Open Telekom Cloud für Geschäftskunden

Physische IT-Sicherheit: Zwiebellook fürs Rechenzentrum

von Redaktion
Server-Cluster in einem Cage im Rechenzentrum im blauen Licht
Ob Administrator oder Techniker: Eine Zutrittskontrolle regelt, wer im Rechenzentrum in Biere welche Wege zurücklegen darf.

In diesem Artikel lesen Sie,

  • warum die physische Sicherheit in Rechenzentren genauso wichtig ist wie Cybersicherheit,
  • welche Vorteile nach dem Zwiebelprinzip aufgebaute Sicherheitszonen bringen,
  • und warum es immer mehr Rechenzentrumsbetreiber aufs Land zieht.

Rechenzentren gelten als „Wiege der Digitalisierung“. Ohne leistungsfähige Computing-Ressourcen würden weder das Internet noch die Cloud – und damit auch keine Apps, sozialen Medien oder Onlineshops funktionieren. Ein Ausfall hätte weitreichende Folgen sowohl für die Wirtschaft als auch für das gesellschaftliche Leben. Kein Wunder also, dass der Betrieb von Rechenzentren besondere Schutzmaßnahmen erfordert.

Während sich die IT-Sicherheit um die Abwehr von Cyberangriffen kümmert, geht es bei der physischen Sicherheit im Rechenzentrum (RZ) darum, Unbefugte am Zutritt zu hindern und den RZ-Betrieb vor Elementarschäden durch Hochwasser oder Sturm zu schützen. Aber auch Brandschutz, Stromversorgung oder Drohnenerkennung spielen eine Rolle, erklärt Johannes Krafczyk, der als T-Systems-Manager den Bau des Hochleistungsrechenzentrums in Biere begleitete, im Interview.

Johannes Krafczyk
Johannes Krafczyk

Herr Krafczyk, was sind aktuell die größten Herausforderungen für die physische Sicherheit von Rechenzentren?

Unsere Hauptaufgabe ist es, die Daten unserer Kunden zu schützen. Dafür müssen wir eine vernünftige Balance zwischen operativem Betrieb und Sicherheit herstellen. Die Schutzmaßnahmen dürfen natürlich auch nicht dazu führen, dass der Betriebsablauf in den Rechenzentren unverhältnismäßig beeinträchtigt oder gar blockiert wird.

Welche Rolle spielen bauliche Maßnahmen?

Wir setzen die Aufteilung in Sicherheitsschichten nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) um: Außenbereich, kontrollierter Innenbereich, interner und Hochsicherheitsbereich. In letzterem und damit im Kern des Gebäudes liegen die zu schützenden Daten auf hochperformanten Servern.

Der äußere Ring umfasst den Außenbereich inklusive Sicherheitszaun und zentralem Eingang zum kontrollierten Innenbereich. Dort entscheidet sich durch Pin-Code, Schlüsselkarte, biometrische Identifikation oder eine Kombination aus mehreren Verfahren, welche Bereiche jede einzelne Person betreten darf: Wer kommt nur bis zur Lkw-Anlieferrampe und wer bis zum Verriegelungssystem eines Racks? Alle Türen und Schleusen im Data Center öffnen sich nur, wenn Sicherheitsprofil und Berechtigungen stimmen. Für jeden einzelnen sind die Wege im Rechenzentrum klar vorbestimmt.

Worauf kommt es neben den Zutrittskontrollen noch an?

Brandschutz ist ein weiterer wichtiger Punkt. Moderne Anlagen und die dazugehörigen Prozesse sorgen für einen sicheren Betrieb und die Verfügbarkeit der Daten. In Biere nutzen wir Brandfrühsterkennung mit Ansaugrauchmeldern – den sogenannten Very Early Smoke Detection Apparatus (VESDA). Es gibt ein ausgefeiltes Raumkonzept mit autarken Brandschutzzellen, die dank F90-Qualität für mindestens 90 Minuten feuerbeständig sind. Zudem erlauben Stickstoff-Gaslöschanlagen im Ernstfall die Löschung einzelner Brandschutzzellen.

Erkennen die mit unserem Alarmsystem verbundenen Sensoren und Kameras ein Feuer, lösen sie automatisch die Löschung aus und alarmieren die nächste Feuerwache, sodass die Einsatzkräfte innerhalb weniger Minuten vor Ort sein können. Alle Lösungen und Abläufe hinsichtlich des Brandschutzes testen wir regelmäßig. Außerdem finden in festen Abständen auch Brandschutzübungen mit der örtlichen Feuerwehr statt.

Ein Brand ist aber nicht die einzige Gefahr.

Nein. Die physischen Sicherheitsvorkehrungen in unseren Rechenzentren schützen auch vor Ausfällen aufgrund von Naturgewalten wie Überschwemmungen, Stürmen oder Erdbeben. Die strukturellen Voraussetzungen müssen bereits bei der Standortwahl berücksichtigt werden und die erforderlichen Maßnahmen in die Baupläne mit einfließen.

Trotz all der Sicherheitsmechanismen: Wer komplett auf Nummer sicher gehen möchte, sollte zusätzlich auf eine georedundante Speicherung an einem anderen Standort, etwa in unserem neuen Twin-Core-Rechenzentrum in Amsterdam, setzen.

Wie sieht ein geeigneter Standort aus?

Zum Beispiel wie unser Standort in Biere. Hier passen Umgebung und Infrastruktur. Die muss man bei der Auswahl genau unter die Lupe nehmen: Gibt es einen Fluss, der über die Ufer treten könnte? Was ist mit Einflugschneisen von Flughäfen? Sind nur Kreisstraßen in der Nähe oder auch Autobahnen, auf denen Gefahrguttransporte zugelassen sind? Verlaufen Trassen oder Pipelines unter dem Standort? Könnte in unmittelbarer Nähe ein Industriegebiet entstehen? Außerdem spielen in Deutschland die Schienenwege eine Rolle. Das System von elektrifizierten Bahnen kann die Technik im Rechenzentrum beeinflussen. Dabei stört weniger die genutzte Frequenz 33 1/3 HZ als vielmehr der Fahrrückstrom zum Trafo über das Erdreich.

Alle diese Anforderungen konnte der Standort in Biere, knapp 20 Kilometer südlich von Magdeburg, also erfüllen?

Genau. Außerdem liegen ländliche Standorte wie Biere im Trend. In den letzten Jahren beobachten wir hierzulande einen zunehmenden Rückzug aus den Innenstädten. Wollen Unternehmen, Provider oder Investoren neue Datacenter bauen, zieht es sie verstärkt aufs Land, wo eine Strominfrastruktur und Grundstücke – zumindest noch – ausreichend zur Verfügung stehen, sie aber auch bestimmte Bedrohungen ausschließen können. Städtische Infrastrukturen können sich negativ auf die Sicherheit von Rechenzentren auswirken. Hier kann mehr passieren, sei es durch Verkehrsunfälle oder Baumaßnahmen, bei denen Kabel durchtrennt oder Fliegerbomben gefunden werden.

Dennoch gibt es in Städten und Ballungszentren wie im Rhein-Main-Gebiet sehr viele Rechenzentren.

Das hat auch historische Gründe. Erste große Rechenzentren entstanden in den 70ern. Fachkräfte, die diese Datenfabriken bedienen konnten, waren damals rar und nur im Umfeld von Universitäten zu finden. Aus diesem Grund erfolgte 1974 die Grundsteinlegung für die VEB Maschinelles Rechnen, also den damals sogenannten Volkseigenen Betrieb, in Magdeburg in Sichtweite der Hochschule. Heute befindet sich an dieser Stelle eines der Hochleistungsrechenzentren von T-Systems

Das Thema Fachkräfte ist heute aber nicht mehr so entscheidend. Für den IT-Betrieb braucht es inzwischen weniger Personal, viele Prozesse funktionieren vollautomatisiert und remote. An unseren Standorten in Biere und Magdeburg sind im Durchschnitt täglich rund 100 Personen vor Ort.

Wichtig ist eine sichere Infrastruktur inklusive zuverlässiger Stromversorgung. In Biere haben wir die besten Voraussetzungen gefunden, um die notwendigen Schutz- und Sicherheitskonzepte für ein „Fort Knox für Daten“ umzusetzen. Der innere Kern des Rechenzentrums liegt beispielsweise rund 70 Meter von der nächsten öffentlichen Straße entfernt. Anders in der Stadt: Hier kann die Wand neben einem Server direkt an die Fahrbahn angrenzen. Generell bringt das große Areal in Biere mehr Sicherheit, denn die Freiflächen um das Rechenzentrum herum lassen sich – anders als verbaute Gebiete – mit Sensorik wie Bewegungsmeldern und Kameras einfacher überwachen.

Welche Personen dürfen das Rechenzentrum in der Regel betreten?

Zwar läuft der IT-Betrieb inzwischen weitgehend automatisiert, nichtsdestotrotz halten jede Menge Mitarbeiter das Drumherum am Laufen. Server-Cluster, Racks, Netzwerkkomponenten, Storage-Appliances, unterbrechungsfreie Stromversorgung oder Brandschutzanlagen müssen installiert und regelmäßig gewartet, repariert oder ausgetauscht werden. Die damit beauftragten Personen müssen auch hochsensible Bereiche betreten dürfen. Bevor sie Zugang erhalten, müssen sie sich jedoch entsprechend anmelden und überprüfen lassen.

Wie lässt sich festlegen, wer in welche Räume darf?

Das hängt von den jeweiligen Aufgaben und der Funktion der Person ab. Die Betreiber großer Rechenzentren – so auch T-Systems in Biere – binden mehrere Internetprovider an, um den Kunden eine flexible Auswahl zu ermöglichen. Das erfordert ein Handover: Die Daten müssen beispielsweise vom Netzwerk des Providers in die Open Telekom Cloud gelangen. Das findet in Biere nicht in den IT-Räumen, sondern in separierten Bereichen statt, zu denen die Techniker über ein abgeschottetes Wegesysteme gelangen.

Ist es möglich, mit der Hardware auch andere, potenziell gefährliche Dinge ins Rechenzentrum zu schmuggeln?

Hundertprozentige Sicherheit gibt es nicht. Allerdings ermöglichen wir durch die Kombination verschiedener Maßnahmen ein äußerst hohes Sicherheitsniveau. Bereits seit Jahren zählt das Durchleuchten von Verpackungen zum Standard, außerdem gibt es eine Quarantänestation für verdächtige Hardware.

Auf dem Landweg gelingt es nicht, in das Rechenzentrum einzudringen. Aber ist es aus der Luft möglich?

Hier nutzen wir eine Drohnendetektion. In Biere weisen Schilder am Zaun darauf hin, dass wir Drohnen orten und die Piloten zur Rechenschaft ziehen. Auch hierbei spielt uns der ländliche Standort in die Karten. Anders als in dicht besiedelten Stadtgebieten lassen sich Drohnen und Piloten auf freiem Gelände einfacher und schneller orten.

Die Coronakrise hat zuletzt das Arbeitsleben in vielen Bereichen verändert. Wie wirkt sich die Pandemie eigentlich auf den Betrieb in Biere aus?

Der IT-Betrieb selbst wird davon nicht beeinträchtigt. Allerdings gibt es seit Pandemiebeginn keine Kundentermine mehr vor Ort. Des Weiteren haben wir wie in großen Betrieben üblich unsere Arbeitsschichten auf den Infektionsschutz abgestimmt – Stichwort Business Continuity. So dürfen sich die Mitarbeiter verschiedener Schichten untereinander nicht begegnen, um das Ansteckungsrisiko zu minimieren. Außerdem haben wir die Ersatzteilbevorratung erweitert, um nicht von Schwankungen in den Lieferketten abhängig zu sein. Dies hat uns der erste Lockdown im Frühjahr 2020 gelehrt, als kleine Spezialfirmen ihre Produktion kurzfristig einstellen mussten und kein RZ-Equipment mehr liefern konnten.

Mehr zur Sicherheit in Biere sehen Sie im Video:


Jetzt direkt buchen und 250 € Startguthaben sichern

 

Haben Sie Fragen?

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus! Hotline: 24 Stunden am Tag, 7 Tage die Woche
0800 33 04477 aus Deutschland / 00800 33 04 47 70 aus dem Ausland

  • Communities

    Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken 

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

    0800 33 04477 (aus Deutschland)

    +800 33 04 47 70
     (aus dem Ausland)

    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben