Zertifiziert – aber wie?

Rechenzentren im Wirrwarr der Normen

| Autor / Redakteur: Joachim Faulhaber* / Ulrike Ostler

So manch einer mag denken: "Gibt es nicht schon genügend Vorschriften?" Doch laut Joachim Faulhaber von der TÜViT GmbH füllt die Euronorm 50600 wichtige Lücken.
So manch einer mag denken: "Gibt es nicht schon genügend Vorschriften?" Doch laut Joachim Faulhaber von der TÜViT GmbH füllt die Euronorm 50600 wichtige Lücken. (Bild: Boris Zerwann/ Fotolia.com)

Zertifizierungen werden für Betreiber von Rechenzentren immer wichtiger. Das zeigt auch die wachsende Zahl von Zertifizierungsanbietern am Markt. Aber welche der vielen Zertifikate machen überhaupt Sinn? Und welche Unterschiede gibt es zwischen den Zertifizierungs-Anbietern?

„Wir sind auch zertifiziert.“ Was viele Rechenzentrumsleiter stolz verkünden, sagt in seiner Pauschalität erst einmal wenig aus. Schließlich zählt nur, was genau geprüft worden ist und nach welchem Standard, beziehungsweise nach welcher Prüfvorgabe.

Was will sich ein Rechenzentrum bestätigen lassen: die Verfügbarkeit der Technik und Versorgungsstrukturen? Die Energie-Effizienz? Die Qualität der organisatorischen Prozesse? Die Qualifikationen von Mitarbeitern?

Auch die Motivation für eine Zertifizierung fällt ganz unterschiedlich aus: Während die einen möglichst einfach, schnell und billig ein Zertifikat erhalten wollen, um damit ihre Wand und ihre Webseite zu schmücken, suchen andere Unternehmen beim Aufbau eines neuen Rechenzentrums eine neutrale, kompetente Instanz. In diesem Fall will der Bauherr vor allem die Sicherheit haben, dass seine Lieferanten und Dienstleister die geltenden Regeln befolgen und die notwendigen Qualitätsstandards einhalten.

Bald eine verpflichtende Prüfung?

Wenn es um den großen Rahmen geht, also vor allem um die Prozesse und Abläufe, haben sich insbesondere ISO-Normen etabliert: zum Beispiel die Qualitäts-Management-Norm ISO 9001, die generell überprüft, ob die Prozesse eines Rechenzentrums qualitätsgesichert sind, oder spezifischer die ISO 27001 für das Management der Informationssicherheit. Da bei den Rechenzentren der Aspekt Sicherheit grundsätzlich im Fokus steht, ist die Zertifizierung nach ISO 27001 ein häufig beschrittener Weg.

Auch durch das neue IT-Sicherheitsgesetz rücken Zertifizierungen zunehmend auf die Tagesordnung von Rechenzentren. Es macht Unternehmen, die so genannte „kritische Infrastrukturen“ (KRITIS) betreiben, feste Vorgaben. Damit sind auch die Rechenzentren dieser Unternehmen mittelbar oder unmittelbar den Vorgaben des Gesetzes unterworfen. Wie diese konkret aussehen sollen, wird derzeit in den zuständigen Arbeitskreisen diskutiert.

ISO-Zertifikate reichen nicht

Die von Rechenzentren verwendeten ISO-Normen sind Management-Normen, die Absicherungsprozesse überprüfen. Was dabei außen vor bleibt, ist das sprichwörtliche Fundament von Rechenzentren, nämlich alle technischen Belange und die damit verbundene konkrete physische Sicherheit – von der Strom- und Kälteversorgung bis hin zu bautechnischen Fragestellungen. Sie sind wesentliche Faktoren für die Verfügbarkeit eines Rechenzentrums.

TSI Version 4.0 macht DIN EN 50600 prüfbar

Prüf- und Zertifizierungsstandard für Rechenzentren

TSI Version 4.0 macht DIN EN 50600 prüfbar

02.03.16 - Ab sofort ist der Kriterienkatalog „Trusted Site Infrastructure“ (TSI) des TÜV Nord in der Version 4.0 verfügbar und deckt damit alle Anforderungen der neuen europäischen Rechenzentrumsnorm EN 50600 ab. Die TÜV Informationstechnik GmbH (TÜV IT) hat die Weiterentwicklung des De-facto-Standards für die technische Prüfung von Rechenzentren und sicherheitskritischen Infrastrukturen gestern vorgestellt. lesen

Damit kommen Prüfvorgaben wie TSI (Trusted Site Infrastructure, s.o.) oder die neue europäische Norm EN 50600 ins Spiel, welche Vorgaben zur physischen Sicherheit machen. Generell gilt: Sicherheit spielt sich auf unterschiedlichen Ebenen ab, etwa auf der organisatorischen, IT-technischen und der physischen Ebene. So ist RZ-Betreibern zum Beispiel oft nicht bewusst, dass die relevanten ISO-Normen ihren Schwerpunkt auf der organisatorischen Ebene haben – im Gegensatz zu den oben genannten Prüfvorgaben und Normen mit dem Fokus auf der physischen Ebene.

Viele denken, mit einer Zertifizierung nach ISO 27001 sei alles abgedeckt, übersehen dabei jedoch, dass der Norm keine detaillierte technische Betrachtung hinterlegt ist. Auch verfügt die technische Prüfung der Infrastruktur über eine höhere Aussagekraft, denn anders als bei ISO-Prüfungen gibt es hier weniger Interpretationsspielraum: Entweder ist ein Notstromdiesel mit den richtigen Leistungsmerkmalen installiert oder nicht.

Bildlich gesprochen lassen sich die unterschiedlichen Sicherheitsebenen mit einem Haus vergleichen. ISO-Normen wie 9001 und 27001 bilden in diesem Bild das Dach des Hauses und die technische Prüfungen wie zum Beispiel TSI das Fundament. Daneben gibt es noch die so genannten „Common Criteria“ – auch beschrieben in ISO 15408 –, welche den Baukörper (ein Geschoss des Hauses) betreffen, um im Bild zu bleiben.

"Das Haus der Sicherheit" zeigt die Notwendigkeit der Absicherung auf verschiedenen Ebenen. sowie die für Rechenzentren relevante Normen.
"Das Haus der Sicherheit" zeigt die Notwendigkeit der Absicherung auf verschiedenen Ebenen. sowie die für Rechenzentren relevante Normen. (Bild: TÜViT GmbH)

Doch kommen RZ-Betreiber mit diesen Prüfungen kaum in Berührung, denn Common Criteria/ISO 15408 betreffen unter anderem Betriebssysteme, Firewalls, Verschlüsselungssoftware oder – Hardware. Hier müssen vielmehr die Hersteller dieser Produkte dafür sorgen, dass die jeweiligen Installationen sicherheitstechnisch sauber sind. Ein RZ-Betreiber muss höchstens überprüfen, ob die eingesetzten Komponenten zertifiziert sind – etwa, wenn Behörden oder vertragliche Regelungen dies fordern.

Die Zahl der in Deutschland betriebenen Rechenzentren, die nach TSI oder nach anderen, auf die physische Sicherheit ausgerichtete Kriterienkataloge zertifiziert sind, steigt derzeit stark an, denn der Nutzen umfasst mehrere harte wie weiche Faktoren:

  • Unternehmen erhalten Sicherheit bei der Planungsvergabe neuer Rechenzentren, vor allem wenn die Zertifizierung zum Ausschreibungsbestandteil wird.
  • Das Zertifikat dient als Vertrauensnachweis für eine bessere Marktpositionierung.
  • Die Qualität der eigenen Projektsteuerung wird gesichert und verbessert.
  • Das Vertrauen vonseiten überwachender Institutionen festigt sich.
  • Die Zertifizierung dient als Nachweis für die Innenrevision und Wirtschaftsprüfer.
  • IT-Sicherheitsgesetz bringt Bewegung.

In der jüngsten Zeit fragen auch KRITIS-Unternehmen – Gesundheits-, Wasser- oder Energieversorger zum Beispiel – verstärkt nach der Zertifizierung der physischen Sicherheit ihrer Rechenzentren, da sie sich wegen des IT-Sicherheitsgesetzes an zusätzliche Auflagen halten müssen. Im Bankenbereich gehören TSI-Zertifizierungen mittlerweile fast zur Grundausstattung, da sie unter strenger Aufsicht stehen und mit der TSI-Zertifizierung einen entsprechenden Nachweis zur Verlässlichkeit ihrer Rechenzentren führen.

IT-Sicherheitsgesetz zieht im Datacenter die Schrauben an

Vor der Einführung von BSI-KritisV

IT-Sicherheitsgesetz zieht im Datacenter die Schrauben an

13.05.16 - Noch in diesem Mai soll das neue Bundesgesetz zur IT-Sicherheit eingeführt werden. Was kommt auf die Betreiber von Rechenzentren zu? Welche Auswirkungen wird die neue Verordnung auf den Standort Deutschland haben. Wir sprachen mit Matthias Zacher, Senior Consultant bei IDC in Frankfurt. lesen

Wie viel zusätzliche Dynamik die europäische RZ-Norm EN 50600 erzeugen wird, ist noch nicht absehbar. Derzeit führt diese Norm offenbar schon zu einem größeren Zertifizierungsangebot, obschon sie mehr als Leitfaden und nicht als Prüfvorgabe konzipiert ist. Ihr fehlen ein Prüf- und Zertifizierungsschema.

Das nahm TÜViT zum Anlass, den TSI-Kriterienkatalog so zu überarbeiten, dass die neue Version 4.0 die EN 50600 komplett abdeckt. Auf Basis der aktuell vorliegenden Nachfragezahlen geht das Unternehmen davon aus, dass die Zahl der TSI-Zertifizierungen auch dank der EN 50600 pro Jahr im zweistelligen Prozentbereich steigen wird.

DIN EN 50600: Die neue Norm für Rechenzentren

Datacenter-Standard mit Spielraum

DIN EN 50600: Die neue Norm für Rechenzentren

16.02.16 - Worauf ist bei der Einrichtung oder Auswahl eines Rechenzentrums zu achten? Und: Welche Kriterien helfen bei der Entscheidungsfindung? Bisher war es schwierig, diese Fragen klar zu beantworten. Das ist jetzt grundlegend vereinfacht – mit der europäischen Norm DIN EN 50600. lesen

Immer mehr Anbieter

Dementsprechend drängen immer mehr Zertifizierungsanbieter in den Markt. War es zunächst nur das TÜV NORD-Unternehmen TÜViT, das mit TSI den Markt besetzte und noch immer die größten Marktanteile hat, bieten heute auch andere Institutionen Dienstleistung in dieser Richtung an.

Die neue Anbietervielfalt gibt den Unternehmen und RZ-Betreibern natürlich ein Mehr an Optionen, stellt ihn aber bei der Auswahl zugleich vor Schwierigkeiten, denn jeder Anbieter ist mit seiner eigenen Prüf- und Bewertungsgrundlage unterwegs. Somit sind die angebotenen Zertifikate nur zum Teil oder gar nicht miteinander vergleichbar. Deshalb empfiehlt es sich für Unternehmen genau hinzuschauen, auf welcher Grundlage die jeweiligen Prüfkataloge entstanden sind, was sie im Detail abdecken und wie vollständig sie bestimmte Normen repräsentieren können.

„Echte“ Tier-Zertifizierung von Uptime auch für EU-Kunden

Konkurrenz für TÜV & Co.: das Uptime Institute

„Echte“ Tier-Zertifizierung von Uptime auch für EU-Kunden

01.07.16 - Das US-Beratungs-, Schulungs- und Zertifizierungsunternehmen The Uptime Institute expandiert in Europa. So will man mehr europäische und insbesondere deutsche Rechenzentrumskunden von den eigenen Angeboten überzeugen. Mit dem Brexit hatte man allerdings nicht gerechnet, als das EMEA-Hauptquartier nach London gelegt wurde. lesen

Darüber hinaus gilt es zu prüfen, über wie viele Prüfressourcen ein Anbieter verfügt und welche Kompetenzen diese aufweisen. So ist zum Beispiel Vorsicht geboten, wenn die Prüfung nur durch eine Person erfolgen soll. Denn da ein Rechenzentrum aus vielen unterschiedlichen Gewerken besteht, sollten auch die Ressourcen eines Anbieters möglichst alle Gewerke mit Spezialisten abdecken können, etwa für die Energie- und, Kälteversorgung, Brandschutz- und Sicherheitstechnik, die Beurteilung von Umgebungsgefährdungen und der Baukonstruktion. Je mehr Sachverstand ein Anbieter bei der Zertifizierung hinzuzieht und je routinierter die Prüfung durch jahrelange Erfahrung erfolgt, umso aussagekräftiger ist das am Ende verliehene Zertifikat.

Nicht zuletzt sollten RZ-Verantwortliche klären: Inwieweit folgt der Zertifizierer selbst anerkannten Vorgehensweisen und Regeln? Hat er seine Zertifizierungstätigkeiten zum Beispiel nach ISO 17065 ausgerichtet? Diese Norm soll garantieren, dass die Qualifikation und Unabhängigkeit der Prüfer, die Abwicklung oder der Umfang eines solchen Projektes die entsprechenden Vorgaben erfüllt.

Joachim Faulhaber ist stellvertretender Bereichsleiter IT Infrastructure bei der TÜV Informationstechnik GmbH (TÜViT) in Essen.
Joachim Faulhaber ist stellvertretender Bereichsleiter IT Infrastructure bei der TÜV Informationstechnik GmbH (TÜViT) in Essen. (Bild: TÜViT GmbH)

Bedeutung von Rechenzentren steigt

Rechenzentren spielen eine Schlüsselrolle bei den derzeitigen Umwälzungen in IT und Wirtschaft: Cloud, Digitalisierung, Internet der Dinge oder Industrie 4.0. Dies lässt die Bedeutung von RZ-Zertifizierungen weiter steigen. Dabei gilt: Gerade die Prüfung der physischen Belange ist eine Bewertung der Realisierungen und Installationen mit den zugrundeliegenden Konzepten.

Hierbei identifizierte Schwachstellen bedeuten Korrekturen, die aufwändig sein können. Eine frühzeitige Ausrichtung auf die EN 50600, oder spezieller auf die Prüfvorgabe TSI, schon beim Bau, Umbau oder Ertüchtigung eines Rechenzentrums ist deshalb geboten.

Hinweis: Die TÜViT GmbH (TÜV Nord) ist nominiert für den IT-Award in der Kategorie d. RZ-Planer & Auditoren. Per Online-Abstimmung können die Leser von DataCenter-Insider für das Unternehmen stimmen oder auch für ein anderes, das nominiert ist.

* Joachim Faulhaber ist stellvertretender Bereichsleiter IT Infrastructure bei der TÜV Informationstechnik GmbH (TÜViT) in Essen.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44175052 / Services)