Image
Damit die Sicherheitstechnik in Rechenzentren möglichst  effektiv gegen Angriffe und Ausfälle schützt, muss sie in ein ganzheitliches Sicherheitskonzept eingebunden sein.
Foto: Königs + Woisetschläger Sicherheitstechnik GmbH
Damit die Sicherheitstechnik in Rechenzentren möglichst  effektiv gegen Angriffe und Ausfälle schützt, muss sie in ein ganzheitliches Sicherheitskonzept eingebunden sein.

Gefahrenmeldetechnik

Sicherheitstechnik in Rechenzentren ganzheitlich denken

Um Rechenzentren effektiv gegen Angriffe und Ausfälle zu sichern, muss man alle Sicherheitssysteme ganzheitlich betrachten und in ein Konzept integrieren.

Im heutigen Zeitalter sind Daten das digitale Herzstück einer jeden Firma. Je sensibler die Daten, desto höher die Sicherheitsanforderungen. Ein wichtiger Aspekt, der bei den Sicherheitsanforderungen berücksichtigt werden muss, ist der Faktor Mensch. Eine Vielzahl von Angriffen erfolgt durch Innentäter, da physische Sicherheit häufig vernachlässigt oder nicht korrekt projektiert wird. Der nachfolgende Artikel soll einen Einblick in die moderne Sicherheitstechnik verschaffen und darstellen, wie verschiedene Gewerke schnittstellenübergreifend miteinander verknüpft werden können.

Zunächst muss ein schlüssiges Sicherungskonzept erstellt werden, auf dem Überwachungsarten und Sicherheitsmaßnahmen aufbauen. Wichtig dabei ist die Kombination aus physikalischem Schutz und mechanischen Sicherungen sowie einer elektronischen Überwachung. Im Vorfeld müssen ebenfalls organisatorische Maßnahmen wie Zugänglichkeiten, Sicherungsbereiche, Alarm- und Störempfangszentrale mit einbezogen werden. Eine genaue Absprache zwischen allen Parteien – wie dem End-Nutzer, Errichter und gegebenenfalls dem Planer – ist für eine schnittstellenübergreifende Vernetzung unabdingbar. Gewerke wie Einbruchmeldeanlage, Zutrittskontrolle, Flucht- und Rettungswegtechnik, Videoanlage und Gefahrenmanagement müssen bereits von Anfang an im Verbund betrachtet werden. Das Zusammenspiel verschiedener Gewerke beim Erfüllen aller Anforderungen und Richtlinien gilt als Zielstellung des Sicherungskonzeptes.

Die Einbruchmeldeanlage (EMA)

Die Einbruchmeldeanlage ist in sensiblen Bereichen fest verankert und muss als Herz des ganzen Systems betrachtet werden. Eine Kombination aus elektronischer Überwachung und mechanischer Absicherung soll das Zeitfenster, in dem ein Täter versucht sich gewaltsam Zutritt zu verschaffen, so minimieren, dass bereits bei Beginn des Einbruchversuches alarmiert wird. Die Überwindungsdauer der mechanischen Komponenten, soll dabei idealerweise solange andauern, dass die hilfeleistende Stelle eintrifft, ohne dass der Täter das Objekt betreten konnte.

Die Weiterleitung von Alarm-, Stör- und Technischen- Meldungen können über verschiedene Wege realisiert werden. Meldungen werden über eine eigene Übertragungseinrichtung (ÜE) generiert, die als Schnittstelle dient, um über verschiedene Wege zu kommunizieren. Moderne Anlagen sind meistens mit einer Übertragungseinrichtung ausgestattet, welche über einen TCP-IP Anschluss mit GPRS-Redundanz als Ersatzweg verfügt. Über diese beiden Wege können verschiedene Protokolle verschlüsselt übertragen werden. Über die ÜE wird ebenfalls die Verbindung zu einer zertifizierten Serviceleitstelle aufgebaut und Meldungen in verschiedenster Form übertragen.

Direkte Aufschaltung zur Polizei

Bereiche, welche besonders klassifiziert werden und ein hohes Maß an Gefährdung aufweisen, können direkt auf die Polizei aufgeschaltet werden. Zur Errichtung von Einbruchmeldeanlagen, die über eine Polizeiaufschaltung verfügen, müssen noch andere Rahmenbedingungen beachtet werden. Die Weiterleitung wird zum Großteil über einen eigenen Hauptmelder realisiert, der nur von einem Konzessionär errichtet und betrieben werden darf. Die Übertragungseinrichtung wird in einem eigens abgeschlossenen sabotagegeschützten Gehäuse untergebracht. Die Kommunikation zwischen EMA und Hauptmelder findet über einen konventionell widerstandsüberwachten Kontakt statt.

Möglichkeiten der Außenhautüberwachung

Fenster können auf Öffnung, Verschluss (Kippstellung Griff) und Glasbruch (Durchstieg und Durchgriff) überwacht werden. Hierzu existieren mehrere Arten der Sicherung. Öffnungs-/Verschlussmelder können in den Varianten Reedkontakt oder Induktive-Sensoren verbaut werden. Die Detektion von Glasbruch wird mittels Alarmglas, aktiven Glasbruchsensoren oder mit Alarmdrahtglas realisiert. Bei dem Alarmglas ist eine Leiterspinne auf das VSG (Verbund Sicherheitsglas) aufgedampft oder eingebrannt. Bei einem Glasbruch bricht die VSG Scheibe von oben nach unten in kleine Würfel. Die Spinne bricht und beim Einbruchversuch wird umgehend detektiert und alarmiert. Anschließend muss noch die mechanische zeitaufwendige Sicherung überwunden werden.

Türen können ebenfalls auf Öffnung, Verschluss und Durchstieg überwacht werden. Zusätzlich werden Türen zumeist mit Motorschloss oder Sperrelementen ausgestattet. Als Öffnungsmelder werden Reedkontakte und zum Verschluss Riegelschaltkontakte eingesetzt, die permanent die Riegelstellung des Schlosses abfragen. Das Scharf- und Unscharfschalten des jeweiligen Sicherungsbereiches erfolgt über eine Schalteinrichtung, die über eine Auswertereinheit mit der EMA kommuniziert.

Überwachung im Innenraum

Die Überwachung von Innenräumen wird grundsätzlich in zwei Arten unterteilt: fallenmäßige und schwerpunktmäßige Raumüberwachung. Welche Überwachung zum Tragen kommt, ist je nach Klassifizierung und Anforderung geregelt. Die Innenraumüberwachung ist nicht nur als nächste Barriere für den Täter zu verstehen, sondern für den Fall, dass sich ein Täter zuvor in den Sicherungsbereich hat einschließen lassen, wird ihm somit die Möglichkeit genommen, sich zu bewegen. Der Einschluss von Personen sollte jedoch durch ein mehrstufiges Sicherungskonzept mit einer intelligenten Zutrittskontrolle, welche mit einer EMA adaptiert ist, grundsätzlich ausgeschlossen sein.

Fallenmäßige Raumüberwachung: Hierbei werden Bereiche, wie Hallen, Flure und Treppenhäuser, die mit hoher Wahrscheinlichkeit durchquert werden müssen, um sensible oder schützenswerte Punkte zu erreichen, mit Bewegungsmeldern ausgestattet.

Schwerpunktmäßige Raumüberwachung: Hier werden Teile eines Sicherungsbereiches überwacht, in dessen direktem Umfeld sich besonders schützenswertes Gut befinden.

Typen von Bewegungsmeldern

Bewegungsmelder existieren in unterschiedlichen Ausführungen für verschiedenste Anwendungsbereiche. Heutzutage werden meistens Melder eingesetzt, welche mit einem PIR-Sensor (Pyroelectric Infrared Sensor) arbeiten. Dabei handelt es sich um einen Halbleitersensor, der anhand einer Temperaturänderung und einer anschließenden Verstärkerschaltung detektiert. Der Erfassungs- / Überwachungsbereich ist maßgeblich abhängig von der eingesetzten Linse / Optik. Je nach räumlicher Anforderung können verschiedenste Strahlencharakteristiken eingesetzt werden:

  • PIR-Streckenoptiken zur Überwachung langer schmaler Korridore
  • PIR-Vorhangoptiken werden maßgeblich eingesetzt um fallenmäßig und auf Durchstieg zur überwachen.
  • PIR-Flächenoptiken zur Überwachung sämtlicher Standard-Räumlichkeiten
  • Dual-Bewegungsmelder arbeiten mit einem PIR und einem Mikrowellensensor, die unabhängig voneinander detektieren. Nur wenn beide Sensoren ausgelöst haben, ergibt sich ein Alarm. Diese Melderart wird da eingesetzt wo mit Temperaturschwankungen, Lichteinstrahlungen und Luftzug zu rechnen ist. Die Falschalarmsicherheit durch äußere Einflüsse wird somit stark erhöht.

Wirksame Zutrittskontrollanlage

Eine moderne Zutrittskontrolle wird in der Regel modular aufgebaut und betrachtet verschiedene Zugänge wie Türen, Tore, Drehkreuze oder Schleusen mit dem Ziel der Identifikation und Verifizierung von Personen mittels Transpondermedium, PIN oder anderen Merkmalen wie Fingerabdruck, Handvenen oder Iris/Netzhaut. Bei der Projektierung der Zutrittskontrolle muss ebenfalls die ganzheitliche Sicherheitstechnik betrachtet und gegebenenfalls auch andere Systeme integriert/adaptiert werden, wie zum Beispiel die Flucht- und Rettungswegtechnik sowie die Einbruchmeldetechnik. Mittels einer intelligenten Zutrittskontrollanlage lassen sich komplexe Sicherheitsanforderungen lösen.

Schleusenfunktion/Vereinzelungsanlage: Ziel einer Schleuse ist es, Personengruppen zu trennen und zu vereinzeln. Innerhalb des Schleusenraums wird geprüft, dass sich nur eine Person innerhalb der Schleuse befindet (Gewicht, Trittmatte mit Feld, Sensoren, Kamera oder aufgrund der Bauart). Es muss ausgeschlossen werden, dass eine Person, welche autorisierten Zutritt zu einem sicherheitsrelevanten Bereich hat, weitere Personen in diesen Bereich mitschleust. Für den Fall das es sich bei den Schleusentüren um einen Fluchtweg handelt, kann im Notfall über ein zusätzliches Flucht- Rettungswegtechnik-Gerät geflüchtet werden.

Bilanzierung: Die Bilanzierung wird bei der Zutrittskontrolle genutzt, um darzustellen, welche Personen in welchen Bereichen eingebucht sind, um es dann im Gefahrenmanagementsystem darzustellen. Wichtig ist das konsequente Buchen an Eingangs- und Ausgangsleser, da die Anzahl der eingebuchten Personen im jeweiligen Bereich sonst falsch dargestellt wird. Der Zutritt ist dann zwangsläufig nur noch einzeln und mit Buchung möglich.

Bereichswechselkontrolle: Die Bereichswechselkontrolle beinhaltet alle Merkmale wie die Bilanzierung, ist aber noch mit einigen zusätzlichen Funktionalitäten ausgestattet. Bei der Bereichswechselkontrolle wird noch zusätzlich geprüft, ob ein logischer Bereichswechsel stattfindet, beispielsweise kann Raum 2 nur dann betreten werden, wenn zuvor Raum 1 betreten wurde. Ein mehrfaches Benutzen von Transpondern oder Identifikationsmerkmalen, um Zutritt zu einem Bereich zu gelangen, ist nicht möglich.

Flucht- und Rettungswegtechnik

Ein besonders komplexes Thema für sensible Bereiche, ist das Thema Flucht- und Rettungswegtechnik, denn nicht jede Türe kann beliebig gesichert und mit sicherheitstechnischen Elementen ausgestattet werden. Türen, worüber Rettungsbereiche betretenen, gequert oder verlassen werden können, müssen gesondert betrachtet werden. Absolute Priorität hat das Flüchten in einer Gefahrensituation. Eine Fluchttür muss im Notfall immer in Fluchtrichtung zu Öffnen sein, gleichzeitig soll die Türe aber noch mit Sicherheitstechnik, wie Einbruchmeldetechnik / Zutrittskontrolle versehen werden, um sicherzustellen, dass kein Einbruch oder eine unberechtigte Durchquerung stattfinden. Der zusätzliche Anschluss von zum Beispiel einer Brandmeldeanlagen oder ähnlicher Gefahrenmeldetechnik ist ebenfalls möglich.

Der Spagat, um alle Richtlinien und Anforderungen zu erfüllen, ist teilweise sehr groß und erfordert Weitsicht hinsichtlich aller betreffenden Gewerke. Fluchttürterminals können grundsätzlich pro Tür autark betrieben werden. Dazu wird ein Terminal in unmittelbarer Nähe der Fluchttür montiert.

Für den Notfall ist somit immer gewährleistet, das geflüchtet werden kann. Über den Nottaster wird die Zuhaltung per Fluchttüröffner unterbrochen. Anschließend wird die Innenklinke betätigt, das Motorschloss wird mechanisch betätigt und der Riegel und Falle fahren ein (Antipanikschloss). Somit kann auch bei Stromausfall geflüchtet werden. Zusätzlich wird die Türe mittels Öffnungsmelder und Riegelschaltkontakt überwacht.

Gefahrenmanagement (GMS)

Ziel des GMS ist es, eine ganzheitliche Lösung zu schaffen, in der alle systemrelevanten Anforderungen erfüllt und abgebildet werden. Der Anwender wird im Falle eines Alarms oder einer Störung direkt mit Maßnahmen über die Software instruiert und es entsteht kein Zeitverlust. Zusätzlich können Meldungen im Hintergrund über verschiedenste Wege übermittelt werden.  

Die anzubindenden Gewerke werden in der regel über das LAN angebunden, wobei es sich empfiehlt, Produktiv- und Sicherheitsnetzwerk zu trennen. Ob VLAN oder komplett physikalisch getrennte Netzwerke aufgebaut werden, wird im zuvor erstellten Sicherungskonzept festgehalten. Einige Gewerke können von Haus aus nicht das TCP-IP Protokoll übertragen oder verfügen über keinen Netzwerkanschluss. Für solche Anwendungsfälle müssen Schnittstellenwandler eingesetzt werden. Diese setzten zum Beispiel eine serielle RS232 Schnittstelle zu TCP-IP um. Somit kann die Gerätschaft problemlos mit dem GMS verbunden werden.

Die Zugriffssicherheit am Rack selbst sollte in jedem Rechenzentrum eine besonders hohe Priorität besitzen, so etwa mittels Rackverriegelung.
Die Zugriffssicherheit am Rack selbst sollte in jedem Rechenzentrum eine besonders hohe Priorität besitzen, so etwa mittels Rackverriegelung.

Rackverriegelung

Zuletzt sollte die Zugriffssicherheit am Rack selbst in jedem Rechenzentrum eine besonders hohe Priorität besitzen. Bei der Rackverriegelung handelt es sich um eine elektromechanische Verriegelung, welche an Serverschränken zum Einsatz kommt, um Front und Rücktüren permanent zu verriegeln und auf Verschluss zu überwachen. Zusätzlich werden Front- und Rücktüre, sowie die Seitenelemente mittels Öffnungsmelder überwacht. Beim Verschluss der Türe fährt der Bolzen, in das Verriegelungselement ein und verriegelt die Türe. Die Aufsteuerung kann über verschiedene Wege erfolgen.

Dezentrale Lösung: Innerhalb eines Raums befindet sich ein Touchscreen, an dem die jeweiligen Kalt-Warmgang Racks visualisiert werden. In unmittelbarer Nähe befindet sich ein Transponderleser. Zum Öffnen des jeweiligen Racks muss sich der Mitarbeiter zuvor am Leser autorisieren und kann nach positiver Authentifizierung, das Rack welches geöffnet werden soll, am Touchscreen auswählen. Die Rackverriegelung gibt die Türe frei.

Zentrale Lösung: An einer zentralen Stelle muss sich der Mitarbeiter zuvor zum Beispiel mittels Ausweises oder ähnlich identifizieren und anmelden. Wenn der Anmeldevorgang erfolgreich abgeschlossen ist, wird dem Mitarbeiter das entsprechende Rack freigeschaltet. Die Zustände der Racktüren werden ebenfalls an einem eigenen Bildschirm visualisiert. So kann der Mitarbeiter am Empfang immer die Information entnehmen, welches Rack freigeschaltet ist und welche Tür / Seitenteil geöffnet ist.

Die intelligente Steuerung der Rackverriegelung bietet eine große Bandbreite um Adaptionen und Abhängigkeiten zu anderen Gewerken zu schaffen. Verwaltung von Berechtigungen können zum Beispiel nach einer Adaption über die Zutrittskontrolle vorgenommen werden. Somit werden alle Zutritte ebenfalls lückenlos dokumentiert und erfasst. Die Öffnungs- und Verschlussüberwachung kann mit der Einbruchmeldeanlage gekoppelt werden.

Fazit

Gerade in sensiblen Bereichen wie Rechenzentren ist es unbedingt notwendig, verschiedene sicherheitstechnische Gewerke schnittstellenübergreifend miteinander zu verknüpfen, um ein Höchstmaß an Zutritts- und Zugriffssicherheit zu erreichen. Dabei sollten alle sicherheitstechnischen Gewerke bereits von Anfang in einem schlüssigen Sicherungskonzept im Verbund betrachtet werden. Sicherheit ist dabei nicht ein final zu erreichender Zustand, sondern eine ständige dynamische Maßnahme, welche immer weitergedacht werden muss. Dieser Zustand muss aktiv praktiziert und stetig weiterentwickelt werden.

Philipp Nauwartat, staatlich geprüfter Elektrotechniker bei Königs + Woisetschläger, Schwerpunkt Rechenzentren