Physische Sicherheit im Rechenzentrum

Revisionssichere Zutrittskontrolle

14. Februar 2019, 7:00 Uhr | Andreas Budich

Perimetersicherung mit hohen Zäunen, Video- und Thermal­kameras ist ein für jeden sichtbarer Ausdruck der physischen Sicherheit eines Rechenzentrums. Moderne Sicherheitssysteme als Teil integrierter Sicherheitsprozesse leisten jedoch mehr als den Schutz von Menschen, Gebäuden und Infrastruktur. Unternehmen, die ihr RZ in ein Colocation Center auslagern, sollten daher ein Blick auf das gesamte Sicherheitskonzept des Anbieters werfen.

Ein routinemäßiger Blick gilt den Zertifizierungen. Doch darüber hinaus spielen viele weitere Faktoren eine Rolle - zum Beispiel die Qualifikation des Wachpersonals. Hier lohnt es sich nachzufragen, ob geschultes Fachpersonal für die Sicherheitsdienste sorgt und ein standortübergreifendes Sicherheitskonzept mit einheitlichen Prozessen und Systemen implementiert ist. Es ist wichtig, Sicherheit als Prozess zu begreifen, der insgesamt alle Aspekte von der physischen Kontrolle und Katastrophenschutz bis zur Abwehr an den soft- und hardwarebasierten Perimetern des Rechenzentrums umfasst.

Auch der Brandschutz ist keineswegs eine triviale Aufgabe, denn die elektrische Energie wird zunächst zu einem hohen Grad als Wärme ins Rack und den Raum abgegeben. Von Bedeutung ist deshalb die Ausstattung eines Rechenzentrums mit intelligenten Brandmeldeanlagen, die ständig mehrere brandtypische Faktoren analysieren, zum Beispiel Rauch, Hitze und den Kohlenmonoxid-Gehalt der Luft. Hinzu kommen automatische Schließeinrichtungen, die den brennenden Bereich von der Sauerstoffzufuhr abschneiden, und Kohlendioxid-Löschanlagen (oder andere gasbasierte Löschanlagen). Wichtiges Kennmerkmal eines guten Rechenzentrums ist in diesem Zusammenhang der Status als sogenannter "Alarm-Provider" (nach VdS 3138) für Katastrophenfälle. Verfügt der Anbieter über eine eigene Alarmempfangsstelle (AES nach DIN EN?50518) und mehrere zertifizierte Notruf- und Service-Leitstellen (NSL), die mehrfach redundant rund um die Uhr zur Verfügung stehen?

Ganzheitlicher Prozess

LL02F02b_online
Handvenenscanner ersetzen zunehmend den physischen Schlüssel am Rack. Bild: E-shelter

Sicherheit im Rechenzentrum ist ein ganzheitlicher Prozess. Ob nun Hardware, Software oder die Gestaltung der Organisa­tion - alle Bereiche, vom Management der Alarme, des Zutritts und der Notfälle bis hin zu Security-Services sind prozessorientiert zu betrachten. Ein gut aufgestellter Rechenzentrums- oder Colocation-Anbieter hat dabei auch die jüngsten technischen Entwicklungen im Blick und verknüpft klassische Sicherheitstechnik mit neuer digitaler Technik, um Prozesse weiter zu optimieren.

Entscheidend ist dabei die nahtlose Inte­gration neuer Technik in ein standortübergreifendes Zutrittskontroll- oder Gefahren-Management-System. Der Maßstab, der für einen Rechenzentrumsanbieter gelten muss, ist es, den Administrationsteams der Kunden den Zutritt vom Parkplatz bis zu ihrem IT-Rack in wenigen Minuten zu ermöglichen und dabei zugleich höchste Sicherheit zu gewährleisten. Standortübergreifend muss das Zutrittssystem einheitlich sein, zum Beispiel mittels einer Smartcard als Zutrittsmedium.

Elektronische Schließsysteme ersetzen künftig klassische Schlüssel am Rack. Dies dient nicht nur der Bequemlichkeit des Nutzers, sondern erhöht auch die Sicherheit. Vom Parkplatz bis zum Rack erfolgt der Zutritt mit einem einheitlichen Zutrittsmedium, und das zentrale Zutrittssystem loggt die Buchungen nachvollziehbar. Aber auch Berechtigungen vom Gebäude bis hin zum einzelnen Rack vergibt der Betreiber über das Zutrittssystem, natürlich nur für ausgewählte, dem Kunden oder Service-Techniker zugeordnete Flächen und Racks.

Die Smartcard allein sollte in Hochsicherheitsbereichen nicht die alleinige Grundlage für eine Authentifizierung sein. Daher ist es Unternehmen zu empfehlen, den eigentlichen Rechenzentrumsraum neben der Smartcard mit einem zweiten Verfahren wie PIN oder Biometrie zu sichern (Zwei-Faktor-Authentifizierung). Grundsätzlich bieten biometrische Systeme eine höhere Sicherheit. Iris- oder Retinascanner haben sich bewährt, sind jedoch mit hochauflösenden Bildern einer Retina zu überlisten.

Handvenenscanner

Als biometrisches Verfahren kommen daher zukünftig verstärkt Handvenenscanner wegen ihrer geringen Falscherkennungsrate zum Einsatz, die etwa 100-mal niedriger ist als die des weit verbreiteten Fingerabdruck-Verfahrens. Neben der niedrigen Falscherkennungsrate von 0,0001 Prozent ist auch die Falschrückweisungsquote von 0,01 Prozent ein Vorteil beim Einsatz in Bereichen mit hohen Sicherheitsanforderungen. Ein Handvenenscanner erfasst das einzigartige Muster von Blutgefäßen in der Hand. Selbst eineiige Zwillinge haben verschiedene Muster. Zudem erkennt ein Handvenenscanner, ob das Blut in der Hand zirkuliert. Diese "Lebenderkennung" vereitelt auch Betrugsversuche mit hochauflösenden Fotos.

LL02F02c_online
Der Einsatz einer Blockchain-basierten Dokumentationslösung erlaubt die revisionssichere Protokollierung sämtlicher Zutrittsereignisse. Bild: E-shelter

Das berührungslose Verfahren verbindet höchste Sicherheit mit Nutzerakzeptanz. Handvenenscanner sind also "State of the Art", doch auch hier gilt es, die Zutrittskontrolle konsequent zu Ende zu denken: Dazu empfiehlt sich die Einführung einer Blockchain-Lösung zur Zutritts- und Zugriffskontrolle. Mittels Protokollierung in einem verteilten Hauptbuch (Distributed Ledger) in Kombination mit der Handvenen-Biometrie lässt sich dabei revisionssicher nachvollziehen, welcher Mitarbeiter einen Raum betreten oder ein Rack geöffnet hat. Wichtig ist dabei, dass das biometrische Template verschlüsselt auf der Karte abgelegt wird, also beim Nutzer und nicht zentral in einer Datenbank gespeichert wird.

Revisionssichere Dokumentation

Die aktuelle Herausforderung bei der Zutrittskontrolle besteht darin, für eine große Zahl von Besuchern, Technikern und Handwerkern täglich den Zutritt so sicher, aber auch so effizient wie möglich zu managen. Gleichzeitig gilt es, alle Zutrittsereignisse revisionssicher zu dokumentieren. Dies zeigt die Marschrichtung bei der Digitalisierung und Automatisierung von Prozessen auf einem Campus mit Cloud-Rechenzentren.

Andreas Budich ist Chief Security Manager bei E-shelter, www.e-shelter.de.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Data-Vital Medizinische Software GmbH

Weitere Artikel zu Kleinelectronic GmbH

Matchmaker+