ntz, Ausgabe 7-8/2007, 02.November 2007
Egal ob es sich um den einzelnen Server im Kleinunternehmen
oder die Serverfarm im Konzern handelt – in beiden Fällen ist die
Verfügbarkeit der IT-Infrastruktur für das Unternehmen überlebenswichtig.
Noch vor Firewalls, Intrusion Detection und Virenschutz
sollte dabei die physische Sicherheit der IT-Systeme kommen.
Denn auch hier gibt es eine Menge zu beachten.
Wenn es um die Gefährdung von Rechenzentren geht, so unterscheiden
die IT-Grundschutzkataloge des Bundesamts für
Sicherheit in der Informationstechnik (BSI) zwischen höherer Gewalt,
organisatorischen Mängeln, menschlichen Fehlhandlungen,
technischem Versagen und vorsätzlichen Handlungen. Insgesamt
zählen die fünf Kataloge dabei 425 konkrete Gefährdungen auf,
die die IT eines Unternehmens nachhaltig bedrohen. Viel Arbeit also
für diejenigen, die mit der Sicherung eines Rechenzentrums
beauftragt sind. Zur physischen Sicherung von IT-Systemen
gibt es dabei verschiedene Bereiche zu
beachten, die beispielsweise auch die TÜViT bei
der Zertifizierung von Rechenzentren nach der
„Trusted Site Infrastructure (TSI)“ untersucht. Das
BSI hält hierzu vergleichbar sechs Maßnahmenkataloge
mit insgesamt 1057 Einzelmaßnahmen
vor, die der Absicherung von IT-Systemen dienen.
Physische Sicherheit
Die Sicherheit eines Rechenzentrums fängt bereits
auf dem Grundstück und dessen Umgebung
an, auf dem sich das Gebäude befindet. So sind
hier beispielsweise Gefährdungen durch Wasser,
Trümmer, Erschütterungen oder Schadstoffe ebenso
zu meiden wie naheliegende Verkehrswege mit
Gefahrguttransporten. Auch benachbarte Veranstaltungsorte
von Großereignissen können den Rechenzentrumbetrieb
gefährden, wenn Mitarbeiter auf Grund von Straßensperrungen
nicht mehr an ihren Arbeitsplatz kommen.
Passt die Lage, ist im nächsten Schritt das Gebäude selbst abzusichern.
An dieser Stelle helfen zahlreiche Normen und Vorschriften
vom Deutschen Institut für Normung (DIN), Verband der
Elektrotechnik Elektronik Informationstechnik (VDE), Verband
Deutscher Maschinen- und Anlagenbau (VDMA) oder Richtlinien
der VdS Schadenverhütung weiter. Die Regelwerke liefern Informationen
über Mauerwerk, Beschaffenheit von Fenstern und Türen
ebenso wie über Blitzschutz oder die Verlegung von Versorgungsleitungen.
Ein weiterer wichtiger Bereich ist der Brandschutz innerhalb
des Gebäudes in Verbindung mit der Melde- und Löschtechnik.
Auch hier unterstützen die Normen der genannten Organisationen
den „Facility Manager“ bei der Planung. Er sollte hierbei nicht vergessen,
das Brandschutzkonzept auch mit der örtlichen Feuerwehr
abzustimmen. Schadensbegrenzungsmaßnahmen wie etwa
eine Gaslöschanlage im Sicherheitsbereich eines Rechenzentrums
können im Ernstfall dazu beitragen, dass der Schaden durch Löschwasser
nicht größer wird als derjenige, den die Löschung verhindert
hat.
Um Unbefugten den Zutritt zu sensiblen Bereichen zu verwehren,
werden wiederum Sicherheitssysteme wie Zugangskontrollsysteme
oder Einbruchsmeldeanlagen genutzt. Vereinzelungsschleusen können
beispielsweise verhindern, dass sich eine unbefugte Person hinter
einem berechtigten Mitarbeiter durch eine gesicherte Tür schummelt.
Um in besonders sensiblen Bereichen sicherzustellen, dass ein Ausweisbesitzer
auch derjenige ist, auf den der Ausweis ausgestellt
wurde, helfen biometrische Zugangskontrollsysteme, seine Identität
zu verifizieren.
Auch die Energieversorgung eines Rechenzentrums spielt eine
wichtige Rolle: Hier sind einerseits bei der Installation
der elektrischen Anlagen entsprechende Normen und
Vorschriften zu beachten. Gleichzeitig sollte die Versorgung
eines Rechenzentrums idealerweise von zwei
verschiedenen Umspannstationen, mindestens aber
über eine Ringleitung vorgenommen werden. Alle
wichtigen Systeme sind zudem über Netzersatzanlagen
oder unterbrechungsfreie Stromversorgungen
abzusichern.
Insbesondere in Rechenzentren mit einer hohen
Server- oder Komponentendichte kommt auch der
Klimatisierung eine hohe Bedeutung zu. Diese sorgt
dafür, dass in Bereichen mit IT-Systemen wie auch
beispielsweise in Archiven die Temperatur, Luftfeuchtigkeit
und der Staubanteil festgelegte Grenzwerte
nicht über- oder unterschreiten. Für Serverräume gibt
es zudem Kühlkonzepte mit heißen und kalten Zonen.
Neben allen mechanischen, elektrischen und elektronischen Vorrichtungen
gibt es noch zwei weitere Felder, die nicht zu vernachlässigen
sind: die Organisation und Dokumentation. Organisatorische
Maßnahmen sind Vertretungsregelungen oder regelmäßige Sicherheitsbegehungen.
Die Dokumentation der Sicherungsmaßnahmen
sollte hingegen mittelfristig zu einem Sicherheitskonzept ausgebaut
werden.
Selber machen oder machen lassen
Eine verfügbare IT ist heute für viele Unternehmen überlebenswichtig.
Gleichzeitig zählt der Betrieb einer IT-Infrastruktur in den meisten
Fällen nicht zu deren Kernkompetenzen. Wer auf ein hohes Sicherheitsniveau
nicht verzichten möchte, gleichzeitig aber die aufwendigen
Maßnahmen zur Sicherung des eigenen Rechenzentrums scheut,
kann auch als mittelständisches Unternehmen seine IT oder Teile davon
an spezialisierte Dienstleister wie das IZB Informatik-Zentrum auslagern.
Deren Rechenzentren in Nürnberg und Offenbach/M. erfüllen
bereits heute den „TSI-Level 2 erweitert“.
Dr. Walter Kirchmann
Quelle: ntz, Ausgabe 7-8/2007
|
|
 |
 |
