NET 09/2021

23 www.net-im-web.de 09/21 Rhonda Ascierto ist Vice President of Research, Todd Traver Vice President for IT Optimization and Strategy beim Uptime Institute SCHWERPUNK T I T - S I CHERHE I T Rhonda Ascierto, Todd Traver Neuere technische Entwicklungen wie das Cloud Computing sowie vermehrte IT-Fernüberwachung und Automatisierung haben dazu beigetragen, dass Rechenzentren angreifbarer geworden sind und sich die Risiken für ihre Sicher- heit vergrößert haben. Für ihre Betreiber gilt heute, alle drei wesentlichen Kategorien im Blick zu haben: die physischen, die menschlichen und die neuen digi- talen Risiken. Rechenzentrums-Sicherheit neu bewerten Physische, menschliche, digitale Risiken reduzieren Das Uptime Institute hat mögliche Bedrohungssze- narien und die sich daraus ergebenden Aufgaben in seinem Report „Data Center Security: Reassessing Physi- cal, Human and Digital Risks“ eingehend analysiert. Aktuell geht es für Rechenzen- trumsbetreiber darum, alle potenziellen Schwachstellen in einem individuellen Bedrohungsmodell zu erfassen, sich ent- sprechend abzusichern und die dazugehö- rigen Sicherheitsprotokolle und -prozesse kontinuierlich zu prüfen. Der Mensch als Sicherheitslücke Um die physischen Einrichtungen zu sichern, ist in Rechenzentren schon viel passiert, von Infrastruktur- bis Zugangs- kontrollmaßnahmen. Jedoch ist für die meisten Vorfälle in Rechenzentren menschliches Versagen die Ursache. Ge- nauso wie jemand mitunter versehent- lich ein kritisches System ausschaltet, könnenMenschen unabsichtlich handeln oder untätig bleiben und so Sicherheits- verletzungen ermöglichen. Die meisten Sicherheitslücken sind simpel: das Wie- derverwenden alter Passwörter oder das Überlisten autorisierter Personen, damit sie wertvolle Informationen preisgeben. Zwar ist es unmöglich, solche menschlichen Risiken vollständig auszumerzen, aber Schulungen, Tools und Prozesse können sie minimieren. Die Bedrohung von innen Ein gravierendes Sicherheitsproblem ist die Bedrohung durch Insider – durch autorisier- te Mitarbeiter, Lieferanten oder Besucher, die mutwillig Schaden verursachen. In extremen Fällen schalten sie Server aus, beschädigen Netzgeräte, kappen Glasfaser- kabel, stehlen Daten oder löschen Speicher. DiemeistenBetreiber sehen darumverschie- dene Zugangsstufen, Background-Checks und für Besucher eine Sicherheitsbegleitung vor. Etliche Rechenzentren beschränken die Verwendung tragbarer Speichergeräte auf autorisierte Arbeitsprozesse, und einige zerstören mobile Speicher sofort nach ge- taner Arbeit. Trotz aller Schutzmaßnahmen bleiben Rechenzentren und andere IP-fähige Anlagen angreifbar. Um dem zu begegnen gilt es sowohl die physischen und menschlichen als auch die digitalen Risiken im Blick zu behalten (Foto: kewl, Pixabay)