Sicherheit im Datacenter:
Checkliste: Sicheres Rechenzentrum

von Ralf Ladner (ralf.ladner@networkcomputing.de), Christian Wirsig

Share
11.05.2010

Datenbanken, ERP-Systeme, Applikations-Server – auch der Mittelstand ist auf IT-Höchstleistungen angewiesen. Geschäftskritische Produktiv-Systeme werden dabei zentral im Rechenzentrum zusammengefasst. Dieses Herzstück der Mittelstands-IT muss perfekt abgesichert sein. 10 Schritte zum sicheren Rechenzentrum.

Schritt 1 – Datensicherung

Die richtige Backup-Strategie ist so wichtig wie konstante Stromzufuhr. Doch was ist richtig? Das kommt ganz auf ihre Situation an. Stellen Sie einen Plan mit Backup-Anforderungen auf. Welche Systeme sind wie wichtig für ihr Unternehmen und welche Sicherungs-Intervalle sind nötig? Falls möglich, sollten die Backups verschlüsselt angelegt werden. Weitere wichtige Fragen: Wohin werden die Daten gesichert. Mit zur Datensicherungs-Strategie gehören auch regelmäßige Tests, ob alle Backups auch erfolgreich restauriert werden können.

Schritt 2 – IT-Sicherheitsbeauftragten festlegen

Für wichtige Unternehmensbereiche gibt es feste Ansprechpartner. Das gilt für den Brandschutz genauso wie für IT und sollte auch explizit für IT-Sicherheit gelten. Legen Sie pro Aufgabenfeld einen Verantwortlichen plus einen Stellvertreter fest, etwa für Datenschutz, Sicherheit und Virenschutz. Wichtig auch: Halten Sie genau fest, welche Aufgaben mit den »Ämtern« verbunden sind. Sorgen Sie dafür, dass alle Mitarbeiter die Ansprechpartner für Fragen zur IT und IT-Sicherheit kennen.

Schritt 3 – Physikalische Sicherheit

Auch perfekt konfigurierte Server sind wertlos, wenn sie von Feuer vernichtet oder Dieben weggetragen werden. Deshalb steht die physikalische Sicherheit eines RZ ganz vorne auf der To-Do-Liste. Dazu gehören: Abgesicherter Zutritt, Brandschutz, Notstromversorgung, Klimatisierung und redundante Komponenten (Netzanbindung, Serversysteme, Hardware-Komponenten). Geschäftskritische Anwendungen, etwa ERP-Systeme in Produktionsbetrieben, können durch Clusterbetrieb ausfallsicherer gemacht werden.

Schritt 4 – Schutz vor Schadsoftware

Schadsoftware bedroht nicht nur Privatnutzer und Mitarbeiter-PCs, sondern besonders die Systeme im RZ. Dabei ist die beste Vorgehensweise ein mehrstufiger Schutz gegen Viren, Malware, Spyware, Trojanische Pferde, der sich zentral verwalten lässt. Wichtig: Halten Sie diesen Schutz immer auf dem aktuellen Stand. Neben den Servern gehört aber zum Schutz des RZ auch die Absicherung der Clients, die auf das RZ zugreifen. Explizit also auch die Notebooks der Außendienstler und Smartphones, die auf Kommunikations-Systeme und Unternehmens-Anwendungen zugreifen.

Schritt 5 – Sicherheitsrichtlinien

Ohne genaue Richtlinien wird die Sicherheitsstrategie fürs RZ nicht funktionieren. So ist zum Beispiel wichtig, dass es eine Datenklassifikation gibt und die Zugriffsrechte der Mitarbeiter darauf angepasst werden. Spezielle Szenarien erfordern spezielle Richtlinien. So ist es ein großer Unterschied, ob Mitarbeiter lokal aus dem Unternehmensnetz auf das RZ zugreifen oder vom Home-Office aus. Prüfen Sie die Richtlinien regelmäßig und passen Sie sie an aktuelle Entwicklungen an.

Schritt 6 – Netz-Trennung

Kritische Punkte in jedem Netzwerk sind Übergänge zu anderen Netzen; Das kann das Internet ebenso sein wie eine Verbindung mit Kunden- oder Lieferanten-Netzen. Hier sollten Sie Firewalls einsetzen. Besondere Beachtung sollten Sie Servern schenken, die auch von außen erreichbar sein müssen, etwa für den Zugriff von mobilen Mitarbeitern. Ein Intrusion-Detection-System ergänzt eine klassische Firewall perfekt und hilft Angriffe zu erkennen. Einen Schritt weiter gehen Intrusion-Prevention-Systeme. Sie können im Falle eines Angriffs sogar aktiv eingreifen und etwa einen Datenstrom unterbrechen.

Schritt 7 – Updates und Patches

Updates gehören zum kleinen ABC der Sicherheit, bereiten in Firmen aber bei vielen Systemen mit unterschiedlicher Konfiguration Probleme. Denn wichtig ist, dass Patches zeitnah eingespielt werden. Pflicht ist eine Automatisierung für den Rollout von neuer Software. Wie das genau funktioniert, sollten Richtlinien festlegen. Beachten Sie, dass Updates vorher in einer Testumgebung geprüft werden müssen, bevor sie auf Produktivsysteme losgelassen werden.

Schritt 8 – Dokumentation

Welche Server sind aktuell in Betrieb, welchen Zweck haben sie, welche Hardware ist verbaut und wie sieht die genutzte Software aus? Triviale Fragen bei einer Hand voll Maschinen, bei 10 oder mehr Servern hilft eine aktuelle Dokumentation ihrer IT-Umgebung. Das spart Zeit in Notfällen. Neben der Infrastruktur und der genutzten Hardware gehören auch Service-Kontakte in die Doku.

Schritt 9 – Schulung und Sensibilisierung der Mitarbeiter

Nicht jeder Mitarbeiter kennt sich mit IT-Themen aus. Deshalb gehören Schulung und Sensibilisierung der Mitarbeiter mit zum sicheren RZ. Dazu gehört die fachliche Seite, also Schulung für Mitarbeiter mit den IT-Systemen, die sie bei der Arbeit nutzen. Sensibilisieren Sie Mitarbeiter bei diesen Schulungen für Sicherheitsthemen, etwa den sorgsamen Umgang mit Passwörtern. Präsentieren Sie Statistiken, etwa die Anzahl der Angriffe auf das Unternehmensnetzwerk oder die Anzahl der Spam-Mails, um Mitarbeitern einen Eindruck der aktuellen Bedrohungslage zu geben.

Schritt 10 – Benutzerverwaltung & Zugriffsberechtigungen

Welche Benutzergruppen sollten Zugang zu welchen Ressourcen bekommen? Eine entscheidende Frage. Pflicht ist dafür eine systematische Benutzerverwaltung, um sicherzustellen, dass nur berechtigte Personen auf ihre Unternehmensdaten zugreifen können. Hier können Sie ruhig eine restriktive Strategie verfolgen. Vor jeder Nutzung von IT-Systemen sollten sich die Benutzer authentisieren müssen. Zu einem Zugriffsberechtigungs-Konzept gehört aber auch die Verschlüsselung sensibler Daten – denn nicht nur Laptops können gestohlen werden, sondern auch Server-Festplatten.

Christian Wirsig, Communications Manager, Kaspersky Lab