Sicherheit von Rechenzentren – Kampf an zwei Fronten

Laut einer aktuellen Umfrage des Beratungsunternehmens Arcadis gehört Deutschland bei Betreibern von Rechenzentren vor allem aufgrund der hohen Datennachfrage und Sicherheit zu einem der attraktivsten Standorte in Europa. Das liegt vor allem daran, dass Deutschland das bevölkerungsreichste Land Europas und die weltweit viertgrößte Volkswirtschaft ist. Darüber hinaus spielt die hohe Energiesicherheit, stabile Netze, intensive mobile Breitbandnutzung sowie der hohe Standard beim Thema Cybersicherheit eine wichtige Rolle. Diesen Trend sehen auch Investoren aus dem Industrieimmobiliensektor. Aus dem Data Center Outlook 2021 Wirtschaftsprüfungsgesellschaft Pricewaterhouse Coopers (PwC) geht hervor, dass rund 41 % der Investoren kurzfristig in Rechenzentren investieren möchten.

Um der stetig steigenden Nachfrage in Bezug auf Bandbreite und Funktionen gerecht werden zu können, steigt auch der Druck auf Betreiber von Rechenzentren, durch Fusionen, Übernahmen und neue Standorte entsprechende Kapazitäten bereitzustellen. Gleichzeitig bedeutet dies aber auch neue Herausforderungen für Sicherheitsteams, die etwa verschiedene Sicherheitstechnologien und -prozesse vereinheitlichen müssen, ohne die immer komplexeren Vorgaben in Bezug auf Datenschutz und Informationssicherheit zu vernachlässigen. 

Nicht zuletzt seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und den hohen Anforderungen der Norm ISO 27001, deren Einhaltung Sicherheitsverantwortliche nachweisen müssen, kommt dem Management physischer Sicherheitssysteme besondere Bedeutung zu. So ermöglicht es beispielsweise Artikel 15 der DSGVO jedem Bürger, die Herausgabe von Videoaufzeichnungen zu beantragen. Dennoch dürfen in diesen Videoaufzeichnungen die Persönlichkeitsrechte anderer nicht beeinträchtigt werden. Das bedeutet eine logistische Herausforderung für Sicherheitsteams, die sich nicht auf die automatische Anonymisierung unbeteiligter Dritter verlassen wollen. Eine einzelne fehlerhafte Aufnahme kann zu empfindlichen Strafen und Reputationsverlust für das Unternehmen führen.

Darüber hinaus steigt die Bedrohung der Cybersicherheit rasant, da sich nicht nur die Zahl an Angriffen deutlich erhöht, sondern auch die Strategien immer komplexer und geschickter werden. Rechenzentren schützen die gespeicherten Daten vor Ort gegen Cyberangreifer und bieten einen deutlich höheren Schutz als heimische Computer. Zurecht verlassen sich sicherheitsbewusste Unternehmen und Privathaushalte auf den umfassenden Schutz ihrer Daten in der Cloud. Umso gravierender wären die Folgen für Betreiber bei einem erfolgreichen Cyberangriff.

Die zentrale Frage lautet also: Wie können Rechenzentren ihre Sicherheitsinfrastruktur vereinheitlichen, die Daten ihrer Kunden effektiv schützen und gleichzeitig standortübergreifend reibungslos arbeiten?

Cyberkriminalität ist ein weltweites Problem, das jeden immer und überall treffen kann. Angreifer suchen sich über einen längeren Zeitraum Möglichkeiten, um Daten zu entwenden oder Schadsoftware zu installieren, mit der sie Schwachstellen ausnutzen, um von außen Zugang zum System zu erhalten. Eine weitere Möglichkeit ist der manuelle Versuch, einen Angriff mithilfe eines infizierten Endgeräts (zum Beispiel USB-Stick) vor Ort zu initiieren. Professionelle Cyberkriminelle erkunden das System so lange nach Schwachstellen, bis sie sich häufig unentdeckt sensible Daten über einen längeren Zeitraum zu eigen machen können.

Eine gute Cyberhygiene wird für Unternehmen also zum entscheidenden Faktor. Diese lässt sich aber nur mit einer optimalen Kombination aus personellen Ressourcen, Prozessen und Technologien effektiv umsetzen. Es wird deutlich, dass Cybersicherheit kein reines IT-Thema innerhalb einer siloartigen Unternehmensstruktur mehr ist.

Ein weiterer wichtiger Aspekt der Cyberhygiene ist die Zutrittskontrolle. Sowohl Mitarbeiter von Rechenzentren als auch externe Dienstleister oder Besucher benötigen regelmäßigen Zutritt zu geschützten Bereichen. In diesem Kontext gewinnt die Zutrittskontrolle innerhalb eines Unternehmens enorm an Bedeutung. Wer Angreifern nicht Tür und Tor zu seinem System öffnen möchte, sollte den Zugang zu Servern und Racks angemessen einschränken, überwachen, überprüfen und auch die Software regelmäßig aktualisieren. Wird vor Ort ein USB-Speichergerät an einen der Server angeschlossen, werden IT-Abteilungen umgehend alarmiert. Allerdings wissen sie dann meist noch nichts über die Situation vor Ort. Umso wichtiger ist es daher, dass solche Alarme auch an ein Videomanagementsystem angeschlossen sind. Dieses schaltet unmittelbar nach einem ausgelösten Alarm auf die nächstgelegene Videoüberwachungskamera und erleichtert es Sicherheitsteams, die Situation einzuschätzen und schneller zu reagieren.

Das Beispiel zeigt: Eine abteilungsübergreifende Zusammenarbeit von HR, Werkschutz, sowie IT-Security ist entscheidend, um Rechenzentren optimal zu schützen. Drei Schritte sind dabei elementar:

Unternehmen sollten immer wissen, wer Zugang zu bestimmten Bereichen hat und von wem diese Zutrittsrechte wann vergeben wurden. Damit lassen sich gesetzliche Vorgaben einhalten und ein reibungsloser Personenfluss auf dem gesamten Firmengelände sicherstellen. Die Vergabe solcher Zutrittsrechte erfolgt meist in mehreren Schritten und erfordert die Aufmerksamkeit zahlreicher Personen. Spätestens wenn die Autorisierung manuell im Zutrittskontrollsystem verwaltet werden muss, steigt die Fehleranfälligkeit enorm. Social Engineering ist in Rechenzentren nicht umsonst ein beliebtes Einfallstor für Kriminelle.

Abhilfe schafft hier der Einsatz einer physischen Identitäts- und Zutrittsverwaltungslösung, die physische Sicherheit und IT-Security miteinander verbindet, um Arbeitsabläufe kosteneffizient zu automatisieren und die Gefahr menschlicher Fehler zu beseitigen.

Betreiber von Rechenzentren sollten daher auf eine flexibel skalierbare und vereinheitlichte Sicherheitsplattform setzen, die alle notwendigen Anforderungen abdecken kann. Ein großer Vorteil eines solchen Systems ist unter anderem die automatisierte zeitlich begrenzt Vergabe von Zutrittsrechten. Externe Dienstleister erhalten beispielsweise temporär Zugang zu bestimmten Bereichen, um ihre Arbeit zu erledigen. Nach einem festgelegten Zeitraum verfällt die Berechtigung, ohne dass eine manuelle Deaktivierung notwendig ist. Automatisierung spielt genau dort ihre Stärken aus, wo keine manuellen Eingriffe erforderlich sind.

Wer seine Ressourcen und das Fachwissen aus dem gesamten Unternehmen bündelt, profitiert von einer vereinheitlichten Plattform, die über weit mehr Funktionen verfügt als siloartig aufgebaute Systeme. Damit lassen sich Prozesse vereinfachen und sich überschneidenden Systemen vermeiden, die aufgrund mangelnder Integration „Blind-Spots“ im täglichen Betrieb verursachen.

Ein Betriebsgelände besteht aus zahlreichen sich überschneidenden Perimetern, die jeweils individuelle Zutrittsrechte, eigene Risikoprofile und gesonderte betriebliche Anforderungen besitzen. Besonders Rechenzentren haben teils sehr spezifische Anforderungen. Neben der Zutrittskontrolle des gesamten Unternehmensgeländes muss sogar der Zugang zu bestimmten Datenhallen, Räumen oder sogar einzelnen Server-Racks dynamisch steuerbar sein. 

Die Antwort ist hier ein mehrschichtiger Ansatz. Wer einen unbefugten Zutritt frühzeitig erkennen möchte, sollte sich nicht nur auf einen einzigen Sensor oder ein Analysegerät verlassen. Damit kann der Perimeterschutz auch aufrecht erhalten werden, wenn ein Endgerät oder ein Prozess versagt. Im Zuge eines effektiven Schutzes lassen sich unter anderem Videoüberwachung, Nummernschilderkennung, Biometrie, Lidar oder Zaunsysteme kombinieren. Darüber hinaus sollten diese Technologien nicht manuell vom Sicherheitspersonal überwacht werden, da die hohe Anzahl an Informationen schnell dazu führen können, dass wichtige Ereignisse übersehen oder erst zu spät erkannt werden - gerade der zeitliche Aspekt kann in kritischen Situationen entscheidend sein. Eine Untersuchung des Ponemon Institute zeigt, dass ein ausgefallenes Rechenzentrum das Unternehmen pro Minute durchschnittlich rund 9.000 US-Dollar kostet.

Wer also Bedrohungen frühzeitig erkennen und rechtzeitig notwendige Schritte einleiten möchte, sollte auf ein automatisiertes Alarmsystem und einen strukturierten Prozess setzen, der das gesamte Personal im Ernstfall Schritt für Schritt anleitet. Ein vereinheitlichtes System kann seine Stärken besonders in Situationen ausspielen, die zwar eine Sicherheitsbedrohung darstellen, für einen Menschen im ersten Moment aber nur sehr schwer zu erkennen sind. Dazu gehören externe Dienstleister, die unbefugt einen bestimmten Bereich betreten oder ein Gerät, das unerwartet offline geht. Moderne Lösungen erkennen solche Situationen und markieren diese für mögliche Untersuchungen.

Ein sehr wichtiger, weil häufig unterschätzter Schritt ist der Schutz der physischen Sicherheitssysteme selbst vor Cyberangriffen. Immer häufiger nutzen Angreifer diese Software als Zugangspunkt zum gesamten Firmennetzwerk. Mehr als 90 % aller IoT-Angriffe erfolgen über Router und angeschlossene Kameras.

Videoüberwachungskameras, Lesegeräte für die Zutrittskontrolle oder Alarm-Panels sind heute IoT-Endgeräte, deren Software Sicherheitslücken enthalten kann. Zahlreiche Risiken lassen sich bereits mit einfachen Mitteln beseitigen, indem beispielsweise die neueste Firmware installiert wird und Standardkennwörter ausgeschlossen werden. Diese Sicherheitslücken lassen sich nur abteilungsübergreifend schließen, um vermeidbare Ausfallzeiten des Rechenzentrums zu umgehen.

Die automatische Aktualisierung von Kernsystemen und -geräten ist eine der Hauptaufgaben von IT-Abteilungen, steht bei physischen Sicherheitsverantwortlichen in der Regel aber nicht im Vordergrund. Genetec zeigte in einer repräsentativen Studie aus dem Jahr 2021, dass 68 % aller direkt mit dem Netzwerk verbundenen Videoüberwachungskameras mit veralteter Firmware laufen. Mehr als die Hälfte dieser Kameras wiesen bekannte Schwachstellen auf, die mit einem einfachen Sicherheitsupdate hätten behoben werden können. Durch eine automatisierte Verwaltung von Firmware und Passwörtern wäre dieses Risiko einfach zu vermeiden 

Rechenzentren bleiben Vorreiter für technische Innovationen. Die rasant steigende Nachfrage nach Datenspeicherung und -verarbeitung im Zuge der industriellen Digitalisierung werden auch in den kommenden Jahren für ein starkes Branchenwachstum sorgen. Vor diesem Hintergrund ist eine gemeinsame Planung von physischer und Cybersicherheit von enormer Bedeutung. Grundlage hierfür ist ein modernes Sicherheitssystem, das flexibel skalierbar ist, sich dadurch allen aktuellen und zukünftigen Anforderungen anpasst und sich stetig weiterentwickelt.

Gleichzeitig müssen Unternehmen die immer umfangreicheren gesetzlichen Vorgaben einhalten und mit komplexeren Sicherheitsbedrohungen umgehen können, ohne die Bedürfnisse ihrer Kunden aus den Augen zu verlieren. Ein Kernelement dieser Überlegung ist eine vereinheitlichte Sicherheitsplattform, die alle Anforderungen zentralisiert und damit die Sicherheitsrisiken nachhaltig verringert, die Entscheidungsfindung unterstützt und die Einhaltung von gesetzlichen Vorschriften und Compliance-Vorgaben fördert.

Kay Ohse, Regional Vice President DACH bei Genetec