10 Schritte zum sicheren Rechenzentrum

(PresseBox) (Ingolstadt, ) Datenbanken, ERP-Systeme, Applikations-Server, wenn in einem Unternehmen etwas auf Höchstleistung getrimmt werde muss, dann die IT-Systeme. Neue Techniken wie Virtualisierung verändern dabei das klassische Rechenzentrum als Herzstück der IT. 10 Schritte, um geschäftskritische Systeme im Rechenzentrum abzusichern.

Rechenzentrum (RZ) klingt für Außenstehende oft nach atombomben-sicherem Bunker und verteilten Standorten über die ganze Welt. Tatsächlich gibt es diese Art von RZ, doch die Hochleistungs-RZ sind eher bei Service-Providern oder im Finanzbereich anzutreffen. Im Mittelstand ist ein RZ eine Nummer größer als der klassische Serverraum, erfordert aber deutlich mehr Sicherheitsmaßnahmen.

Die 10 wichtigsten Schritte im Überblick:

Schritt 1. IT-Sicherheitsbeauftragten festlegen

Für wichtige Unternehmensbereiche gibt es feste Ansprechpartner. Das gilt für den Brandschutz genauso wie für IT und sollte auch explizit für IT-Sicherheit so sein. Legen Sie pro Aufgabenfeld einen Verantwortlichen plus einen Stellvertreter fest, etwa für Datenschutz, Sicherheit und Virenschutz. Wichtig auch: Halten Sie genau fest, welche Aufgaben mit den "Ämtern" verbunden sind. Sorgen Sie dafür, dass alle Mitarbeiter die Ansprechpartner für Fragen zur IT und IT-Sicherheit kennen und die Kontaktdaten jederzeit aktuell parat haben.

Schritt 2. Physikalische Sicherheit

Auch perfekt konfigurierte Server sind wertlos, wenn sie von Feuer vernichtet oder Dieben weggetragen werden. Deshalb steht die physikalische Sicherheit eines RZ ganz vorne auf der To-Do-Liste. Dazu gehören: Abgesicherter Zutritt, Brandschutz, Notstromversorgung, Klimatisierung und redundante Komponenten (Netzanbindung, Serversysteme, Hardware-Komponenten). Geschäftskritische Anwendungen, etwa ERP-Systeme in Produktionsbetrieben, können etwa durch Clusterbetrieb ausfallsicherer gemacht werden.

Schritt 3. Schutz vor Schadsoftware

Schadsoftware bedroht nicht nur Privatnutzer und Mitarbeiter-PCs, sondern besonders die Systeme im RZ. Dabei ist die beste Vorgehensweise ein mehrstufiger Schutz gegen Viren, Malware, Spyware, Trojanische Pferde, der sich zentral verwalten lässt. Wichtig: Halten Sie diesen Schutz immer auf dem aktuellen Stand. Neben den Servern gehört aber zum Schutz des RZ auch die Absicherung der Clients, die auf das RZ zugreifen. Explizit also auch die Notebooks der Außendienstler und Smartphones, die auf Kommunikations- Systeme und Unternehmens-Anwendungen zugreifen.

Schritt 4. Datensicherung

Die richtige Backup-Strategie ist so wichtig wie konstante Stromzufuhr. Doch was ist richtig? Das kommt ganz auf Ihre Situation an. Stellen Sie einen Plan mit Backup-Anforderungen auf. Welche Systeme sind wie wichtig für Ihr Unternehmen und welche Sicherungs-Intervalle sind nötig? Falls möglich, sollten die Backups verschlüsselt angelegt werden. Weitere wichtige Fragen: Wohin werden die Daten gesichert. Mit zur Datensicherungs-Strategie gehören auch regelmäßige Tests, ob alle Backups auch erfolgreich restauriert werden können.

Schritt 5. Sicherheitsrichtlinien

Ohne genaue Richtlinien wird die Sicherheitsstrategie fürs RZ nicht funktionieren. So ist zum Beispiel wichtig, dass es eine Datenklassifikation gibt und die Zugriffsrechte der Mitarbeiter darauf angepasst werden. Spezielle Szenarien erfordern spezielle Richtlinien. So ist es ein großer Unterschied, ob Mitarbeiter lokal aus dem Unternehmensnetz auf das RZ zugreifen oder vom Home-Office aus. Prüfen Sie Richtlinien regelmäßig und passen Sie sie an aktuelle Entwicklungen an.

Schritt 6. Netz-Trennung

Kritische Punkte in jedem Netzwerk sind Übergänge zu anderen Netzen; das kann das Internet ebenso sein wie eine Verbindung mit Kunden- oder Lieferanten-Netzen. Hier sollten Sie Firewalls einsetzen. Besondere Beachtung sollten Sie Servern schenken, die auch von außen erreichbar sein müssen, etwa für den Zugriff von mobilen Mitarbeitern. Ein Intrusion Detection System ergänzt eine klassische Firewall perfekt und hilft Angriffe zu erkennen. Einen Schritt weiter gehen Intrusion Prevention Systeme. Sie können im Falle eines Angriffs sogar aktiv eingreifen und etwa einen Datenstrom unterbrechen.

Schritt 7. Updates und Patches

Updates gehören zum kleinen ABC der Sicherheit, bereiten in Firmen aber bei vielen Systemen mit unterschiedlicher Konfiguration Probleme. Denn wichtig ist, dass Patches zeitnah eingespielt werden. Pflicht ist eine Automatisierung für den Rollout von neuer Software. Wie das genau funktioniert, sollten Richtlinien festlegen. Beachten Sie, dass Updates vorher in einer Testumgebung geprüft werden müssen, bevor sie auf Produktivsysteme losgelassen werden.

Schritt 8. Dokumentation

Welche Server sind aktuell in Betrieb, welchen Zweck haben sie, welche Hardware ist verbaut und wie sieht die genutzte Software aus? Triviale Fragen bei einer Hand voll Maschinen, bei 10 oder mehr Servern hilft eine aktuelle Dokumentation Ihrer IT-Umgebung. Das spart Zeit in Notfällen. Neben der Infrastruktur und der genutzten Hardware gehören auch Service-Kontakte in die Doku.

Schritt 9. Schulung und Sensibilisierung der Mitarbeiter

Nicht jeder Mitarbeiter kennt sich mit IT-Themen aus. Deshalb gehören Schulung und Sensibilisierung der Mitarbeiter mit zum sicheren RZ. Das umfasst die fachliche Seite, also Schulung für Mitarbeiter mit den IT-Systemen, die sie bei der Arbeit nutzen. Sensibilisieren Sie Mitarbeiter bei diesen Schulungen für Sicherheitsthemen, etwa den sorgsamen Umgang mit Passwörtern. Präsentieren Sie Statistiken, etwa die Anzahl der Angriffe auf das Unternehmensnetzwerk oder die Anzahl der Spam-Mails, um Mitarbeitern einen Eindruck der aktuellen Bedrohungslage zu geben.

Schritt 10. Benutzerverwaltung und Zugriffsberechtigungen

Welche Benutzergruppen sollten Zugang zu welchen Ressourcen bekommen? Eine entscheidende Frage. Pflicht ist dafür eine systematische Benutzerverwaltung, um sicherzustellen, dass nur berechtigte Personen auf Ihre Unternehmensdaten zugreifen können. Hier können Sie ruhig eine restriktive Strategie verfolgen. Vor jeder Nutzung von IT-Systemen sollten sich die Benutzer authentisieren müssen.

Kaspersky Labs GmbH

Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheits-Lösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.