Physische IT-Sicherheit

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die physische IT-Sicherheit befasst sich mit den Maßnahmen zur Vermeidung von Gefahren durch unmittelbare, körperliche (physische) Einwirkung auf Computersysteme. Der Bereich der physischen IT-Sicherheit beginnt mit einfachen Mitteln wie verschlossenen Rechnergehäusen und reicht bis zum Einschließen von Systemen in Rechenzentren.

Die physische IT-Sicherheit ist abgegrenzt gegen die Sicherheit vor logischen Fehler (Programmfehler), vor unberechtigten Datenzugriff oder -veränderung (s. Firewall, Virenschutz) oder vor Nichtverfügbarkeit von Daten respektive Computersystemen (s. Verfügbarkeit).

Schutzmaßnahmen[Bearbeiten]

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Die fraglichen Angaben werden daher möglicherweise demnächst entfernt. Bitte hilf der Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst. Näheres ist eventuell auf der Diskussionsseite oder in der Versionsgeschichte angegeben. Bitte entferne zuletzt diese Warnmarkierung.

Alle physischen Schutzmaßnahmen zielen auf eine Abschottung der Systeme von Gefahrenquellen wie:

  • mechanische Einwirkung durch Personen
  • technische Defekte (Wassereinbruch, Brand)
  • Einbringung von Schadstoffen (Staub, Aerosole)
  • elektromagnetische Einwirkung (z.B. durch nahen Blitzschlag)
  • gasförmige, korrosive Luftbelastungen

Für Rechenzentren wird die Abschottung in der Regel durch IT-Sicherheitsräume und -zellen, meistens für Feintechnik (aktive Komponenten, Server etc.), oftmals auch für Grobtechnik/Infrastruktur (Klimatechnik, Energieverteilung etc.) erreicht. Die Trennung zwischen Feintechnik und Grobtechnik hat mehrere Gründe:

  • Grobtechnik-Systeme geben oftmals Störstrahlungen ab, welche die Feintechnik beeinträchtigen kann.
  • Die Batterie-Packs der USV erzeugen im Brandfall (Kurzschluss im Batterie-Pack) äußerst hohe Temperaturen und korrosive Gase.
  • Für die regelmäßige Wartung der Grobtechnik-Systeme ist kein Zugang zum Serverraum notwendig.

Für die bauliche Gestaltung der Rechenzentren wird meist Beton verwendet, obwohl es aufgrund seiner kristallinen Restfeuchte das am wenigsten geeignete Material ist. Die durch die Verwendung von Beton eingebrachten Nachteile müssen dann mittels Dampfsperren und Hitzeschutzbelag ausgeglichen werden.

Ein Rechenzentrum sollte grundsätzlich mittig in einem Gebäude untergebracht werden. Hier kommt ein Schalenprinzip zum Einsatz. Im Kern, der A-Zone herrschen strenge Richtlinien zu Zugang, Lagerung von Materialien oder Verwendung elektronischer Geräte (Handy-Verbot). In der umgebenden B-Zone werden Büros der EDV angesiedelt, sowie Vorbereitungs- und Montageräume für Server und andere im RZ zu verwendenden Systeme. Auch hier gelten noch Einschränkungen für Zugang und Lagerung von Feuergefährlichen Stoffen (z.B. Kartonagen). In der C-Zone kann zwar jedem Mitarbeiter der Zutritt erlaubt werden, aber es gelten immer noch erhöhte Brandschutz und Objektsicherheitsbestimmungen. Wichtig ist, dass Brände oberhalb des RZ nahezu ausgeschlossen werden, um das RZ nicht durch Löschwasser zu gefährden. Direkt unter dem Dach sollte ein RZ jedoch nicht untergebracht werden, um Eindringen von Regenwasser bei Dachschäden zu vermeiden. Auf keinen Fall sollte ein RZ in einem Untergeschoss etabliert werden, da sich dort bei jedem Vorfall (Löschung, Rohrbruch, Dachschaden, Überschwemmung) des Wasser aus den darüber liegenden Geschossen sammelt.

Neben dem Schutz vor eindringendem Wasser und Staub ist auch der Qualität der Umluft, bedingt durch die steigende Luftverschmutzung, vermehrt Augenmerk zu schenken. Im besonderen ist die Einbringung von H2S zu kontrollieren und gegebenenfalls zu reduzieren. Hier bieten sich verschiedene Methoden, z. B. die chemisorptive Filterung mit Überdruckbelüftung, an. In der Vergangenheit wurde der Einfluss korrosiver Verunreinigungen in der Umluft vielerorts unterschätzt. Er lässt sich durch genormte Messungen jedoch einfach ermitteln.

Übersicht über Gefahren-Normen[Bearbeiten]

Es existieren seitens unabhängiger Prüfinstitute sowie auf DIN- oder EN-Normebene einige zentrale Normen/Klassifizierungen zur Prävention von physischen Gefahren im Rechenzentrum. Diese physischen Gefahren lassen sich in folgende Gefahrenbereiche einteilen:

Gefahr Norm Beschreibung
Feuer EN-1047-2 Die IT-Brand-Norm

Klassifizierung und Methoden zur Prüfung des Widerstandes gegen Brand – Teil 2: IT-Datensicherungsräume und Datensicherungscontainer; Deutsche Fassung FprEN 1047-2:2008

Diese Norm wurde speziell für die besonderen Anforderungen im Brandfalle in einem Rechenzentrum entwickelt. Die wichtigsten Eckdaten sind eine maximale Innentemperatur von ca. 70 °C und eine maximale rel. Luftfeuchtigkeit von 85 % bei einem Brandtest über 24 Stunden (aktive Beflammung mit über 1000 °C 60 Minuten). Außerdem werden die IT-Sicherheitszellen als Komplettsystem im Rahmen einer Systemprüfung getestet.

Feuer EN-1363 / DIN 4102-2 Die Norm für Brandwiderstand von Bauteilen

Feuerwiderstandsprüfungen – Teil 1: Allgemeine Anforderungen; Deutsche Fassung EN 1363-1:1999

Diese Norm ist nur bedingt aussagefähig im IT-Umfeld.

Wasser EN-60529 Die IP-Norm

Schutzarten durch Gehäuse (IP-Code) (IEC 60529:1989 + A1:1999); Deutsche Fassung EN 60529:1991 + A1:2000

Diese Norm klassifiziert das Eindringen von Wasser (z.B. Löschwasser), den Level der Schutzwertigkeit gibt hier die zweite Stelle x an: IPxX

Staub EN-60529 Die IP-Norm

Schutzarten durch Gehäuse (IP-Code) (IEC 60529:1989 + A1:1999); Deutsche Fassung EN 60529:1991 + A1:2000

Diese Norm klassifiziert auch das Eindringen von Staub (z.B. Baustaub oder z.T. Rauchgas), den Level der Schutzwertigkeit gibt hier die erste Stelle x an: IPXx

Elektronik Korrosion ANSI/ISA 71.04-2013 ASHRAE Datacom Series Book 8, ISBN 978-1-936504-78-7, Copyright ASHRAE

Erfassung durch Korrosionscoupons, gem. ANSI/ISA Spezifikation (Annex C, der o.g. ANSI/ISA Norm)

Chemische Trockengranulat-Filterung der zugeführten / umgewälzten Rechenzentrumsluft, gem. der beiden o.g. Normen, mit dem Ziel, eine Belastungsgrenze der Luftbelastung von „G1“ gem. der beiden o.g. Normen nicht zu überschreiten.

Fremdzugriff EN-1627 / EN-1630 Die Einbruchs-Norm

Fenster, Türen, Abschlüsse – Einbruchhemmung – Prüfverfahren für die Ermittlung der Widerstandsfähigkeit gegen manuelle Einbruchversuche; Deutsche Fassung ENV 1630:1999 / Einbruchhemmende Bauprodukte (nicht für Betonfertigteile) – Anforderungen und Klassifizierung; Deutsche Fassung prEN 1627:2006

Diese Norm definiert den Level an Einbruchssicherheit. Rechenzentren werden meistens in den Widerstandsklassen 2 bis 4 (WK 2–4) realisiert. Je höher die WK-Wert, desto sicherer. Obwohl die Norm keine Systemprüfung vorsieht, sollte auch hier auf eine gesamte Prüfung geachtet werden, d.h. die Tür hat die gleiche Wertigkeit wie z.B. Kabelschotts oder Wände.

Weblinks[Bearbeiten]

Literatur[Bearbeiten]

  • <kes> Artikel in "Zeitschrift für Informations-Sicherheit", 30. Jg., Nr. 4, August 2014, p2ff "Echt Ätzend"