Verschlusslösungen: Interview mit Peter Magnusson, Emka

Datenschutz am Serverschrank

Trotz Hackern, Viren und Trojanern: 85 Prozent des weltweiten Datendiebstahls erfolgt direkt im Rechenzentrum. Ein häufiger Grund: Die Dataschränke sind nur unzureichend gegen unbefugten Zugang geschützt. Ein richtiges Sicherheitskonzept darf daher nicht an den Schleusen zum Serverraum enden, findet Peter Magnusson, Geschäftsführer von Emka.

Peter Magnusson, Emka

„Es ist verwunderlich wie niedrig der europäische Sicherheitsstandard beim Verschließen von Serverracks ist", bemerkt Peter Magnusson, Geschäftsführer von Emka.

IT-DIRECTOR: Herr Magnusson, welche Verschlusslösungen zur physischen Datensicherung sind heute Standard und welche Risiken haben diese?
P. Magnusson:
Es verwundert mich immer wieder, wie niedrig der Sicherheitsstandard beim Verschließen von Serverracks in Europa ist. Das gilt gerade für den deutschen Markt. Der Zugang zum Rechenzentrum selbst ist in der Regel gut geschützt: Kameras zeichnen Bewegungen auf und Pin-Codes, Zutrittskarten oder biometrische Systeme regeln und protokollieren den Zutritt. Die Schwachstelle ist dann aber der Serverschrank selbst. Dieser ist häufig nur mit konventionellen Schlüsseln gesichert. Manche Betreiber verzichten sogar gänzlich auf Schließtechnik, da sie die Kosten und den Verwaltungsaufwand für die Schlüssel scheuen. Hier muss ganz klar ein Umdenken stattfinden, um Sicherheitslücken zu schließen.

IT-DIRECTOR: Mit welchen Lösungen kann man die Zutrittskontrolle bis zum Datenschrank ausweiten?
P. Magnusson:
Grundsätzlich unterscheiden wir in der Verschlusstechnik für Serverschränke zwischen Offline- und Onlinesystemen. Bei Offlinesystemen werden die Token als klassisches Zutrittsmedium mit einem festen Berechtigungsprofil programmiert. Dieses Profil regelt dann den Zutritt zu bestimmten Schränken an definierten Zeiten. Dazu sind die Serverracks üblicherweise mit elektronischen Schließzylindern ausgerüstet, die über eine Lese- und Schreibeinheit für die Token verfügen.

IT-DIRECTOR: Und wie sieht es mit den Onlinesystemen aus?
P. Magnusson:
Sie sind die deutlich interessantere Variante für Rechenzentren, da sie den Zustand von Schranktüren und Seitenwänden in Echtzeit darstellen. An den Schränken kommen dafür elektromechanische Verschlusssysteme zum Einsatz. Diese werden per Tastatur, RFID-Karte, Gesichtserkennung oder Fingerprint aktiviert.

In Deutschland beobachten wir noch eine deutliche Zurückhaltung gegenüber solchen biometrischen Systemen. Dabei bieten gerade diese ein Höchstmaß an Sicherheit. Hier gilt es, Berührungsängste bei deutschen Anwendern abzubauen und durch die Kooperation mit Technologiepartnern Überzeugungsarbeit zu leisten. So haben wir in Europa eine exklusive Partnerschaft mit Digitus Biometrics. Dabei handelt es sich um einen US-Spezialisten für die Sicherung sensibler Daten, wie etwa Patienten- und Kreditkarteninformationen mittels biometrischer Authentifizierung. Generell ist der US-Markt den deutschen Sicherheitsstandards am Serverschrank ein gutes Stück voraus und kann in Sachen Verschlusstechnik wohl als Vorbild dienen.

IT-DIRECTOR: Die Entscheidung für Offline- oder Onlinesysteme hängt stets vom Anwendungsfall ab. Welche Vor- und Nachteile gibt es?
P. Magnusson:
Offlinesysteme in Form von elektronischen Schließzylindern sind aus meiner Sicht vor allem für einzelne Schränke oder kleine Schrankgruppen geeignet. Sie sind einfach zu installieren und lassen sich in der Regel in vorhandene, mechanische Verschlüsse einbauen. Dadurch fällt keine zusätzliche Verkabelung im Schrank an. Außerdem sind sie kompatibel zu den meisten RFID-Technologien. Die hohen Kosten für die Zylinder sind aber ein klarer Nachteil. Darüber hinaus kann die Nutzerhistorie am Schrank ohne Netzwerkanbindung erst mit einem zeitlichen Versatz in das übergeordnete Kontrollsystem übertragen werden.

Onlinesysteme hingegen eignen sich für Rechenzentren jeder Größe, um Sicherheitslücken konsequent zu schließen. Klarer Vorteil: Die Zutrittsberechtigungen können jederzeit zentral vergeben, geändert oder entzogen werden. Außerdem lassen sich weitere wichtige Parameter im Schrank erheben und dokumentieren, z.B. Temperatur und Druck. Diese Systeme erfordern elektromechanische Verschlüsse und eine Verkabelung mit entsprechenden Anschlussmodulen. Ausnahmen sind batteriebetriebene Verschlusssysteme mit Onlineverbindung über Funk. Generell gibt es für jeden Schrank eine passende Lösung mit Netzwerkanbindung.

IT-DIRECTOR: Welche Ansprüche stellen RZ-Betreiber an die Verschlusstechnik am Serverschrank?
P. Magnusson:
Die Betreiber müssen in der Lage sein, alle Vorgänge gegenüber ihren Kunden und den Auditoren nachvollziehbar belegen zu können. In vollem Umfang ist das aus unserer Sicht nur mit einem Onlinesystem möglich. Ein wichtiger Punkt ist dabei die einfache Integrierbarkeit der Verschlusslösungen in das übergeordnete Zutrittskontrollsystem und Gebäudemanagement über entsprechende Schnittstellen. Durch das höhere Sicherheitsniveau, das Betreiber durch neue Verschlusstechnik erwarten, sinken mittelfristig die Versicherungsprämien. Auch auf dieser betriebswirtschaftlichen Ebene lohnt sich das Aufrüsten der Schließsysteme bereits nach relativ kurzer Zeit.

IT-DIRECTOR: Wie wirkt sich der Trend zu Multi-User-Zentren auf die Zutrittskontrolle aus?
P. Magnusson:
Generell sind RZ-Betreiber aus Kostengründen darum bemüht, immer mehr Datenkapazität von verschiedenen Kunden in einem Schrank unterzubringen. Die Frequenz der physischen Zugriffe auf die einzelnen Schränke durch unterschiedliche Nutzergruppen hat dadurch deutlich zugenommen. Mit den konventionellen Verschlusslösungen am Serverschrank wird es für den Betreiber schnell schwierig, entsprechende Sicherungsnachweise zu erbringen, wenn ein Kunde Datenmissbrauch reklamiert. In Multi-User-Zentren gilt deshalb umso mehr: Die eindeutige Zutrittskontrolle darf nicht am Eingang zum Rechenzentrum enden, sondern sollte bis an die einzelnen Schränke ausgeweitet werden.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok