Physische IT-Sicherheit: Das unterschätzte Risiko
Titelbild: © Jim Barber/Shutterstock.com
Ob durch Brand, Wasser, Diebstahl oder Vandalismus: Physische Ursachen können IT gravierend beschädigen. Für Mittelständler ist effektiver Schutz jedoch mit hohem Aufwand verbunden. Eine Aufgabe, die die internen Kapazitäten oft überfordert – und daher besser ausgelagert wird.
IT-Sicherheit ganz handfest: Abgelegen, klein, fensterlos – In dem Raum in der hintersten Kellerecke ihres Unternehmens vermuten die meisten Mitarbeiter eine Abstellkammer. Oft aber verbirgt sich hinter diesen Türen in Wirklichkeit eine digitale Schatzkammer: Der Serverraum – ein kleines Rechenzentrum mit wertvollen Geschäftsdaten. Das Problem: Oft ist der Zugang nur unzureichend gesichert, in vielen Fällen gerade mal die Tür abgeschlossen. Ein fahrlässiges Verhalten. Während sie beginnen, sich flächendeckend gegen Viren und Cyberattacken zu schützen, vernachlässigen viele Mittelständler die Abwehr von scheinbar banalen Risiken wie Feuer, Wasser, Hitze und Staub in den Hintergrund.
Zu Unrecht: In seinem „Leitfaden Informationssicherheit“ warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Recht vor „gravierenden Schäden infolge physischer Einwirkung von Feuer, Wasser oder Strom.“ Viele Geräte dürften etwa nur unter bestimmten Klimabedingungen betrieben werden. „Daher sollten besonders wichtige IT-Komponenten (Server, Sicherungsmedien, Router etc.) in ausreichend geschützten Räumen untergebracht werden“, empfiehlt das BSI. „Zusätzlich sollten sie an eine unterbrechungsfreie Stromversorgung mit Überspannungsschutz angeschlossen sein.“
Auch das ist IT-Sicherheit: Schutz vor Einbrechern
Darüber hinaus rät das Bundesamt auch kleineren Unternehmen dazu, sich in Sachen IT-Sicherheit auch Gedanken über den Schutz vor Einbrechern und anderen ungebetenen Gästen machen. Schon einfache Maßnahmen könnten laut BSI die Sicherheit beträchtlich erhöhen. Zu überlegen gilt zum Beispiel: Wo halten sich Besucher und Betriebsfremde in der Regel auf und auf welche IT-Systeme könnten sie dabei zugreifen? Sind Server und Rechner, mit denen auf sensible Daten zugegriffen wird, so aufgestellt, dass sich Fremde nicht unbemerkt an ihnen zu schaffen machen können? „Besucher sollten nicht nur aus Höflichkeit aufmerksam betreut werden“, empfiehlt das BSI.
Ist es zudem sinnvoll, bestimmte Büros bei Abwesenheit der Mitarbeiter abzuschließen oder die Fenster nicht gekippt zu lassen? Ist die Tätigkeit von Handwerkern, Servicetechnikern und Reinigungspersonal bewusst geplant und wissen alle Mitarbeiter darüber Bescheid? Liegen mobile Geräte an einem sicheren Ort? „Notebooks sollten nie unbeaufsichtigt im Auto zurückgelassen werden“, rät das BSI. „Selbst im Büro sollten sie nachts oder bei längerer Abwesenheit eingeschlossen werden.“
Sicherheitsempfehlungen für den Serverraum
Ähnliche Sensibilität empfiehlt das BSI auch im Umgang mit unternehmenseigenen Serverräumen. „Ein Serverraum ist ein geschlossener Sicherheitsbereich. Er ist kein ständiger Arbeitsplatz und sollte lediglich für sporadische und kurzfristige Aufgaben betreten werden“, sagt das BSI. Demnach sollten Server in speziellen Serverräumen untergebracht werden, in dem auch weitere serverspezifische Unterlagen, Datenträger oder Hardware wie Router, Switches oder Klimatechnik) vorhanden sein können. Folgende Regeln sollten Unternehmen laut BSI berücksichtigen:
- Ein Serverraum muss Server und die anderen aufgestellten IT-Geräte angemessen physisch schützen. Er muss vor unbefugtem Zutritt geschützt sein, eine angemessene Stromversorgung und Klimatisierung bieten. Außerdem muss er ausreichenden Brandschutz und Schutz vor Wasser- und anderen Umweltschäden bieten.
- Der Zutritt zum Serverraum muss auf die Personen beschränkt sein, die direkten Zugriff auf Server und sonstige im Serverraum installierte IT-Geräte benötigen. Neben hochwertigen Zutrittskontrollmechanismen sollten Unternehmen Sicherheitstüren und -fenster einbauen. Serverräume sollten grundsätzlich verschlossen sein, wenn sie nicht besetzt sind.
- Serverräume sollten so geplant und ausgewählt sein, dass potentielle Gefährdungen durch Umgebungseinflüsse minimiert werden.
- Es ist für ausreichenden Brandschutz zu sorgen. Es muss absolutes Rauchverbot gelten. In jedem Serverraum sollten Handfeuerlöscher, die für elektronische Geräte geeignet sind, und Not-Aus-Schalter griffbereit vorhanden sein.
- Es sollten nach Möglichkeit keine Versorgungsleitungen, z. B. für Wasser oder Gas, durch den Serverraum verlaufen.
- Auf eine ausreichende Klimatisierung des Serverraumes ist zu achten.
- Die im Serverraum verwendeten Stromkreise müssen so ausgelegt sein, dass sie den tatsächlichen Bedürfnissen der vorhandenen Technik genügen.
- Damit es durch Spannungsspitzen im Stromnetz nicht zur Schädigung der elektrischen Geräte im Serverraum kommt, müssen Unternehmen dafür sorgen, dass die Überspannungsschutz und gegen elektrostatische Aufladung getroffen werden.
- Es sollte eine (oder mehrere) unterbrechungsfreie Stromversorgung im Serverraum vorhanden sein, um einen kurzzeitigen Stromausfall zu überbrücken. Die Stromversorgung sollte zumindest solange aufrechterhalten bleiben, dass ein geordnetes Herunterfahren der angeschlossenen Systeme möglich ist.
IT besser auslagern?
Für kleine und mittelständische Unternehmen ist die physische Sicherung des Serverraums oftmals mit großem Aufwand und hohen Kosten verbunden. Daher stellt sich für viele Firmen die Frage, ob es nicht besser ist, den IT-Betrieb auszulagern. Die nächste Frage schließt sich direkt daran an: Welches Rechenzentrum passt zu welchem Unternehmen? Denn die Qualität der Datencenter variiert enorm. Angaben zur Ausfallsicherheit von Rechenzentren erhalten Unternehmen zum Beispiel durch die Tier-Klassifizierung. Ob ein Rechenzentrum den gewünschten Sicherheitsstandards genügt, weisen ITK-Dienstleister zum Beispiel mit entsprechenden ISO-Zertifizierungen nach.
Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG