele Unternehmen ergreifen konkrete technische Maßnahmen zur Absicherung vor Viren und sonstigem Schadcode oder dem Hacker- Angriff von außen. Vernachlässigt wird dabei immer wieder, das eigene Rechenzentrum gegen einschlägige Gefahren zu wappnen.
Die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben im Rahmen des Maßnahmenkataloges "Infrastruktur" 73 Empfehlungen für eine vollumfängliche physikalische IT-Sicherheit. In diesem Artikel behalndeln wir die wichtigsten Aspekte.

Angepasste Aufteilung der Stromkreise
Sobald hohe oder sehr hohe Anforderungen an die Verfügbarkeit der IT gestellt werden, ist eine Stromversorgungen der IT über zwei voneinander unabhängige elektrische Versorgungsstränge und der Einsatz von IT-Geräten mit zwei Netzteilen üblich und angemessen. Unabhängige Versorgungsstränge bedeuten in diesem Zusammenhang, dass die Einspeisung tatsächlich getrennt voneinander erfolgt (am besten über unterschiedliche Trassen).

Handfeuerlöscher
Die jeweils einzusetzenden Handfeuerlöscher sind durch einschlägige Normen (DIN EN 3) geregelt. In Serverräumen sollte nicht mit Wasser, sondern mit Kohlendioxyd gelöscht werden. Dabei ist drauf zu achten, dass die Dimensionierung für den Raum ausreichend ist und der Feuerlöscher zyklisch überprüft wird (auf Funktion und Haltbarkeit).

Verwendung von Sicherheitstüren und -fenstern
Entsprechende Komponenten schützen nicht nur vor Feuer oder Rauch, sondern auch vor Einbruch. Verschiedene Normen legen die jeweiligen Klassen fest (DIN EN 1627 für Fenster, Türen, Abschlüsse, Einbruchhemmung und DIN 18095-1 für Türen und Rauchschutztüren). Generell sollten Sie in einem Serverraum oder Rechenzentrum den Einsatz entsprechender Türen und Fenster nicht nur erwägen, sondern zwingend in der Realität umsetzen. Obwohl wir eigentlich davon ausgehen, dass dies eine Selbstverständlichkeit ist, sollten Sie zudem eine konkrete Regelung dazu finden, Fenster und Türen stets geschlossen zu halten. Diese Maßnahme richtet sich natürlich gegen unbefugten Zugriff, aber auch gegen Brandschutz (eine Sauerstoffreduktionsanlage wird bei geöffneten Türen oder Fenstern an Effektivität verlieren).

Gefahrenmeldeanlage
Eine Gefahrenmeldeanlage ist ein komplexes Gesamtsystem bestehend aus zahlreichen Komponenten. Eine solche Anlage sollte jede Form der Gefahr melden können (Wasser, Feuer, Rauch, Temperatur, Einbruch). Technisch existieren viele Lösungen dafür – auch quelloffene Software kann in Kombination mit entsprechenden Meldern genutzt werden (Nagios). Jedoch ist die Hauptherausforderung die entsprechende Meldung und Reaktion auf solche Vorfälle. Diesen Ablauf sollten Sie organisatorisch regeln und eventuell entsprechende Schichtpläne erstellen.

Einbruchschutz
Die Kombination verschiedener Maßnahmen stellt einen effektiven Schutz gegen Einbruch in das Unternehmen (und damit das Rechenzentrum) dar. Beispielsweise sind dies einbruchhemmende Türen und Fenster (mit entsprechenden Widerstandsklassen), Rollladensicherungen bei einstiegsgefährdeten Türen oder Fenstern, besondere Schließzylinder, Zusatzschlösser und Riegel, Sicherung von Kellerlichtschächten, Verschluss von nicht benutzten Nebeneingängen oder einbruchgesicherte Notausgänge. Auch den Einsatz eines Zugangskontrollsystems – vielleicht sogar auf Serverschrankebene – sollten Sie prüfen.

Vermeidung von wasserführenden Leitungen
Häufig werden Serverräume oder Rechenzentren nicht speziell geplant, sondern vorhandene Räume umfunktioniert. Jedoch sind solche Räume meist ungeeignet. Ein Hauptaugenmerk sollten Sie auf wasserführende Leitungen (Abwasser, Heizungen und vergleichbare) legen. Selbst das sogenannte “Blindschalten” oder abklemmen von Heizkörpern birgt große Gefahren, da Leitungen unter Umständen korrodieren, so zu einem Wassereinbruch führen und sensible IT-Technik gefährden. Sind wasserführende Leitungen nicht zu verhindern, sollten diese speziell abgesichert werden, etwas durch die erwähnte Gefahrenmeldeanlage oder der Implementierung einer Auffangwanne.

Klimatisierung
Nicht nur die ausreichende Dimensionierung (inklusive Puffer für künftige Anforderungen) einer Klimaanlage ist enorm wichtig, sondern auch die Redundanz im Falle eines Ausfalls und die Absicherung wasserführender Leitungen. Stellen Sie daher eine Überwachung der Temperatur und der Funktionsfähigkeit der Anlage ebenso sicher wie regelmäßige Wartungen (alle zwei Jahre).

Brandlastreduzierung

Viele Serverräume und Rechenzentren dienen als Zwischenlager für Kartons aller Art, etwa Verpackungsmaterial für neues Equipment. Nicht nur, dass diese sehr gut brennbar sind, sie entwickeln dabei auch viel Rauch. Beides ist sehr schlecht für eine laufende IT. Selbst eine abgehängte Decke oder die Wahl der falschen Wandfarbe stellen eine große Brandlast dar. Daher sollten Sie jederzeit darauf achten, dass entsprechende Brandlasten im Serverraum keinen Einzug finden.
30.09.2015/Thomas Gronenwald/dr

Nachrichten

Sicherer Cloudzugriff und verbesserte Abwehr [15.11.2019]

Palo Alto Networks stellte auf seiner Hausmesse Ignite Europe 2019 in Barcelona neue, über die Cloud bereitgestellte, Software-definierte Wide Area Network- und Data Loss Prevention-Funktionen für Prisma Access vor. Daneben präsentierte der Security-Anbieter die Detection- und Response-Lösung Cortex XDR 2.0, die nun auch auf Daten von Drittanbieter-Produkten im Netzwerk zurückgreift. [mehr]

Hyperkonvergent und sicher [14.11.2019]

Acronis bringt "Acronis Cyber Protect", "Acronis Cyber Platform" und "Acronis Cyber Infrastructure" auf den Markt. Letztere ist eine Software-definierte Infrastrukturlösung, die die Speicherung von Compute-, Block-, Datei- und objektbasierten Workloads mit softwaredefinierten Netzwerkfunktionalitäten und der Nutzung handelsüblicher Hardware kombiniert. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen