Physische IT-Sicherheit
Die physische IT-Sicherheit befasst sich mit den Maßnahmen zur Vermeidung von Gefahren durch unmittelbare, körperliche (physische) Einwirkung auf Computersysteme. Der Bereich der physischen IT-Sicherheit beginnt mit einfachen Mitteln wie verschlossenen Rechnergehäusen und reicht bis zum Einschließen von Systemen in Rechenzentren.
Die physische IT-Sicherheit ist abgegrenzt gegen die Sicherheit vor logischen Fehler (Programmfehler), vor unberechtigten Datenzugriff oder -veränderung (s. Firewall, Virenschutz) oder vor Nichtverfügbarkeit von Daten respektive Computersystemen (s. Verfügbarkeit).
Schutzmaßnahmen
Alle physischen Schutzmaßnahmen zielen auf eine Abschottung der Systeme von Gefahrenquellen wie:
- mechanische Einwirkung durch Personen
- technische Defekte (Wassereinbruch, Brand)
- Einbringung von Schadstoffen (Staub, Aerosole)
- elektromagnetische Einwirkung (z. B. durch nahen Blitzschlag)
- gasförmige, korrosive Luftbelastungen
Für Rechenzentren wird die Abschottung in der Regel durch IT-Sicherheitsräume und -zellen, meistens für Feintechnik (aktive Komponenten, Server etc.), oftmals auch für Grobtechnik/Infrastruktur (Klimatechnik, Energieverteilung etc.) erreicht. Die Trennung zwischen Feintechnik und Grobtechnik hat mehrere Gründe:
- Grobtechnik-Systeme geben oftmals Störstrahlungen ab, welche die Feintechnik beeinträchtigen kann.
- Die Batterie-Packs der USV erzeugen im Brandfall (Kurzschluss im Batterie-Pack) äußerst hohe Temperaturen und korrosive Gase.
- Für die regelmäßige Wartung der Grobtechnik-Systeme ist kein Zugang zum Serverraum notwendig.
Für die bauliche Gestaltung der Rechenzentren wird meist Beton verwendet, obwohl es aufgrund seiner kristallinen Restfeuchte das am wenigsten geeignete Material ist. Die durch die Verwendung von Beton eingebrachten Nachteile müssen dann mittels Dampfsperren und Hitzeschutzbelag ausgeglichen werden.
Ein Rechenzentrum sollte grundsätzlich mittig in einem Gebäude untergebracht werden. Hier kommt ein Schalenprinzip zum Einsatz. Im Kern, der A-Zone herrschen strenge Richtlinien zu Zugang, Lagerung von Materialien oder Verwendung elektronischer Geräte (Handy-Verbot). In der umgebenden B-Zone werden Büros der EDV angesiedelt, sowie Vorbereitungs- und Montageräume für Server und andere im RZ zu verwendenden Systeme. Auch hier gelten noch Einschränkungen für Zugang und Lagerung von Feuergefährlichen Stoffen (z. B. Kartonagen). In der C-Zone kann zwar jedem Mitarbeiter der Zutritt erlaubt werden, aber es gelten immer noch erhöhte Brandschutz und Objektsicherheitsbestimmungen. Wichtig ist, dass Brände oberhalb des RZ nahezu ausgeschlossen werden, um das RZ nicht durch Löschwasser zu gefährden. Direkt unter dem Dach sollte ein RZ jedoch nicht untergebracht werden, um Eindringen von Regenwasser bei Dachschäden zu vermeiden. Auf keinen Fall sollte ein RZ in einem Untergeschoss etabliert werden, da sich dort bei jedem Vorfall (Löschung, Rohrbruch, Dachschaden, Überschwemmung) das Wasser aus den darüber liegenden Geschossen sammelt.
Neben dem Schutz vor eindringendem Wasser und Staub ist auch der Qualität der Umluft, bedingt durch die steigende Luftverschmutzung, vermehrt Augenmerk zu schenken. Im Besonderen ist die Einbringung von H2S zu kontrollieren und gegebenenfalls zu reduzieren. Hier bieten sich verschiedene Methoden, z. B. die chemisorptive Filterung mit Überdruckbelüftung, an. In der Vergangenheit wurde der Einfluss korrosiver Verunreinigungen in der Umluft vielerorts unterschätzt. Er lässt sich durch genormte Messungen jedoch einfach ermitteln.
Übersicht über Gefahren-Normen
Es existieren seitens unabhängiger Prüfinstitute sowie auf DIN- oder EN-Normebene einige zentrale Normen/Klassifizierungen zur Prävention von physischen Gefahren im Rechenzentrum. Diese physischen Gefahren lassen sich in folgende Gefahrenbereiche einteilen:
| Gefahr | Norm | Beschreibung |
|---|---|---|
| Feuer | EN-1047-2 | Die IT-Brand-Norm Klassifizierung und Methoden zur Prüfung des Widerstandes gegen Brand – Teil 2: IT-Datensicherungsräume und Datensicherungscontainer; Deutsche Fassung FprEN 1047-2:2008 Diese Norm wurde speziell für die besonderen Anforderungen im Brandfalle in einem Rechenzentrum entwickelt. Die wichtigsten Eckdaten sind eine maximale Innentemperatur von ca. 70 °C und eine maximale rel. Luftfeuchtigkeit von 85 % bei einem Brandtest über 24 Stunden (aktive Beflammung mit über 1000 °C 60 Minuten). Außerdem werden die IT-Sicherheitszellen als Komplettsystem im Rahmen einer Systemprüfung getestet. |
| Feuer | EN-1363 / DIN 4102-2 | Die Norm für Brandwiderstand von Bauteilen Feuerwiderstandsprüfungen – Teil 1: Allgemeine Anforderungen; Deutsche Fassung EN 1363-1:1999 Diese Norm ist nur bedingt aussagefähig im IT-Umfeld. |
| Wasser | EN-60529 | Die IP-Norm Schutzarten durch Gehäuse (IP-Code) (IEC 60529:1989 + A1:1999); Deutsche Fassung EN 60529:1991 + A1:2000 Diese Norm klassifiziert das Eindringen von Wasser (z. B. Löschwasser), den Level der Schutzwertigkeit gibt hier die zweite Stelle x an: IPxX |
| Staub | EN-60529 | Die IP-Norm Schutzarten durch Gehäuse (IP-Code) (IEC 60529:1989 + A1:1999); Deutsche Fassung EN 60529:1991 + A1:2000 Diese Norm klassifiziert auch das Eindringen von Staub (z. B. Baustaub oder z. T. Rauchgas), den Level der Schutzwertigkeit gibt hier die erste Stelle x an: IPXx |
| Elektronik Korrosion | ANSI/ISA 71.04-2013 | ASHRAE Datacom Series Book 8, ISBN 978-1-936504-78-7, Copyright ASHRAE Erfassung durch Korrosionscoupons, gem. ANSI/ISA Spezifikation (Annex C, der o. g. ANSI/ISA Norm) Chemische Trockengranulat-Filterung der zugeführten / umgewälzten Rechenzentrumsluft, gem. der beiden o. g. Normen, mit dem Ziel, eine Belastungsgrenze der Luftbelastung von „G1“ gem. der beiden o. g. Normen nicht zu überschreiten. |
| Fremdzugriff | EN-1627 / EN-1630 | Die Einbruchs-Norm Fenster, Türen, Abschlüsse – Einbruchhemmung – Prüfverfahren für die Ermittlung der Widerstandsfähigkeit gegen manuelle Einbruchversuche; Deutsche Fassung ENV 1630:1999 / Einbruchhemmende Bauprodukte (nicht für Betonfertigteile) – Anforderungen und Klassifizierung; Deutsche Fassung prEN 1627:2006 Diese Norm definiert den Level an Einbruchssicherheit. Rechenzentren werden meistens in den Widerstandsklassen 2 bis 4 (WK 2–4) realisiert. Je höher die WK-Wert, desto sicherer. Obwohl die Norm keine Systemprüfung vorsieht, sollte auch hier auf eine gesamte Prüfung geachtet werden, d. h. die Tür hat die gleiche Wertigkeit wie z. B. Kabelschotts oder Wände. |
Literatur
- Echt Ätzend. In: Zeitschrift für Informations-Sicherheit. 30. Jg., Nr. 4, August 2014, S. 2 ff.
Weblinks
- IT-Grundschutz (BSI)
- Offizielle Seite der ISO/IEC 27001: iso.org
- Detailanzeige für DIN EN 1047-2:2009-02
- www.ecb-s.com