Ratgeber Security

Tipps: Mehr Sicherheit im Serverraum und Rechenzentrum

Kontrolle privilegierter Benutzer

Ein weiteres Risiko für die Verfügbarkeit der Ressourcen im Datacenter stellen Fehlkonfigurationen durch die RZ-Mitarbeiter dar. Oft nutzen mehrere Administratoren gemeinsam einen Root-Account mit sämtlichen Rechten. Unternehmen, die menschliches Versagen an dieser Stelle vermeiden möchten, sollten jedem Account nur einen Nutzer zuweisen. Sie sollten bestehende Berechtigungskonzepte genau hinterfragen und die Administration für spätere Nachvollziehbarkeit protokollieren: Was darf ein Administrator wann auf welchem System tun? Wie wird die Berechtigung auditiert? Nur wenn alle Aktionen genau nachvollziehbar sind, können Fehler rückgängig gemacht werden.

Außerdem sollte ein Administrator sein Passwort nicht selber auswählen dürfen. Moderne Stellvertretersysteme generieren beispielsweise Passwörter, die der Benutzer selber nicht kennt. Wie in vielen anderen Bereichen auch, ist das Vier-Augen-Prinzip ein hilfreicher Schutz: Änderungen dürfen nur durchgeführt werden, wenn zwei authentifizierte User zustimmen.

Einhaltung von Richtlinien

IT-Verantwortliche sollten das Compliance-Risiko, also die Nicht-Einhaltung von internen und gesetzlichen Richtlinien sowie Branchenstandards nicht unterschätzen. Insbesondere wenn Cloud-Dienste bezogen werden, muss genau geprüft werden, ob die nationalen oder speziellen Compliance-Anforderungen vom Anbieter eingehalten werden können. Besondere Vorsicht ist bei der Auslagerung personenbezogener Daten an Cloud-Betreiber im Ausland geboten. Konflikte mit dem Bundesdatenschutzgesetz sind dann vorprogrammiert.

GRC-Lösungen (Governance, Risk, Compliance) können sicher stellen, dass alle definierten Security-Maßnahmen umgesetzt werden. Diese Systeme bilden eine zentrale Plattform für einen dauerhaften Überblick über die bestehenden internen und gesetzlichen Richtlinien sowie Branchenstandards, verwalten diese in einem integrierten Dokumenten-Management-System und dokumentieren die Umsetzung der technologischen und organisatorischen Maßnahmen mit Hilfe von Verlinkungen.