Structural and Technical Security Measurements in Modern Datacenters to cope with Threat Scenarios

Master Studiengang Information Security

Dipl.-Ing. Michael Maurer, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Der Automobilkonzern Daimler plant ein neues Logistikzentrum, welches auch ein Rechenzentrum umfasst. Die darin gespeicherten Daten sind sowohl geschäftskritisch als auch personenbezogen und deshalb besonders sensibel. Des Weiteren kann ein Acht-Stunden andauernder Ausfall der Systeme, auf denen diese Daten lagern und verarbeitet werden, finanzielle Schäden im fünfstelligen Bereich nach sich ziehen. Diese Arbeit wurde deshalb schon in der Planungsphase angesetzt, denn dies ermöglicht eine vollumfassende Security Analyse. Die Daten für die Analyse stammen von den Bauplänen des neuen Werkes und vom Global Logistik Center in Germersheim (D), da das dortige Rechenzentrum als Spiegelvorlage für das neue Rechenzentrum genutzt wird, was bedeutet, dass sowohl Hardware als auch Software ident sind.

Ziel

Die Analyse umfasst dabei die Einhaltung sicherheitsrelevanter Baunormen und ob diese den heutigen Bedrohungen, welchen ein heutiges Rechenzentrum ausgesetzt ist, gewachsen sind. Im weiteren Verlauf wird auf die Infrastruktur eingegangen, welche sich auf die Bereiche Netzwerkinfrastruktur und Hosting Infrastruktur aufteilt. Dabei wird sowohl auf die Hardware-, die Protokoll-, und teilweise auch auf die Software-Ebene eingegangen, um eine vollumfängliche Analyse zu ermöglichen.

Ergebnis

Die Arbeit bestätigt viele der strengen Sicherheitsrichtlinien der Daimler AG, welche vor allem auf technischer Ebene, sehr hohe Anforderungen stellen. Allerdings kam es dennoch zu Funden, welche von den bisherigen internen Standards nicht abgedeckt wurden, teils aus Kompatibilitätsgründen, teils aus wirtschaftlichen Gründen, teils aber auch wegen technischer Neuerungen oder neuen Erkenntnissen aus Wissenschaft und Wirtschaft, die noch nicht geprüft und eingepflegt werden konnten. Einige dieser Funde sind auch Verweise auf Standards mit höheren Mindestanforderungen, was beispielsweise die Feuerfestigkeit von Türen betrifft. Andere Funde behandeln die Themen Lieferanten-Diversität für Hardwarebeschaffungen, die Nutzung veralteter Protokolle, oder das unterschätzte Thema der Industriespionage mittels Hardware Trojanern.