Fakt ist, die heutigen Sicherheitstandards gehen weit über die physische Sicherheit hinaus. Moderne Rechenzentren müssen vorbereitet sein auf virtuelle Gefahren und gleichzeitig alle Compliance-Standards einhalten.
Sind die aktuellen Information Security Standards erfüllt, muss sich das Rechenzentrum auf eventuelle zukünftige Risiken einstellen. Deshalb ist es wichtig, dass Automatisierungs- und Security Tools eingesetzt werden, die viel Flexibilität ermöglichen und neue Herausforderungen in Echtzeit bewältigen können.
Die Anforderungen an ein modernes Rechenzentrum sind vielfältig:
- Alle Ressourcen müssen hinter robusten physischen, virtuellen und Security-konformen Sicherheitsebenen geschützt sein
- Bereitstellung von kontinuerlichen und belastbaren Services, die verschiedensten Unterbrechungs- und Ausfallrisiken standhalten können
- Sicherung wichtiger Kundendaten in Übereinstimmung mit diversen Vorschriften
- Bereitstellung einer Reihe von Cloud Solutions, einschliesslich Private, Multi und Hybrid Cloud-Umgebungen.
Was ist Datacenter Security?
Um Kunden zufriedenzustellen und ihren Service-Anforderungen gerecht zu werden, müssen Rechenzentren höchste Datacenter Security bieten.
Datacenter Security heisst, dass alle wichtigen Ressourcen durch verschiedene Sicherheitsmassnahmen geschützt werden. Um die aktuellen Sicherheitsstandards zu erfüllen, muss ein Rechenzentrum den physischen Zugang zu seiner Infrastruktur schützen, virtuelle Gefahren eliminieren und die neuesten Compliance-Standards einhalten.
An erster Stelle steht ganz klar der geschäftskritische Datenschutz – also die digitalen Daten der Kunden. Datenschutzverletzungen haben Unternehmen im Jahr 2022 durchschnittlich rund 5 Millionen US-Dollar gekostet, wobei Rufschaden und Vertrauensbruch noch viel bedenklicher sind. Da inzwischen so viele Daten in der Cloud gespeichert werden, müssen Rechenzentren ihren Teil zum Schutz dieser wichtigen Daten beitragen.
Was sind die häufigsten Ursachen für Datenschutzverletzungen in Rechenzentren?
Zu den häufigsten Sicherheitsrisiken für Rechenzentren gehören:
- Social Engineering-Angriffe. Gute Datacenter Security bedeutet, die Mitarbeiter darin zu schulen, Social Engineering-Angriffe zu erkennen, damit physische und virtuelle Ressourcen vor unbefugtem Zugriff geschützt sind.
- Malware-Angriffe. Die IT-Infrastruktur muss vor Malware-Angriffen geschützt sein, denn moderne Malware kann von einem System auf andere Systeme übergreifen. Rechenzentrumsbetreiber müssen deshalb ihre Mitarbeiter schulen, verschiedene Security-Tools und Ressourcen einsetzen und geschäftskritische Systeme klassifizieren.
- Unsichere, verlorene oder gestohlene Passwörter. Der vielleicht einfachste Weg in ein System führt über unsichere oder gestohlene Benutzeranmeldedaten. Tatsächlich gehen rund 80 Prozent aller Unternehmens-Hacks auf Passwörter zurück, die nicht sicher sind. Um sich vor Passwortmissbrauch zu schützen, sollten alle Mitarbeiter mindestens eine Multi-Faktor-Authentifizierung und starke, eindeutige Passwörter verwenden.
- Zero Day- oder Anwendungsschwachstellen. Schwachstellen im Netzwerk können Unbefugten einfachen Zugang zu geschäftskritischen Daten verschaffen. Das Security Management sollte regelmässige Aktualisierungen, Upgrades und die Überwachung der gesamten Hard- und Software umfassen, um etwaige Lücken so schnell wie möglich zu schliessen.
- Physische Angriffe. Natürlich muss auch kontrolliert werden, wer physischen Zugang zum Rechenzentrum hat. Es sollten mehrere Schutzebenen eingeführt werden. Dazu gehören Perimeterschutzsysteme, flächendeckende Kameraüberwachung und indivuelle Authentifizierung.
Wie sichert man ein Rechenzentrum?
Unabhängig davon, wie gross das Rechenzentrum ist, es sollten immer verschiedene virtuelle sowie physische Sicherheitsebenen vorhanden sein. Ebenso gibt es Compliance-Standards zum rigorosen Schutz bestimmter Ressourcen.
Wichtige Compliance Standards für Rechenzentren
Ein Rechenzentrum ist immer verpflichtet, seine Compliance Standards gegenüber Behörden, Interessengruppen und Kunden offen zu legen. Die Festlegung dieser wichtigen Security Standards ist für die Sicherheit der Kundendaten von entscheidender Bedeutung.
Die Compliance Standards für Rechenzentren decken Referenzen und Zertifizierungen in wichtigen Bereichen wie Datenschutz, Cybersicherheit und Nachhaltigkeit ab. Für Rechenzentren gelten verschiedene Compliance Standards. So gibt es beispielweise grundlegende Datacenter Compliance Standards wie die System- und Organisationskontrollen (SOC-Audits). SOC-Berichte verleihen Rechenzentren Glaubwürdigkeit, was oft eine Voraussetzung für die Zusammenarbeit mit Kunden einer bestimmten Grösse oder Branche ist. Sie belegen, dass das Rechenzentrum in vielen wichtigen Bereichen solide Standards einhält und dass seine Kunden ihm vertrauen können.
Es gibt drei primäre SOC-Standards:
- SOC 1: Der SOC 1 Compliance Standard bedeutet, dass in einem Unternehmen strenge Finanz- und Berichtskontrollen vorhanden sind. Es ist ein gutes Hilfsmittel, um das Vertrauen der Kunden zu stärken, da es zeigt, dass das Rechenzentrum die Finanzdaten bestmöglich sichert und handhabt. In einer Welt zunehmender Datenregulierung und Gesetzgebung ist SOC 1 ein Instrument, um Vertrauen im Umgang mit sensiblen Daten zu schaffen.
- SOC 2: Mit dem Compliance Standard SOC 2 kann ein Rechenzentrum ein ausgezeichnetes Level an Security vorweisen. Es sendet dem Kunden verschiedene Vertrauenssignale wie z.B. wichtige physische, lokale und Cloud-Securitykontrollen. Da die Security als Schwerpunkt gilt, deckt SOC 2 auch die Verarbeitung, den Datenschutz und die Integrität der Datenverwaltung ab. SOC 2 ist ein wichtiges Instrument für geschäftskritische Sicherheitskontrollen in Rechenzentren auf der Grundlage der Trust Services Criteria.
- SOC 3: Der SOC 3 Standard ist der am wenigsten Verbreitete der drei Standards, obwohl er für Service Providers eine wichtige Leistung aufzeigt. Er deckt zwar einen Grossteil von SOC 2 ab, doch gibt es einen entscheidenden Unterschied: SOC 3 ist für ein allgemeines Publikum vorgesehen. Die Berichte sind also kürzer und gehen nicht so sehr ins Detail wie SOC 2-Berichte.
Weitere wichtige Compliance Standards sind: ISO 27001 als weltweit anerkannte Norm für Informationssicherheit-Massnahmen, PCI DSS-Standard für die Annahme, das Verarbeitung und das Speichern von finanziellen Zahlungsdaten und der HIPAA-Standard für die Verarbeitung und das Speichern von Daten aus dem Gesundheitswesen.
Physische Security im Rechenzentrum
Rechenzentren müssen physische Sicherheitsvorkehrungen vornehmen, diese warten und stetig verbessern. Diese Massnahmen sollten sicherstellen, dass nur befugtes Personal das Rechenzentrum betritt und dass die Anlagen vor möglichen Bedrohungen geschützt sind.
Die Sicherheitsstufen von Rechenzentren sind aufgebaut in verschiedenen Schutzringen. Sie beginnen ganz aussen und nähern sich schrittweise den physischen Computer-Ressourcen.
Bei einer externen Risikobewertung sollte Folgendes ermittelt werden:
- Alle potenziellen Gefahren ausserhalb des Rechenzentrums. Dazu gehören auch Risiken in der näheren Umgebung, z. B. in anderen nahe gelegenen Einrichtungen.
- Kontinuierliche Verfügbarkeit von geschäftskritischen Ressourcen wie Wasser, Strom und Netzwerk.
- Das Risiko von Naturkatastrophen, das am Standort besteht, wie beispielweise extreme Wetterbedingungen, Überschwemmungen oder Erdbeben.
Der nächste Schritt ist die Implementierung von Zugangskontrollen für das Rechenzentrum. Dazu gehören:
- Zugangskontrollen an der Peripherie: Mithilfe von Überwachungs- und Sicherheitsexperten müssen strenge Richtlinien für den Zugang zum Rechenzentrum implementiert werden. Das heisst Kamarasysteme, Personalkontrollpunkte und Sicherheitsmassnahmen zum Schutz vor unbefugtem Zutritt.
- Sicherheitskontrollen innerhalb des Rechenzentrums: Auch diese sollten mehrstufig angelegt sein. Kein Zugang ohne mehrfache Identitätsprüfung! Solche Kontrollen können eine Multi-Faktor-Authentifizierung, biometrische Kontrollen, Identifikationskarten, Datacenter Cages etc. umfassen. Die Sicherheitsvorkehrungen sollten auch ein "tailgating" verhindern. Die physischen Computer-Ressourcen im Rechenzentrum müssen auch durch mehrere Ebenen geschützt sein.
- Sobald die Zugangskontrollen stehen, muss geprüft werden, wie eine kontinuierliche und unterbrechungsfreie Stromversorgung gewährleistet werden kann. Auch mögliche Wasserschäden, Brandgefahren oder Netzwerkblockaden müssen berücksichtigt werden. Es sollten zudem immer Datacenter Disaster Recovery Plans vorhanden sein.
Kombiniert man diese verschiedenen Sicherheitskontrollen, dann können sie dazu beitragen, dass die Anlagen physisch vor Angriffen von aussen geschützt sind.
Virtuelle Security im Rechenzentrum
Alle virtuellen Ressourcen müssen vor Angriffen von aussen geschützt sein. Dafür gibt es zahlreiche Tools und Techniken, und die meisten Systeme verfügen über integrierte Firewalls, Systeme zur Erkennung von Unbefugten und Datacentre Network Security Management Systems.
Eine hochsichere Firewall für das Rechenzentrum kann dazu beitragen, Geräte vor Ort vor Eingriffen von aussen zu schützen und den unbefugten Zugriff auf Systeme zu verhindern. Systeme zur Erkennung von Unbefugten sollten jede verdächtige Aktivität überwachen. Alle Tools sollten dann Berichte an Security Apps oder Management Systeme senden, die von Sicherheitsexperten überprüft werden können.
Das wichtigste ist, Gefahren proaktiv zu eliminieren und gleichzeitig adequat auf neue Gefahren zu reagieren. Ausserdem sollten alle Informationen für die Security Teams leicht zugänglich sein.
Security bei Digital Realty
Next Generation Datacenters müssen mehr leisten als nur das Hosting.
Wir investieren jeden Tag in die Sicherheit unserer Infrastruktur – physisch, virtuell, mit Menschen, Systemen und Compliance-Standards.
Eine starke Security Policy sollte sowohl physische als auch virtuelle Schutzmassnahmen umfassen, die den Zugriff von aussen sowohl vor Ort also auch auf Cloud Services verhindern.
Rechenzentren sollten einen qualitativ hochwertigen Security Service bieten, die Compliance-Anforderungen erfüllen und sich immer weiter verbessern. Die Sicherheit von Rechenzentren ist eine ständige Herausforderung - und nur wer sich weiterentwickelt und aus neuen Herausforderungen lernt, wird in der Lage sein, sie zu meistern.
Die Colocation-Rechenzentren von Digital Realty erfüllen strenge Sicherheitsstandards. Wir implementieren zahlreiche Sicherheitsebenen - sowohl physische als auch virtuelle - um die geschäftskritischen Ressourcen unserer Kunden zu schützen.
Erfahren Sie von unserem Senior Vice President und Chief Information Security Officer, Don F., wie wir Ihre Daten schützen und Unternehmen dabei unterstützen, Daten sicher in Business Intelligence umzuwandeln.