So funktioniert smarter Schutz für Rechenzentren

Ob Schutz unternehmenseigener Rechenzentren, Infrastrukturen großer Internetprovider oder Colocator: Mit der rasant steigenden Bedeutung und Verbreitung von Data Centern nehmen auch die Bedrohungen zu. Sie reichen von Cyber- und Hacker-Angriffen, die dem Netzwerk und den gespeicherten Daten gelten, bis hin zu Sicherheitsvorfällen und Naturkatastrophen. Oft werden dabei Gefahrenquellen unterschätzt: etwa die Brandgefahr, oder der unbefugte Zutritt von Personen, die versuchen, physisch auf die Einrichtung und letztlich auf die Server und die darauf vorhandenen Daten zuzugreifen. Ein umfassendes Sicherheitskonzept kombiniert deshalb vier Elemente: klassische Cybersecurity, physische Sicherheit, Brandschutz und eine ausfallsichere Energieversorgung.

Dabei sind insbesondere effektive Maßnahmen der aktiven und passiven Sicherheit (Security und Fire Safety) in Rechenzentren unerlässlich, damit die Daten sowohl vor externen als auch vor internen Bedrohungen geschützt sind. Laut HDI-Gerling, einem führenden Industrieversicherungs- und Sicherheitsberatungsunternehmen in Deutschland, kommt bei Herstellern, die dem Just-in-Time-Konzept folgen, oft innerhalb von 24 Stunden nach Verlust der Datenverarbeitungsfunktion der gesamte Betriebsablauf zum Erliegen. Bei Banken dauert es statistisch gesehen nur eineinhalb Tage länger, bis es zu einem Geschäftsstillstand kommt.

Den Rahmen für die sicherheitstechnische Ausstattung, aber auch für Leistung, Verfügbarkeit, Planung und Betrieb von Rechenzentren, bildet die europäische Normenreihe EN 50600 „Einrichtungen und Infrastrukturen von Rechenzentren“. In Deutschland setzt die DIN EN 50600 diese als „Regel der Technik“ um. In Teil 2.5 definiert die Norm vier sicherheitsrelevante Klassen, die sich wie die Schalen einer Zwiebel von außen nach innen steigern: Stufe 1 ist dabei die Stufe mit den niedrigsten Sicherheitsanforderungen, wie sie zum Beispiel für die Außenbereiche und -hülle des Gebäudes gelten, in dem das Rechenzentrum untergebracht ist. Die höchste Stufe 4 gilt hingegen in den Serverräumen und den systemrelevanten Bereichen.

Vor diesem Hintergrund bietet Siemens einen ganzheitlichen Ansatz für die Sicherheit in Rechenzentren. Dazu werden alle denkbaren Bedrohungen und ihr Einfluss auf die Infrastruktur und die Anlagen des Data Centers gemäß der DIN EN 50600 identifiziert. Im Bereich der physischen Sicherheit reicht das entsprechende Lösungsspektrum dabei von Perimeterschutz, Schleusensteuerung und Einbruchmeldung über Zutrittskontrolle und Besuchermanagement, Wareneingang und -ausgang bis hin zur Zutrittsregelung für sensible Zonen, wie etwa Serverräume. Intelligente Lösungen für die Videoüberwachung helfen bei der Analyse von Vorfällen. Ein Gefahrenmanagementsystem integriert alle Sicherheitsebenen und sorgt für Transparenz, Reaktionsgeschwindigkeit sowie durchgängige Kontrolle und Steuerung. Damit gewährleistet das System eine maximale Verfügbarkeit und Geschäftskontinuität.

Eine klare und effiziente Zutrittskontrolle der verschiedenen Zonen gewährleistet, dass nur berechtigte Personen Zugang zu verschiedenen Bereichen bekommen – und das zu den unterschiedlichsten Tages- und Nachtzeiten. Das TÜV-IT- und BSI-geprüfte System „SIPORT“ zum Beispiel ermöglicht die Umsetzung eines solchen zonenbasierten Zutrittskonzepts unter konsequenter Beachtung der Schutzklassen nach DIN EN 50600. Das heißt, Sicherheitsbereiche der Stufe 4 – wie Server- oder Kontrollräume – können nur von autorisierten Personen mit Zugangskarten, wie zum Beispiel einem Badge oder einer Smartcard, betreten werden. Darüber hinaus können Türen-Zugänge voneinander abhängig gemacht werden. So lässt sich beispielsweise eine Tür nur öffnen, wenn eine andere geschlossen ist, wie in einer Schleuse. Grundsätzlich kann der Zutritt zu jeder Zone zeit-, orts- und personenbezogen gesteuert werden.

Für höhere Schutzklassen ist zudem eine Multi-Faktor-Identifikation mit biometrischen Merkmalen umzusetzen. Die nahtlose Integration von Sensoren für Iris-, Venen- oder Gesichtserkennung ermöglicht dabei eine zweifelsfreie biometrische Identitätskontrolle. Zutrittskontrollsysteme von Siemens verfügen über die notwendigen Schnittstellen, um die neuesten biometrischen Erkennungsmethoden einzusetzen. Diese Schlüsselfunktionen erfüllen dabei höchste Sicherheitsanforderungen. Gleichzeitig werden sie den steigenden Leistungsanforderungen gerecht, die die Prozesse in Rechenzentren stellen.

Nicht zuletzt bieten modulare elektronische Zutrittskontrollsysteme, die individuell angepasst und konfiguriert werden können, ein hohes Maß an Flexibilität und Zukunftssicherheit. Neben der Zutrittskontrolle werden diese Systeme auch für die Ausweis- und Besucherverwaltung, die Zeitwirtschaft und die Anwesenheit eingesetzt. Sie können nahtlos in eine bestehende Systemumgebung integriert und für mehrere Gebäude an mehreren Standorten implementiert werden.

Ergänzend zur Zutrittskontrolle bildet der Einsatz von Videotechnologien die zweite Säule eines Sicherheitskonzepts für Data Center. Noch wichtiger als die Hardwarekomponenten sind dabei intelligente Software-Algorithmen. Sie helfen dabei, ständig wachsende Informationsmengen sinnvoll und effizient zu verarbeiten. Anstatt eine bestehende Monitorwand mit zahlreichen Displays zu erweitern, bietet Siemens die individuelle Integration von Sicherheitssensoren mit Kameraaufzeichnung in einem Dashboard.

Für die Überwachung im Außenbereich, zum Beispiel von Liegenschaften, ist meist aber der alleinige Einsatz von Videosensorik trotzdem nicht ausreichend. Besteht die Gefahr, dass die „Sicht“ der Kamera durch Witterungseinflüsse (wie starker Regen oder Nebel) oder durch sonstige Einflussfaktoren (wie Tiere oder Bewuchs) temporär eingeschränkt ist, kann die Anzahl von Fehlalarmen erheblich steigen und  das Sicherheitsniveau sich durch nicht erkannte Gefahren drastisch absenken.

Aus diesem Grund werden mittlerweile verschiedenste Sensoren zur Perimeterabsicherung in Kombination verwendet. Um auch unter ungünstigen Bedingungen einen optimalen Schutz zu ermöglichen, ist deshalb die Auswahl der richtigen Sensoren entscheidend. Soll zum Beispiel ein Gelände mit Wasserverlauf überwacht werden, würde eine reine Videosensorik aufgrund der wahrscheinlichen Nebelbildung nur eingeschränkt leistungsfähig sein. Der kombinierte Einsatz mit zum Beispiel Zaunsensoren oder Bodensensoren stellt eine perfekte Ergänzung dar. Denn Videokameras sind abhängig von den Sichtverhältnissen, Bodensensoren jedoch nicht.

Moderne Perimeterlösungen werden nach dem Sektorkonzept ausgelegt. Das zu überwachende Gelände wird hierbei in vier Sektoren (Öffentlicher Bereich, Perimetergrenze, Freifläche und Gebäude/Güter) unterteilt. Für alle vier Sektoren wird die optimale Kombination von Sensoren ausgewählt und entsprechend verknüpft. Im Sektorkonzept wird auch die Empfindlichkeit der Sensoren in Abhängigkeit vom Status der anderen Sensoren oder Sektoren dynamisch angepasst. Durch die Digitalisierung können verschiedenste Sensoren herstellerübergreifend innerhalb eines Systems kombiniert und mit weiteren verfügbaren Daten (zum Beispiel Wetterdaten) angereichert werden, um das Gesamtsystem robust gegen die vielfältigen Störeinflüsse (und daraus resultierende potenzielle unerwünschte Alarme) im Außenbereich zu machen.

Die Voraussetzungen für eine solche vernetzte Perimeterlösung schafft zum Beispiel Siveillance Perimeter. Mit dem System lassen sich Daten und Informationen zentral bündeln und in ein intelligentes Perimeterschutzkonzept einbinden. In modernen Schutzkonzepten ist es heute deshalb wichtig, nicht mehr nur die Kombination von verschiedenen Sensoren und Informationen zu berücksichtigen, sondern auch die Möglichkeit zu schaffen, deren Zusammenspiel auf Knopfdruck „just in time“ an das geforderte Sicherheitslevel anzupassen. Dies bedeutet, dass potenzielle Gefahrenlagen, Witterungsbedingungen oder Betriebsabläufe in definierten Betriebsmodi hinterlegt und abgerufen werden können. Das System kann somit situativ angepasst werden, auch automatisiert.

Solche vernetzten Lösungen bringen jedoch nicht nur neue Möglichkeiten mit sich, sondern auch neue Herausforderungen: Sie müssen insbesondere hohe Cybersecurity-Standards erfüllen, um die Betriebssicherheit des Rechenzentrums dauerhaft zu gewährleisten. Damit stellt sich die zentrale Frage nach der Erfüllung adäquater Cybersecurity-Standards nicht nur in Form übergeordneter Sicherheitskonzepte, sondern bereits ganz unmittelbar auf Feldebene. Das bedeutet: Direkt in den Geräten integrierte Sicherheitsfunktionen werden zu einem zentralen Baustein für jedes durchgängige Cybersecurity-Konzept.

Siemens begegnet dieser Situation mit dem Ansatz „Secure by Design“, der wiederum in eine „Defense in Depth“-Strategie eingebettet ist. Dabei handelt es sich um eine tiefengestaffelte Sicherheitsarchitektur, die in drei Schritten umgesetzt wird: Der erste Schritt beinhaltet die allgemeine physische Sicherheit, einschließlich den physischen Zugang zum Gebäude, organisatorische Maßnahmen wie Sicherheitsstrategien und die Überwachung der Anlage auf Abweichungen, die auf eine Cyberattacke hinweisen können. Der zweite Schritt, der Schutz der Netzwerke, umfasst die Installation einer Firewall und die Codierung der Datenübertragung. Der dritte Schritt konzentriert sich auf die Systemintegrität – den Schutz der einzelnen Terminals und Systeme vor einem Zugriff durch unautorisierte Personen und gegen unautorisierte Änderungen. Potenzielle Angreifer müssen folglich mehrere Hindernisse überwinden, was aufwändiger ist und mehr Zeit in Anspruch nimmt als das bloße „Knacken“ einzelner Sicherheitsmaßnahmen. 

Doch nicht nur kriminelle Energie, auch andere Gefahren sind in Sicherheitskonzepten für Rechenzentren zu berücksichtigen: Tatsächlich sind Brände die häufigste Ursache für Betriebsunterbrechungen in Data Centern. Sie entstehen zum Beispiel aus Schwelbränden in der Verkabelung. Siemens bietet hierfür spezifische Brandschutzlösungen. Das Ziel dabei ist es immer, einen entstehenden Brand möglichst früh zu erkennen und wirkungsvoll zu bekämpfen.

So genannte Ansaugrauchmelder (Aspirating Smoke Detectors, ASD), die in den Serverräumen installiert werden, nehmen über ein Ansaugrohrnetz permanent Luftproben und untersuchen sie auf Rauchpartikel. Erkennt der Melder einen Brand, werden automatisch Gaslöschsysteme ausgelöst, die den Raum innerhalb kürzester Zeit mit einem Löschgas fluten und – anders als Wasser oder Schaum – rückstandslos löschen.

Löst bei einem Brand in einem Data Center eine automatische Gaslöschanlage aus, können Festplatten aufgrund der daraus resultierenden Schallschwingungen Schaden nehmen. Die möglichen Folgen reichen vom automatischen Herunterfahren bis zum Datenverlust. Für die sichere und leise Löschung hat Siemens deshalb die Silent Extinguishing Technology entwickelt.

Von Zutrittskontrolle und Perimeterschutz bis hin zu Besucherverwaltung und Brandschutz– mit ganzheitlichen Sicherheitskonzepten und einem umfangreichen Portfolio trägt Siemens wesentlich dazu bei, die Betriebsabläufe in Rechenzentren zu schützen und damit eine maximale Geschäftskontinuität zu gewährleisten.