IT-Security

Rechenzentrum: IT-Sicherheit für geschäftskritische Informationen

10. Mai 2022 von Admin PSW GROUP Blog WP

rechenzentrum-sicherheit
©kjekol - stock.adobe.com

5
(3)

Das Rechenzentrum ist das Herz von Unternehmen: Hier finden Anwendungen sowie Informationen ein – im besten Falle sicheres – Zuhause. Daten und Anwendungen, die hier lagern, dürfen keinesfalls in falsche Hände geraten. Rechenzentren sind außerdem die Basis für neue Technologien: Weder Cloud Computing, noch das Internet der Dinge wären ohne hochverfügbare Rechenzentren realisierbar. Die Ansprüche steigen – nicht nur an eine hohe Verfügbarkeit, sondern auch an die IT-Sicherheit im Rechenzentrum. Im heutigen Beitrag blicken wir auf verschiedene Anforderungen, denen Rechenzentren standhalten können sollten, gehen auf Schwachstellen und bekannte Angriffe ein und geben Ihnen Tipps zur IT-Sicherheit in Ihrem Rechenzentrum.

Steigende Abhängigkeit von IT

Unsere Gesellschaft wird immer abhängiger von einer sicheren und verfügbaren IT – das zeigen nicht zuletzt aktuelle Entwicklungen wie Cloud Computing, das IoT oder das zunehmend mobile Arbeiten. All diese Errungenschaften wären ohne hochverfügbare Rechenzentren einfach nicht realisierbar. Dabei unterscheiden sich Cloud-Lösungen vom konventionellen Rechenzentrum in einem wesentlichen Punkt: Spricht man über die Sicherheit bei Cloud-Diensten, so sind meist der Datenschutz und das Abwehren von Hackerangriffen gemeint. Diesbezüglich sind Rechenzentren oft gut aufgestellt, es gibt jedoch andere Risiken.

Risiken in Rechenzentren

Rechenzentren sind sozusagen das physische Pendant zur Cloud. Demzufolge existieren andere Risiken, etwa die Gebäudesicherheit, die Klimatisierung der Anlage, aber auch Brand- und Zugriffsschutz. Auch dem Störungsmanagement muss ein hohes Maß an Aufmerksamkeit geschenkt werden. Werfen wir einen Blick auf die einzelnen Punkte:

  • Gebäudesicherheit: Tatsächlich startet IT-Sicherheit im Rechenzentrum mit der Wahl des Standorts. Um bei Bränden ein Überspringen von anderen Gebäuden zu verhindern, werden Rechenzentren in Mindestabständen zu anderen Gebäuden gebaut. Das Gebäude sollte möglichst nicht aus brennbaren Materialien bestehen. Klassische Brandmelder können mit einer Brandfrühersterkennung kombiniert werden. Derlei Ansaugrauchmelder entdecken Brandherde oft schon, bevor ein Feuer ausbrechen kann. Ein Vernetzen mit Feuerwehr- oder Polizeidienststellen ist weiter empfehlenswert, sodass man sich im Ernstfall die manuelle Alarmierung spart.
  • Brandschutz: Bricht tatsächlich ein Feuer aus, gibt es unterschiedliche Möglichkeiten, Brände zu bekämpfen. Wassernebel-Löschanlagen können mit Wasser löschen, was jedoch in Rechenzentren aufgrund hoher Ströme in Server- und Versorgungsräumen keine allzu gute Idee darstellt. Die Alternative bilden Sauerstoffreduktionsanlagen: Der Sauerstoffgehalt wird auf unter 20 % gesenkt, sodass sich Brände gar nicht erst entwickeln können. Auch Löschgassysteme sind möglich: Mit hohem Druck blasen diese im Brandfall ein bestimmtes Gasgemisch in betroffene Räume. Dadurch wird Sauerstoff verdrängt und die Flammen werden erstickt.
  • Redundanz: Brände oder andere Defekte lassen sich nicht immer verhindern, weshalb das Augenmerk auch auf der Redundanz liegen muss. Alle relevanten Systeme sollten mehrfach verfügbar (redundant) sein – insbesondere kritische Systeme wie die Netzwerkausstattung, Notstromaggregate oder USV-Anlagen. In aller Regel werden in Rechenzentren RAID-Systeme eingesetzt, bei denen Daten parallel auf verschiedenen Festplatten gespeichert werden. Brennt es nun, sodass der Server komplett zerstört wird, nützt diese mehrfache Absicherung wenig. Deshalb sind räumlich getrennte Backups vor allem bei kritischen Daten gefragt.

Konkrete Empfehlungen zur baulich-technischen Struktur von Rechenzentren gibt das BSI im Dokument „RZ-Verfügbarkeitsmaßnahmen“ (PDF). Auf die äußeren Beziehungen von Rechenzentren zur Umgebung sowie auf die Redundanz-Beziehung zwischen Rechenzentren geht das BSI im Dokument „Kriterien für die Standortwahl von Rechenzentren“ (PDF) ein. Im Dokument „Redundanz Modularität Skalierbarkeit“ (PDF) erhalten Sie weitere Informationen vom BSI.

Rechenzentrum: Schwachstellen & Angriffe

Rechenzentren sind durchaus beliebte Angriffsziele von Cyberkriminellen und sie bedienen sich verschiedener Mittel und Methoden, um an Daten und Informationen zu kommen. Dazu zählt beispielsweise das Social Engineering; eine Technik der sozialen Manipulation, bei der Mitarbeitende gezielt angesprochen und mit einem Trick dazu gebracht werden, Kennwörter offenzulegen oder den Kriminellen auf anderem Wege Zugang zu geben.

Oftmals wird es Cyberkriminellen auch leicht gemacht, beispielsweise durch schwache Passwörter. Werden unsichere Klassiker wie „123456“ oder „passwort“ genutzt, erhalten Kriminelle sehr leicht Zugang zum Rechenzentrum.

Wenngleich der „Faktor Mensch“ in bisherigen Angriffsszenarien ausschlaggebend ist, sind Anwendende nicht die einzige mögliche Schwachstelle im Rechenzentrum. Durch fehlerhafte Konfigurationen können sich ebenfalls Tür und Tor für Cyberkriminelle öffnen. So können Angreifende fehlerhaft konfigurierte Server beispielsweise zum Herunterfahren zwingen. Sie könnten auch schädlichen Code einschleusen, der dann von arglosen Nutzenden heruntergeladen wird.

Zudem zeigen sich Rechenzentren anfällig für sogenannte „Spoofing“-Angriffe, bei der die tatsächliche Quelle von schädlichen Programmen verschleiert wird. So stammt beim IP-Spoofing eine Nachricht vorgeblich von einem vertrauenswürdigen Host, wird dadurch fälschlicherweise als sicher eingestuft und gelangt ins interne Netzwerk. Mithilfe von Firewalls können Sie Ihr Netzwerk jedoch gegen IP-Spoofing schützen.

Dass Rechenzentren mit all ihren Daten verlockend für Angreifende sind, versteht sich von selbst. Dementsprechend gehen Cyberangriffe auf Rechenzentren für gewöhnlich auch vonstatten: Es handelt sich oft um gut geplante Operationen, bei denen die böswilligen Akteure mit viel Geduld und Beharrlichkeit ans Werk gehen. Sie tun, was nötig ist, um unter dem Radar fliegen zu können – um also nicht von Sicherheitsteams entdeckt zu werden. Besonders gefährdet sind neben den oben erwähnten Punkten:

  • Admin-Zugang: Naturgemäß haben Administratoren weitreichende Rechte, was sie zu attraktiven Zielen macht. Ohne beispielsweise Anwendungsschwachstellen ausnutzen zu müssen, können sich Angreifende über Verwaltungsprotokolle Backdoor-Zugang verschaffen. Deshalb ist eine Zugriffskontrolle auf Basis von IT-Rollen im Rechenzentrum unabdingbar. Hilfreich ist der Einsatz virtueller Sicherheitstools, damit IT-Manager Richtlinien festlegen können, mit denen Anwendende identifiziert werden. Mit Zwei- oder Multi-Faktor-Authentifizierung können Anwendende ihre Identität bestätigen. So erhalten ausschließlich autorisierte Anwendende Zugriff.
  • Lokale Authentifizierungslücke schließen: Viele Rechenzentren nutzen lokale Authentifizierungsoptionen, die im Notfall fürs Zugreifen auf verwaltete Hosts und Workloads verwendet werden. Bei diesen lokalen Authentifizierungsoptionen fehlt es jedoch an der Protokollierung, sodass Angreifende, die die Zugangsdaten durch Kompromittieren eines Administrators vorfinden, unauffällig aufs Rechenzentrum zugreifen können.
  • IPMI als Hauptangriffsvektor: Virtualisierung ist Standard im Rechenzentrum – dennoch laufen virtualisierte Umgebungen auf physischer Hardware. Diese physischen Server besitzen – wie die virtuellen Umgebungen – Verwaltungsebenen mit eigenen Verwaltungsprotokollen, eigener Stromversorgung, eigenen Speichern und Prozessoren. Administratoren können aufgrund dieses Aufbaus Festplatten „mounten“, also ins Systemverzeichnis einzubinden. Derlei Aktionen werden in aller Regel über Protokolle wie „Intelligent Platform Management Interface“ – kurz: IPMI – durchgeführt. Das hat Vorteile – wie die Tatsache, dass Server-Re-Imagings durchgeführt werden können, auch wenn der Hauptserver ausgeschaltet ist. Das hat aber auch Nachteile: Die Schwachstellen in IPMI und den Protokollen sind bestens dokumentiert, Updates werden oft nur langsam ausgeliefert. Diese Kombination macht IPMI zu einem der Hauptangriffsvektoren im Rechenzentrum.
  • Datendiebstahl: Der Diebstahl von Daten ist meist das Ziel möglicher Angriffe. Meist werden Daten in riesigen Mengen aus dem Rechenzentrum verschoben. Es gibt jedoch auch Angreifende, die geduldiger vorgehen und Daten möglichst langsam herausschleusen, um unentdeckt zu bleiben. Die Datenexfiltration ist auch über versteckte Tunneln möglich: Innerhalb des eigentlich erlaubten Datenverkehrs versuchen Kriminelle, das Abfangen zu verschleiern.
  • Physischen & virtuellen Kontext vermischen: Angreifende gehen immer komplexer vor. So könnten sie beispielsweise zunächst einen Mitarbeitenden-Rechner mittels Phishing oder Social Engineering kompromittieren. Im nächsten Schritt versuchen Cyberkriminelle oft, sich im Netzwerk einzunisten – also eine Persistenz herzustellen. So gelingt es ihnen, sich vom ersten Opfer vorzuarbeiten. Zum Steuern eines laufenden Angriffs richten sich Kriminelle oft versteckte Tunnel oder Hintertüren ein. So gelingen Zugriff und die Kommunikation nach außen. Nach und nach können sich die Angreifenden einen Überblick übers Netzwerk verschaffen, um nach Ressourcen, Geräten sowie Nutzerdaten zu suchen. Dabei sind die Administratoren-Zugänge natürlich am wertvollsten, gewährleisten sie doch eine große Autonomie innerhalb des Netzwerks.

IT-Sicherheit im Rechenzentrum

Nun kennen Sie mögliche Angriffsszenarien. Um diesen etwas entgegenzusetzen, können Sie die IT-Sicherheit im Rechenzentrum steigern – wobei es erst mal gut ist, zu wissen, wo Sie überhaupt stehen. Der erste Schritt muss also sein, eine Analyse des Schutzbedarfs im Rechenzentrum durchzuführen. Nur wenn Ihre Organisation weiß, was Sie im Schadensfall verlieren können, wissen Sie auch, welche Systeme, Informationen und Umgebungen besonders schützenswert sind. Anschließend sind die folgenden Schritte ratsam:

  • Verantwortlichkeiten definieren: Definieren Sie, wer wofür im IT-Sicherheitsteam verantwortlich ist. Als zentrale:r Ansprechpartner:in wählen Sie eine:n Verantwortliche:n, der allen Mitarbeitenden bekannt sein sollte. Prüfen Sie Ihre bisherige IT-Organisation und passen Sie diese ggf. den Gegebenheiten an.
  • Physischer Aufbau des Rechenzentrums: Zu den Überlegungen physischer Natur gehören beispielsweise getrennte und öffentlich nicht erkennbare Standorte, abgesicherte Zutritts- und Zugriffslösungen, redundante Komponenten, die Notstrom- sowie Klimaversorgung, moderne Löschsysteme sowie Brandfrüherkennung, wie weiter oben bereits erwähnt. Ein umfassendes Business Continuity Management sorgt etwa bei Krankheit von Mitarbeitenden oder technischen Störungen dafür, dass der Betrieb weitergehen kann.
  • Netzsegmentierung: Rechenzentren müssen öffentliche, nicht öffentliche und geheime Bereiche strikt voneinander trennen können. So müssen beispielsweise Webserver, die Remote-Zugriff erlauben, durch Firewalls von anderen Firmendaten getrennt werden. Das Segmentieren ist jedoch auch nach funktionalen Kriterien möglich: Ein Hersteller aus dem Automotive-Sektor etwa könnte die Segmente Bürokommunikation vom Bereich Produktionsprozess abschotten. Im Falle eines Angriffs können die nicht-angegriffenen Bereiche aufrechterhalten werden.
  • Basisschutz: Firewalls sind Barrieren, die Segmente im Rechenzentrum und Übergänge zu externen Netzen schützen. Mit Intrusion-Detection lassen sich Angriffe erkennen; Intrusion-Prevention-Systeme unterbrechen sogar unbefugte Datenübertragungen. URL-Filter und Anti-Spam-Gateways überwachen die Kommunikation auf Web- sowie Mail-Servern und die Verschlüsselung sichert übermittelte Daten gegen unbefugte Zugriffe. Sind diese Maßnahmen mit starken Authentifizierungen gekoppelt und werden Identitäten mit einem übergeordneten Identity and Access-Management verwaltet, ist die Zugriffssicherheit im Rechenzentrum langfristig erhöht worden.
  • Verschlüsselung & Virenschutz: Nicht nur Netze und Daten, sondern auch Server- und Storage-, aber auch virtualisierte Systeme müssen im Rechenzentrum gegen Datendiebstahl, unberechtigte Zugriffe und Malware geschützt werden. Pflicht sind deshalb ein immer aktueller Schutz gegen Schadsoftware sowie die lokale Verschlüsselung von Dateien und Ordnern. Verschlüsseln Sie Archivdaten und Ordner auf Speichersystemen zusätzlich, bedenken Sie die Möglichkeiten der Entschlüsselung, die auch nach Aufbewahrungsfristen von dreißig Jahren noch gelten müssen.
  • Schwachstellen- & Patch-Management: Schwachstellen in Software gehören immer zu sicherheitsrelevanten Ereignissen, denen Sie Beachtung schenken sollten. Regelmäßige Scans automatisieren das Vorgehen; ein funktionierendes Patch-Management sorgt dafür, dass Schwachstellen schnellstmöglich geschlossen werden.
  • Backups: Das regelmäßige Sichern des Datenbestands ist eine wichtige Maßnahme gegen Datenverlust – sei es durch Ransomware, durch versehentliches Löschen von Informationen oder sonstige Verfügbarkeitseinschränkungen. Wichtig: Testen Sie die Rücksicherung turnusmäßig, damit die Informationen nach einem Ausfall tatsächlich schnell wieder verfügbar sind.

 

IT-Sicherheit im Rechenzentrum

Rechenzentren sind die Basis vieler heute geschätzter IT-Anwendungen. Damit steigen auch die Ansprüche an die Verfügbarkeit von Rechenzentren. Betreibenden von Rechenzentren und Behörden wie dem BSI ist die starke Rolle, die sie einnehmen, sehr bewusst – und damit auch der Schutz, auf den ein Rechenzentrum angewiesen ist: Rechenzentren sind attraktive Ziele für Cyberkriminelle. Sie kämpfen zwar mit anderen Bedrohungen wie die Cloud, doch in beiden Fällen kann der „Faktor Mensch“ die Sicherheit schwächen. Es spricht einiges dafür, ein eigenes Rechenzentrum aufzubauen. Doch dann gilt es, sich mit der IT-Sicherheit im Rechenzentrum sehr bewusst auseinanderzusetzen. Beachten Sie unsere Tipps zur IT-Sicherheit im Rechenzentrum, sind Ihre Informationen schon gut abgesichert. Haben Sie Fragen zum Absichern Ihres Rechenzentrums, freuen wir uns auf den Kontakt mit Ihnen!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 3


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu