Fujitsu „Stealth Data Center“ gegen gezielte Angriffe

Auf der CeBIT präsentiert Fujitsu mit dem „Stealth Data Center“ ein neues Sicherheitskonzept für das Rechenzentrum. Ein patentiertes Verfahren sorgt dafür, dass derzeit bekannte Angriffsmethoden ins Leere laufen. Dies gilt sowohl für Portscans als auch für gezielte Angriffe auf einzelne Dienste. Durch die neue Technologie ist das Rechenzentrum für Angreifer nicht ansprechbar und deswegen nicht angreifbar. Berechtigte Anwender können sich dagegen weiterhin beispielsweise per herkömmlichem Virtual Private Network (VPN) anmelden.

Neue Sicherheitsrack-Lösung schützt vor unberechtigtem Datenzugriff von innen
Schutz vor unberechtigtem Datenzugriff auch innerhalb eines Unternehmens bietet die neuartige Sicherheitsrack-Lösung von Fujitsu. Wie ein Safe verhindert das verstärkte Gehäuse physische Angriffe auf die IT-Systeme, wie etwa den Diebstahl von Festplatten oder den Einbau von Spionage-Hardware. Eine integrierte Steuereinheit überwacht mittels verschiedener Sensoren das Rack und öffnet beispielsweise die Türen nur, wenn sich Administratoren authentifizieren können. Zum Einsatz kommen dabei unter anderem eine biometrische Zugriffskontrolle per Infrarot-Handvenenscan (PalmSecure) und ein Mehraugen-Prinzip. Das sorgt auch für einen umfassenden Schutz der Administratoren vor ungerechtfertigten Verdächtigungen, weil ein durchgehendes Monitoring und damit eine Auditierbarkeit – zum Beispiel nach ISO 27000 – gegeben ist.

Einfache Integration und umfassender Investitionsschutz

Die Sicherheitsrack-Lösung hat die Abmessungen eines Standard-Racks mit 42 Höheneinheiten und 120 cm Tiefe und lässt sich zudem per Software problemlos in bestehende Rechenzentrumsumgebungen integrieren. In den oberen, vollständig separat gesicherten sieben Höheneinheiten befindet sich die Steuereinheit, die restlichen 35 Höheneinheiten bieten Platz für Serversysteme. Dabei können herkömmliche Geräte verwendet werden, was eine Weiterbenutzung bereits bestehender IT-Systeme ermöglicht und für niedrige Investitionskosten sorgt.

Wichtiger Schritt auf dem Weg zu umfassender IT-Sicherheit

Fujitsus neue Sicherheitsrack-Lösung ist eine wichtige Komponente des umfassenden Sicherheitskonzeptes, das das Unternehmen im Rahmen seines Forschungs- und Entwicklungsprojekts „Digitale Souveränität“ in Augsburg, München und Paderborn vorantreibt: Das Ziel ist eine manipulationssichere und auditierbare Ende-zu-Ende-Verschlüsselung für den Betrieb von (bestehenden) Applikationen. Die Verschlüsselung reicht dabei vom Endgerät über die Datenübertragung bis hin zu den Servern im Rechenzentrum, den Speichersystemen und zum Backup. Sensible Anwendungen und Daten werden so vollständig vom Rest der bestehenden IT abgekapselt. Ein modularer Aufbau des Konzepts ermöglicht es, das Schutzniveau entsprechend der jeweiligen Anforderungen zu realisieren.

- Anzeige -

Abgestufte Sicherheitsniveaus möglich

Bereits der alleinige Einsatz des Sicherheitsracks sorgt für eine deutliche Verbesserung des Schutzniveaus und bietet sich sowohl für Rechenzentren – etwa im Universitäts- und Forschungsumfeld – als auch für den Einsatz in mittelständischen Unternehmen an. Diesen erleichtert es beispielsweise, geforderte Sicherheitsauditierungen erfolgreich zu bestehen. Zudem eröffnet das optionale Konzept des Mehraugenprinzips neue Möglichkeiten bei der Zusammenarbeit mit IT-Dienstleistern: So kann bei sensiblen Systemen vorgeschrieben werden, dass Administratoren des Dienstleisters nur Zugriff auf sie bekommen, wenn dieser vom Kunden autorisiert wird. Eine durchgehende Protokollierung der Zugriffe des Administrators am Rack macht diese zudem jederzeit nachverfolgbar.

Erste Präsentation zur erweiterten Client-Sicherheit

Neben dem „Stealth Data Center“ und der Sicherheitsrack-Lösung stellt Fujitsu auf der CeBIT auch sein erweitertes Konzept zur Endgeräte-Sicherheit vor. Dort sorgen gekapselte Anwendungen dafür, dass die Verarbeitung der Anwendungsdaten getrennt („abstrahiert“) von Betriebssystem und Hardware des Endgerätes erfolgt. Die gekapselten Anwendungen werden im Rechenzentrum ausgeführt und über eine verschlüsselte Verbindung zur Verwendung am Client übertragen. Um vor dem Abgreifen und der Manipulation von Anwendungsdaten zu schützen, wird der Speicher des Endgerätes zusätzlich überwacht und bei einer Unregelmäßigkeit Alarm ausgelöst. Auch Maßnahmen zur Abwehr von möglichen Angriffen – beispielsweise durch das Mitlesen von Tastatur- und Mauseingaben, Steuerung von Webcam und Mikrofon – sind künftige Bestandteile der Endgeräte-Sicherheit.

Hintergrund: „Stealth Data Center“ – so wird das Rechenzetrum unsichtbar

Attacken beginnen meist mit dem „Abtasten“ der Server (Portscan), um mögliche Angriffspunkte zu finden. Wenn der Server (beziehungsweise ein darauf laufender Dienst) auf die Anfragen antwortet, können Schwachstellen gefunden und ausgenutzt werden. Über diesen Weg kommen Angreifer dann unerlaubt in die Systeme, können Daten abgreifen oder manipulieren. Beim „Stealth Data Center“ erhält ein Angreifer jedoch keine Antworten auf seine Portscans und somit auch keine Informationen darüber, wo überhaupt Angriffspunkte zu finden sind. Selbst wenn er die „Position“ der Server (also deren IP-Adressen) über andere Verfahren kennt, erreichen dadurch ermöglichte gezielte Attacken ebenfalls keine Dienste, deren Fehler er ausnutzen könnte. Auch solche Verbindungsversuche werden einfach verworfen. Anwender, für die eine Verbindung vorgesehen ist, können dagegen eine Verbindung aufbauen – zum Beispiel zu einem Web-Service oder über ein Virtual Private Network.

Durchgehendes Monitoring und Auditierbarkeit

Wie die Praxis zeigt, erfolgen unberechtigte Datenzugriffe auch häufig durch Mitarbeiter und insbesondere Administratoren. Der Versuch, dies zu verhindern, ist hier mit der Quadratur des Kreises vergleichbar: Ein Administrator, der keinen Zugriff auf die Systeme hat, kann nicht administrieren. Und ein Administrator, der Zugang zu den Systemen hat, kann Daten kopieren oder manipulieren. Auch hier greift das Konzept von Fujitsu: Administratoren erhalten keinen direkten, nicht für die Administration erforderlichen Zugriff auf Daten, für potenziell kritische Aktionen kann ein n-Augen-Prinzip erzwungen werden und alle administrative Tätigkeiten am System werden nachvollziehbar protokolliert. Zusätzlich wird verhindert, dass Personen im Rechenzentrum die für die Absicherung der Daten notwendige Hardware manipulieren können, um so Zugriff zu bekommen. Das Sicherheitsrack bietet Zugriffsschutz sowohl auf der physischen als auch auf der logischen Ebene. Diese Maßnahmen schützen zugleich die häufig unter Generalverdacht stehenden Mitarbeiter im Rechenzentrum, weil ungerechtfertigte Verdächtigungen durch Nachweis der tatsächlich erfolgten Aktionen entkräftet werden können. Hinzu kommt, dass Daten und Datenflüsse bei Fujitsus Konzept der „Digitalen Souveränität“ grundsätzlich verschlüsselt sind.

Umfassender Sicherheitsansatz

Der von Fujitsu im Forschungs- und Entwicklungs-Projekt „Digitale Souveränität“ entwickelte umfassende IT-Sicherheitsansatz geht über bestehende Konzepte weit hinaus: Für besonders schutzbedürftige Daten und Vorgänge bietet er eine bislang nicht erreichte Sicherheit – vom Endgerät über den Transportweg bis hin zum Rechenzentrum. Die Entwickler und Ingenieure von Fujitsu haben dabei die möglichen Einfallstellen bei Endgeräten, dem Transportweg und im Rechenzentrum identifiziert und hierzu neuartige technische und organisatorische Maßnahmen konzipiert, um diese schließen zu können. Das Vorhaben „Digitale Souveränität“ verfolgt die Zielsetzung, sichere Anwendungsumgebungen zu schaffen, die auf bestehenden und damit potenziell unsicheren Infrastrukturen aufsetzen sowie ein Höchstmaß an Sicherheit zu gewährleisten, ohne Abstriche bei Bedienkomfort und Performance machen zu müssen.

Preise und Verfügbarkeit

Die Sicherheitsrack-Lösung von Fujitsu wird im Laufe des Jahres zunächst in Deutschland, Österreich und der Schweiz verfügbar sein.