Datenzentren sind wahrlich nichts besonders Aufregendes. Sie sehen überall mehr oder weniger gleich aus. Daten sieht man dort nicht, sondern lediglich hunderte oder gar tausende Server, die nicht viel mehr tun als Lärm und Wärme zu erzeugen. Und dennoch wird um sie viel Aufhebens gemacht, denn was hier „gelagert“ wird, gilt als das Gold des 21. Jahrhunderts, mit dem man so ziemlich alles anstellen kann, was man will – im Guten wie im Schlechten.

In der Datenburg von Microsoft

Die WIRTSCHAFT wollte es genau wissen und besuchte darum das von Microsoft betriebenen Data Center in Dublin. Schon vor dem Eintritt ist klar: Hier wird die Kunst der Inszenierung angewandt, um das graue Datenzentrum mit einer Aura von Uneinnehmbarkeit zu versehen. Als Journalist muss man im Vorfeld ein „Non Disclosure Agreement“, also einen Geheimhaltungsvertrag, unterschreiben. Man darf also weder über den Ort des Datenzentrums, noch über Sicherheitsvorkehrungen wie Kameras oder auch über Namen von Partnerunternehmen, etwa von welchen Firmen die Hard- oder Software im Datenzentrum kommt, berichten.

Auch beim Rundgang wird darauf geachtet, dass tunlichst keine Information zu viel nach außen tritt. Niemand darf sich ohne Begleitung eines Microsoft-Mitarbeiters bewegen, essen, trinken und rauchen sind ebenso verboten wie fotografieren oder filmen, und selbst der Schreibblock hat hinter der Sicherheitsschleuse nichts verloren. Dass der Reisepass abgegeben werden muss und kopiert wird, versteht sich von selbst. Nach dem Rundgang durch das mehrstöckige Gebäude, das im Wesentlichen aus Gängen, riesigen Serverräumen und schweren Sicherheitstüren besteht, fragt man sich, ob es für einen Angreifer von außen wirklich nötig ist, diese moderne Burg auf physischem Weg zu bezwingen. Es ist kaum vorstellbar.

Fingerabdruck und Halle-in-Halle-System

Auch ein Lokalaugenschein in einem Datenzentrum in Wien, das vom holländischen börsennotierten Unternehmen Interxion betrieben wird, bietet ein ähnliches Bild: Hier darf zwar der Schreibblock mit hinein, dafür muss seit kurzem jeder, der die Serverräume betritt, einen Fingerabdruck abgeben, wobei versichert wird, dass diese Daten nach einem Tag wieder gelöscht werden. 24 Stunden am Tag sind zahlreiche Videokameras in und außerhalb des Gebäudes im Einsatz.

Wer hier unbefugt hineinwill, müsste entweder das Sicherheitspersonal und das technisch ausgeklügelte Sicherheitssystem überlisten oder mindestens zwei massive Ziegelwände durchbrechen, da es sich um eine Halle-in-Halle-Architektur handelt. Auch vor Naturgewalten ist dieser Ort weitestgehend geschützt: Nicht nur für den Brandschutz ist gesorgt, auch die Lage des Datenzentrums wurde hinsichtlich Erdbebengefahr, Gefahr vor Überflutungen und sogar bezüglich der Wahrscheinlichkeit von Terrorakten ausgewählt. Im Fall von Stromausfällen übernehmen Batterien sowie Dieselgeneratoren die Versorgung.

Andere Gefahrenquellen

Wolfgang Mader, Geschäftsführer der Huemer Data Center GmbH, hat hier wie viele andere Unternehmer einen Teil der 11.000 Quadratmeter großen Fläche angemietet, um Server unterzubringen. Physisch sind die Daten seiner Kunden somit geschützt, dafür bürgen unter anderem auch Zertifizierungen wie ISO/IEC 27001 und ISO 22301. „Man hat hier seine Hausaufgaben gemacht. Man braucht sich keine Sorgen über die physische Sicherheit zu machen“, sagt Mader. Doch er fügt hinzu: „Man kann auch in einem hochsicheren Environment unsichere Daten haben.“

Wer mit wichtigen und sensiblen Daten wie etwa Kundendaten oder Forschungsergebnissen zu tun hat, sollte sich also keinesfalls darauf ausruhen, dass sich diese Informationen ohnehin an einem sicheren Ort befinden. Schon wenn ein Mitarbeiter auf eine der bekannten Cloud-Dienste zugreift und über diesen Weg Daten transferiert, um auch vom privaten PC darauf zugreifen zu können, sind sie mitunter nicht mehr ausreichend geschützt.

Daten außer Landes?

Denn wo genau die Daten liegen, wenn sie „in der Cloud“ sind und wer darauf Zugriff hat, lässt sich für den Einzelnen meist schwer feststellen. „Ein Unternehmen, das IT-mäßig schon alles tut, um seine Daten zu schützen, muss auch seinen Mitarbeitern genügend Schutz gewähren, damit sie nicht zum Ziel von Attacken und selbst zur Schwachstelle in der Verteidigung der Sicherheit des Unternehmens werden“, sagt Wolfgang Mader. Unternehmen, die ganz sichergehen wollen, betreiben oftmals über einen IT-Dienstleister Alternativen zu Dropbox und Co. Ein Vorteil dabei: Die Daten liegen nachweislich in Österreich. Außerdem rät Mader zu folgenden Schritten: „Das Unternehmen kann einen virtuellen Arbeitsplatz einrichten, der auch privat genutzt werden darf. Es sollte die Mitarbeiter über Gefahren durch das Nutzen sozialer Netzwerke aufklären und Virenschutz sowie Firewall zur Verfügung stellen, die auch privat verwendet werden dürfen.“

Insbesondere KMU sind laut Mader häufig der Meinung, für ihre Daten würde sich ohnehin niemand interessieren. „Wenn es um die Entwicklung von Hard- und Software geht, ist es offensichtlich, dass ein erhöhtes Schutzbedürfnis besteht. Aber wie sieht es bei einem Spenglerunternehmen aus?“, fragt Mader. Auch hier besteht Interesse an Daten, auch wenn es nicht so offensichtlich ist. Mader verweist etwa darauf, dass sich jedes Handwerksunternehmen mittlerweile an Ausschreibungen beteiligt: „Gerade Kalkulationen, Gehaltsdaten, Daten der Mitarbeiter und Offerte sind ein gefundenes Fressen für Mitbewerber und der Schlüssel, um dieses Unternehmen knapp, aber erfolgreich zu unterbieten.“

Mit welchen Sicherheitsmaßnahmen ein Unternehmen seine eigenen und die Daten der Mitarbeiter schützt, muss individuell
geklärt werden. Doch eines ist fix: Wer sorglos Daten durch den Äther schickt und glaubt, mit einem Virenschutzprogramm abgesichert genug zu sein, geht jedenfalls ein hohes Risiko ein und stellt ein leichtes Opfer dar. Mader: „Wenn Sie auf der Straße gehen, und da liegt ein Geldschein am Boden, werden Sie ihn eher aufheben als irgendwo einzubrechen und einen Safe zu knacken, um zu Geld zu kommen.“