computerwoche.de

Security

Schutz geschäftskritischer Daten

Sicherheit im Rechenzentrum

12.08.2008
Von Dirk Pelzer
Rechenzentren haben sich für viele Unternehmen zur Schaltzentrale entwickelt, ohne die sich der reguläre Geschäftsbetrieb nicht aufrechterhalten lässt. Dem Schutz des Rechenzentrums, der dort laufenden Applikationen und den geschäftskritischen Daten kommt somit eine zentrale Bedeutung zu.

So manchem Entscheider ist gar nicht bewusst, dass er je nach Rechtsform und Art des Unternehmens mehr oder minder strengen Gesetzen und Verordnungen unterworfen ist, die dazu verpflichten, dessen Fortbestand auch im Fall von Naturereignissen oder Terrorakten zu gewährleisten. Durch die Eigenkapitalvereinbarung "Basel II" und die Standards zur Vergabe von Krediten kommt es verstärkt darauf an, Risiken des IT-Betriebs einschätzen zu können. Die Firmen-IT ist häufig eng mit kritischen Bereichen wie Buchhaltung, Warenwirtschaft oder Produktionssteuerung verzahnt oder stellt sogar die Grundlage des Geschäftsmodells dar. Daher müssen die Sicherheit des Rechenzentrums (RZ) im Allgemeinen und die häufig unterschätzte physikalische Absicherung im Besonderen in den Mittelpunkt des Interesses rücken. Dies gilt nicht nur für große Konzerne, Banken und Versicherungen, sondern zunehmend auch für Mittelständler und ist unabhängig davon, ob das Unternehmen ein eigenes Rechenzentrum betreibt oder RZ-Dienstleistungen über einen Provider einkauft.

Sicherheit beginnt mit der Planung

Um herauszufinden, welche physikalische Sicherheit sie brauchen, sollten Unternehmen methodisch vorgehen und mindestens einen Verantwortlichen für das Thema benennen. Auf diese Weise lässt sich mit vertretbarem Aufwand ein auf die jeweilige Organisation zugeschnittenes Sicherheitskonzept entwickeln.

Am Anfang der Planung sollte in jedem Fall die Anforderungsanalyse stehen. Hierbei handelt es sich um eine Risikoabschätzung im Hinblick auf mögliche Gefahren, die sich beispielsweise durch die Art des Geschäftsbetriebs, den Standort des RZ und weitere Faktoren ergeben. Als Nächstes gilt es, die erforderlichen Schutzmaßnahmen samt technischer Umsetzung zu ermitteln. Da sich die Parameter im Lauf der Zeit ändern, sollte alles schriftlich dokumentiert und im Sinn eines Qualitäts-Managements regelmäßig überprüft werden. Nur so kann Sicherheit dauerhaft aufrechterhalten werden.

Peter Heinemann, Senior Consultant bei Interxion: Optimale Abstimmung der Komponenten statt technisch perfekte Detaillösung.
Peter Heinemann, Senior Consultant bei Interxion: Optimale Abstimmung der Komponenten statt technisch perfekte Detaillösung.

"Wird der Betrieb eines eigenen RZ in Betracht gezogen, ist es wichtig, eine Vision zu entwickeln und diese während der gesamten Planung und Umsetzung im Auge zu behalten", rät Peter Heinemann, der als Senior Consultant beim Frankfurter Rechenzentrumsbetreiber Interxion tätig ist. "Essenziell ist zudem, nicht die technisch perfekte Detaillösung anzustreben, sondern auf eine optimale Abstimmung der einzelnen Elemente zu achten."

Anhaltspunkte, welche Anforderungen bei der physikalischen Sicherheit zu berücksichtigen sind, liefern beispielsweise das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), der BSI-Standard 100-2 oder die ISO-Norm 27001:2005. Bei Bedarf kann sich ein RZ-Betreiber beispielsweise vom TÜV gemäß ISO 27001 zertifizieren lassen, um den eigenen Qualitätsstandard zu dokumentieren.