Gebäudetechnik in Rechenzentren

Inhalt

1 SICHERHEITSBEDARF

2 SICHERHEITSGEFÄHRDUNG DES RECHENZENTRUMS
2.1 Höhere Gewalt
2.1.1 Feuer
2.1.1.1 Ursachen
2.1.1.2 Vorbeugende Schutzmaßnahmen
2.1.1.3 Maßnahmen zur Brandeindämmung
2.1.2 Wasser
2.1.2.1 Ursachen
2.1.2.2 Vorbeugende Schutzmaßnahmen
2.1.2.3 Schadensbegrenzung
2.1.3 Blitz
2.1.3.1 Gefahr
2.1.3.2 Schutzmaßnahmen
2.2 Störfälle technischer Art
2.2.1 Stromversorgung
2.2.1.1 Ursachen
2.2.1.2 Gegenmaßnahmen
2.2.2 Verkabelung
2.2.3 Daten
2.2.3.1 Ursachen für Datenverluste
2.2.3.2 Vorbeugende Maßnahme: Datensicherung mittels RAID
2.2.3.3 Restaurierung von Festplatten zur Datenrettung
2.3 Mutmaßliche Angriffe
2.3.1 Schutzmaßnahmen
2.3.1.1 Zutrittskontrolle

3 AUSBLICK

1 Sicherheitsbedarf

Viele Unternehmen investierten im Jahr 2001 aufgrund des hohen Innovationsdrucks bis zu 10% mehr ihres Umsatzes in das IT-Budget als noch im Jahr 2000 (vgl. ZÜC]) .

Wo so viel Geld im Spiel ist, wächst die Abhängigkeit von der Technik enorm – dementspre- chend nimmt das Sicherheitsbedürfnis zu. Die hohe Verfügbarkeit von Applikationen und Da- ten muss jederzeit garantiert sein, um die Kontinuität von Geschäftsprozessen zu gewährleis- ten. Der Anteil an Investitionen im Sicherheitsbereich betrug dabei lediglich 2.1 % der Ge- samtinvestition im EDV-Bereich(vgl. [IFW]).

Ein sicheres Rechenzentrum ist immer relativ zur vorausgesetzten oder unterstellten Gefahr sicher. Auch die berücksichtigten Gefahren können einmal eintreten und Schäden sind nicht auszuschließen. Die Frage ist nur:

Wie oft treten sie ein?

Welche Auswirkungen haben sie?

Sind die Auswirkungen wirtschaftlich zu vertreten?

Wird ein Rechenzentrum alle 10 Jahre vollkommen zerstört oder findet dies lediglich alle 100 Jahre statt?

Ein enormer Unterschied!

Mit 34,3 Mrd. USD fiel im Jahr 2001 die Belastung der Sachversicherung durch Katastro- phenschäden außerordentlich hoch aus. Schätzungsweise 19 Mrd. USD entfielen davon auf Sach- und Betriebsunterbruchschäden durch den Terroranschlag am 11. September (vgl. [SIG] S. 3).

In einem Rechenzentrum kann man sich weder Betriebsausfälle, Betriebsunterbrechungen, noch Hardwaredefekte und Datenverluste leisten. Deshalb müssen sich Betreiber von Re- chenzentren Gedanken machen, wie sie ihr Gebäude sichern und drohenden Gefahren standhalten.

In diesem Dokument werden wir uns mit Maßnahmen beschäftigen, wie man im physischen Bereich höhere Gefahren wie Feuer, Wasser und Blitz abwehren und geeignete Strategien für einen Notfallplan finden kann.

Ebenso behandeln wir Störeinflüsse im technischen Bereich. Dabei spielen Datenübertra- gungsfehler aufgrund von Störfeldern in der Verkabelung, fehleranfällige Stromversorgung und Datenverluste eine Rolle. Auch hier diskutieren wir geeignete Verfahren, wie man mit diesem Risiko umgehen kann oder sogar generell die Gefahr ausschalten kann.

In den letzten Jahren sind Schäden, die in einem Rechenzentrum aufgetreten sind, immer mehr auf Sabotage, Vandalismus und Diebstahl zurückzuführen ( vgl. [ZÜC]. S3). Um die- sem Trend entgegenzuwirken, stellen wir einige technische Einrichtungen vor, wie man un- befugten Personen den Zutritt ins Gebäude verwehren kann.

Mit dem vorliegenden Schriftstück wollen wir einen Einblick in technische und organisatori- sche Maßnahmen zur Erhöhung der Sicherheit in einem Rechenzentrum geben, dabei wer- den keinesfalls alle möglichen Maßnahmen diskutiert.

Wir haben jedoch versucht, die Ursachen zu verschiedenen Gefahren und geeignete Maß- nahmen dazu vorzustellen, die je nach Sicherheitsbedürfnis und Sicherheitsbudget umsetz- bar sind.

2 Sicherheitsgefährdung des Rechenzentrums

2.1 Höhere Gewalt

2.1.1 Feuer

Brandschutz in sensiblen EDV-Bereichen ist eine Frage, die sich für immer mehr Unterneh- men stellt. Denn Brände haben verheerende Folgen in einem Rechenzentrum. Angefangen bei defekten Geräten, über Systemausfall, der vermutlich mehrere Tage oder gar Wochen andauert, bis alle Geräte ersetzt und wieder einsatzfähig sind, bis hin zu irreversiblen Daten- verlusten.

2.1.1.1 Ursachen

Im Jahr 2000 war in über 40% der Brandfälle ein Blitzeinschlag die Ursache. Gefolgt von Ur- sachen, die in der Elektrizität begründet liegen mit ca. 10%. Explosion, Selbstentzündung und Überhitzung lagen alle bei einem Anteil von ca. 3 %. (vgl. [Tech10_2001] S.20)

Wie kann durch Elektrizität ein Brand entstehen?

Zum einen, wenn das Gerät an die Stromversorgung angeschlossen ist, deren Stromstärke bzw. Stromspannung zu hoch ist. Aber auch wenn Strom außerhalb seiner vorgesehenen Bahnen fliesst (durch fehlerhafte Kabelabdichtungen) kann es zu Funken kommen. Diese reichen schon aus, um Staubpartikel zu entzünden.

2.1.1.2 Vorbeugende Schutzmaßnahmen

In Abbildung Nr. 1 sind die wirtschaftlichen Auswirkungen auf Firmen dokumentiert. Auf 49% der Firmen hat der Brand eine so große Wirkung, dass sie nicht mehr betriebsfähig sind. 6% davon werden fusioniert oder verkauft. 28% der Firmen können noch drei Jahre nach dem Brand auf dem Markt aktiv sein.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Wirtschaftliche Folgen eines Brandes

Wegen dieser gravierenden wirtschaftlichen Auswirkungen ist über eine Anwendung qualita- tiv hochwertiger Schutzmaßnahmen zur Brandprävention und Brandbekämpfung nachzuden- ken.

Es gibt verschiedene bauliche Maßnahmen, wie man die Ausbreitung eines Brandes verhin- dern kann. Dazu zählen Brandschutztüren, sichere Verkabelungen und geeignete Brandmel- deverfahren.

2.1.1.2.1 Brandschutztüren

Um Brände möglichst schnell eindämmen zu können, existieren auf dem Markt so genannte

„Brandschutztüren. Es handelt sich dabei um rauchdichte Türen, für die ein Prüfzeugnis nach DIN 18095 bei der Bauabnahme vorzulegen ist. Rauchschutztüren müssen selbstschließend sein und bilden eine geprüfte Einheit aus Türzarge, Türblatt und den für die Funktion erfor- derlichen Beschlägen. Rauchschutztüren sind sehr zu empfehlen, denn laut Statistik entfallen 80% des Schadensausmaßes im Zusammenhang mit Brandschäden in Rechenzentren auf Raucheinwirkung. (vgl. [PfB])

Es gibt verschiedene Feuerwiderstandsklassen für Brandschutztüren nach der Brandschutz- norm DIN 4102. Türen fallen dabei in die Kategorie „Feuerabschlüsse“. Für diese Kategorie ist eine Feuerwiderstandsklasse von T30-T180 vorgesehen. Dies bedeutet, dass beispiels- weise eine Tür der Klasse T60 mindestens 60 Minuten einem Feuerangriff standhalten muss(vgl. [BEMO]).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Kabelbrandabschottung

Zur Vermeidung von Bränden an Verkabelungen gibt es zum einen die Möglichkeit, schwer- entflammbare Kabel zu verwenden, was aber recht kostspielig ist. Zum anderen dient eine Kabelbrandabschottung (siehe Abbildung Nr. 2) dazu, dass die Kabel in einer brandsicheren Umgebung sind. Bei einem eventuell auftretenden Brand in der Verkabelung wird zum einen die Sauerstoffzufuhr reduziert, und zum anderen die Brandausweitung auf andere Räume verhindert.

Die im Abschnitt 2.1.1.2.2 besprochenen vorbeugenden Maßnahmen reichen alleine nicht aus. Sie sind vielmehr unterstützende Maßnahme, um das Ausmaß einzudämmen. Wenn ein Brand ausbricht, muss schnellstmöglich eingegriffen werden, um den Brand zu löschen. Eine sehr schnelle Benachrichtigung bei Bränden kann mit Brandmeldesystemen erreicht werden.

2.1.1.2.3 Brandmeldetechnik

Ca. 60% der Serverräume in Deutschland verfügen über keine Brandmeldeanlagen (vgl. [SHB4/02] S. 43). Wichtig wäre aber, dass nicht nur die Serverräume selbst, sondern auch

alle angrenzenden Räume in die Brandmeldeanlage involviert sind. Nur so kann sicherge- stellt werden, dass genug Zeit bleibt, um Schäden vom Serverraum selbst rechtzeitig abweh- ren zu können. Man unterscheidet Handmelder und automatische Melder.

Bei Handmeldern wird der Alarm durch Betätigen eines Druckknopfes ausgelöst. Bei einem Rechenzentrum nützt diese Einrichtung allein wenig, weil nicht immer Personen anwesend sind.

Automatische Rauchmelder verfügen über einen oder mehrere Sensoren. Sie reagieren selbstständig, nachdem sie ihre Messdaten ausgewertet haben.

Unter den automatischen Brandmeldern unterscheiden wir:

- Rauchmelder
- Wärmemelder
- Flammenmelder
- Multisensorenmelder

2.1.1.2.3.1 Rauchmelder

Optische Rauchmelder reagieren besonders gut auf sichtbaren Rauch auch bei stärkeren Luftbewegungen. Damit sind sie gut geeignet zum Erkennen von Schwelbränden wie sie oft in elektronischen Einheiten wie Kabeln oder Serverschränken auftreten. Lineare Rauchmel- der messen Lichtabschwächungen durch Rauchentwicklung. Abbildung Nr.3 zeigt einen die Funktionsweise eines Rauchmelders.

Abbildung in dieser Leseprobe nicht enthalten Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Funktionsweise eines Rauchmelders

Im Melder sind eine Lichtquelle und eine Fotozelle in einer Kammer eingebaut. Diese Kam- mer ist wie ein Labyrinth aufgebaut, so dass im Normalzustand kein Licht an die Fotozelle kommt. Tritt Rauch in die Kammer ein, so werden die Lichtstrahlen an den Rauchpartikeln gebrochen. Die Lichtstrahlen treffen so auf die Fotozelle. An ihr tritt eine Spannung auf, die als Alarm ausgewertet wird.

Ein optischer Rauchmelder hat eine äußerst lange Reaktionszeit, ist aber immer noch ein geeignetes Mittel, um Schwelbrände zu erkennen. Rauchmelder sind besonders sind sie dort geeignet, wo „Hitzepuffer“ wie z.B. Serverschränke die Funktion von Flammenmeldern bzw. Wärmemeldern beeinträchtigen. Die Geräte in der Serverschränken sorgen schon alleine für eine erhöhte Umgebungstemperatur, so dass die Datenauswertung eines Wärmemelders beeinträchtigt werden kann.

2.1.1.2.3.2 Wärmemelder

Bei der Kategorie der Wärmemelder gibt es zum einen Melder, bei denen man eine Grenz- temperatur einspeichern kann. Übersteigt die Raumtemperatur diese Grenze wird ein Alarm ausgelöst.

Zum anderen gibt es Thermodifferentialmelder. Die Funktionsweise eines Thermodifferenzi- almelders ist folgendermaßen: Das Gerät misst die Umgebungstemperatur. Übersteigt sie in einem gewissen Zeitraum ein definiertes Temperaturintervall, wird Alarm ausgelöst.

2.1.1.2.3.3 Flammenmelder

Flammenmelder sind Ultraviolett-Melder, die auf den UV-Strahlungsanteil von Flammen rea- gieren. Sie eignen sich aber eher für Flüssigkeitsbrände, weil dort Stichflammen auftreten, was in EDV-Anlagen eher selten der Fall ist.

2.1.1.2.4 Einsatz von Brandmeldern im Rechenzentrum

Am besten geeignet sind so genannte Multisensorenmelder, die zwei Detektionsprinzipien vereinen. Sie sind in der Lage, den Raum sowohl optisch als auch die thermisch zu überwa- chen.

Bei der Zuverlässigkeit und Sicherheit von Brandmeldern kommt es auf zwei entscheidende Faktoren an:

a) Detektionsleistung: Je früher der Melder Alarm auslöst, desto besser seine

Detektionsleistung

b) Echtalarmsicherheit: Fehlalarme müssen weitestgehend ausgeschlossen werden

Die Detektionsleistung ist heutzutage schon so gut, dass 95% der Brände schon im Anfangs- stadium Alarm schlagen, und somit eine schnelle Löschung gewährleistet ist.

Als Problem ergibt sich aber, dass auf eine Feuermeldung etwa 16 Falschmeldungen kom- men. Durch geeignetes Anbringen von Wärme-, Rauch, und Flammenmeldern an kritischen Stellen im Rechenzentrum sollte der Anteil an Falschmeldungen möglichst gering gehalten werden. Ebenso hat die sinnvolle Einstellung der Grenzwerttemperatur an Wärmemeldern Wirkung gezeigt. Zu beachten ist dabei vor allem die Berücksichtigung des rechenzentrums- eigenen Temperaturanstiegs, wenn die Geräte in Betrieb sind.

2.1.1.2.5 Produktbeispiele

Im Folgenden werden zwei Brandmelder mit unterschiedlichen Leistungseigenschaften vor- gestellt.

a) Acclimate Melder®
b) V IEW Lasermelder®

Acclimate® (siehe Abbildung Nr. 4) ist ein Mehrfachsensor-Rauchmelder. Er benutzt zwei Verfahren, um entstehende Brandrisiken zu detektieren: Das optische und das thermische. Er setzt sich von anderen Meldern ab, weil in ihm eine Software integriert ist, welche ermittel-

te Werte des optischen- und des Thermomelders kombiniert auswertet selbst wichtige Vor- entscheidungen treffen kann. Neu gewonnene Daten verarbeitet er und nimmt sie in seine Datensammlung auf. Dabei lernt er und stellt sich automatisch auf wechselnde Umgebungs- bedingungen ein.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: ACCLIMATE

Durch die kombinierte Auswertung kann die Anzahl Falschmeldungen reduziert werden. Wird

z.B. ein Anstieg bei Rauch entdeckt, aber keine Temperaturänderung, dann wird der Melder zunächst keine Alarmmeldung ausgeben, sondern verschärft auf Temperaturänderung war- ten. Bleibt die Temperatur gleich und der Rauchlevel sinkt wieder, gibt es keinen Voralarm oder Alarm.

Abbildung in dieser Leseprobe nicht enthalten

Der VIEW LASER Melder ® ist ein Rauchmelder. Er arbeitet mit einer Laserdiode Dadurch wird im Gegensatz zu anderen Rauchmeldern, die mit Photodioden arbeiten, erkennen von minimalen Rauchmoleküle möglich.

Ein Laserstrahl pulst sein Licht durch die Mess- kammer. Am Ende der Strecke wird der Lichtstrahl durch eine Lichtabsortionskammer vernichtet - es entsteht kein Streulicht, sondern eine kleinere Messstrecke als beim Einsatz von Photodioden. Wird der Laserstrahl durch Rauchpartikel gebro- chen (gestreut) so gelangen die Lichtreflektionen über den optischen Verstärker gebündelt zum Empfänger. Abbildung Nr. 5 zeigt die Innenansicht des Brandmelders.

Abbildung 5: Innenleben des VIEW- Laserbrandmelders ®

2.1.1.3 Maßnahmen zur Brandeindämmung

Ist es trotz aller Vorsichtsmaßnahmen zu einem Brand gekommen, helfen nur noch geeigne- te und schnell wirkende Maßnahmen zur Brandeindämmung.

[...]