Grundlagen

Physische Sicherheit im Serverraum

Eines der komplexesten Themengebiete im Bereich der IT-Sicherheit ist der physische Schutz. Gleichwohl ist dies eine der unterschätztesten Sicherheitsaufgaben. Sehr viele Unternehmen ergreifen konkrete technische Maßnahmen zur Absicherung vor Viren und sonstigem Schadcode oder dem Hacker- Angriff von außen. Vernachlässigt wird dabei immer wieder, das eigene Rechenzentrum gegen einschlägige Gefahren zu wappnen.
Die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben im Rahmen des Maßnahmenkataloges "Infrastruktur" 73 Empfehlungen für eine vollumfängliche physikalische IT-Sicherheit. In diesem Artikel behalndeln wir die wichtigsten Aspekte.

Angepasste Aufteilung der Stromkreise
Sobald hohe oder sehr hohe Anforderungen an die Verfügbarkeit der IT gestellt werden, ist eine Stromversorgungen der IT über zwei voneinander unabhängige elektrische Versorgungsstränge und der Einsatz von IT-Geräten mit zwei Netzteilen üblich und angemessen. Unabhängige Versorgungsstränge bedeuten in diesem Zusammenhang, dass die Einspeisung tatsächlich getrennt voneinander erfolgt (am besten über unterschiedliche Trassen).

Handfeuerlöscher
Die jeweils einzusetzenden Handfeuerlöscher sind durch einschlägige Normen (DIN EN 3) geregelt. In Serverräumen sollte nicht mit Wasser, sondern mit Kohlendioxyd gelöscht werden. Dabei ist drauf zu achten, dass die Dimensionierung für den Raum ausreichend ist und der Feuerlöscher zyklisch überprüft wird (auf Funktion und Haltbarkeit).

Verwendung von Sicherheitstüren und -fenstern
Entsprechende Komponenten schützen nicht nur vor Feuer oder Rauch, sondern auch vor Einbruch. Verschiedene Normen legen die jeweiligen Klassen fest (DIN EN 1627 für Fenster, Türen, Abschlüsse, Einbruchhemmung und DIN 18095-1 für Türen und Rauchschutztüren). Generell sollten Sie in einem Serverraum oder Rechenzentrum den Einsatz entsprechender Türen und Fenster nicht nur erwägen, sondern zwingend in der Realität umsetzen. Obwohl wir eigentlich davon ausgehen, dass dies eine Selbstverständlichkeit ist, sollten Sie zudem eine konkrete Regelung dazu finden, Fenster und Türen stets geschlossen zu halten. Diese Maßnahme richtet sich natürlich gegen unbefugten Zugriff, aber auch gegen Brandschutz (eine Sauerstoffreduktionsanlage wird bei geöffneten Türen oder Fenstern an Effektivität verlieren).

Gefahrenmeldeanlage
Eine Gefahrenmeldeanlage ist ein komplexes Gesamtsystem bestehend aus zahlreichen Komponenten. Eine solche Anlage sollte jede Form der Gefahr melden können (Wasser, Feuer, Rauch, Temperatur, Einbruch). Technisch existieren viele Lösungen dafür – auch quelloffene Software kann in Kombination mit entsprechenden Meldern genutzt werden (Nagios). Jedoch ist die Hauptherausforderung die entsprechende Meldung und Reaktion auf solche Vorfälle. Diesen Ablauf sollten Sie organisatorisch regeln und eventuell entsprechende Schichtpläne erstellen.

Einbruchschutz
Die Kombination verschiedener Maßnahmen stellt einen effektiven Schutz gegen Einbruch in das Unternehmen (und damit das Rechenzentrum) dar. Beispielsweise sind dies einbruchhemmende Türen und Fenster (mit entsprechenden Widerstandsklassen), Rollladensicherungen bei einstiegsgefährdeten Türen oder Fenstern, besondere Schließzylinder, Zusatzschlösser und Riegel, Sicherung von Kellerlichtschächten, Verschluss von nicht benutzten Nebeneingängen oder einbruchgesicherte Notausgänge. Auch den Einsatz eines Zugangskontrollsystems – vielleicht sogar auf Serverschrankebene – sollten Sie prüfen.

Vermeidung von wasserführenden Leitungen
Häufig werden Serverräume oder Rechenzentren nicht speziell geplant, sondern vorhandene Räume umfunktioniert. Jedoch sind solche Räume meist ungeeignet. Ein Hauptaugenmerk sollten Sie auf wasserführende Leitungen (Abwasser, Heizungen und vergleichbare) legen. Selbst das sogenannte “Blindschalten” oder abklemmen von Heizkörpern birgt große Gefahren, da Leitungen unter Umständen korrodieren, so zu einem Wassereinbruch führen und sensible IT-Technik gefährden. Sind wasserführende Leitungen nicht zu verhindern, sollten diese speziell abgesichert werden, etwas durch die erwähnte Gefahrenmeldeanlage oder der Implementierung einer Auffangwanne.

Klimatisierung
Nicht nur die ausreichende Dimensionierung (inklusive Puffer für künftige Anforderungen) einer Klimaanlage ist enorm wichtig, sondern auch die Redundanz im Falle eines Ausfalls und die Absicherung wasserführender Leitungen. Stellen Sie daher eine Überwachung der Temperatur und der Funktionsfähigkeit der Anlage ebenso sicher wie regelmäßige Wartungen (alle zwei Jahre).

Brandlastreduzierung

Viele Serverräume und Rechenzentren dienen als Zwischenlager für Kartons aller Art, etwa Verpackungsmaterial für neues Equipment. Nicht nur, dass diese sehr gut brennbar sind, sie entwickeln dabei auch viel Rauch. Beides ist sehr schlecht für eine laufende IT. Selbst eine abgehängte Decke oder die Wahl der falschen Wandfarbe stellen eine große Brandlast dar. Daher sollten Sie jederzeit darauf achten, dass entsprechende Brandlasten im Serverraum keinen Einzug finden.
30.09.2015/Thomas Gronenwald/dr

Nachrichten

Angreifer nutzen spezielles Dateisystem für Linux-Attacken [6.12.2022]

Auch Linux ist nicht vor Malware sicher. Doch legen die unterschiedlichen Distributionen Angreifern gewisse Hürden in den Weg, da sie ihre Schadsoftware stets anpassen müssen. Aus diesem Grund scheinen einige Hacker auf das Filesystem PRoot auszuweichen, dass ihnen ermöglicht, verschiedene Linux-Distributionen gleichzeitig anzugreifen. [mehr]

Besserer Schutz für vernetzte Medizingeräte [5.12.2022]

Gesundheitsdienstleister setzen digitale Geräte wie Diagnose- und Überwachungssysteme, Ambulanzgeräte und Operationsroboter ein, um die Patientenversorgung zu verbessern. Die Sicherheit dieser Geräte ist daher ebenso wichtig wie ihre primäre Funktion. Palo Alto Networks hat nun "Medical IoT Security" vorgestellt, das dank Machine Learning für Schutz sorgen soll. [mehr]

Auf Bedrohungssuche [1.12.2022]

Tipps & Tools

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Zahl der Cloudnative-Anwender legt weiter zu [1.11.2022]

Laut einer aktuellen Umfrage nimmt die Attraktivität Public-Cloud-gestützter Entwicklungs- und Betriebskonzepte spürbar zu. Ein wichtiger Treiber ist dabei der Kostendruck in Unternehmen. Doch steht ein grundlegender Paradigmenwechsel weiterhin aus – vor allem weil der Fachkräftemangel als immer stärkerer Hemmschuh wahrgenommen wird. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen