Datenzentren sind wahrlich nichts besonders Aufregendes. Sie sehen
überall mehr oder weniger gleich aus. Daten sieht man dort nicht,
sondern lediglich hunderte oder gar tausende Server, die nicht viel mehr
tun als Lärm und Wärme zu erzeugen. Und dennoch wird um sie viel
Aufhebens gemacht, denn was hier „gelagert“ wird, gilt als das Gold des
21. Jahrhunderts, mit dem man so ziemlich alles anstellen kann, was man
will – im Guten wie im Schlechten.
In der Datenburg von Microsoft
Die WIRTSCHAFT
wollte es genau wissen und besuchte darum das von Microsoft betriebenen
Data Center in Dublin. Schon vor dem Eintritt ist klar: Hier wird die
Kunst der Inszenierung angewandt, um das graue Datenzentrum mit einer
Aura von Uneinnehmbarkeit zu versehen. Als Journalist muss man im
Vorfeld ein „Non Disclosure Agreement“, also einen
Geheimhaltungsvertrag, unterschreiben. Man darf also weder über den Ort
des Datenzentrums, noch über Sicherheitsvorkehrungen wie Kameras oder
auch über Namen von Partnerunternehmen, etwa von welchen Firmen die
Hard- oder Software im Datenzentrum kommt, berichten.
Auch beim
Rundgang wird darauf geachtet, dass tunlichst keine Information zu viel
nach außen tritt. Niemand darf sich ohne Begleitung eines
Microsoft-Mitarbeiters bewegen, essen, trinken und rauchen sind ebenso
verboten wie fotografieren oder filmen, und selbst der Schreibblock hat
hinter der Sicherheitsschleuse nichts verloren. Dass der Reisepass
abgegeben werden muss und kopiert wird, versteht sich von selbst. Nach
dem Rundgang durch das mehrstöckige Gebäude, das im Wesentlichen aus
Gängen, riesigen Serverräumen und schweren Sicherheitstüren besteht,
fragt man sich, ob es für einen Angreifer von außen wirklich nötig ist,
diese moderne Burg auf physischem Weg zu bezwingen. Es ist kaum
vorstellbar.
Fingerabdruck und Halle-in-Halle-System
Auch ein
Lokalaugenschein in einem Datenzentrum in Wien, das vom holländischen
börsennotierten Unternehmen Interxion betrieben wird, bietet ein
ähnliches Bild: Hier darf zwar der Schreibblock mit hinein, dafür muss
seit kurzem jeder, der die Serverräume betritt, einen Fingerabdruck
abgeben, wobei versichert wird, dass diese Daten nach einem Tag wieder
gelöscht werden. 24 Stunden am Tag sind zahlreiche Videokameras in und
außerhalb des Gebäudes im Einsatz.
Wer hier unbefugt hineinwill,
müsste entweder das Sicherheitspersonal und das technisch ausgeklügelte
Sicherheitssystem überlisten oder mindestens zwei massive Ziegelwände
durchbrechen, da es sich um eine Halle-in-Halle-Architektur handelt.
Auch vor Naturgewalten ist dieser Ort weitestgehend geschützt: Nicht nur
für den Brandschutz ist gesorgt, auch die Lage des Datenzentrums wurde
hinsichtlich Erdbebengefahr, Gefahr vor Überflutungen und sogar
bezüglich der Wahrscheinlichkeit von Terrorakten ausgewählt. Im Fall von
Stromausfällen übernehmen Batterien sowie Dieselgeneratoren die
Versorgung.
Andere Gefahrenquellen
Wolfgang Mader,
Geschäftsführer der Huemer Data Center GmbH, hat hier wie viele andere
Unternehmer einen Teil der 11.000 Quadratmeter großen Fläche angemietet,
um Server unterzubringen. Physisch sind die Daten seiner Kunden somit
geschützt, dafür bürgen unter anderem auch Zertifizierungen wie ISO/IEC
27001 und ISO 22301. „Man hat hier seine Hausaufgaben gemacht. Man
braucht sich keine Sorgen über die physische Sicherheit zu machen“, sagt
Mader. Doch er fügt hinzu: „Man kann auch in einem hochsicheren
Environment unsichere Daten haben.“
Wer mit wichtigen und
sensiblen Daten wie etwa Kundendaten oder Forschungsergebnissen zu tun
hat, sollte sich also keinesfalls darauf ausruhen, dass sich diese
Informationen ohnehin an einem sicheren Ort befinden. Schon wenn ein
Mitarbeiter auf eine der bekannten Cloud-Dienste zugreift und über
diesen Weg Daten transferiert, um auch vom privaten PC darauf zugreifen
zu können, sind sie mitunter nicht mehr ausreichend geschützt.
Daten außer Landes?
Denn wo genau die Daten
liegen, wenn sie „in der Cloud“ sind und wer darauf Zugriff hat, lässt
sich für den Einzelnen meist schwer feststellen. „Ein Unternehmen, das
IT-mäßig schon alles tut, um seine Daten zu schützen, muss auch seinen
Mitarbeitern genügend Schutz gewähren, damit sie nicht zum Ziel von
Attacken und selbst zur Schwachstelle in der Verteidigung der Sicherheit
des Unternehmens werden“, sagt Wolfgang Mader. Unternehmen, die ganz
sichergehen wollen, betreiben oftmals über einen IT-Dienstleister
Alternativen zu Dropbox und Co. Ein Vorteil dabei: Die Daten liegen
nachweislich in Österreich. Außerdem rät Mader zu folgenden Schritten:
„Das Unternehmen kann einen virtuellen Arbeitsplatz einrichten, der auch
privat genutzt werden darf. Es sollte die Mitarbeiter über Gefahren
durch das Nutzen sozialer Netzwerke aufklären und Virenschutz sowie
Firewall zur Verfügung stellen, die auch privat verwendet werden
dürfen.“
Insbesondere KMU sind laut Mader häufig der Meinung, für
ihre Daten würde sich ohnehin niemand interessieren. „Wenn es um die
Entwicklung von Hard- und Software geht, ist es offensichtlich, dass ein
erhöhtes Schutzbedürfnis besteht. Aber wie sieht es bei einem
Spenglerunternehmen aus?“, fragt Mader. Auch hier besteht Interesse an
Daten, auch wenn es nicht so offensichtlich ist. Mader verweist etwa
darauf, dass sich jedes Handwerksunternehmen mittlerweile an
Ausschreibungen beteiligt: „Gerade Kalkulationen, Gehaltsdaten, Daten
der Mitarbeiter und Offerte sind ein gefundenes Fressen für Mitbewerber
und der Schlüssel, um dieses Unternehmen knapp, aber erfolgreich zu
unterbieten.“
Mit welchen Sicherheitsmaßnahmen ein Unternehmen seine eigenen und die Daten der Mitarbeiter schützt, muss individuell
geklärt
werden. Doch eines ist fix: Wer sorglos Daten durch den Äther schickt
und glaubt, mit einem Virenschutzprogramm abgesichert genug zu sein,
geht jedenfalls ein hohes Risiko ein und stellt ein leichtes Opfer dar.
Mader: „Wenn Sie auf der Straße gehen, und da liegt ein Geldschein am
Boden, werden Sie ihn eher aufheben als irgendwo einzubrechen und einen
Safe zu knacken, um zu Geld zu kommen.“