Bundesamt für Sicherheit in der Informationstechnik

G 2.186 Fehlende oder unzureichende Regelungen / keine klare Abgrenzung von Verantwortlichkeiten bei Speicherlösungen

Der Einsatz zentraler Speicherlösungen bringt steigende Anforderungen an die Administration mit sich. Diese begründen sich sowohl durch eine erhöhte Komplexität moderner Speicherlösungen als auch dadurch, dass zunehmend IP -Netze und Fibre-Channel-Netze innerhalb einer Speicherlösung miteinander verschmelzen.

Hinzu kommt, dass vermehrt Storage-Virtualisierung sowie Storage-Automation eingesetzt werden. Ferner verändert sich die Architektur von Speicherlösungen, was sich auch auf die Administration und damit auf die Anforderungen an die Administratoren auswirkt.

Existieren in diesem Zusammenhang keine oder nur unzureichende Regelungen hinsichtlich der Abgrenzung von Verantwortlichkeiten, besteht die Gefahr von Fehlkonfigurationen durch unzureichende Kenntnisse. Folgende Ausprägungen sind hier häufig zu beobachten:

  • Administriert ein Netzadministrator FCoE-Switche, so erhält er möglicherweise Zugriff auf Komponenten, für deren Administration er nicht ausgebildet ist. Ein solcher Vorgang kann Fehlfunktionen oder Fehlkonfigurationen generieren, die bis hin zum Ausfall des Gesamtsystems führen können.
  • Oftmals herrscht ein Silodenken zwischen Netzadministratoren und Administratoren der Speicherlösungen. Jeder Bereich beansprucht dabei erweiterte Zugriffsrechte zunächst einmal für sich, ohne dem Kenntnisstand der jeweils anderen Mitarbeiter Beachtung zu schenken. Durch die zunehmende Verschmelzung der IP - und FC - SAN -Welten zu einem vereinten Netz (unified network) birgt dieses Silodenken jedoch Gefahren, da technische Abhängigkeiten eine engere Zusammenarbeit und Abstimmung der Administratoren untereinander bedingen.

Stand: 14. EL Stand 2014