Anmelden


Datensicherheit wichtiger denn je

Im Falle eines Angriffs gegen Unternehmensdaten, z.B. bei Aktivitäten der Black-Hat-Hacker, werden Ermittler für Cyberkriminalität tätig werden. Dieses Szenario ist nur nicht der Alltag, sondern das Alltägliche sieht weniger komplex aus: Laut einem aktuellen Bericht* ist nur etwa die Hälfte der Verstöße mit Hacking verbunden. Lücken in der physischen Sicherheit von Daten und Servern sind gleichermaßen wichtige Ziele. Vieles ist möglich: Vielleicht vergisst ein Firmenchef den Laptop im Zug und Dritte versuchen, an Daten zu gelangen. Oder ein nicht autorisierter Besucher entdeckt offene Server-Racks und lädt Datensätze schnell auf sein Smartphone herunter. Aber auch die Zugriffskontrolle für den Serverraum bleibt ganz der Lock-and-Key-Technologie überlassen, die nicht einfach zu verfolgen ist.

Die Sicherung sensibler Daten erfordert die Einbeziehung jedes Unternehmensangehörigen in eine Organisation von oben nach unten. Dabei ist der physische Schutz von Servern und Datenspeichern jedoch das Herzstück für ein funktionierendes Sicherheits- und IT-Management. 

Zurecht stellen sich Anwender die Frage, wie viel eine Datenverletzung kosten könnte? Ohne Zweifel, kann das Fehlen einer angemessenen physischen Serversicherheit dazu führen, daß das Alltägliche gefährlich und teuer werden kann. Jüngste Untersuchungen des Ponemon Institute für IBM schätzen die durchschnittlichen Gesamtkosten von Datenangriffen auf 3,57 Mio. EUR **.

Laut demselben Benchmark-Bericht** steigt dieser Durchschnitt allein im letzten Jahr um 6,4%. Einige der höchsten Kosten für Vorfälle müssen Unternehmen in Europa tragen, darunter Deutschland, Frankreich, Italien und Großbritannien.

Solche Kosten können direkt in den Unternehmensablauf Einfluss nehmen: etwa bei Betriebsstörungen, verlorenen Mailinglisten oder deaktivierter Logistiksoftware. Sie können sich aber indirekt auf ein Unternehmen auswirken: etwa im Verlust des Kundenvertrauens und durch einen beschädigten „Markenwert“. So kann es schnell zu einer Rufschädigung kommen. 

Auch von staatlichen und supranationalen Stellen können Kosten durch Geldbußen entstehen, die von Regulierungsbehörden erhoben werden. Durch die größere Bedeutung von Big Data wird auch die regulatorische Landschaft für die Datenverarbeitung größer.

Der wichtigste Rahmen im EMEA-Raum ist die Allgemeine Datenschutzverordnung (DSGVO) der Europäischen Union. Dieses weitreichende Datenschutz-Regelwerk wird seit Mai 2018 umgesetzt. Nach der DSGVO müssen Sie die Speicherung aller persönlichen Daten, einschließlich Kunden- und Mitarbeiterdaten, schützen. Die Sicherheitsvorkehrungen müssen sowohl elektronische als auch physische Hindernisse für den unbefugten Zugriff umfassen. Der Serverschutz ist entscheidend. 

Drei physische Sicherheitsstufen für Server

Betreiber von Rechenzentren möchten wissen, wer und wann zuletzt auf Server zugegriffen hat. Wenn die Antwort auf eine der Fragen "Nein" lautet, gehen Unternehmen im Bereich der Datensicherheit unnötige Risiken ein. Eine Sicherheitsstrategie, die sich jenseits von eingesetzter IT-Sicherheitssoftware befindet: Eine bessere Zugangskontrolle.

Um maximale Sicherheit für Server zu gewährleisten, empfiehlt ASSA ABLOY in seinem kürzlich veröffentlichten Whitepaper drei Sicherheitsstufen, die in einem integrierten Zugriffssystem zusammenspielen.

Stufe 1 - Auf der obersten Ebene stellt die Perimetersicherheit sicher, dass nur autorisiertes Personal ein Datenspeichergebäude betritt. Hier können elektronische Tür- und Torschlösser mit Lesegeräten neben CCTV und überwachtem Zaun funktionieren. Dies ist Ihre erste Verteidigungslinie für physische Angriffe.

Stufe 2 – Der Zugang zum Serverraum kann mit einer Reihe von Zugangskontrolltürgeräten mit eingebauten Lesegeräten für Berechtigungsnachweise überwacht und gesteuert werden, einschließlich batteriebetriebener Aperio-Rosetten oder vollständiger Sicherheitsschlösser. Jedes Gerät lässt sich nahtlos in Zugriffs- und Sicherheitsmanagementsysteme von über 100 verschiedenen Herstellern integrieren. Auf Raumebene muss die physische Sicherheit auch Wasser- und Staubschutz, elektromagnetische Sicherheit und Schutz vor anderen physischen Bedrohungen für Server und Daten umfassen .

Stufe 3 – Das letzte Element der physischen Datensicherheit ist der Server-Rack oder -Schrank. Serverräume haben einen stetigen Fluss autorisierten Besucherverkehrs: Reinigungskräfte, Wartungspersonal, Reparaturtechniker und ähnliche Servicemitarbeiter. Durch die hohe Fluktuation der Besucher kann ein Mitarbeiter-Screening nicht perfekt sein. Das Risiko ist so hoch und Angriffe auf die Dateninfrastruktur sind möglich. Die Rack- oder Schrankverriegelung mit RFID-Lesegeräten ist nun die letzte Verteidigungslinie gegen böswillige oder versehentliche physische Datenverletzungen. 
 
Reaktionsschneller Rack-Schutz in Echtzeit
Das Aperio KS100 Server Cabinet Lock von ASSA ABLOY erweitert Server-Racks und -Schränke um die Zugriffskontrolle und -überwachung in Echtzeit. Das Schloss funktioniert mit einem vorhandenen oder neuen Zugangskontrollsystem. Kompatible Anmeldeinformationen verwenden alle Standard-RFID-Protokolle, einschließlich iCLASS, MIFARE und DESFire. Nach der DSGVO der EU müssen Unternehmen jeden, der von einem Datenschutzverstoß betroffen ist, „unverzüglich“ informieren. Mit dem Aperio KS100 wissen RZ-Betreiber sofort, ob überhaupt ein unbefugter Zugriff versucht wurde. 
Nach der Installation lassen sich die KS100-Schlösser in jedes Zugangskontrollsystem integrieren und kommunizieren drahtlos über einen Aperio Communications Hub, selbst wenn sich Racks in einem entfernten Rechenzentrum befinden. Sobald die Online-Integration in das Sicherheitsadministrationssystem abgeschlossen ist, werden Sperrzugriffsentscheidungen von Ihrer Software drahtlos übertragen und aufgezeichnet. 
„Wenn Aperio die mechanische Verriegelung auf allen drei Ebenen der Serverzugriffskontrolle ersetzt, beeinträchtigen verlorene Schlüssel die Datensicherheit nicht mehr. Verlorene Anmeldeinformationen werden einfach deaktiviert und ein gültiger Ersatz erneut ausgestellt. Der aktuelle Status einer Sperre auf jeder Ebene wird per Mausklick angezeigt. Das Generieren detaillierter Audit-Trails ist unkompliziert, sodass der KS100 und andere Aperio-Funkschlösser für die Untersuchung von Vorfällen von unschätzbarem Wert sind “, erklärt Johan Olsén, Aperio-Produktmanager bei ASSA ABLOY Opening Solutions EMEA. 
Die richtige elektronische Sperre hält nach Aussagen ASSA ABLOYS den Kundenruf eines Unternehmens intakt, unternehmenseigene Daten aus dem Dark Web und unterstützt die Verantwortlichen die zahlreichen Datenschutzbestimmungen, einschließlich der DSGVO, auch zu erfüllen. 
 
Mehr zu diesem Thema erhalten Interessierte im kostenlosen 12-seitigen Informationspapier von ASSA ABLOY zur Sicherheit von Rechenzentren unter https://campaigns.assaabloyopeningsolutions.eu/aperio-data-centers herunter  *: https://enterprise.verizon.com/resources/reports/dbir/ **: Ponemon Institute / IBM, „Kosten einer Datenverletzungsstudie 2018: Globaler Überblick“