- Physische IT-Sicherheit
-
Die physische IT-Sicherheit befasst sich mit den Maßnahmen zur Vermeidung von Gefahren durch unmittelbare, körperliche (physische) Einwirkung auf Computersysteme. Der Bereich der physischen IT-Sicherheit beginnt mit einfachen Mitteln wie verschlossenen Rechnergehäusen und reicht bis zum Einschließen von Systemen in Rechenzentren.
Die physische IT-Sicherheit ist abgegrenzt gegen die Sicherheit vor logischen Fehler (Programmfehler), vor unberechtigten Datenzugriff oder -veränderung (s. Firewall, Virenschutz) oder vor Nichtverfügbarkeit von Daten respektive Computersystemen (s. Verfügbarkeit).
Schutzmaßnahmen
Alle physischen Schutzmaßnahmen zielen auf eine Abschottung der Systeme von Gefahrenquellen wie:
- mechanische Einwirkung durch Personen
- technische Defekte (Wassereinbruch, Brand)
- Einbringung von Schadstoffen (Staub, Aerosole)
- elektromagnetische Einwirkung (z.B. durch nahen Blitzschlag)
Für Rechenzentren wird die Abschottung in der Regel durch IT-Sicherheitsräume und -zellen, meistens für Feintechnik (aktive Komponenten, Server etc.), oftmals auch für Grobtechnik/Infrastruktur (Klimatechnik, Energieverteilung etc.) erreicht. Die Trennung zwischen Feintechnik und Grobtechnik hat mehrere Gründe:
- Grobtechnik-Systeme geben oftmals Störstrahlungen ab, welche die Feintechnik beeinträchtigen kann.
- Die Batterie-Packs der USV erzeugen im Brandfall (Kurzschluss im Batterie-Pack) äußerst hohe Temperaturen und korrosive Gase.
- Für die regelmäßige Wartung der Grobtechnik-Systeme ist kein Zugang zum Serverraum notwendig.
Für die bauliche Gestaltung der Rechenzentren wird meist Beton verwendet, obwohl es aufgrund seiner kristallinen Restfeuchte das am wenigsten geeignete Material ist. Die, durch die Verwendung von Beton eingebrachten Nachteile müssen dann mittels Dampfsperren und Hitzeschutzbelag ausgeglichen werden.
Ein Rechenzentrum sollte grundsätzlich mittig in einem Gebäude untergebracht werden. Hier kommt ein Schalenprinzip zum Einsatz. Im Kern, der A-Zone herrschen strenge Richtlinien zu Zugang, Lagerung von Materialien oder Verwendung elektronischer Geräte (Handy-Verbot). In der umgebenden B-Zone werden Büros der EDV angesiedelt, sowie Vorbereitungs- und Montageräume für Server und andere im RZ zu verwendenden Systeme. Auch hier gelten noch Einschränkungen für Zugang und Lagerung von Feuergefährlichen Stoffen (z.B. Kartonagen). In der C-Zone kann zwar jedem Mitarbeiter der Zutritt erlaubt werden, aber es gelten immer noch erhöhte Brandschutz und Objektsicherheitsbestimmungen. Wichtig ist, dass Brände oberhalb des RZ nahezu ausgeschlossen werden, um das RZ nicht durch Löschwasser zu gefährden. Direkt unter dem Dach sollte ein RZ jedoch nicht untergebracht werden, um Eindringen von Regenwasser bei Dachschäden zu vermeiden. Auf keinen Fall sollte ein RZ in einem Untergeschoss etabliert werden, da sich dort bei jedem Vorfall (Löschung, Rohrbruch, Dachschaden, Überschwemmung) des Wasser aus den darüber liegenden Geschossen sammelt.
Übersicht über Gefahren-Normen
Es existieren seitens unabhängiger Prüfinstitute sowie auf DIN- oder EN-Normebene einige zentrale Normen/Klassifizierungen zur Prävention von physischen Gefahren im Rechenzentrum. Diese physischen Gefahren lassen sich in folgende Gefahrenbereiche einteilen:
Gefahr Norm Beschreibung Feuer EN-1047-2 Die IT-Brand-Norm Klassifizierung und Methoden zur Prüfung des Widerstandes gegen Brand – Teil 2: IT-Datensicherungsräume und Datensicherungscontainer; Deutsche Fassung FprEN 1047-2:2008
Diese Norm wurde speziell für die besonderen Anforderungen im Brandfalle in einem Rechenzentrum entwickelt. Die wichtigsten Eckdaten sind eine maximale Innentemperatur von ca. 70° C und eine maximale rel. Luftfeuchtigkeit von 85% bei einem Brandtest über 24 Stunden (aktive Beflammung mit über 1000° C 60 Minuten). Außerdem werden die IT-Sicherheitszellen als Komplettsystem im Rahmen einer Systemprüfung getestet.
Feuer EN-1363 / DIN 4102-2 Die Norm für Brandwiderstand von Bauteilen Feuerwiderstandsprüfungen – Teil 1: Allgemeine Anforderungen; Deutsche Fassung EN 1363-1:1999
Diese Norm ist nur bedingt aussagefähig im IT-Umfeld.
Wasser EN-60529 Die IP-Norm Schutzarten durch Gehäuse (IP-Code) (IEC 60529:1989 + A1:1999); Deutsche Fassung EN 60529:1991 + A1:2000
Diese Norm klassifiziert das Eindringen von Wasser (z.B. Löschwasser), den Level der Schutzwertigkeit gibt hier die zweite Stelle x an: IPxX
Staub EN-60529 Die IP-Norm Schutzarten durch Gehäuse (IP-Code) (IEC 60529:1989 + A1:1999); Deutsche Fassung EN 60529:1991 + A1:2000
Diese Norm klassifiziert auch das Eindringen von Staub (z.B. Baustaub oder z.T. Rauchgas), den Level der Schutzwertigkeit gibt hier die erste Stelle x an: IPXx
Fremdzugriff EN-1627 / EN-1630 Die Einbruchs-Norm Fenster, Türen, Abschlüsse – Einbruchhemmung – Prüfverfahren für die Ermittlung der Widerstandsfähigkeit gegen manuelle Einbruchversuche; Deutsche Fassung ENV 1630:1999 / Einbruchhemmende Bauprodukte (nicht für Betonfertigteile) – Anforderungen und Klassifizierung; Deutsche Fassung prEN 1627:2006
Diese Norm definiert den Level an Einbruchssicherheit. Rechenzentren werden meistens in den Widerstandsklassen 2 bis 4 (WK 2–4) realisiert. Je höher die WK-Wert, desto sicherer. Obwohl die Norm keine Systemprüfung vorsieht, sollte auch hier auf eine gesamte Prüfung geachtet werden, d.h. die Tür hat die gleiche Wertigkeit wie z.B. Kabelschotts oder Wände.
Weblinks
Wikimedia Foundation.