A A A
| Sitemap | Kontakt | Impressum
ETZ Logo VDE Verlag Logo

Das Fort Knox der Daten

01  Höchste Datensicherheit für Rechenzentren (Quelle: Correct Power Institute, Wago)

01  Höchste Datensicherheit für Rechenzentren (Quelle: Correct Power Institute, Wago)

02  Rechenzentren können bei geringer IT-Sicherheit leicht über das Internet angegriffen werden

02  Rechenzentren können bei geringer IT-Sicherheit leicht über das Internet angegriffen werden

03  Bernd Steinkühler und Marcel Steinkühler vom ­Sicherheitsexperten Correct Power Institute GmbH

03  Bernd Steinkühler und Marcel Steinkühler vom ­Sicherheitsexperten Correct Power Institute GmbH

04  Bernd und Marcel Steinkühler

04  Bernd und Marcel Steinkühler

Legen Hacker oder eine technische Störung die Server eines Unternehmens lahm, können die Ausfälle Millionenschäden verursachen. Die Firma Correct Power Institute hat eine Methode zur Überwachung von Rechenzentren entwickelt, die Fehler in der Stromversorgung schnell aufspürt und so für eine hohe Verfügbarkeit der IT-Systeme sorgt. Der Ansatz: Steuerungen von Wago erfassen sämtliche Strom- und Umgebungsdaten und spielen sie zur Analyse in die Cloud. Das gehärtete Linux-Betriebssystem des Controllers und Correct Powers ausgeklügelte Security-Architektur sorgen dabei für höchste Datensicherheit.

Ein Autohersteller in Süddeutschland: Mitten in der Frühschicht kommt plötzlich die Produktion zum Erliegen. Bänder stoppen, Roboter, die eben noch flink Teile hin- und hergereicht haben, erstarren, Fertigungsingenieure sehen auf ihren Touchscreens nur noch schwarz. Später stellt sich heraus: Cyberkriminelle haben das Rechenzentrum des Autoherstellers angegriffen und die Stromversorgung der Server gekappt. In Zeiten von Industrie 4.0, in denen die wichtigsten Prozesse über IT gesteuert werden, ein teurer Vorfall: Geschätzte 20 Mio. € Schaden muss das Unternehmen durch den Produktionsausfall verschmerzen.
Dieses Beispiel ist nur erfunden, aber nicht unrealistisch. Denn fast alle größeren Unternehmen, Banken und Versicherungen lagern ihre IT heute in Rechenzentren aus. Unentwegt verarbeiten, analysieren und speichern sie Daten, besonders in der Cloud, die große, zusätzliche IT-Kapazitäten bereitstellt. Doch die Sache hat einen Haken: Die Rechenzentren können bei geringer IT-Sicherheit leicht über das Internet angegriffen werden. Hacker nutzen diese Schwachstelle immer häufiger, um Viren einzuschleusen, Daten zu rauben oder die Stromversorgung lahmzulegen (Bild 1 und 2).
„Die Netzteile der Server sind die Achillesferse“, sagt Dipl.-Ing. Bernd Steinkühler, Geschäftsführer der Correct Power Institute GmbH, einer auf den Bau und die Überwachung von Rechenzentren spezialisierten Firma aus Bochum (Bild 3). Das Problem: Obwohl die Stromversorgung durch Normen und Vorschriften geregelt sei, würden sie häufig nicht umgesetzt. „Betreiber verlieren bei den vielen Regeln schnell den Überblick. Daher fehlt oft ein Monitoring, und Probleme werden nicht rechtzeitig erkannt“, betont B. Steinkühler. Das kann für ein Unternehmen fatale Folgen haben. Denn läuft die IT nicht rund, werden dadurch seine Leistung und Wettbewerbsfähigkeit erheblich geschmälert.

Analyse in der Azure-Cloud
Correct Power kann Abhilfe schaffen: Das Unternehmen hat ein Überwachungskonzept für Rechenzentren entwickelt, das auf maximale Stromverfügbarkeit abzielt. „Um den Anforderungen an Verfügbarkeit und Sicherheit in modernen Rechenzentren gerecht zu werden, müssen wir beim Strom stärker ins Detail gehen und die Fehlerströme detailliert erfassen und auswerten. Wir fühlen dem Strom auf den Zahn“, sagt Marcel Steinkühler, der in der Firma für Vertrieb und Marketing verantwortlich ist.
Steuerungen von Wago spielen dabei eine wesentliche Rolle. Sie sammeln die Strom- und Umgebungsdaten von bis zu 15 000 Datenpunkten pro Rechenzentrum und spielen sie zur Analyse und Archivierung in die von der Telekom-Tochter T-Systems verwaltete Azure-Cloud von Microsoft. „Hier steht uns geballte Big-Data-Intelligenz zur Verfügung. Außerdem bietet Azure ein hohes Maß an Datenkontrolle, denn mit T-Systems kontrolliert ein deutscher Datentreuhänder den Zugriff“, sagt Firmenchef B. Steinkühler.
Differenzstromwerte, die in den Serverschränken der Rechenzentren erfasst werden, bilden die Basis der Correct-Power-Analyse. Der Differenzstrom ist nach Definition die vektorielle Summe der Ströme aller aktiven Leiter an einer bestimmten Stelle einer elektrischen Anlage. Weil sich die hinein- und hinausfließenden Ströme ausgleichen sollten, ist dieser idealerweise gleich Null. „Bei Abweichungen liegt wahrscheinlich eine Störung vor und unser System schlägt Alarm“, erklärt B. Steinkühler. Gleichzeitig überwacht die Firma Umgebungswerte, wie Luftfeuchtigkeit, Temperatur und Druck. Ist es im Serverraum zu warm, bringen die empfindlichen Rechner nicht ihre volle Leistung und der Energieverbrauch steigt. In solchen Fällen wird die Temperatur automatisiert durch die Klimaanlage geregelt, und die Cloud schickt einen Warnhinweis.
Doch was leicht klingt, fußt auf einem ausgeklügelten System. Vor allem über die Datensicherheit mussten sich die Correct-Power-Spezialisten intensive Gedanken machen. „Viele marktgängige Steuerungen bieten in dieser Hinsicht nicht das, was wir brauchen“, erklärt B. Steinkühler. Denn sie basierten auf Windows und benötigten daher regelmäßige Sicherheits-Updates. „Das ist mit einem immensen Aufwand verbunden und passt nicht zu unseren hohen Security-Anforderungen.“ Correct Powers Wahl fiel daher auf die Linux-Steuerung PFC200. Security by Design – IT-Sicherheit, die von vorherein in Form einer Layer-basierten Sicherheitsarchitektur integriert ist – sorgt dafür, dass sich Datendiebe an dieser Steuerung die Zähne ausbeißen. „Das gehärtete Linux-Betriebssystem begeistert uns“, freut sich B. Steinkühler.

Herzstück der Security-Kette
Aus dem Konzept der Bochumer ist der PFC200 daher nicht mehr wegzudenken. Er überträgt selektierte Werte automatisch in definierbaren Intervallen an die Firewall des Sicherheitsunternehmens Palo Alto Networks. Die Kommunikation über das Protokoll MQTT wird dabei durch eine verschlüsselte VPN-Verbindung abgesichert. Palo Alto wertet die Informationen aus, erkennt Eindringlinge und wehrt Attacken auf die IT ab. Anschließend reicht sie die „gesäuberten“ Werte per Internet zur Auswertung an die Azure-Cloud weiter. „Durch diesen Zwischenschritt wird unsere Überwachungslösung zu einem Fort Knox der Daten“, setzt der Geschäftsführer fort.
In der Azure-Cloud empfängt die von der Wago-Tochter M&M Software entwickelte sogenannte Asset-Management-Cloud die Daten. Ein Web-Portal dient als Benutzeroberfläche, über die sich zum Beispiel einstellen lässt, welche Informationen am Ende tatsächlich in die Cloud gespielt werden oder bei welchen Messwerten Alarm ausgelöst wird. Auf einem Dashboard und in der Datenbank Correct-Power-Data-Warehousing lassen sich die Informationen in Form von Tabellen und Diagrammen übersichtlich anzeigen. „Das Gute an der Lösung ist, dass wir standortunabhängig ­Zugriff auf aktuelle und historische Daten haben“, betont B. Steinkühler.
Industrie, Banken und Versicherungen zeigen großes ­Interesse an Correct-Powers-Überwachungslösung. In 20 Rechenzentren in Europa, Asien und Australien haben die IT-Spezialisten sie bereits umgesetzt, in zehn weiteren Rechenzentren ist sie vorgesehen. Als nächstes plant Correct Power, Azure auch zur Fehlervorhersage und zur Entwicklung von neuen Betriebsführungsstrategien zu nutzen, um die Verfügbarkeit der Rechner noch zu erhöhen. „Probleme resultieren oft aus ungünstigen Korrelationen. Diese wollen wir mithilfe künstlicher Intelligenz, dem sogenannten Machine Learning, erkennen und vermeiden“, erläutert B. Steinkühler.
Experten sehen in Machine Learning und neuronalen Netzen wichtige Zukunftsthemen. Denn mit ihrer Hilfe ist es zum Beispiel möglich, Energie- und Prozessdaten für ­Predictive Maintenance, die vorausschauende Wartung zu nutzen. Produktionsanlagen werden dann nicht mehr repariert, wenn, sondern bevor sie kaputtgehen. So werden lange Ausfallzeiten und hohe Kosten vermieden. Wago kann auch diesen Schritt in Richtung Industrie 4.0 ermöglichen, denn die Controller lassen sich sehr gut als zentrale Datenmanager analoger und digitaler Informationen mit sicherem Kontakt zur Cloud einsetzen. (hz)

„Hacker fordern uns heraus“

Bernd und Marcel Steinkühler vom IT-Spezialisten Correct Power Institute über Angriffe aus dem Internet und Möglichkeiten der Abwehr.

Muss ein Unternehmen heute damit rechnen, dass Cyberkriminelle es angreifen?
Bernd Steinkühler: Wird eine Lokation wie ein Rechenzen­trum in Betrieb genommen, attackieren es Hacker statistisch gesehen spätestens nach zwei Minuten. Schaffen es die Kriminellen, die Stromversorgung zu unterbrechen, können sie das Unternehmen geschäftsunfähig machen. Oft läuft es so ab, dass Hacker über eine unbekannte Nummer anrufen und sagen: „Ihr zahlt eine Summe x oder ihr seid in fünf Minuten platt.“ Die Unternehmen zahlen dann in der Regel.

Was treibt einen Hacker an: Bank A engagiert und bezahlt ihn, um Bank B zu attackieren?
Bernd Steinkühler: Meistens beauftragen chinesische oder russische Unternehmen Hacker, um konkurrierende Firmen zu schädigen. Das ist hochprofessionell organisiert, deshalb zahlen die erpressten Unternehmen in der Regel auch, ohne groß zu überlegen. Sie wissen: Nach zehn Minuten würde man ihnen wirklich den Strom abdrehen.

Ist das wirklich so einfach?
Marcel Steinkühler: Es geht noch einfacher: Ein führender Manager verliert sein Handy im Taxi, der Taxifahrer findet und verkauft es an einen Kriminellen, und der nutzt es dann als Gateway zum Unternehmen. Das geht blitzschnell: In ein paar Minuten ist das gesamte Firmennetzwerk aufgeschlüsselt. Handys sind derzeit der Hauptangriffspunkt. In Londons ­Bankenwelt ist das derzeit die Masche.

Gehen Unternehmen zu sorglos mit ihren Daten um?
Bernd Steinkühler: Es ist ihnen nicht immer bewusst, was passieren kann. Der erste große Fehler ist, Geräte achtlos ins Internet zu setzen. Stehen sensible Architekturen dahinter, wie zum Beispiel ein Wasserwerk, kann diese Achtlosigkeit schlimme Folgen haben. Denn schalten Hacker die Pumpen ab, haben viele Tausend Menschen plötzlich kein Wasser mehr. Daher wären Penetrationstests wichtig, um herauszufinden, wo die Lücken in der Architektur liegen. Bisher gibt es diese Tests nicht durchweg. Aber allmählich setzt bei den Unternehmen ein Umdenken ein, und IT-Sicherheit gewinnt an Bedeutung. Für Banken ist es mittlerweile das Thema Nummer eins. Die ganzen Architekturen, die dort abgewickelt werden, sind IT-sicher. Wir als Dienstleister sichern die Transportwege der Daten ab, indem wir konsequent Verschlüsselung einsetzen. So gibt es keine Angriffsvektoren im freien Internet.

Wer will, kann sich also zu hundert Prozent vor Cyberangriffen schützen?
Bernd Steinkühler: Man muss ehrlich sein, Hacker fordern uns ganz schön, und es gibt keine hundertprozentige Sicherheit. Jedes System hat seine Schwachstelle, egal wie gut es aufgebaut ist. Wenn ein Unternehmen IT-Sicherheit aber großschreibt und sich hundert Mann nur um dieses Thema kümmern, dann haben es Hacker schwer. Ein einzelner hat dagegen kaum eine Verteidigungschance. Wir haben in unser System zur Überwachung von Rechenzentren viele Hindernisse eingebaut: Wir setzen Verschlüsselung und Intrusion Detection ein, das heißt, wir gucken uns auch den Verkehr in unserem geschützten Netz an. Erkennen wir dort Muster, die verdächtig sind, dann werden die Datenpakete verworfen und nicht weiter transportiert. Wir erkennen dabei auch, ob es Sicherheitslücken gibt und wo sie bestehen. Außerdem ist unsere Architektur so aufgebaut, dass nicht alle, sondern nur gewisse Server in die zu überwachende Infrastruktur eingreifen können. Mitarbeiter müssen sich über eine Zwei-Faktor-Identifizierung einloggen, und sie sehen alles nur virtuell. Sie sind niemals physikalisch auf einem Rechner. Das ist das Wesentliche: Man muss immer alles verstecken, sodass es nicht angegriffen werden kann.

Wie lange dauert es, bis ein Sicherheitskonzept steht?
Bernd Steinkühler: Unsere Architektur hat bis zur Zertifizierung durch Ernst & Young zwei Jahre gebraucht, und der Optimierungsprozess läuft stetig weiter. Wir hatten bei einem Penetrationstest von Ernst & Young beim ersten Angriff gleich 51 Findings. Wir haben zwar versucht, sie zu beseitigen, aber nach dem 13. Finding gab es keine Lösung mehr, weil einfach zu viele Löcher bestanden und diese nicht gestopft werden konnten. Wir mussten feststellen, dass zu viele Systeme im Einsatz sind, die nicht penetrationsfest sind. Deshalb haben wir die Architektur komplett umgebaut und – einfach gesagt – eine dicke Mauer herumgezogen: mit Verschlüsselung und mit Netscaler, das als Firewall und als Checkpoint funktioniert: Sämtliche Webseiten, die nach draußen gehen, werden noch einmal kontrolliert und geschützt. Unsere Sicherheitsarchitektur ist damit wie eine Burg zu sehen: Nur wenige Tore führen nach draußen. Und die werden sehr sorgfältig kontrolliert.

Sie haben Unternehmen aus verschiedenen Branchen als Kunden. Gibt es eine Sicherheitslösung, die als Blaupause für alle genutzt werden kann?
Bernd Steinkühler: Es muss immer individuell geschaut werden. Das richtige Konzept richtet sich schließlich danach, wie die Daten aus dem Rechenzentrum herauskommen sollen. Die verschiedenen Möglichkeiten muss man zusammen mit den Security-Abteilungen der Kunden erarbeiten. Außerdem gelten viele Standards und Normen. Der BSI-Grundschutz gilt als Bibel der IT-Sicherheit. Wird er berücksichtigt, hat man zumindest schon mal den Basisschutz erreicht. Der Rest sollte den individuellen Bedürfnissen angepasst werden.

Welche Rolle spielen Wago-Controller in Ihrem Sicherheitskonzept?
Bernd Steinkühler: Eine ganz entscheidende. PC-basierte Betriebssysteme müssen wöchentlich Sicherheits-Updates erhalten, sonst bieten sie nicht hinreichend IT-Security. Das Patchen entfällt bei Wago, denn die Steuerungen basieren auf einem Linux-gehärteten Betriebssystem, die Sicherheit ist hier somit quasi eingebaut. Außerdem bringen die Controller zwei Schnittstellen mit, dadurch lassen sich die Applikationsebene und die Managementebene voneinander trennen – ebenfalls ein wichtiger Sicherheitsaspekt.
Marcel Steinkühler: Man darf nicht vergessen, dass PC-­basierte Systeme auch über USB-Schnittstellen verfügen. Die sind aus Sicherheitssicht das Schlimmste, was einem passieren kann. Man muss nur einen bösen Stick reinstecken, und sofort breitet sich der Virus automatisch rasant aus. Es ist kaum zu glauben, aber bei Touristentouren durch Rechenzentren kommt das immer wieder vor: Man erhält Zutritt zu den Servern, der Serverschrank ist geöffnet und schon ist es passiert. Auch der Computerwurm Stuxnet kam über einen USB-Stick ins Netz und manipulierte weltweit Steuerungscomputer von Industrieanlagen. Mit den richtigen Sicherheits-Features ließen sich solche Probleme vermeiden.

Jetzt steht auch noch Industrie 4.0 vor der Tür.
Marcel Steinkühler: Die Gefahr durch Hacker könnte tatsächlich immens werden. Wenn wir die Rohstoffförderung, die Fabriken, die ganzen Prozesse zusammenbringen, was ja das Ziel ist, dabei aber nicht gleichzeitig auch die IT-Sicherheit ausbauen, könnten ganze Firmen zugrunde gerichtet werden. Dies ist auch der Grund, warum unsere Monitoring Applika­tionen in der Deutschen Cloud laufen. Hier ist die Sicherheit quasi durch die Architektur eingebaut.

Martin Weißmüller ist Systemberater Industrieautomation bei der Wago Kontakttechnik GmbH & Co. KG in Minden. martin.weissmueller@wago.com