Ohne IT wäre jedes Unternehmen nur die Hälfte wert. Um Angriffe von außen und innen gut abwehren zu können, ist eine umfassende Zutrittskontrolle zum Rechenzentrum das A und O. Denn nicht alle "Gäste" in den Serverräumen sind willkommen. Compliance-Regeln verpflichten die Unternehmen zudem dazu, IT-Security-Management-Systeme auf ITIL- oder Basel II-Basis zu implementieren. Die herkömmliche Sicherung des Data Center besteht aus einer mechanischen oder digitalen Schließanlage, die nur von einem berechtigten Personenkreis mittels eines Ausweises und/oder PIN-Code-Eingabe durchgangen werden kann - in hochkritischen Bereichen sind auch Sicherheitsschleusen keine Seltenheit. Fortschrittliche Schutzverfahren wie Biometrie oder RFID setzen sich zudem mehr und mehr durch - häufig zusätzlich zu bestehenden Sicherungen.
Dieser Artikel erläutert anhand von Beispielen aus der Praxis, wie eine wirksame Zutrittskontrolle im Rechenzentrum aussehen kann. Im Idealfall werden mehrere Sicherheitstechnologien miteinander kombiniert, um den maximalen Schutz zu gewährleisten. Für den schnellen Überblick eine kurze Bilderstrecke, die ausführlichen Erläuterungen gibt es dann auf den nächsten Seiten.
Lesen Sie auf der folgenden Seite zunächst etwas über die grundlegenden und traditionellen RZ-Schutzmechanismen.
Authentifizierung, Identifizierung und Verifizierung
Um eine sichere biometrische Zutrittskontrolle zu gewährleisten, müssen Personen, die ein Unternehmen beziehungsweise Gebäude betreten wollen, von einem System eindeutig erkannt werden. Häufig fallen Begriffe wie Authentifizierung, Identifizierung und Verifizierung.
Bei der Identifizierung werden die biometrischen Erkennungsmerkmale mit mehreren oder allen im biometrischen System gespeicherten biometrischen Referenzen verglichen. Dagegen bedeutet eine Verifizierung, dass die biometrischen Erkennungsmerkmale mit einer im biometrischen System gespeicherten biometrischen Referenz verglichen werden. Unter Authentifizierung versteht man ein Verfahren zur Feststellung der Identität einer Person, um zum Beispiel den Zugang zu technischen Systemen oder Gebäuden zu ermöglichen beziehungsweise zu kontrollieren.
Traditionelle Absicherung und Überwachung
Foto: Unisys
Der Markt bietet eine Fülle von Produkten für die Absicherungen von Serverräumen und Datenzentren. Die klassische Form der Zugangskontrolle erfolgt mit einem Schlüssel inklusive Schließanlage. Moderne Schließanlagen besitzen elektronisch kodierte Schlüssel und Schließzylinder, die über eine zentrale computergestützte Leitstelle verwaltet werden. Allerdings bieten diese Möglichkeiten keinen sicheren Schutz gegen den Zutritt von unbefugten Personen, die sich durch Diebstahl den Schlüssel angeeignet haben, da keine Authentifizierung der Personen erfolgt. Das Gleiche gilt für elektronische Schlüssel, wie etwa RFID-basierte Firmenausweise oder Zugangskarten mit Magnetstreifen.
Eine weitere, oft genutzte Zutrittskontrolle ist die PIN-Code-Eingabe per Tastenfeld. Aber auch diese Methode bietet keinen hinreichenden Zutrittsschutz, da keine Authentifizierung der Personen stattfindet und das Verfahren anfällig für das Ausspähen der PIN-Nummer ist. So können beispielsweise Personen mit einer versteckten Videokamera den Zutrittsberechtigten bei der PIN-Eingabe beobachten und somit in den Besitz der Ziffernkombination geraten.
Um Personen gezielt in einem Gebäude oder Raum zu überwachen, werden digitale Videokameras verwendet. Diese Systeme arbeiten autark ohne Personaleinsatz und zeichnen alle Aktivitäten auf. Solche Videoeinrichtungen werden üblicherweise zusammen mit Bewegungsmeldern, Öffnungssensoren für Rack- und Raumtüren, Glasbruchsensoren oder Vibrationssensoren betrieben.
Die Videokamera - das oft unterschätzte Medium: Auf der nächsten Seite erläutern wir, wie sie die visuelle Raumüberwachung richtig einsetzen.
Raumüberwachung per Videokamera
Die traditionelle Videoüberwachung mittels eines Videobeobachters ist heute noch ein probates Mittel, Serverräume zu überwachen. Dabei werden per Videokameras alle sicherheitsrelevanten Räume beziehungsweise Bereiche ständig auf einer Multivisionswand kontrolliert. Allerdings ist diese Methode sehr personalintensiv und damit teuer. Darüber hinaus haben Untersuchungen von IMS Research ergeben, dass nach zirka 22 Minuten die Konzentration eines Bildschirmbeobachters so stark sinkt, dass er bis zu 95 Prozent der Aktivitäten auf den Bildschirmen nicht mehr wahrnimmt. Damit ist diese Art der Zutrittskontrolle auf unübersichtlichen Monitorwänden obsolet.
Intelligente Videoüberwachung
Foto: Unisys
Diese Überwachungsmethode basiert auf einer modularen Architektur, die aus dem digitalen Audio- / Bildaufzeichnungssystem sowie hochwertigen Kameras, Mikrofonen, Lautsprechern und Zutrittskontrollsystemen besteht. Die einzelnen Komponenten werden speziell nach Ihren Anforderungen (Einsatzort, Wetterbedingungen) ausgewählt, damit sie immer einsatzbereit sind. Alle Aufzeichnungssysteme sind an eine zentrale Überwachungsstation (bei mehreren Standorten oder Gebäudeteilen) angeschlossen, welche die Bilder von den verschiedenen Standorten überwacht und für die Informationsverarbeitung an das Netzwerk weiterleitet. Die moderne Videoüberwachung ist dank ausgefeilter Software in der Lage, verschiedene Gefahrensituationen zu erkennen und entsprechend einen Alarm auszulösen. In Innenräumen können so zum Beispiel Sicherheitsbereiche definiert werden, zu denen Personen keinen Zutritt haben oder in denen keine Gegenstände abgestellt werden dürfen. Moderne Videokameras erkennen mittlerweile selbstständig, wenn Unbefugte diese manipuliert beziehungsweise verstellt haben.
Die Kontrolle der Videosysteme kann dezentral von jedem berechtigten Bedienplatz in einem Netzwerk erfolgen und erfordert somit keinen festen Überwachungsplatz. Jede Kamera kann einzeln oder gleichzeitig mit anderen Kameras Bereiche überwachen. Darüber hinaus werden die aufgezeichneten Bilder beziehungsweise Videos automatisch auf einem zeitlimitierten Backup-System zur eventuellen Überprüfung zwischengespeichert.
Der folgende Textabschnitt dreht sich rund um biometrische Zutrittssysteme wie 3D-Gesichtserkennung.
Praxisnaher Einsatz biometrischer Zutrittssysteme
Biometrische Zutrittssysteme bringen sowohl für mittelständische Unternehmen als auch für große Firmen und sogar für Privathaushalte eine Vielzahl von Vorteilen mit sich. Ein solches System besteht im Allgemeinen aus Lesegeräten, einer zentralen IT und einer Software für die Verwaltung der Datensätze und der dazugehörigen Zutrittsberechtigungen. Das können Systeme sein, mit denen innerhalb eines Unternehmens unterschiedliche Zutrittsbereiche verwaltet werden können. Die Daten werden zentral erfasst und verwaltet, um entsprechende Sicherheitsbereiche abzugrenzen. Darüber hinaus ist ein solches Kontrollsystem standortübergreifend einsetzbar.
Foto: Unisys
Die Funktionsweise der biometrischen Zugangskontrolle wird am besten an einem Beispiel deutlich: Ein neu eingestellter Mitarbeiter bekommt weder einen Schlüssel noch eine Zutrittskarte oder einen Code. Stattdessen wird an seinem ersten Arbeitstag sein Gesicht über einen biometrischen 3D-Gesichtsscanner (Enrollment Station) eingelesen. Dabei werden die biometrischen Daten des Gesichts nicht als Foto, sondern als binärer Code im System gespeichert. Ab diesem Zeitpunkt ist sein Gesicht der Eintrittsschlüssel. Gleichzeitig werden durch einen Administrator die entsprechenden Zutrittsbereiche innerhalb des Unternehmens festgelegt.
Das bedeutet: Ab diesem Zeitpunkt hat neben den entsprechenden IT-Verantwortlichen auch der neue Mitarbeiter Zutritt zum Serverraum, da dieser über einen Gesichts-Scan die Authorisierung für das Betreten des Serverraumes erhalten hat. Für jede Berechtigung kann zudem eine bestimmte Uhrzeit definiert werden. So könnte zum Beispiel die Reinigungskraft das Büro nur zwischen 17 und 20 Uhr betreten dürfen.
Personenvereinzelung und 3D-Gesichts-Scan
Foto: Unisys
Personenvereinzelungsanlagen mit einem integrierten 3D-Gesichts-Scan verhindern, dass sich Unbefugte Zutritt zum Serverraum oder Rechenzentrum verschaffen. In einem nächsten Schritt gilt es zu überlegen, wie man den Zutritt zum Gebäude entsprechend wirkungsvoll absichert. So empfiehlt es sich zusätzlich, einen Empfangsbereich einzurichten, der ebenfalls durch Vereinzelungsschleusen von den technischen Bereichen abgetrennt ist. Darüber hinaus sollten Namen und Anwesenheitszeiten von Besuchern vom Sicherheitspersonal erfasst werden.
Zudem ist der Zutritt zu den Technikräumen, den Verwahrstellen und den einzelnen Serverschränken über geeignete Zutrittssysteme nochmals separat abzusichern. Dies ist aus Sicherheitsaspekten besonders dann wichtig, wenn ein Unternehmen Dienstleistungen über eine externe Firma in Anspruch nimmt.
RFID-Technologie ist sicherlich derzeit das höchste der Gefühle, was physikalische Sicherheit angeht. Lesen Sie auf der folgenden Seite, wie sie RFID-Verfahren im Data Center effektiv nutzen.
Zutrittskontrolle per RFID
Foto: Unisys
In den vergangenen Jahren setzten Unternehmen verstärkt RFID-Technologie ein. Diese werden hauptsächlich in geschlossenen Kreisläufen wie Überwachung von Personen in Gebäuden oder im Materialfluss verwendet. Besonders hilfreich und effektiv erweist sich die RFID-Technologie für die Lokalisierung und Inventarisierung von Backup-Bändern, Beweisstücken, PCs, Laptops, Dokumenten und sonstigen Werten im Gebäude. Mithilfe von RFID-Lesegeräten an den Ein- und Ausgängen im Gebäude kann ein Unternehmen jederzeit feststellen, wo sich bestimmte Gegenstände oder Personen befinden. Dabei ist die Verfolgbarkeit eines zum Beispiel mit einem Transponder ausgestatteten Behälters durch vollständiges Tracking und Aufzeichnung aller Bewegungen des RFID-Tags dokumentiert und jederzeit abrufbar.
Wertvolle Gegenständen können sogar mittels kombinierter RFID- und GPS-Technologie zwischen Gebäuden oder Unternehmen versendet werden. Die Integrität dieser Pakete kann der Anwender zusätzlich durch manipulationssichere Siegel mit der sogenannten Cellular-Alert-Technologie sicherstellen. Für größtmögliche Sicherheit sollte der Verantwortliche idealerweise die biometrische Zugangskontrolle mit der RFID-Technologie in einem geschlossenen System kombinieren.
Fazit
Im Rahmen des Datenschutzes muss sichergestellt werden, dass personenbezogene Daten sicher vor Missbrauch aufbewahrt werden. Einen wichtigen Beitrag hierzu leistet die Zutrittskontrolle. Sie stellt sicher, dass Einrichtungen wie Datenzentren oder Serverräume entsprechend ihrer Bedeutung geschützt sind.
Das Gros der Unternehmen schützt besonders den zentralen Serverraum, da dort hochkritische Daten verarbeitet werden. Er ist nicht nur vor Feuer und Vandalismus zu schützen, sondern auch vor missbräuchlichem Eindringen zu sichern. Die Zutrittskontrolle bezieht sich aber nicht nur auf die IT-Anlage. Sie betrifft auch andere Räumlichkeiten, in denen personenbezogene oder gar sensible Forschungsdaten aufbewahrt werden, wie etwa Archivräume.
In Unternehmen mit elektronischen und kodierten Schließsystemen ist unter Zuhilfenahme biometrischer Authentifizierung mittels 3D-Gesichts-Scans die Zutrittskontrolle - wie unsere Praxisbeispiele zeigen - die beste Lösung. Außerdem gewährleistet sie eine hohe Benutzerakzeptanz, da sie berührungslos arbeitet. Auch beinhaltet diese Form des kombinierten Zugangsschutzes einen sehr hohen Sicherheitsstandard. Zu berücksichtigen sind aber die hohen Kosten der Sicherheitsanlage, doch müssen diese relativiert werden, wenn die Anlage in das Sicherheitskonzept des gesamten Gebäudes einfließt.
Dieser Artikel basiert auf einem Beitrag von Tecchannel. (sh)