IT-Sicherheitsbericht der FIZ Frankfurter Innovationszentrum Biotechnologie GmbH

Reichwein IT-Services („RITS“) betreibt u. a. die IT-Infrastruktur inkl. sämtlicher IT-Services der FIZ Frankfurter Innovationszentrum Biotechnologie GmbH. Der Sicherheitsstatus dieser IT-Services wurde am 17. Mai 2011 vom internationalen Rechenzentrumsbetreiber INTERXION ermittelt, bewertet und in einem Sicherheitsbericht dokumentiert. Der Umfang dieses Sicherheitsberichtes bilden die vorangegangene Sicherheitsüberprüfungen der „IT-Services“ der FIZ, die Bewertung der festgestellten Sicherheitsrisiken und die Beurteilung des Sicherheitsstatus. Dies schließt die Benennung möglicher Restrisiken oder Konsequenzen, sowie die Empfehlung möglicher Optimierungs- oder auch Gegenmaßnahmen mit ein.

Die Basis für diesen Sicherheitsbericht liefert das Sicherheitsaudit der RITS vom 17. Mai 2011. Die Grundlage für das Sicherheitsaudit bilden die Checklisten der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS e.V.).

Die Bewertung der Sicherheitsrisiken und die Beurteilung des Sicherheitsstatus erfolgen auf Basis folgender Sicherheitskriterien:

  1. Physische Sicherheit (Sichere Infrastruktur und Zutrittsverfahren)
  2. Technische Sicherheit (Redundante Systeme und Netzwerkverbindungen)
  3. Logische Sicherheit (Datenzugriffs-, Sicherungs- und Verschlüsselungsverfahren)

Unter Berücksichtigung folgender primären Sicherheitsaspekte: 

  1. Verfügbarkeit von Informationen

    Schutz von Informationen vor Verlust oder Nichtverfügbarkeit. Informationen müssen stets dann verfügbar sein, wenn diese benötigt werden.

  2. Vertraulichkeit von Informationen

    Schutz von Informationen vor unerlaubten oder gewaltsamen Zugriff. Informationen dürfen stets nur autorisierten Personen zugänglich sein.

  3. Integrität von Informationen

    Schutz von Informationen vor ungewolltem Missbrauch oder Manipulation. Informationen müssen stets vollständig und korrekt vorhanden sein.

Zur Bewertung der Sicherheitsrisiken und zur Beurteilung des Sicherheitsstatus wurden die ISO 27001* (Internationaler Standard für Informationssicherheit) und die TIA-942/2* (US Standard für Rechenzentren) zugrunde gelegt, sowie Teile des BDSG* (Bundesdatenschutzgesetz) und des GSHB* (Grundschutzhandbuch) des BSI (Bundesamt für Sicherheit in der Informationstechnik).

 

Das Sicherheitsaudit umfasst, angelehnt an die ISO 27001*, nachfolgend aufgeführte Kapitel:

  1. Sicherheitspolitik
  2. Organisation der Sicherheit
  3. Einstufung und Kontrolle der Werte
  4. Personelle Sicherheit
  5. Physikalische und Umgebungssicherheit
  6. Kommunikations- und Betriebsmanagement
  7. Zugriffskontrolle
  8. Entwicklung und Wartung von Informationssystemen
  9. Management des kontinuierlichen Geschäftsbetriebes
  10. Einhaltung der Verpflichtungen
  11. Frühzeitige Erkennung von Bedrohungen

 

Die IT-Services beschränken sich hierbei auf die Bereitstellung folgender Dienste:

  1. Connectivity

    Datenanbindung (bis zu 1 GBPS*) vom Gebäude der FIZ zum Hochsicherheitsrechenzentrum INTERXION.

  2. Cabinet Space

    Rechenzentrumsfläche (ab einer Höheneinheit der FIZ im Hochsicherheitsrechenzentrum der IX. Im Rahmen dessen werden als zusätzliche Dienstleistung „Hands & Eyes“ im 1st Level Support durch die RITS angeboten. Diese und andere Dienstleistungen (wie Storage*) oder Einrichtungen sind ausdrücklich nicht Bestandteil dieser Sicherheitsüberprüfung. Nach erfolgter Sicherheitsüberprüfung kann der aktuelle Sicherheitsstatus aller für die FIZ IT-Services notwendigen Flächen, Netzwerke und Systeme, auf Basis der oben genannten Sicherheitskriterien, wie folgt eingestuft werden:

    Sicherheitsbeurteilung Connectivity:

  3. Verfügbarkeit

    Die kontinuierliche Verfügbarkeit der Datenverbindungen der FIZ, innerhalb der Verfügbarkeitsgarantien (Reaktionszeiten 4 h) der SLA* (Service Level Agreement) der FIZ (Anlage zum Vertrag), ist insgesamt als gegeben anzusehen.

  4. Vertraulichkeit

    Die Vertraulichkeit der über die bereitgestellten Datenverbindungen der FIZ übertragenen Informationen ist, aufgrund der geschützten Zugriffsverfahren und der verschlüsselten Übertragungsverfahren (Kryptographischer Datentransfer), gemäß dem BDSG* und der TR-02102* des BSI, als gegeben anzusehen.

  5. Integrität

    Die Integrität der über die bereitgestellten Datenverbindungen der FIZ übertragenen Informationen ist, aufgrund der geschützten Zugriffsverfahren und der verschlüsselten Übertragungsverfahren, gemäß dem BDSG* und der TR-02102* des BSI, als gegeben anzusehen.

    Sicherheitsbeurteilung Cabinet Space:

  6. Verfügbarkeit

    Die kontinuierliche Verfügbarkeit von Flächen für Systemracks oder Höheneinheiten in Systemracks der FZ, innerhalb der Verfügbarkeitsgarantien (Reaktionszeiten 4 h) der SLA* der FIZ (Anlage Vertrag), ist insgesamt als gegeben anzusehen.

  7. Vertraulichkeit

    Die Vertraulichkeit von Informationen auf fremden Systemen auf Flächen für Systemracks oder in Systemracks der FIZ ist, aufgrund der sicheren Zutrittsverfahren nach Stufe III der EN 50133-1 (Deutscher und Europäischer Standard zur Zutrittskontrolle, auch DIN VDE 0830x), gemäß dem BDSG* und des BSI, als gegeben anzusehen.

  8. Integrität

    Die Integrität von Informationen auf fremden Systemen auf Flächen für Systemracks oder in Systemracks der FIZ ist, aufgrund der sicheren Zutrittsverfahren nach Stufe III der EN 50133-1, gemäß dem BDSG* und des BSI, als gegeben anzusehen.

Insgesamt kann der aktuelle Sicherheitsstatus als „SEHR GUT“ bewertet werden!