Sicher ist sicher Sicherheitszertifizierungen und Schutzklassen für Rechenzentren

Anbieter zum Thema

VON ZUR MÜHLEN'SCHE GmbH

Data Center Group – Büro Köln

EPS Rechenzentrum Infrastruktur GmbH

Wie sicher ein Rechenzentrum insgesamt ist, lässt sich anhand vorliegender Sicherheitszertifizierungen beurteilen. Schutzklassen kennzeichnen dagegen die Sicherheit einzelner Datacenter-Bereiche.

Gerade Cloud-Rechenzentren sollten ihre Qualität durch entsprechende Zertifizierungen belegen können. Nur so können Anwender sicher sein, ihre Daten und Applikationen einem vertrauenswürdigen Anbieter anzuvertrauen.

Das gilt besonders für die Sicherheit; denn Verluste an Daten, ob nun wegen Software- oder physischen Zwischenfällen, können empfindliche Auswirkungen auch finanzieller Art haben.

Die Rolle von DIN EN 50600 und ISO/IEC 22237

Doch welche Zertifizierungen im Sicherheitsbereich gibt es überhaupt für Rechenzentren? Für europäische Rechenzentren, insbesondere solche, die externe Kunden ansprechen, war in den vergangenen Jahren DIN EN 50600 ausschlaggebend.

Diese wurde 2018 unverändert in die Technische Spezifikation ISO/IEC TS 22237 umgesetzt, welche nun Schritt für Schritt zu einer entsprechenden Norm weiterentwickelt wird. 2023 sollen zwei weitere Normen aus der EN-50600-Reihe als ISO/IEC veröffentlicht werden.

Dabei werden die Normen in Details an die Gegebenheiten der Märkte Nordamerika und Asien angepasst. Solche Ergänzungen werden anschließend darauf bewertet, ob sie auch für eine Übernahme in die EN 50600 sinnvoll wären.

Ein weltweiter Standard für Rechenzentren = belastbare Basis für Vergleichbarkeit

Was ist revolutionär, neu und bekannt an der ISO/IEC 22237?

DIN EN 50600 definiert vier Schutzklassen, die die physische Sicherheit der einzelnen Bereiche im Rechenzentrum klassifizieren. Diese Schutzklassen stehen selbstredend auch in ISO/IEC TS 22237 respektive den daraus entwickelten Normen.

Sie liegen zwiebelschalförmig umeinander. Am weitesten außen gelegen und daher am unsichersten sind die Bereiche der Schutzklasse 1. Die Räume, die die sensibelsten Teile des Rechenzentrums bergen, liegen im innersten Schutzbereich in Räumen der Schutzklasse 4. Das zeigt auch die Abbildung.

Vom Gelände bis zum Raum für besonders schützenswerte Daten

• Zur Schutzklasse 1 gehört das Gelände, auf dem das Rechenzentrum steht.

• In Schutzklasse 2 finden sich der Zugang oder Eingang, externe Sicherheitsräume, die Eingänge zu den Datacenter-Flächen, Lagerräume, Test- und Konfigurationsräume sowie die Rechenzentrumsbüros.

• Schutzklasse 3 bilden die Serverräume, Überwachungsräume, Datacenter-Sicherheitsräume und Telko-Räume.

• Die Schutzklasse 4 umfasst besonders schützenswerte Abschnitte innerhalb der Serverräume, also etwa Bereiche, in denen besonders sensible Daten gespeichert werden oder entsprechende Systeme arbeiten.

Systematisch abgeschottet

Räume einer höheren Schutzklasse können nur betreten werden, wenn zuvor Räume der geringeren Schutzklasse passiert wurden. Räume der Schutzklasse 4 dürfen nur durch Räume der Schutzklassen 1, 2 und 3 hintereinander erreichbar sein.

Jeder Schutzbereich separate Sicherheitseinrichtungen: seinen eigenen Zugang, seine eigene Zugangskontrolle, eine Alarmierung beim Versuch, den Bereich unbefugt zu betreten und eigene Brandschutz- sowie Brandmeldeanlagen.

Ziel ist also, Angreifer vor immer neue Sperren zu stellen, wenn sie versuchen, sensiblere Bereiche des Rechenzentrums zu betreten. Das verringert die Wahrscheinlichkeit, dass dies überhaupt gelingt, bevor jemand den Versuch bemerkt.

Die Rolle des IT-Grundschutz

Für die Einhaltung der Schutzvorschriften der EN50600 spricht, wenn der IT-Grundschutz des BSI nachweisbar umgesetzt wurde. beschreibt, wie man ein umfassendes Informationssicherheitsmanagementsystem aufbaut und pflegt – von der Beschreibung des Sicherheitsbedarfs über die Entwicklung von Konzepten und Maßnahmen bis hin zur Prüfung bestehender Maßnahmen.

Für die Umsetzung des IT-Grundschutz,gibt es eine Anleitung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Unternehmen der kritischen Infrastruktur müssen den IT-Grundschutz implementieren.

Weitere ISO-Normen

ISO 27001 beschreibt ebenfalls, was ein Informationssicherheitsmanagementsystem ist, wie es arbeitet, wie man es pflegt etc. Die ISO/IEC-Normen sind zum IT-Grundschutz kompatibel. Wer also den IT-Grundschutz umgesetzt hat, kann sich nach ISO 27001 zertifizieren lassen.

ISO/IEC 22301 beschreibt ein Business Continuity Management System (BCMS): Es enthält Vorgaben für Maßnahmen und Vorbereitungen, damit bei Zwischenfällen der Geschäftsbetrieb entweder unbeeinträchtigt weiterläuft oder aber schnellstmöglich wieder aufgenommen wird.

Standards des BSI

2021 wurde mit dem BSI-Standard 200-4 ein Pendant zu ISO 22301 formuliert, das den bisherigen Business-Continuity-Standard des BSI, 100-4, ersetzt. Der Standard ist modular, so dass er den Anforderungen unterschiedlicher Unternehmens-Größenklassen gerecht wird.

Die Stufe Standard-BCMS ist kompatibel zu ISO/IEC 22301-2019. Der Standard hat zwei Einstiegsstufen (Reaktiv- und Aufbau-BCMS). Er stellt die Synergien innerhalb des IT-Grundschutzes zwischen BCMS und ISMS sowie anderen sicherheitsrelevanten Management Bereichen dar und gibt umfangreiche Hilfestellungen.

Brandschutzregeln des VdS

Auch nach VdS (Verband der Sachversicherer)-Richtlinien kann die Sicherheit des Rechenzentrums geprüft und zertifiziert werden. Die Richtlinien haben besonders das Thema Brandschutz und Sicherheitstechnik im Auge.

Vor kurzem gab es hier eine neue Regelung. Die VdS-Richtlinie 10005 formuliert diesbezügliche Sicherheitsvorgaben für Klein- und Kleinstunternehmen, deren Belegschaften nicht größer sind als zehn Personen.

(ID:49036211)