Mehrstufiges Konzept

Nicht immer geht es bei Datensicherheit nur um in sich geschlossene Systeme oder einen stabilen Ring von Firewalls, um Hackerangriffen erfolgreich zu widerstehen. Auch die Rechenzentren selbst müssen vor ungebetenen Besuchern geschützt werden. „Sicherheit ist für uns ein überaus wichtiges Thema, das wir sehr ernst nehmen“, berichtet daher Tim Fäsecke, Bereichsleiter Technik beim Hagebau Datendienst und Ansprechpartner in allen Fragen rund um das neue Rechenzentrum.

Der Hagebau mit Sitz in Soltau sind heute über 360 rechtlich selbstständige, mittelständische Unternehmen des Groß- und Einzelhandels mit europaweit mehr als 1.600 Standorten angeschlossen. Das bisherige Rechenzentrum der Kooperation war in Soltau untergebracht. Doch nicht nur unter baulichen Aspekten entsprach es kaum noch den Anforderungen an ein zukunftsorientiertes und weiter expandierendes Unternehmen.

Eine entsprechende Lösung war also dringend gefragt. Im vergangenen Oktober konnte die Hagebau schließlich ihr neues Rechenzentrum mitten in Hamburg in Betrieb nehmen. Um höchste Datensicherheit zu gewährleisten, existieren räumlich getrennt voneinander zwei Rechenzentren, die synchron arbeiten. Doch damit nicht genug: In einem dritten Gebäude, das ausschließlich eine Backup-Funktion wahrnimmt, werden die Daten nochmals gespiegelt und somit gesichert.

Eigentlicher Betreiber der Rechenzentren im technischen Sinne ist die 1966 gegründete Dokumenta AG, die mittlerweile zu den führenden IT-Service-Providern Norddeutschlands zählt. Die Hagebau ist natürlich nicht der einzige Kunde, der die Räumlichkeiten in Hamburg nutzt. Für mehr als 100 Unternehmen ist Dokumenta als Dienstleister tätig und stellt Teile seiner Räumlichkeiten zur Verfügung.

Die Hagebau zählt hier zu den Big-Playern, so dass Dokumenta auch Sicherheitsstandards der Kooperation für die insgesamt drei Gebäude berücksichtigt und integriert hat. Bezogen auf den virtuellen Schutz der Daten arbeitet die Hagebau mit einem geschlossenen Netz. Nach Angaben von Tim Fäsecke wurde bewusst keine Public-Cloud-Lösung gewählt, sondern die Gesellschafter gelangen von ihrem jeweiligen Standort aus über eine Telekom-MPLS-Leitung (Multiprotocol Label Switching) in die eigene Cloud.

Mit anderen Worten: das Rechenzentrum ist nicht über einen normalen Internet-Browser zugänglich. Der Hagebau Datendienst hat hier von Anfang an mehr auf Sicherheit als auf Mobilität gesetzt. Natürlich kommen heute als Ergänzung der Warenwirtschaft auch Apps zu Einsatz. Allerdings sind diese mit einer eigenen Sicherheitsarchitektur versehen.

Die drei Rechenzentren sind in Stadtnähe untergebracht und erinnern eher an Bürobauten. „Diese Unscheinbarkeit ist durchaus gewollt und unterstreicht den Sicherheitsanspruch“, sagt Tim Fäsecke. Die beiden Hauptgebäude bestehen jeweils aus einem Untergeschoss mit Tiefgarage, dem Erdgeschoss plus zwei Etagen. Insgesamt beträgt die Nutzfläche pro Gebäude rund 2.400 Quadratmeter.

Die beiden Hauptgebäude haben jeweils vier Außenzugänge inklusive der Tiefgarage. Um ins Gebäude zu gelangen, müssen berechtigte Personen stets unterschiedliche beziehungsweise mehrstufige Zutrittskontrollen durchlaufen.

In Hamburg kommen sowohl Schließsysteme mit PIN-Code, Kartenlesegeräte und Systeme mit biometrischer Erkennung zum Einsatz. Je nach Zugangstür ist die Kontrolle dabei mindestens zweistufig ausgelegt. Grundsätzlich haben nur berechtigte Personen Zutritt zum Gebäude. Dies gilt selbstverständlich für alle Nutzer des Rechenzentrums. Bei der Hagebau haben zwei Personen uneingeschränkten Zugang. Andere Mitarbeiter erhalten zeitlich begrenzte Berechtigungen zu den Gebäuden. Dabei achtet man ganz besonders darauf, dass immer nur ein sehr kleiner Personenkreis darüber informiert ist, wer gerade Zugang zum Rechenzentrum hat.

Die Hagebau Handelsgesellschaft für Baustoffe mbH & Co. KG wurde 1964 gegründet. Mehr als 360 rechtlich selbstständige, mittelständische Unternehmen im Groß- und Einzelhandel mit über 1.600 Standorten in Europa haben sich der Kooperation angeschlossen.

Über die Zentrale mit Sitz in Soltau beziehen die angeschlossenen Handelshäuser umfangreiche Leistungen insbesondere in den Bereichen Einkauf, Vertrieb, Systeme, Logistik, Marketing und Finanzberatung. Das Ziel der Zentrale ist, das Tagesgeschäft der Partner umfassend zu unterstützen.

Rund 800 Mitarbeiter sind dafür in der Soltauer Zentrale beschäftigt, davon allein über 200 im Hagebau Datendienst. Mit einem im vergangenen Geschäftsjahr zentralfakturierten Nettoumsatz (sämtliche über die Zentrale bezogenen Waren und Dienstleistungen) von 6,1 Milliarden Euro nimmt die Hagebau Gruppe nach eigenen Angaben einen Spitzenplatz in der Branche ein.

Diese Sonderzu-gangsberechtigung ist darüber hinaus in der Personalakte des jeweiligen Mitarbeiters hinterlegt. Im Falle seines Ausscheidens werden sämtliche Zugangsdaten umgehend gelöscht. Darüber hinaus ist der Hagebau Datendienst darauf eingerichtet, einzelne Aspekte in der IT-Architektur jederzeit generisch zu verändern, so dass Detailkenntnisse – untechnisch formuliert – keinesfalls zur Überwindbarkeit des Systems führen können. Und jede Zugangsberechtigung ist zeitlich befristet und wird für maximal ein Jahr erteilt. Das Zeitfenster ist ebenfalls in der jeweiligen Personalakte dokumentiert.

Grundsätzlich muss sich jeder, der ins Gebäude will, zuallererst beim Pförtner anmelden und legitimieren. Auch der Grund des Besuchs muss genannt werden. Somit ist der Pförtner in dem praktisch rund um die Uhr besetzten Gebäude eine weitere wichtige Sicherheitsstufe. Um weiter ins eigentliche Gebäude zu gelangen, passieren die berechtigten Personen eine Vereinzelungsschleuse.

Durch diese gelangen sie nur, wenn sie über eine entsprechende Key-Card und einen personenzugewiesenen PIN beziehungsweise eine Key-Card mit gespeichertem Fingerabdruck verfügen. Erst nach Überwindung dieser Zwei-Wege-Authentifizierung gelangt man ins Herz des Rechenzentrums.

Als zusätzliche Maßnahme sind die Server der Hagebau in den separaten Rechnerräumen nochmals durch verzinkte Gitterboxen gesichert, die sich ebenfalls nur von berechtigten Personen öffnen lassen. „Falls einmal jemand sämtliche Kontrollen überwinden sollte und es tatsächlich bis mitten ins Zentrum schafft, muss er zumindest noch diese letzte mechanische Barriere überwinden, um hier vor Ort einen direkten Zugang in unser eigentliches System zu bekommen“, so Fäsecke weiter.

Doch bis jemand dahin gelangt, hätte das elektronische Einbruchmeldesystem, zu dem auch die komplette Videoüberwachung im Gebäude zählt, bereits mehrmals Alarm ausgelöst. Alle Alarmsignale werden übrigens direkt an eine Sicherheitszentrale weitergeleitet. Dies gilt nicht nur für mögliche Einbrüche, sondern auch bei Rauch- oder Feuerentwicklung.

Die Gebäude werden durch „Sniffer-Systeme“ rund um die Uhr „beschnuppert“. Dadurch erhält die Feuerwehr bereits ausreichend lange vor dem tatsächlichen Ausbruch eines Brandes entsprechende Alarmhinweise und kann rechtzeitig vor Ort sein. Das System arbeitet so präzise, dass der Feuerwehr im Gebäude exakt der lokalisierte Gefahrenabschnitt angezeigt wird.

Von außen sind die Gebäude zusätzlich mit einem videoüberwachten Zaun gesichert. Das Zufahrtstor zum Gelände beziehungsweise zur Tiefgarage öffnet sich nur für autorisierte Besucher und schließt wieder nach einem sehr eng gefassten Zeitfenster.

Nachts und an den Wochenenden behält ein Sicherheitsdienst die Gebäude zusätzlich im Auge. Kommen Dienstleister ins Spiel, werden diese durch einen der autorisierten Mitarbeiter bereits mit einem Vorlauf von 60 Minuten per Anruf und unter entsprechender Legitimation beim Pförtner angemeldet.

Je nach Einsatzgrund, beispielsweise bei nicht routinemäßigen Arbeiten, sind zusätzlich immer auch automatisch autorisierte Mitarbeiter des Hagebau Datendienstes mit vor Ort. Sämtliche Facility Services wie beispielsweise die Gebäudereinigung werden über den Betreiber Dokumenta angeboten, organisiert und umgesetzt. Sicherheitslücken bestehen hierdurch aber nicht, wie Fäsecke weiß.

Mögliche Lücken lauern ganz woanders, denn vor Cyber-Attacken ist heute niemand zu 100 Prozent sicher – trotz sämtlicher Frühwarnsysteme und einem permanenten Monitoring. Nach Angabe von Fäsecke besteht die größte Gefahr durch mögliche Angriffe tatsächlich von innen. „Es könnte beispielsweise sein, dass nachlässig gearbeitet wird. Nachlässigkeit bedeutet immer Fehler, und Fehler machen angreifbar. Oder es wandert Know-how ab, wobei die Abwanderung für sich allein genommen noch nicht unbedingt das Problem ist.

Entscheidend ist jedoch, wenn Kenntnisse über die Architektur einer Software-Landschaft verloren gehen. Oft sind es gerade diese Kenntnisse, die irgendwann ein System schwächen. Ich nenne nur Edward Snowden! Kenntnisse der Software- und Sicherheitsarchitektur eines Systems ermöglichen es letztlich auch, Zugriffe im Sinne des Datenexports durchzuführen. Um solch ein Risiko so gering wie möglich zu halten, führen wir regelmäßig Black- und vor allem White-Box-Tests durch, die uns Fehler im System frühzeitig erkennen lassen. Und trotzdem: Ein Restrisiko bleibt immer.“

Sollte es trotz aller Sicherheitsstufen Zwischenfälle geben, wird der Hagebau Datendienst die angeschlossenen Gesellschafter bereits im Vorfeld präventiv informieren, damit an den einzelnen Standorten entsprechend reagiert werden kann. Nicht zuletzt würden in Hamburg im Zweifelsfall sämtliche Systeme abgeschaltet, um den Schaden für die einzelnen Häuser beziehungsweise für die Zentrale so gering wie möglich zu halten.

Matthias Fischer