Worauf RZ-Verantwortliche beim Bau von Rechenzentren achten sollten

20.02.2017

Eine Zertifizierung nach ISO 27001 gehört heute zum Standard für den pro­fessionellen RZ-Betrieb. Auch Informations­sicherheits­management­systeme (ISMS) werden bereits in vielen Data­centern umgesetzt.

Selbst ein gut gelebtes ISMS reicht jedoch alleine nicht aus, um ein Rechenzentrum wirklich ausfallsicher zu betreiben. Zudem sind noch immer die Planungs­grundlagen für die IT-Sicherheit in der RZ-Infrastruktur in zu vielen Unter­nehmen ungenügend. Nicht umsonst zählen zu den häufigsten Fragen: Wie sicher ist die IT-Infrastruktur wirklich? Was muss beachtet werden, um eine sichere RZ-Infrastruktur zu bauen? Welcher echte Mehrwert ergibt sich durch ein General­unternehmen als Partner? Die Antworten können umso detaillierter ausfallen, je genauer und übersichtlicher der Sicherheits­bereich im Rechen­zentrum geplant wird.

Leider wird dabei allzu oft der Bereich Facility-Management im Datacenter nur stiefmütterlich betrachtet. Das dürfte nicht zuletzt an dem Kommunikationsproblem zwischen IT-Management und Facility-Management liegen. Und auch das ISMS berücksichtigt die RZ-Gebäudetechnik bisher nicht ausreichend. Die Planungsgrundsätze aus der EN 50600 betrachten daher erstmals umfassend alle Bereiche der RZ-Infrastruktur und bieten gleichzeitig verschiedene Schnittstellen zum ISMS. Die Grundlage für die gesamte RZ-Planung ist somit eine ausführliche Risikoanalyse. Nach EN 50600 setzt sie sich aus einer Geschäftsrisikoanalyse und einer Ereignisrisikoanalyse zusammen.

Erstere soll die Fragen beantworten, welcher Schaden entsteht, wenn der Geschäftsprozess X ausfällt, welche Prozesse mit welchen Anwendungen laufen und welche IT-Hardware dafür eingesetzt werden soll. Die Antworten darauf kann ein gutes ISMS heute schon liefern. Die Geschäftsrisikoanalyse betrachtet allerdings nicht, beziehungsweise nur in geringem Maße, die RZ-Gebäudetechnik. Dabei sind die Bedrohungspotenziale gerade in Bezug auf die physische Infrastruktur von Rechenzentren in den letzten Jahren deutlich größer geworden.

Deshalb sollte die Ereignisrisikoanalyse die Planung ergänzen. Hier werden zum Beispiel Fragen wie „welche Bedrohungspotenziale existieren“ und „wie können diese verringert werden“ beantwortet. Denn: Mögliche Gefahren für den RZ-Betrieb gibt es viele. Zum Beispiel kann ein Brand im direkten Umfeld entstehen. Vor allem bei RZ-Infrastrukturen in Bestandsgebäuden ist das fast immer zu berücksichtigen. Aber auch der Ausfall der externen Stromversorgung muss immer bedacht werden. Für eine Bewertung des Risikos wird dann jede einzelne Bedrohung bezüglich ihrer Auftrittswahrscheinlichkeit und ihrer Auswirkung bewertet.

Gerade für das resultierende Sicherheitskonzept müssen bei der Rechenzentrumsplanung und beim -bau nahezu alle Gewerke im Zusammenspiel betrachtet werden. Eine isolierte Betrachtung der IT- respektive RZ-Sicherheit birgt immer die Gefahr, dass insbesondere die Schnittstellen zwischen den Gewerken im späteren Betrieb nicht die notwendigen Sicherheitsanforderungen erfüllen. Das führt nicht nur dazu, dass die Sicherheitslücken vorhanden sind, sondern meistens auch zu deutlich überhöhten Kosten im Sicherheitskonzept.

Die Vorzüge der Planung mithilfe eines Generalunternehmens liegen hier auf der Hand: Zunächst wird der Abstimmungsaufwand deutlich reduziert, da der Generalunternehmer genau einen Verantwortlichen für die gesamte Schnittstellenkoordination stellt. Infolge des Tagesgeschäftes, bietet er die notwendige Erfahrung bei der ganzheitlichen Planung und Umsetzung. Bereits bei der Risikoanalyse im Vorfeld der Planung berät er dabei umfassend, gewerkeübergreifend und neutral. Und nicht zuletzt übernimmt der Generalunternehmer die volle Haftung für die fach- und termingerechte Auftragserfüllung.

Mehr zur DATA CENTER GROUP: hier.