Physische plus IT-geschützte Datensicherheit Ein deutsches Tier-3-Datacenter in Zeiten von EU-DSGVO und US-Cloud Act

Die DSGVO hat auch deutsche Unternehmen empfindlich getroffen. Bei ihren Prozessen hängen oftmals externe Datenzentren mit in der Verarbeitungskette. Insider-Einblicke legen offen, wie und wo Daten in einem Datacenter der neuen Generation verarbeitet werden und wie die Sicherheit vor Datenverlust oder -diebstahl gewährleistet wird. Denn auch aus den USA droht mit dem US Cloud Act Ungemach.

Anbieter zum Thema

Rosenberger-OSI GmbH & Co. OHG

DataCore Software GmbH

maincubes Holding & Service GmbH

Comarch Software und Beratung AG

Die Datacenter-Branche bietet heute Anlagen für die Datenverarbeitung und -speicherung, die Unternehmen eine Alternative zum Ausbau eigener IT-Infrastruktur bieten. Denn: Planung und Bau von Rechenzentren sind komplexe, langwierige Prozesse mit hohem Investitionsbedarf. Für zahlreiche Unternehmen ist es kostengünstiger, auf die Dienstleistungen eines professionellen Rechenzentrumsbetreibers zurückzugreifen.

In Dresden betreibt Comarch ein eigenes Datacenter, das 2013 gemäß TIA-942 Rated-3-/Tier-3-Standard aufgebaut wurde (siehe auch „About Datacenters“.

Übersicht über die Tier-Standards

Tier I

• Begrenzter Schutz gegen physikalische Ereignisse

• Keine Redundanzen

• 99.671 Prozent Verfügbarkeit

• 1.729 Minuten maximale Downtime im Jahr

Tier II

• Verbesserter Schutz gegen physikalische Ereignisse

• Redundante Kapazitätskomponenten und ein einzelner, nicht redundanten Verteilungspfad

• Teilweise Redundanzen bei Stromversorgung und Kühlung

• 99.741 Prozent Verfügbarkeit

• 1.361 Minuten maximale Downtime im Jahr

Tier III

• Schutz gegen die meisten physikalischen Ereignisse

• Redundante Kapazitätskomponenten und mehrere unabhängige Verteilungspfade

• N+1 Fehlertoleranz

• 72 Stunden Schutz vor Stromausfall

• 99.982 Prozent Verfügbarkeit

• 95 Minuten maximale Downtime im Jahr

Tier IV

• Schutz gegen fast alle physikalischen Ereignisse

• Redundante Kapazitätskomponenten und mehrere unabhängige Verteilungspfade, die alle aktiv sind

• 2N+1 komplett redundant

• 96 Stunden Schutz vor Stromausfall

• 99.995 Prozent Verfügbarkeit

• 26 Minuten maximale Downtime im Jahr

Die Datenverarbeitung erfolgt hier in Deutschland gemäß der europäischen Datenschutzrichtlinien. Um Datenverluste auszuschließen, wird eine regelmäßige Datensicherung unter Berücksichtigung aller rechtlichen Vorgaben und Best Practices sowie strengsten Vorgaben von Kunden durchgeführt. Hier werden so namhafte Comarch-ICT-Kunden aus Deutschland wie Idealo, Metro, Esselte, E-Plus, Schnellecke, Silkes Weinkeller von Burda Direct betreut und alle Daten gehostet.

Die Comarch-Rechenzentren

Seit 2013 können aus dem neu gebauten Comarch-Rechenzentrum in Dresden die Comarch Cloud Produkte ebenso wie IT-Services von Comarch mit hohen Ansprüchen an Verfügbarkeit, Sicherheit, Performance und Skalierbarkeit bezogen werden. Auf zwei Stockwerken und rund 320 Quadratmeter Nutzungsfläche verteilt, bietet jedes der beiden Comarch Datacenter Platz für zirka 60 Server-Schränke und kann damit etwa 2.500 Höheneinheiten für physische Server-Systeme fassen.

Das Rechenzentrum in Dresden entspricht dem Tier-3-Standard und ist eines der sichersten Rechenzentren der Region Dresden und Mitteldeutschland. Das neue Comarch Datacenter ist bereits das zweite Rechenzentrum, aus welchem heraus Comarch in Deutschland Services anbietet (Berlin und Dresden). Insgesamt verfügt Comarch über 15 Rechenzentren weltweit. Das neueste Rechenzentrum in Frankreich befindet sich in Lille.

Um die hohen Sicherheitsstandards zu gewährleisten, wurden zwei Trafostationen und Verteilereinheiten für einen ausfallsicheren Betrieb installiert. Sollte das öffentliche Stromnetz einmal ausfallen, stehen Batterien (so genannte USVs) für 15 Minuten (unter voller Rechenzentrumslast) zur Aufrechterhaltung der Versorgungssicherheit zur Verfügung. Dies ist eine sichere Zeitspanne für den Stromgenerator, um automatisch zu starten.

Diesel, Kaltwassersätze und Löschgas

Ein neun Tonnen schweres Dieselaggregat, welches auf dem Dach des Neubaus installiert ist, stellt sicher, dass die Server auch längere Stromausfälle unbeschadet überstehen. Mit einem 20.000 Liter umfassenden Dieseltank und einem externen Tankanschluss werden sogar Tier-4-Anforderungen hinsichtlich Notstrom erfüllt.

Um die Rechenzentren, trotz hoher Wärmeabgabe der Serversysteme, auf einer gleichmäßig niedrigen Temperatur zu halten, wurden ebenfalls zwei Kaltwassersätze mit einer Kühlleistung von je 550 Kilowatt installiert, die vier Kaltwasserspeicher mit insgesamt 24.000 Liter Wasservolumen kühlen. Beim unwahrscheinlichen Fall einer Rauchentwicklung innerhalb eines Rechenzentrums detektieren Rauchmelder die Gefahrenstellen und fluten den Rechenraum mit einem ungiftigen Löschgas (Inergen), das eine mögliche Brandentwicklung verhindert.

Sechs Stufen Sicherheit

Das Datacenter in Dresden verfügt über ein mehrstufige Sicherheit nach internationalen Standards: Erster Punkt ist die physische Sicherheit. Wirklich sichere Rechenzentrumsgebäude werden 24/7/365 überwacht und verfügen über eine ausgewiesene Sicherheitszone inklusive Kontrolle des Mitarbeiterzutritts zu jeder Zone sowie eine ICT-Sicherheitsschicht und eine Umgebungssicherheit.

An zweiter Stelle steht eine redundante Stromversorgung. Das Datacenter wird durch Mehrfach-Stromversorgung abgesichert, zum Beispiel -N +1-Generatoren und ein USV-System.

Hinzu kommt die Umgebungssicherheit. Das vollklimatisierte Rechenzentrum ist in mehrere Brandzonen eingeteilt. Umfangreiche Schutzfunktionen sichern das Data Center gegenüber Feuer und eindringendem Wasser. Das Brandschutzsystem basiert auf Inergen und FM200.

Software für die Sicherheit

Daneben besteht eine Sicherung durch Backup und Archivierung. Die Rechenzentren von Comarch bieten modernste Schutzeinrichtungen gegen virtuelle Zutritte. Daten werden über verschlüsselte Kanäle versandt und sind innerhalb des Rechenzentrums durch eine mehrfach redundant ausgelegte Infrastruktur gesichert, beispielsweise durch Shared Storages oder Shared Backup Systeme.

Abschließend spielt das Monitoring eine wichtige Rolle, im Falle vom Datacenter Dresden erfolgt die technische Überwachung per „Comarch Network Operations Center“ sowie Security Operations Center (NOC und SOC). Ein Team aus Ingenieuren und Spezialisten aus unterschiedlichen IT-Fachgebieten überwacht den Betrieb der ihnen übertragenen Systeme und Geräte, bearbeitet Vorfälle entsprechend den ITIL-Best-Practice-Regeln und ist auch für die Termintreue der zu erbringenden Leistungen und deren Koordinierung sowie das Berichtswesen verantwortlich.

Als zugeschaltete Ebenen kann nun noch eine Absicherung über Disaster Recovery Service hinzu geschaltet werden.

Für den Fall der Fälle: Disaster Recovery Service

So gibt es die Möglichkeit, durch Rückgriff auf Disaster Recovery Service höchstmöglichen Schutz gegen Datenverlust sicherzustellen. In einem aktuellen Projekt entschied sich ein großes Unternehmen aus Deutschland für die moderne Warenwirtschaftslösung „Comarch ERP Enterprise“ und führte diese 2018 deutschlandweit an. Die Lösung wird im Comarch Datacenter Dresden gehostet.

Zudem wurde ein Disaster Recovery Service im Comarch-Datacenter Berlin eingerichtet. Comarchs Leistungen umfassen auch den Mailserver und das Backup. Diesen Disaster Recovery Service stellt Comarch im Comarch Data Center Berlin bereit.

Für den unwahrscheinlichen Fall, dass die Verbindung, die Infrastruktur oder die Software im Comarch Datacenter Dresden aufgrund unvorhersehbarer Ereignisse ausfallen sollten, wird manuell nach Berlin umgeschaltet, so dass das Unternehmen absolut unterbrechungsfrei von dort weiterarbeiten kann. So ist sichergestellt, dass keinerlei Datenverlust in der Datenbank entsteht.

Regelmäßige Audits

Datacenter sind darauf ausgelegt, den hohen Anforderungen an Informationszugang und -sicherheit zu genügen und werden entsprechend überprüft. Regelmäßige Checks, durch unabhängige Prüfgesellschaften und die Kunden der Datacenter-Dienstleistungen selbst, bestätigen in regelmäßigen Abständen, dass rechtliche und branchenspezifische Standards für Rechenzentren eingehalten werden, das heißt: Tier3 TIA -942, ISO 27000, ISAE3402, ITIL v3. Darunter fallen etwa physische Sicherheit (Umgebungssicherheit, ICT-Sicherheitsschicht) und garantierte Servicequalität (SLA).

DSGVO & Co: Physischer und ideeller Schutz müssen Hand in Hand gehen

Der physische Schutz der Daten ist die eine Seite der Medaille, die andere ist die Einhaltung aller wichtigen Regularien, darunter aller Datenschutzrichtlinien. Die Neuerungen der EU-Datenschutzgrundverordnung (DSGVO) betreffen unter anderem den Umfang von Verpflichtungen und Verantwortlichkeiten hinsichtlich des Schutzes personenbezogener Daten. Verbindlich ist die neue Verordnung für Unternehmen sowie für Daten-Controller (auch Datenverantwortliche genannt) und jene, die ihren Anweisungen unterstehen – wie Anbieter für Cloud-Computing-Dienste.

Insofern ist es für Nutzer eines Data Centers essentiell, absolute Transparenz im Unternehmen herzustellen und auch mit den Cloud-Dienstleisters entsprechende Verträge zu unterzeichnen: Welche Daten sind an welchen Stellen gespeichert, wie lässt sich dies nachweisen und auf Wunsch die Datenlöschung umsetzen?

• Personenbezogene Daten nur zweckgebunden verwalten und auf diese Daten nur denjenigen Personen Zugriff gestatten, die für die Durchführung des Zweckes verantwortlich sind Änderung von personenbezogenen Daten protokollieren

• Weitergabe von personenbezogenen Daten beschränken

• Weitergabe (Exporte aus dem ERP-System) von personenbezogenen Daten protokollieren

• Zugriff auf personenbezogene Daten beschränken

• Nachweis über gespeicherte Daten einer Person erbringen

• Löschen von personenbezogenen Daten ermöglichen

Dabei sind personenbezogene Daten alle Information, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Davon sind alle Unternehmen im Rechtsraum der EU betroffen, selbst wenn sie weniger als 250 Mitarbeiter beschäftigen.

Andere Länder, andere Sitten und Verordnungen?

Mit dem Standort in Deutschland ist das Comarch Datacenter den strengen rechtlichen Anforderungen von Bundes- und EU-Recht unterworfen. Europäische Datenschutzrichtlinien und nationale Gesetze stellen weltweit eines der höchsten Schutzniveaus für private Daten sicher.

Zurecht verlangen die Endverbraucher die Sicherstellung dieses Niveaus. Speicherorte von Vertragspartnern außerhalb der Europäischen Union, etwa in den Vereinigten Staaten, können diese Richtlinien und Gesetze verletzen, da sie von den gesetzlichen Vorschriften her nicht verpflichtet sind, diese einzuhalten. Umgekehrt bieten durchaus Europäische Konzerne in den Vereinigten Staaten Speicherorte für private Daten nach Europäischen Datenschutzgesetzen und Richtlinien an.

Laut DSGVO sind zwar alle Anbieter von Dienstleistungen dieser EU-Regelung unterworfen, jedoch ist eine Sicherstellung vor Ort auf der anderen Seite des Kontinents nicht ohne weiteres möglich. Daher ist es immer empfehlenswert, einen europäischen Konzern bei der Auswahl des Cloud Anbieters in Betracht zu ziehen, idealerweise, wenn er einen Speicherort innerhalb der EU anbietet. Darüber hinaus sollte der Anbieter vertraglich darauf verpflichtet werden, die EU-Richtlinien anzuwenden, insbesondere dann, wenn der Speicherort außerhalb des EU-Gebiets liegt.

Cloud Act contra DSGVO

Gerade bei US-amerikanischen Anbietern müssen deren Kunden eine wichtige Sache beachten: Der US Cloud Act steht der EU-DSGVO gegensätzlich gegenüber. „Cloud“ steht bei diesem Gesetz als Abkürzung für „Clarifying Lawful Overseas Use of Data“.

Betreiben US-Firmen eigene Rechenzentren in Deutschland oder im Rechtsraum der EU, so sind sie seit März 2018 durch dieses Gesetz zur Kooperation mit US-Ermittlungsbehörden verpflichtet. Auf Nummer sicher können deutsche Unternehmen also nur gehen, wählen sie einen deutschen oder europäischen Datacenter-Anbieter.

Gibt es generell eine DSGVO-Zertifizierung?

Obwohl das Datacenter also alle rechtlichen Anforderungen erfüllt, kann es sich dennoch nicht mit einer DSGVO-Zertifizierung schmücken. Aber dies kann kein Anbieter. Insofern sollte man Versprechungen wie „DSGVO-zertifiziertes Datacenter“ äußerst skeptisch gegenüberstehen.

Es gab eine solche Zertifizierung bei Inkrafttreten der DSGVO noch nicht, da den Zertifizierungsstellen beziehungsweise zuständigen Aufsichtsbehörde noch keine Kriterien vorlagen. Der Europäische Datenschutzausschuss und die nationalen Aufsichtsbehörden arbeiten derzeit an diesen Kriterien.

Ergänzendes zum Thema

Über Comarch und Comarch ICT

Comarch bietet ERP-, CRM & Marketing-, BI-, EDI-, ECM-, ICT-, Financials- und Cloud-Systeme für den Mittelstand, größere Unternehmen, kleine Betriebe, Banken & Versicherungen, Telekommunikation sowie Healthcare an. Das bedeutet mehr als 5.600 Mitarbeiter.

Comarch ICT verbindet als IT-Fachleute mit langjähriger Erfahrung im ICT-Bereich und geeigneten technologischen Ressourcen. Dazu gehören Infrastruktur, Cloud Services, Hosting- und Outsourcing-Services. Darüber hinaus pflegt die Comarch Group weltweit Partnerschaften zu verschieden Hardware- und Softwareherstellern und hält entsprechend hohe Zertifizierungs- und Spezialisierungsgrade. Dazu gehört auch der umfassende Managed Service für „IBM iPower Systems“ runden den Service ab.

* Dipl.-Ing. Jędrzej Jastrzębowski ist Datacenter Manager bei Comarch.

(ID:46004770)