03.11.2005, 17:33 Uhr
IT-Sicherheit langfristig ausgelegt
Am Ende bestimmen langfristige, strategische Überlegungen eines Unternehmens über die Realisierung des Spagats zwischen möglicher und finanzierbarer Sicherheit.
Eine umfassende und transparente RZ-Organisation bietet langfristige Sicherheit, sagt René Fasan von V-Zug.
An der Swiss-Infosec-Tagung 2005 zeigte René Fasan, IT-Sicherheitsbeauftragter der Haushaltsgeräteherstellerin V-Zug, am Beispiel eines Rechnezentrums (RZ) exemplarisch, dass IT-Sicherheit im Infrastrukturbereich nicht veralten muss. «Der Aufbau eines RZ hat immer langfristig angelegt zu sein», hielt Fasan fest. Vier Jahre ist der Sicherheitstrakt bei V-Zug nun in Betrieb. Heute mögliche Aktualisierungsbedürfnisse wie etwa die Biometrie der Zugangskontrolle könnten prob-lemlos realisiert werden, sagt Fasan.
Die V-Zug beschäftigt rund 1100 Mitarbeiter am Hauptsitz und an weiteren 31 Standorten. Sie entwickelt, produziert und vertreibt Haushaltsgeräte für die Küche und den Waschraum aus einer Hand. Ein neues RZ war im Jahr 2001 aus Platzgründen unumgänglich geworden, sagt Fasan. Zudem hatte eine Risikoanalyse gezeigt, dass die Räume physisch-mechanisch nicht mehr der permanent wachsenden Abhängigkeit des Unternehmens von der IT gerecht wurden.
In den rund 11 Monaten von der Risikoanalyse bis zur Inbetriebnahme des RZ wurde der Sicherheitstrakt von einem Generalunternehmen zu einem Festpreis realisiert. Dabei hiess eine der Vorgaben «höchste Verfügbarkeit», wie Fasan festhält. Bei der Technik machte V-Zug allerdings aus finanziellen Gründen gewisse Abstriche. Doch um die, so der IT-Sicherheitsbeauftragte, komme ohnehin kein Unternehmen herum, das sich entschieden hat, ein eigenes RZ zu betreiben. So ist die unterbrechungsfreie Stromversorgung heute nicht redundant ausgelegt und auf einen Dieselgenerator wurde verzichtet. Eingesetzt wird eine Brandfrühesterkennung, dafür aber keine automatische Löschanlage. Diese strategischen Entscheidungen habe sich in den letzten vier Jahren nicht negativ auf die Verfügbarkeit ausgewirkt, versichert Fasan. Trotz diverser Stromausfälle habe sich die auf zwei Stunden Laufzeit ausgelegte Batterie als völlig ausreichend bewährt.
Neben diesen Einschränkungen haben die Verantwortlichen bei V-Zug allerdings klare organisatorische Vorgaben gestellt, die den Risikofaktor Mensch betreffen. Von der 35-köpfigen IT-Mannschaft bei V-Zug haben dennoch nur acht Mitarbeiter Zugang zu allen physischen Komponenten. Von ihnen sind zudem die Unix-Spezialisten auf die Unix-Systeme begrenzt und genauso ist die Zugriffsberechtigung der Netzwerker und Windows-Fachleute begrenzt. Ausserdem wird die Bedienung der Systeme, die über Konsolen im Vorraum des RZ für einen weiteren Teil der IT zugänglich ist, über eine Bearbeitungsautorisierung kontolliert.
Fasan betont denn auch die Bedeutung der Software in einem RZ. «Neben den üblichen baulichen Massnahmen, die langfristig angelegt sein müssen, sind die Funktionstrennung und die Bearbeitungsordnung ein wesentlicher Baustein der IT-Sicherheit», sagt er. Dass es keine jederzeit garantierte Ausfallsicherheit gibt, gesteht Fasan gern ein: «IT-Sicherheit ist beim unumgänglichen Risikofaktor Mensch ohne einen Vertrauensvorschuss einfach nicht zu haben». Darauf habe sich jedes Unternehmen einzustellen und eine entsprechende Firmenkultur zu schaffen, fordert Fasan.
Gravierende Störungen des RZ-Betriebs traten nicht auf. Anhand einer Lappalie hat Fasan aber die Komplexität und Verwundbarkeit von Sicherheitsstrukturen in einem RZ aufgezeigt. Denn bei V-Zug trat an der unwahrscheinlichsten Stelle ein Leck im wahrsten Sinne des Wortes auf: Wasser drang durch die gut 40 Zentimeter dicke Betondecke im Zugang zum IT-Herzstück. Ausgelöst wurde der Wasserschaden durch das Überlaufen eines Auffangbeckens für Kondenswasser im Stockwerk über dem Sicherheitstrakt. «Das tropfende Wasser ist eine Bagatelle gewesen», sagt Fasan, «hätte an anderer Stelle aber erheblichen Ärger nach sich ziehen können». Indem Fasan einen baulichen Risikofaktor in Sachen IT-Sicherheit thematisierte, verdeutlichte er den Umstand, dass ähnliche Risiken auch in den oft besten technischen, organisatorischen und personellen Massnahmen schlummern können.
Die V-Zug beschäftigt rund 1100 Mitarbeiter am Hauptsitz und an weiteren 31 Standorten. Sie entwickelt, produziert und vertreibt Haushaltsgeräte für die Küche und den Waschraum aus einer Hand. Ein neues RZ war im Jahr 2001 aus Platzgründen unumgänglich geworden, sagt Fasan. Zudem hatte eine Risikoanalyse gezeigt, dass die Räume physisch-mechanisch nicht mehr der permanent wachsenden Abhängigkeit des Unternehmens von der IT gerecht wurden.
In den rund 11 Monaten von der Risikoanalyse bis zur Inbetriebnahme des RZ wurde der Sicherheitstrakt von einem Generalunternehmen zu einem Festpreis realisiert. Dabei hiess eine der Vorgaben «höchste Verfügbarkeit», wie Fasan festhält. Bei der Technik machte V-Zug allerdings aus finanziellen Gründen gewisse Abstriche. Doch um die, so der IT-Sicherheitsbeauftragte, komme ohnehin kein Unternehmen herum, das sich entschieden hat, ein eigenes RZ zu betreiben. So ist die unterbrechungsfreie Stromversorgung heute nicht redundant ausgelegt und auf einen Dieselgenerator wurde verzichtet. Eingesetzt wird eine Brandfrühesterkennung, dafür aber keine automatische Löschanlage. Diese strategischen Entscheidungen habe sich in den letzten vier Jahren nicht negativ auf die Verfügbarkeit ausgewirkt, versichert Fasan. Trotz diverser Stromausfälle habe sich die auf zwei Stunden Laufzeit ausgelegte Batterie als völlig ausreichend bewährt.
Neben diesen Einschränkungen haben die Verantwortlichen bei V-Zug allerdings klare organisatorische Vorgaben gestellt, die den Risikofaktor Mensch betreffen. Von der 35-köpfigen IT-Mannschaft bei V-Zug haben dennoch nur acht Mitarbeiter Zugang zu allen physischen Komponenten. Von ihnen sind zudem die Unix-Spezialisten auf die Unix-Systeme begrenzt und genauso ist die Zugriffsberechtigung der Netzwerker und Windows-Fachleute begrenzt. Ausserdem wird die Bedienung der Systeme, die über Konsolen im Vorraum des RZ für einen weiteren Teil der IT zugänglich ist, über eine Bearbeitungsautorisierung kontolliert.
Fasan betont denn auch die Bedeutung der Software in einem RZ. «Neben den üblichen baulichen Massnahmen, die langfristig angelegt sein müssen, sind die Funktionstrennung und die Bearbeitungsordnung ein wesentlicher Baustein der IT-Sicherheit», sagt er. Dass es keine jederzeit garantierte Ausfallsicherheit gibt, gesteht Fasan gern ein: «IT-Sicherheit ist beim unumgänglichen Risikofaktor Mensch ohne einen Vertrauensvorschuss einfach nicht zu haben». Darauf habe sich jedes Unternehmen einzustellen und eine entsprechende Firmenkultur zu schaffen, fordert Fasan.
Gravierende Störungen des RZ-Betriebs traten nicht auf. Anhand einer Lappalie hat Fasan aber die Komplexität und Verwundbarkeit von Sicherheitsstrukturen in einem RZ aufgezeigt. Denn bei V-Zug trat an der unwahrscheinlichsten Stelle ein Leck im wahrsten Sinne des Wortes auf: Wasser drang durch die gut 40 Zentimeter dicke Betondecke im Zugang zum IT-Herzstück. Ausgelöst wurde der Wasserschaden durch das Überlaufen eines Auffangbeckens für Kondenswasser im Stockwerk über dem Sicherheitstrakt. «Das tropfende Wasser ist eine Bagatelle gewesen», sagt Fasan, «hätte an anderer Stelle aber erheblichen Ärger nach sich ziehen können». Indem Fasan einen baulichen Risikofaktor in Sachen IT-Sicherheit thematisierte, verdeutlichte er den Umstand, dass ähnliche Risiken auch in den oft besten technischen, organisatorischen und personellen Massnahmen schlummern können.
Volker Richert
