Mission truly impossible: Datendiebstahl im Hochsicherheits­rechenzentrum

Im Fernseher schaut es immer ganz leicht aus: Den PIN-Code bereits im Voraus ausgekundschaftet und mit einem geschickten Trick wird die persönliche Key-Card entwendet. Anschießend ein paar Kameras ausgetänzelt und schon hat man Zugang zu den „Top Secret“ Daten des gewünschten Unternehmens. Doch was ist dran an den Darstellungen diverser Action-Filme? Wir können beruhigen: Mit dieser Taktik kommt man nicht weit - ganz konkret: nicht einmal bis in die Eingangshalle des Rechenzentrums.

Bei einem exklusiven Blick in unsere Rechenzentren können die Server, welche wesentlich für das Funktionieren der ID Austria verantwortlich sind, in Natura begutachtet werden. Wahrscheinlich aber noch spannender: Der Einblick dazu, welche Maßnahmen einerseits für die sichere Verwahrung der Server und andererseits für die sicher Erhaltung des Systems getroffen wurden.

Zurück zum Eingangs genannten Szenario: Was hält jetzt geschickte Kartendiebe davon ab, in den Serverraum von A-Trust, der sich im Inneren des Gebäudes befindet, zu gelangen?

Von außen betrachtet, wirkt das Rechenzentrum wenig beeindruckend – dass in dem recht unscheinbaren Gebäude essenzielle Systeme für die Erhaltung der A-Trust QES (z.B. ID Austria) verwahrt werden, lässt sich kaum erahnen. Wer hohe Mauern oder Sicherheitssysteme, die an Fort Knox erinnern, erwartet hat, wird enttäuscht. Doch schon bei der Eingangstüre erwartet mögliche Datendiebe bzw. -diebinnen das erste Hindernis: Neben der persönlichen Key-Card muss nämlich auch die eigene Handfläche gescannt werden. So kommen unbefugte Personen nicht einmal bis in die Eingangshalle und jede:r, der bzw. die die Türe öffnet, ist eindeutig identifiziert.

Wer anschließend durch das Labyrinth an Server-Racks zum A-Trust Serverraum findet, wird wieder mit einem Kartenleser konfrontiert, welcher als zweiten Authentifizierungsfaktor auch nach der persönlichen PIN verlangt. Allerdings reicht hier eine Soloaktion nicht aus: Zum Betreten des A-Trust Serverraumes benötigt es eine zweite, von A-Trust befugte Personen, welche sich ebenfalls über Karte und PIN authentifizieren muss – wodurch ein sog. 4 Augenprinzip sichergestellt wird.

Doch wie wird man zur von „A-Trust befugten Person“ – auch bekannt als „A-Trust Security Officer“? Hier handelt es sich um ausgewählte Personen, welche das vorgegebene Rollenprofil erfüllen. Voraussetzung dafür sind bspw. ein unbescholtener Leumund sowie regelmäßig absolvierte Schulungen zu (neuen) potenziellen Bedrohungen und state-of-the-art Sicherheitspraktiken. Berücksichtigt werden dabei außerdem diverse weitere Faktoren, wie beispielsweise Firmenzugehörigkeit sowie fachliche Kenntnisse, unter anderem zu Themen wie bspw. Kryptographie und Public Key Infrastructure (PKI).

Szenario 2: Einbruch aus dem Nebenraum.

Kreative Geister sind evtl. auch bereits auf die Idee gekommen, sich einfach den Nebenraum anzumieten und sich anschließend unterirdisch durch die doppelten Böden Zugang zu verschaffen. Aber auch hier heißt es Fehlanzeige: Zwar existieren doppelte Böden, allerdings reichen die dicken Zwischenwände, welche die Räume voneinander abtrennen, weit darunter.

Aber was, wenn es nun aus unerfindlichen Gründen doch jemandem gelingt in den A-Trust Serverraum einzubrechen? Ziel erreicht, her mit den Daten und das System übernommen? Nicht ganz. Denn die Schlüssel der signierenden Personen sind auf HSMs gespeichert, welche wiederum in Safes verschlossen sind. „HSM“ steht übrigens für Hardware Security Modul und bezeichnet eine zertifizierte Hardware-Komponente, welche die privaten Schlüssel der Nutzenden verwaltet. Besonderer (Daten-)Schutz ist hierbei dadurch gewährleistet, dass die Schlüssel zwar angewendet, aber nicht exportiert werden können.

Weil wir natürlich selbst viel erzählen können, prüfen das A-SIT Zentrum für sichere Informationstechnologie – Austria sowie die Rundfunk und Telekom Regulierungs-GmbH (RTR) regelmäßig die Einhaltung der Sicherheitsbestimmungen. Ein interessanter Aspekt dazu: Einige der sehr strengen Auflagen haben wir uns selbst auferlegt; eigene Räumlichkeiten im Rechenzentrum sind z.B. nicht zwingend ein Muss.

Wir haben jetzt etabliert, warum sich ein Einbruch ins Rechenzentrum äußerst schwierig gestalten würde.
Aber was, wenn durch technische Gebrechen oder äußere Einflüsse das Funktionieren des Systems und damit der QES von A-Trust bedroht wird?

Stromausfälle passieren nun einmal und auch der beste Server kann irgendwann kaputt gehen. Wie kann dann die Erhaltung des Betriebes gewährleistet werden?

Um beispielsweise die Stromversorgung zu garantieren, wurden einige Vorkehrungen getroffen: So sind die Rechner z.B. mit redundanten Netzteilen ausgestattet. Sollte eines davon kaputt gehen, gibt es also immer noch ein Backup, bis es ausgetauscht werden kann. Von lokalen Stromausfällen ist das Rechenzentrum außerdem meist nicht betroffen – Grund dafür ist eine Direktleitung zum Stromanbieter. Sollte es dennoch zu einem Stromausfall kommen, kommt eine USV-Anlage zum Einsatz und dank des mit Schiffsdiesel betriebenen Notstromaggregats kann das Rechenzentrum weitere rund 24h betrieben werden.

Noch nicht genug? Weil eben manchmal doch das Unerwartete eintritt, haben wir außerdem noch einen letzten Joker in der Tasche: Ein zweites, redundantes (und gleich gut abgesichertes) Rechenzentrum an einem anderen Standort.