Rechen- oder Datenzentren sind in vielerlei Hinsicht eine kritische Infrastruktur und somit ein äußerst lohnendes Ziel für Angreifer jeglicher Art. Einige wirksame physische Schutzmaßnahmen sind deshalb faktisch Pflicht, ungeachtet der genauen Art des Datacenters.

Datenzentren sind in einer Welt, die immer mehr Daten und Anwendungen in die Cloud verlagert, bekanntlich nicht weniger als die Herzkammern der digitalen Sphäre. Denn hier findet sich nicht nur Storage- und anhängige Technik im Wert vieler Millionen Euro, sondern aufgrund der Natur des Datencenters sind hier ebenso gigantische Mengen an Informationen mit einem vielfach kaum bezifferbaren Wert gespeichert.

So sinnvoll es auch sein mag, etwa via Cloud Daten an einen solchen Ort auszulagern, so sehr bekommen diese Zentren dadurch jedoch den Charakter eines äußerst sicherheitsrelevanten und für Angreifer interessanten Nadelöhrs: Ein erfolgreicher Angriff kann ungezählte Datensätze entwenden, kann zahllose Akteure lahmlegen – insbesondere, wenn diese keine lokalen Backups ihrer Daten auf eigenen Storage-Systemen besitzen. Und es ist erst wenige Monate her, als diese Bedeutung einmal mehr einer breiten Öffentlichkeit bewusst wurde:

Im Zuge des Ukraine-Krieges musste unter anderem in der Schweiz ein Zentrum des Bankenkommunikationsnetzwerks „Swift“ mit Polizeischutz versehen werden. Da Russland aufgrund von Sanktionen vom Zugang zu diesem Netzwerk ausgeschlossen wurde, befürchteten Anti-Terror-Experten Sabotageakte Moskaus.

Wie sich eine solche – erfolgreiche – Tat auf dieses (oder irgendein) Datacenter auswirken würde, kann sich wohl jeder Insider detailliert ausmalen. Vielstrapazierte Begriffe wie „Horrorszenario“ oder „Super-GAU“ dürften hier ausnahmslos zutreffen. Zumal sich Swift auf nur insgesamt drei Rechenzentren stützt.

Nun nutzt zwar eine erhebliche Zahl von Attacken digitale Angriffsvektoren. Allerdings können physische Angriffe aus verschiedenen Gründen eine lohnenswertere oder ökonomischere Herangehensweise aus Angreifersicht darstellen.

Zwar existiert hierzulande die jüngst novellierte und verschärfte KRITIS-Verordnung. Ferner umfasst das 2021 veränderte IT-Sicherheitsgesetz 2.0 nunmehr auch Rechen- oder Datenzentren ab 3,5 MW. Beides sind jedoch nicht für alle gültige Vorgaben. Kleine Zentren und/oder solche außerhalb der UBI-Definitionen können ebenfalls lohnende Ziele sein – im Zweifelsfall im Rahmen von Wirtschaftsspionage.

Physische Sicherheit sollte deshalb völlig unabhängig von derartigen Faktoren grundsätzlich appliziert werden. Doch welche Hardware- und Handlungsempfehlungen können Betreiber befolgen?

Warum und in welcher Form würden Angreifer ein Datenzentrum vor Ort attackieren? Dafür gibt es letztlich nur zwei Gründe mit unterschiedlichen Vorgehensweisen:

Zwar mögen sich die Herangehensweisen durch das Angriffsziel voneinander unterscheiden. Was jedoch die physische Sicherheit anbelangt, gibt es glücklicherweise keine Unterschiede.

Von besonderer Bedeutung ist jedoch, als Datenzentrumsbetreiber eine dreigleisige Strategie zu verfolgen, um so ein mehrschichtiges Sicherheitskonzept zu etablieren:

Naturgemäß handelt es sich bei den erstgenannten Positionen um die bestmöglichen Szenarien. Aufklärbarkeit ist zwar wichtig, allerdings ist eine Tatverhinderung ungleich besser – idealerweise bereits im Ansatz unter Ergreifung der Täter.

Was die technischen Bausteine anbelangt, so erfüllen mehrere eine Doppel-, teils sogar Dreifachfunktion. So kann etwa ein übermannshoher, von NATO-Draht gekrönter Zaun um das Gelände sowohl generell abschrecken als auch ein Eindringen ins Datacenter verhindern und sogar die Flucht erschweren, wodurch eine Aufklärung erleichtert wird. Damit beginnt dementsprechend unsere Liste physischer Sicherheitsmaßnahmen:

In einem Datenzentrum mag jeder Bereich sicherheitsrelevant sein. Mit Blick auf Offensive und Defensive gibt es jedoch Unterschiede zwischen, beispielsweise, dem Mitarbeiterparkplatz und den Hallen, in denen die Reihen der physischen Datenspeicher stehen.

Der erste Schritt (der idealerweise bereits bei der Errichtung erfolgt) besteht darin, das ganze Areal in konzentrische Schutzkreise einzuteilen und diese gegeneinander abzuschotten.

Bei der Nichteinsehbarkeit sollte zudem die Bedrohung durch Kameradrohnen angesprochen werden. Blickschutz darf jedoch keineswegs die Sicherheitskreise aus Betreibersicht unübersichtlich machen.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Ferner müssen alle Durchgänge zwischen den Sicherheitskreisen auf eine Weise konstruiert werden, durch die sie ständig verschlossen und überwacht sind.

Derartige Schutzkreise stellen für jeden Angreifer eine erhebliche Erschwernis dar. Ihre volle Wirkung entfalten sie jedoch erst mit einer ständigen Überwachung, durch die illegitime Handlungen a) sofort entdeckt und b) protokolliert werden.

Selbst wenn es in diesem Datenzentrum keine 24/7/365-Belegung gibt, so muss jedoch die Überwachung derart lückenlos sein. Ein einzelner Wachmann, der in einem Sicherheitszentrum sitzt, kann dafür bereits genügen. In besonderen Fällen sollte Wachpersonal (vor allem in den Nachtstunden) jedoch zahlenstärker sein und eng getaktete Kontrollgänge durchführen. Diese müssen allerdings unbedingt in unregelmäßigen (nicht vorhersehbaren) Zeitabständen und Routen erfolgen.

Mitunter kann es zusätzlich oder alternativ sinnvoll sein, den Außenbereich durch freilaufende Hunde sichern zu lassen. Entsprechende Wach- und Schutzhunderassen können hierbei sowohl alarmieren als auch verteidigen und stark abschreckend wirken.

Die besten technischen Sicherheitsmaßnahmen nützen nur wenig, wenn dahinter keine Prozesse stehen, die sowohl den Arbeitsalltag im Datenzentrum nicht beeinträchtigen als auch den Maßnahmen erlauben, überhaupt ihre volle Wirkung zu entfalten. Ein großer Teil physischer Sicherheit entfällt deshalb auf angepasste Prozesse und Handlungsweisen auf dem Gelände.

Zudem sollten die Betreiber von Datacentern selbst gegenüber ihren eigenen Leuten eine reduzierte Informationspolitik betreiben: Der Kreis derjenigen Personen, die alle Sicherheitsmaßnahmen im Detail kennen, sollte äußerst klein gehalten werden. Idealerweise beschränkt sich dieses Wissen nur auf die Chefetage und die Leitung des Sicherheitspersonals.

Viele Angreifer, die es auf physischem Weg versuchen möchten, setzen darauf, die bestehenden Sicherheitselemente lahmzulegen und den entstehenden Moment der Übersichtslosigkeit auszunutzen. Beispielsweise könnten Täter die Stromzufuhr kappen, um dadurch Kameras und Sensoren lahmzulegen.

Derartige Möglichkeiten sollten konsequent genommen werden. Die Basis hierfür ist eine Notstromanlage, die weit über eine Versorgung der wichtigsten digitalen Systeme hinausgeht:

sollten ebenfalls im Fall der Fälle versorgt werden. Jedoch muss ebenso in anderen Bereichen eine Redundanz geschaffen werden.

All diese Maßnahmen stellen natürlich einen nicht zu vernachlässigenden Kostenfaktor dar. Ferner können selbst die Leiter von Datenzentren mit der Zeit den Eindruck bekommen, die Maßnahmen wären überflüssig, weil sie sich niemals merklich bewähren mussten.

Beides ist jedoch eine falsche Denkweise, die keinesfalls zu kurzfristigem Handeln animieren sollte – aus guten Gründen:

Tatsache ist: Datacenter jeglicher Größe stellen heute für Täter unzähliger Hintergründe zwischen radikalen Klimaschützern und geheimdienstlichen Akteuren äußerst lohnenswerte Ziele dar. Selbst kleine Zentren sollten deshalb nicht bei maximaler Sicherheit sparen – schon deshalb, weil sie sich sonst besonders angreifbar machen.

Der Beweis für diese These? Heute, wo große Unternehmen längst sehr leistungsfähige IT-Sicherheit praktizieren, haben sich die digitalen Angriffe längst auf die meist deutlich schlechter abgesicherten, jedoch nicht minder attraktiven, KMU verlagert.

Ransomware-Attacken bedrohen die gesamte IT und speziell die gespeicherten Daten in einem nie zuvor gekannten Ausmaß. Um den Angriffen der Cyberkriminellen zu begegnen, benötigen Unternehmen eine funktionierende Disaster-Recovery-Strategie. Unser neues eBook erläutert DR-Strategien – inklusive unterschiedlicher DR-Pläne, unerlässlicher DR-Tests und DR-as-a-Service. Die Themen im Überblick: So funktioniert Disaster Recovery Was ist ein DR-Plan? Disaster-Recovery-Test Disaster-Recovery-as-a-Service

NAS-Systeme rücken ins Visier von Cyberkriminellen

Neue Version von NovaStor DataCenter

AGB Cookie-Manager Hilfe Kundencenter Mediadaten Datenschutz Impressum & Kontakt Autoren

Copyright © 2023 Vogel Communications Group

Diese Webseite ist eine Marke von Vogel Communications Group. Eine Übersicht von allen Produkten und Leistungen finden Sie unter www.vogel.de