23.12.2016 Zertifizierung für Rechenzentren

Das besagt die neue Norm EN 50600

Von: Lea Sommerhäuser

„Die EN 50600 befindet sich heute noch in einem Entwicklungsprozess und wird sich zu einem neuen europäischen Standard für Rechenzentren festigen“, berichtet Gunter Papenberg, Strategy & Marketing Director bei Maincubes, im Interview. „Hier werden die wesentlichen Anforderungspunkte zum Thema ‚Rechenzentrum’ aufgenommen und abgehandelt.“

Gunter Papenberg, Maincubes

„Im Kern geht es um das Rechenzentrum nach Maß“, weiß Gunter Papenberg, Strategy & Marketing Director bei Maincubes.

IT-DIRECTOR: Herr Papenberg, welchen Einfluss übt derzeit die Digitalisierung auf die Betriebssicherheit von Rechenzentren (RZ) und Serverräumen aus?
G. Papenberg:
Die Betriebssicherheit eines RZ muss im Grunde immer gegeben sein. Gewisse Anwendungen sind besonders sensibel und bedürfen daher einer Sicherheit über das übliche Maß hinaus. Das RZ rückt immer mehr in die Position einer zentralen Schnittstelle zwischen Unternehmensleitung und Produktionsprozess. IoT, M2M und andere zukunftsweisende Themen der Digitalisierung zeigen dies. Bei der Betriebssicherheit geht auch um mehr als nur den Standort. Wichtig für die Betriebssicherheit ist die strategische Vernetzung von Diensten und Leistung mit der bestmöglichen Skalierung.

IT-DIRECTOR: Welche Rolle spielen an dieser Stelle Zertifizierungen für Rechenzentren? Inwieweit müssen sich Geschäfts- und IT-Leitung diesem Thema stellen?
G. Papenberg:
Diese sind wie in anderen Brachen auch ein Qualitätsmerkmal für heutige Anforderungen. Ohne diese kann ein Kunde nicht feststellen, ob die geforderten Leistungen und Sicherheiten wirklich erbracht werden. Ob national oder international werden diese bei jeder unserer Ausschreibungen in verschiedenen Branchen gefordert. In der Regel wird ein Unternehmen ohne Zertifizierungen zu Ausschreibungen nicht mehr zugelassen. Für uns sind Zertifizierungen wie ISO27001 die Basis unseres Handelns.

IT-DIRECTOR: Welche konkreten Vorteile ergeben sich für RZ-Anbieter, wenn sie ihr Rechenzentrum zertifizieren lassen?
G. Papenberg:
Die Vorteile sind umfassend und reichen von der strukturierten und geforderten Arbeitsweise bis hin zur vertrieblichen Nutzung als Argument, wenn Wettbewerber diese nicht besitzen. Auch helfen sie, um in verschiedenen Branchen auf dem gleichen „Anforderungsprofil“ miteinander kommunizieren zu können. Banken sowie Versicherungen richten ihre Kredite und Prämien zunehmend nach der Sicherheit und Verfügbarkeit der IT-Landschaft aus. Viele Kunden lassen ihre Systeme und Plattformen nur noch in betriebssicheren Rechenzentren betreiben, da sie ja auch als „digitaler“ Dienstleister gesehen werden. Auch bei möglichen Ausfällen und Fehlern benötigen Unternehmen und IT-Manager eine Richtlinie und somit Absicherung in Rechts- und Haftungsfragen – neutral geprüft und belegt durch einen unabhängigen Dritten.

IT-DIRECTOR: Welche RZ-Zertifizierungstypen/-arten gibt es überhaupt?
G. Papenberg:
Es gibt in der Zwischenzeit sehr viele und auch unterschiedliche Zertifizierungen wie beispielsweise für generelle Anforderungen wie ISO 9001, 20000, 27001/02, 22301, 15408 sowie branchenspezifische Anforderungen.

IT-DIRECTOR: Welche Zertifizierungen werden hiervon tatsächlich gebraucht bzw. sind ggf. auch Pflicht, welche sind eher ein „nice to have“?
G. Papenberg:
Wie auch das Tüv-Siegel bei einem Fahrzeug ist die jeweilige ISO ein Merkmal für den Einsatzbereich des Unternehmens oder der Branche. Wichtig ist für den jeweiligen „Nutzer“ oder Entscheider, was er selbst an seine Kunden, Partner oder Lieferketten seiner Leistung übergeben muss oder will. Wenn der RZ-Anbieter schon entsprechende zertifizierte Leistungen anbietet, erleichtert diese in der weiterführenden Leistungskette die erhöhte Qualität und ebenfalls die Erreichung möglicher eigener Zertifizierungen. Auch ist die Branche, in der sich ein Unternehmen befindet, wichtig für die benötigten Zertifizierungen. Grundlage für jeden Betrieb eines RZ ist heute die ISO27001, die dann mit den jeweiligen Anforderungen, wie beispielsweise für Zahlungsverkehr etc., erweitert werden. Bei den erheblichen Einstiegs- wie auch laufenden Kosten für den RZ-Betreiber wird in der Regel genau bewertet, in welchem Markt welche Zertifizierungen benötigt werden und ob hier ein Investment gerechtfertigt ist.

IT-DIRECTOR: Wie gestaltet sich der Markt offizieller Zertifizierungsstellen? Nach welchen Kriterien sollten RZ-Anbieter den Zertifizierer auswählen?
G. Papenberg:
Wie auch bei den RZ-Anbietern gibt es bei den Zertifizierern Schwerpunkte und diese sollten auch das Kriterium dafür sein, welche Zertifizierung ausgewählt wird. Oft hat der RZ-Anbieter gewisse Vorstellungen darüber, was er erreichen möchte, aber noch nicht das spezifische Wissen, wie dies zu erreichen ist oder ob die Anforderungen generell umgesetzt werden können. Um hier die bestmöglichen Effekte in der Vorarbeit wie auch in den jeweiligen Zertifizierungsstufen zu erreichen, sollte der Zertifizierer den RZ-Markt genau kennen, um auch mögliche Schwachstellen effizient aufzeigen zu können.

IT-DIRECTOR: Wie läuft die eigentliche Zertifizierung ab? Mit welchem Aufwand (zeitlich, personell, finanziell) ist sie verbunden?
G. Papenberg:
Die internen Aufwände wie auch die Kosten sind nicht zu unterschätzen und fallen je nach dem ausgerichteten Scope der Zertifizierung sehr hoch aus. Diese werden aber sehr schnell durch die Vorteile eines genormten Prozessmanagements in allen Unternehmensbereichen relativiert. Die Prozesse werden sehr granular für alle Mitarbeiter verfeinert und definiert, wodurch beispielsweise Vorgaben oder Richtlinien viel leichter eingehalten werden können. Dies gibt allen Mitarbeitern im Unternehmen eine höhere Sicherheit in der Erfüllung ihrer täglichen Aufgaben. Dies ermöglicht auch den Kunden die Orientierung ihrer Abläufe an die des Rechenzentrums wesentlich einfacher. Der Scope wird im Grunde vom Management und den Anforderungen aus dem Markt bestimmt oder gefordert. Folgende Fragen stellen sich hier: Nehme ich nur Teile wie Standorte, Bereiche oder das gesamte Unternehmen mit auf? Inwieweit wird Zertifizierung A von einer weiteren Zertifizierung beeinträchtigt und erzeugt damit zusätzliche Aufwände in bestehenden Prozessen? Müssen Tools wie DMS etc. angeschafft oder erweitert werden? Welche Schulungsmaßnahmen sind notwendig, um erfolgreich zu sein? Auch die genaue Planung, der Zeitrahmen und die personellen Ressourcen sind wichtige Punkte. Eine Erstzertifizierung ist immer mit sehr hohem Aufwand verbunden, da hier vom Grunde alles neu aufgebaut werden muss. Wichtig ist auch hier, einen guten Zertifizierer zu finden, der den Einstieg in das Thema begleiten kann. In der letzten Zertifizierung haben wir zwei Vollzeitmitarbeiter und einen externen Betreuer benötigt, um ISO27001 umfassend zu bearbeiten. Der Kostenrahmen liegt bei rund 80.000 bis 120.000 Euro für eine Erstzertifizierung im RZ-Bereich.

IT-DIRECTOR: Gelten Zertifizierungen nur für einen bestimmten Zeitraum? Sprich: Müssen sie nach einer gewissen Zeit wiederholt werden?
G. Papenberg:
Ja, nahezu alle Zertifizierungen müssen turnusgemäß erneuert werden. Der Turnus hängt u.a. von der Wichtigkeit und Sensibilität ab. Viele Zertifizierungen werden jährlich geprüft und erneuert, was budgetär und vor allem mit entsprechenden Zeitressourcen in die allgemeine Geschäftsplanung eines RZ einfließen muss.

IT-DIRECTOR: Was besagt die noch relativ neue europäische Norm EN 50600?
G. Papenberg:
Hier soll eine allgemeine Richtlinie für Rechenzentren in Europa geschaffen werden, um die Vergleichbarkeit zu gewährleisten. Die EN 50600 befindet sich heute noch in einem Entwicklungsprozess und wird sich zu einem neuen europäischen Standard für Rechenzentren festigen. Hier werden die wesentlichen Anforderungspunkte zum Thema „Rechenzentrum“ aufgenommen und abgehandelt. Im Zusammenhang mit bereits zertifizierten Management-Systemen wie ISO 27001 oder IT-Service-Management nach ISO 20000 wirft bei einer weiteren RZ-Zertifizierung natürlich die Frage nach Integration oder dem wirklichen Nutzen auf. Klar ist, wie in vielen Fällen, wer eine Basis hat kann hier aufbauen. Gibt es schon Erfahrungen und eine Systematik aus einem anderen Managementsystem hat das einen sicheren und  klaren Vorteil. Denn die die Ausrichtung und Vorgaben zur physischen und Struktur bezogenen Sicherheit decken sich nahezu, sind in der RZ-Normenreihe detaillierter auf das RZ-Thema ausgerichtet. Somit ist die Integration möglich – sollte aber sinnvollerweise mit Ausrichtung zum Management und Service-Gedanken über die ISO 20000 bzw. ISO 27001 etabliert werden.

IT-DIRECTOR: Inwieweit ist die Norm verbindlich für den Bau und Betrieb eines RZ?
G. Papenberg:
Die Normenreihe soll „Einrichtungen und Infrastrukturen von Rechenzentren“ als Standards definieren. Somit wird dies in Zukunft eine Forderung und gleichwertig einer Richtlinie im Bau von Rechenzentren werden. Hier werden grundsätzliche Anforderungen wie die Gebäudekonstruktion, Energieversorgung, Klimatisierung, Sicherheitstechnik sowie die Bereiche Management und Betrieb definiert und geben somit schon einen festen Bereich in der Ausrichtung vor. Dies ist aber nicht erst seit der EN 50600 der Fall, sondern wird auch bei ISO27001 und anderen beachtet.

IT-DIRECTOR: Inwieweit kann/wird sich die Norm Ihrer Ansicht nach noch ändern und die RZ-Praxis beeinflussen?
G. Papenberg:
Im Kern geht es um das Rechenzentrum nach Maß. Jeder Interessent, der nicht aus der RZ-Branche kommt, soll die Möglichkeit haben, das doch sehr komplexe Thema „RZ“ und dessen Betrieb zu verstehen. Dies erfordert natürlich eine gewisse Transparenz in der Bewertung von Typ, Standort und anderen Faktoren. Eine Analogie: Jeder von uns weiß, dass ein modernes Auto ein ABS für die Sicherheit haben muss. Aber wie und bei welchem Hersteller unterschiedliche Funktionen im Detail gegeben sind, ist nicht bekannt. Das ABS muss vorhanden sein und mindestens den geltenden Richtlinien standhalten. Und genau diese „Einfachheit“ soll über die verschiedenen Zertifizierungen und Normen erreicht werden. Dies ermöglicht einem Interessenten oder Kunden einen schnelleren Entscheidungsprozess bei der Wahl „seines“ RZ-Betreibers. Es spart allen Seiten Zeit und Ressourcen bei Planung und Umsetzung.

Bildquelle: Maincubes

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH