Auch beim Umgang mit Besuchern im Rechenzentrum gab es Mängel. So wurden Mitarbeiter beispielsweise nicht immer ausreichend geschult, wie mit externen Besuchern umzugehen ist. Sie dürfen Rechenzentren eigentlich nur angemeldet und in Begleitung eines für diese Aufgabe vorgesehenen Mitarbeiters betreten. Ein Beispiel: In einem Rechenzentrum wurde ein Mitarbeiter namens „Bob“ erwartet. Wie Bob allerdings mit Nachnamen hieß, war nicht verzeichnet.
Das endete damit, dass ein vollkommen anderer Besucher arglos durch das gesamte Rechenzentrum geführt wurde, nur weil sein Vorname zufällig ebenfalls Bob lautete. „Die Häufigkeit sogenannter sozialer Attacken nimmt zu, und deshalb muss man hier klare Regeln entwickeln und durchsetzen“, betont Bonell.
Generell lässt sich sagen, dass das Sicherheitsniveau in der Studie in der Regel niedriger war, als die befragten Unternehmen das aufgrund ihrer hohen Investitionen annahmen. Setzten Anwender auf externe Rechenzentrumsdienstleister, wurden deren Zertifizierungen zu selten geprüft. Die Entscheidung darüber, ob und welcher Dienstleister gewählt werden sollte, traf häufig das IT-Personal mehr oder weniger allein, obwohl es sich beim Rechenzentrum um eine überlebenswichtige Ressource des Unternehmens handelt.
„Die internen IT-Mitarbeiter entscheiden sich häufig für ein Inhouse-Datenzentrum und unterschätzen dabei den Investitionsbedarf in die Sicherheit“, sagt Bonell. Sei aber erst einmal ein Inhouse-Datenzentrum vorhanden, habe das eine hohe Kapitalbindung zur Folge. Die wiederum halte die Verantwortlichen von einer Revision ihrer Entscheidung selbst dann ab, wenn sie sähen, dass sie ihren eigenen Sicherheitsanforderungen ohne zusätzliche, weitere hohe Investitionen kaum gerecht werden könnten.
Immerhin gebe es aber bei professionellen Rechenzentrumsbetreibern einen Trend dazu, auf Compliance zu den wichtigsten Regularien zu achten und die eigenen Sicherheitsmaßnahmen Schritt für Schritt auszubauen, so dass dort der Standard insgesamt besser sei. Von den zahlreichen Vorgaben und Richtlinien sind die des Sarbanes-Oxley-Gesetzes unter den Befragten am häufigsten umgesetzt (bei über 60 Prozent). An zweiter Stelle stehen die Vorgaben der jeweiligen lokalen Finanzbehörden. Die Hälfte hat außerdem ISO 27001 bereits erreicht oder ist gerade dabei, die Norm einzuführen. Spezifischere Regelungen, etwa PCI-DSS, HIPAA oder das Gramm-Leach-Bliley-Gesetz, sind naturgemäß weniger verbreitet.
Feuerlöschsysteme, Rauch- und Feuerdetektoren, Videoüberwachungs- sowie Zugangskontrollsysteme und die Sicherheitsalarme am Gebäude werden in allen befragten Unternehmen mindestens täglich und/oder von automatisierten Monitoring-Einrichtungen überwacht (Grafik: Broad Group).
Neueste Kommentare
Noch keine Kommentare zu Rechenzentren: viel Unsicherheit beim Thema Sicherheit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.