Vom überschwemmungssicheren Standort bis hin zur TÜV-geprüften Zugangskontrolle – erfahren Sie in diesem Gastbeitrag von Martin Pollehn, Leiter der QSC AG, welche Sicherheitskriterien Datacenter erfüllen müssen.

Unternehmen sind auf eine leistungsstarke IT angewiesen, die sämtliche Geschäftsprozesse optimal unterstützt. Der technologische Wandel und ein verschärfter Wettbewerb in allen Branchen erfordern eine regelmäßige Anpassung der Infrastruktur. Nicht alle Unternehmen aber sind willens oder in der Lage, die dafür benötigten technischen, finanziellen und personellen Ressourcen vor Ort bereitzuhalten. Permanent eine hohe Performance, Verfügbarkeit und Sicherheit zu gewährleisten sind anspruchsvolle Vorgaben, die nicht jede Organisation mit eigenen Mitteln problemlos erfüllen kann. Einige haben daher zumindest Teile und manchmal auch die komplette IT an einen Rechenzentrumsdienstleister ausgelagert. Bei solch einem Vorgehen gilt es, zentrale Kriterien zu den Bereichen physische Sicherheit, Verfügbarkeit und Zukunftsfähigkeit zu überprüfen, die ein Rechenzentrumsbetreiber erfüllen muss.

Physische IT-Sicherheit und Datenschutz im Rechenzentrum

Ein wichtiger Aspekt der physischen Sicherheit eines Rechenzentrums ist dessen Standort. Hier geht es etwa um die Vermeidung von Gefahren durch sogenannte Elementarrisiken wie Wasser oder Blitzeinschlag. Falls ein Unternehmen selbst ein neues Rechenzentrum plant, müssen lokale Gegebenheiten wie potenzielle Überschwemmungsgebiete oder eine Gefährdung durch Erdbeben berücksichtigt werden.

Damit die hohen physischen und organisatorischen Sicherheitsvorgaben optimal implementiert werden können, werden Rechenzentren fast immer in einem Gewerbegebiet untergebracht. Hier lässt sich einfacher etwa als in einer Innenstadtlage eine durchgängige Videoüberwachung eines umzäunten Gebäudes organisieren. Statt die gesamte Rechenzentrumsinfrastruktur oberirdisch unterzubringen, sind einige Rechenzentrumsanbieter, und Unternehmen, dazu übergegangen die Server, Netzwerkkomponenten und Speichersysteme im Untergeschoss eines Gebäudes unterzubringen, was für eine zusätzliche physische Sicherheit sorgt.

Zugangskontrolle und Datenschutz

Für die organisatorische Sicherheit ist die personenbezogene Zutrittskontrolle am Eingang des Rechenzentrumsgebäudes erforderlich. Die Mitarbeiter erhalten dazu eine auf ihre Aufgaben und Zuständigkeiten zugeschnittene Ausweiskarte. Am Eingang des eigentlichen Serverraums sollte eine zweite Zugangskontrolle erfolgen, beispielsweise durch ein biometrisches Verfahren oder eine PIN-Eingabe. Die Kombination aus physischer Zugangskontrolle mit einer Ausweiskarte und einer logischen Zugangskontrolle über PIN ermöglicht eine sichere Zwei-Faktor-Authentifizierung. Um eine permanent hohe Sicherheit gewährleisten zu können, müssen Rechenzentren regelmäßige Securitytests durchführen und dafür sorgen, dass sich die Sicherheitsspezialisten und die anderen Betriebsmitarbeiter permanent weiterbilden.

Bei externen IT-Dienstleistern – und vielfach auch bei einem unternehmenseigenen Rechenzentrum vor Ort – ist eine Rund-um-die-Uhr-Datenverfügbarkeit erforderlich. Um dies sicherzustellen, sind flankierende Maßnahmen wie hochleistungsfähige Backup- und Recovery-Verfahren für Crash-Szenarien sowie Brandschutzmaßnahmen nach dem aktuellen Standard der Technik erforderlich. Ohne einen zuverlässigen und wirksamen Brandschutz ist kein sicherer Betrieb eines Rechenzentrums möglich.

Zertifizierungen und Auditierungen

Bei der Auswahl eines Rechenzentrumsbetreibers spielen Sicherheitszertifikate und Auditierungen eine wichtige Rolle. Durchgeführt werden sie beispielsweise vom TÜV, der unter anderem prüft, ob für ein geplantes Rechenzentrum potenzielle Risiken zum Beispiel durch naheliegende Tankstellen vorliegen oder sich das Areal in der Einflugschneise eines Flughafens befindet. Ferner sollte das Gelände, auf dem sich das Rechenzentrum befindet, umzäunt und rund um die Uhr durch Videokameras überwacht sein.

Im Hinblick auf die physische Infrastruktur eines Rechenzentrums prüft der TÜV unter anderem die baulichen Aspekte, die Energieversorgungs- und Kühlungssysteme sowie die Sicherheitssysteme auf ihre Eignung und ihre ordnungsgemäßen Funktionen. Zu den Sicherheitssystemen zählen auch Zugangskontrolle, die Einbruchmelde- sowie die Brandmelde- und Brandlöschanlage. Der TÜV-TSI-Prüfkatalog enthält dafür eine sehr umfangreiche Liste mit Anforderungen an die physische Infrastruktur.

Mit Hilfe von Zertifikaten wie ISO 27001 wie sie der TÜV oder andere Auditoren vornehmen, können Rechenzentrumsbetreiber belegen, dass ihre Infrastruktur hohen Sicherheitsstandards genügt. ISO/IEC 27001 unterstützt den Aufbau von Prozessen und den Betrieb eines Sicherheits-Management-Systems. Die Abläufe orientieren sich am Modell der stetigen Verbesserung und arbeiten in den vier bekannten Schritten Plan, Do, Check, Act, die vom Qualitätsmanagement der ISO-9001-Norm her bekannt sind.

Im Rahmen der Sicherheitsprüfungen von Rechenzentren untersucht der TÜV beispielsweise auch, ob die Mitarbeiter die aktuellen datenschutzrechtlichen Vorschriften und deren Auswirkungen bezüglich der Auftrags-Datenverarbeitung kennen und im Alltag entsprechend handeln.

Eine weitere Zertifizierung, die vom TÜV Informationstechnik vorgenommen wird befasst sich mit der Einordnung von Rechenzentren in vier aufeinander aufbauenden Verfügbarkeitsklassen. Das Level 1 bildet einen mittleren Schutzbedarf und entspricht den Anforderungen der BSI-Grundschutz-Kataloge auf der Infrastrukturebene. Das Level 2 bewertet die Standortwahl und das Sicherheitskonzept. Dazu gehört beispielsweise auch, dass eine sekundäre Energieversorgung sichergestellt ist. Das Level 3 erfordert vollständige Redundanzen der kritischen Versorgungssysteme und es dürfen keine Single-Point-of-Failures vorhanden sein. Das Level 4 sieht vor, dass ein Gebäude ausschließlich für den Rechenzentrumsbetrieb genutzt wird und es werden höchste Anforderungen an die Zutritts- und Gebäudesicherung gestellt. Die höchste Stufe der Verfügbarkeitsklassen wird in Deutschland nur sehr selten nachgefragt. Der Schwerpunkt liegt auf dem Level 3.

Ein Rechenzentrum nach Maß

Wo Unternehmen auch weiterhin eigene Rechenzentren betreiben wollen, interessieren sie sich bei der Planung und Errichtung zunehmend für einen modularen Ansatz. Wichtige Entscheidungskriterien dabei sind Flexibilität, Ausbaufähigkeit und niedrigere Betriebskosten. Charakteristisch für modulare Rechenzentren sind vorkonfigurierte Infrastrukturkomponenten, die Verbesserungen vor allem in den Bereichen Energieverteilung, Klimatisierung und Notstromversorgung bringen. Optimal aufeinander abgestimmte Komponenten sorgen dafür, dass sich die IT-Infrastruktur in einem Rechenzentrum mit einer deutlich besseren Energieeffizienz betreiben lässt.

Eine Ermittlung der Kosten und der Verbrauchswerte in Rechenzentren haben ergeben, dass sich durch den Einsatz technisch aktueller Bausteine und Komponenten für Energieversorgung und Klimatisierung der Stromverbrauch um bis zu 40 Prozent gegenüber einem traditionellen Rechenzentrum senken lässt. Auch die Wartungskosten sinken spürbar. Setzen Unternehmen eine indirekte freie Adiabatik-Kühlung (Verdunstungskühlung) ein, die eine hohe Effizienz ermöglicht, lässt sich bei beispielsweise bei einer durchschnittlichen Leistungsdichte von etwa 2.000 Watt pro Quadratmeter – das entspricht 5kW pro Rack – schon nach sechs bis sieben Jahren ein Return on Investment aufgrund eingesparter Energiekosten erzielen. Mit einem modularen Konzept kann bereits ab einer Fläche von 30 Quadratmetern ein Rechenzentrum für ein mittelständisches Unternehmen entstehen, wobei auch hier die grundlegenden Anforderungen an ein Rechenzentrum bezüglich Performance, Sicherheit und Verfügbarkeit sichergestellt werden können.

Bildquelle Header: QSC

Dieser Beitrag wurde verfasst von Martin Pollehn. Er ist Leiter Infrastruktur bei der QSC AG in Köln.