Auch beim Umgang mit Besuchern im Rechenzentrum gab es Mängel. So wurden Mitarbeiter beispielsweise nicht immer ausreichend geschult, wie mit externen Besuchern umzugehen ist. Sie dürfen Rechenzentren eigentlich nur angemeldet und in Begleitung eines für diese Aufgabe vorgesehenen Mitarbeiters betreten. Ein Beispiel: In einem Rechenzentrum wurde ein Mitarbeiter namens „Bob“ erwartet. Wie Bob allerdings mit Nachnamen hieß, war nicht verzeichnet.
Das endete damit, dass ein vollkommen anderer Besucher arglos durch das gesamte Rechenzentrum geführt wurde, nur weil sein Vorname zufällig ebenfalls Bob lautete. „Die Häufigkeit sogenannter sozialer Attacken nimmt zu, und deshalb muss man hier klare Regeln entwickeln und durchsetzen“, betont Bonell.
Generell lässt sich sagen, dass das Sicherheitsniveau in der Studie in der Regel niedriger war, als die befragten Unternehmen das aufgrund ihrer hohen Investitionen annahmen. Setzten Anwender auf externe Rechenzentrumsdienstleister, wurden deren Zertifizierungen zu selten geprüft. Die Entscheidung darüber, ob und welcher Dienstleister gewählt werden sollte, traf häufig das IT-Personal mehr oder weniger allein, obwohl es sich beim Rechenzentrum um eine überlebenswichtige Ressource des Unternehmens handelt.
„Die internen IT-Mitarbeiter entscheiden sich häufig für ein Inhouse-Datenzentrum und unterschätzen dabei den Investitionsbedarf in die Sicherheit“, sagt Bonell. Sei aber erst einmal ein Inhouse-Datenzentrum vorhanden, habe das eine hohe Kapitalbindung zur Folge. Die wiederum halte die Verantwortlichen von einer Revision ihrer Entscheidung selbst dann ab, wenn sie sähen, dass sie ihren eigenen Sicherheitsanforderungen ohne zusätzliche, weitere hohe Investitionen kaum gerecht werden könnten.
Immerhin gebe es aber bei professionellen Rechenzentrumsbetreibern einen Trend dazu, auf Compliance zu den wichtigsten Regularien zu achten und die eigenen Sicherheitsmaßnahmen Schritt für Schritt auszubauen, so dass dort der Standard insgesamt besser sei. Von den zahlreichen Vorgaben und Richtlinien sind die des Sarbanes-Oxley-Gesetzes unter den Befragten am häufigsten umgesetzt (bei über 60 Prozent). An zweiter Stelle stehen die Vorgaben der jeweiligen lokalen Finanzbehörden. Die Hälfte hat außerdem ISO 27001 bereits erreicht oder ist gerade dabei, die Norm einzuführen. Spezifischere Regelungen, etwa PCI-DSS, HIPAA oder das Gramm-Leach-Bliley-Gesetz, sind naturgemäß weniger verbreitet.
Page: 1 2
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…