09.12.2016 Pflicht oder „nice to have“?

Diese RZ-Zertifizierungen sind wirklich nötig

Von: Lea Sommerhäuser

Im Interview erklärt Donald Badoux, Managing Director Equinix Deutschland, welche Zertifizierungen Rechenzentrumsbetreiber wirklich benötigen und welche eher „nice to have“ sind.

Donald Badoux, Equinix

„Für RZ-Betreiber sind Zertifizierungen notwendig, welche mit den Kernkompetenzen eines Rechenzentrums zu tun haben“, weiß Donald Badoux von Equinix.

IT-DIRECTOR: Herr Badoux, welchen Einfluss übt derzeit die Digitalisierung auf die Betriebssicherheit von Rechenzentren (RZ) und Serverräumen aus?
D. Badoux:
Rechenzentren stellten schon immer einen Bereich mit sehr hohen Anforderungen an einen sicheren Betrieb dar. Durch die Globalisierung und immer schneller voranschreitende Digitalisierung entstehen jedoch immer größere Datenmengen, die immer mehr Ansprechpartnern gleichzeitig zur Verfügung stehen müssen. Ein Ausfall hätte recht schnell verheerende Folgen, und das nicht nur für ein Unternehmen, sondern für einen ganzen Markt oder gar die gesamte Wirtschaft. Das rückt die Betriebssicherheit immer mehr in den Fokus der Aufmerksamkeit, um die Verfügbarkeit und Sicherheit der Daten jederzeit zu garantieren.

IT-DIRECTOR: Welche Rolle spielen an dieser Stelle Zertifizierungen für Rechenzentren? Inwieweit müssen sich Geschäfts- und IT-Leitung diesem Thema stellen?
D. Badoux:
Zertifizierungen stellen Verfahren dar, welche erarbeitet wurden, um einerseits die Einhaltung bestimmter Anforderungen nachzuweisen, andererseits aber auch, um eine gewisse Transparenz in diese entsprechenden Anforderungen zu bringen. Ein Zertifikat ermöglicht es somit einem Unternehmen und jedem Interessierten – z.B. Kunden, Mitarbeitern oder Partnern – die Erreichung und Einhaltung von vorgegebenen Standards nachzuvollziehen.

IT-DIRECTOR: Welche konkreten Vorteile ergeben sich für RZ-Anbieter, wenn sie ihr Rechenzentrum zertifizieren lassen?
D. Badoux:
Das ist von den Zertifikaten abhängig. Grundsätzlich können sich Kunden und zukünftige Kunden schnell über die Standards in den RZs informieren. Dadurch könnte die Anzahl der Kunde-Audits reduziert werden, was auf allen Seiten Erleichterung schafft. Gleichzeitig kann der RZ-Betreiber seine eigenen getroffen Maßnahmen gegen den Standard prüfen, um dadurch seinen eigenen Qualitätsanspruch zu halten oder sogar noch zu verbessern.

IT-DIRECTOR: Welche RZ-Zertifizierungstypen/-arten gibt es überhaupt?
D. Badoux:
Es gibt sehr unterschiedliche Zertifizierungen. Diese können einzelne Bereiche (z.B. die Sicherheitsbereiche), einzelne Systeme (z.B. Qualitätsmanagement oder Sicherheitsmanagement) oder bereichs- und systemübergreifende Mischungen (z.B. EN-50600-Familie oder die TSI-Zertifizierungen) betrachten. Darüber hinaus kann man eigentlich nur sagen, dass genau die Zertifikate wichtig sind, die dem jeweiligen Kunden in ihrer alltäglichen Arbeit am meisten nützen – das ist jedoch individuell von Sektor zu Sektor verschieden.

IT-DIRECTOR: Welche Zertifizierungen werden hiervon tatsächlich gebraucht bzw. sind ggf. auch Pflicht, welche sind eher ein „nice to have“?
D. Badoux:
Für RZ-Betreiber sind Zertifizierungen notwendig, welche mit den Kernkompetenzen eines Rechenzentrums zu tun haben, so z.B. die ISO 27001 oder der Standard PCI-DSS. Eher „nice to have“ sind Zertifizierungen, welche nachweisen, dass sich Rechenzentren auch gesellschaftlichen Normen stellen, wie z.B. die ISO 14001.

IT-DIRECTOR: Wie gestaltet sich der Markt offizieller Zertifizierungsstellen? Nach welchen Kriterien sollten RZ-Anbieter den Zertifizierer auswählen?
D. Badoux:
Eine Zertifizierung dienst in erster Linie dem Nachweis der Konformität zu einer bestimmten Norm oder einem bestimmten Standard gegenüber den Kunden. Somit ist es für Rechenzentrumsbetreiber besonders wichtig, Zertifizierer zu nutzen, welche von den Kunden anerkannt oder akzeptiert werden.

IT-DIRECTOR: Wie läuft die eigentliche Zertifizierung ab? Mit welchem Aufwand (zeitlich, personell, finanziell) ist sie verbunden?
D. Badoux:
Das lässt sich nicht genau sagen. Solche Faktoren hängen sehr stark vom jeweiligen Zertifikat und vor allem auch vom aktuellen Status Quo im Unternehmen ab. Sollte sich während der Zertifizierung rausstellen, dass man bestimmte Prozesse verbessern oder korrigieren muss, erhöht sich der Aufwand an Zeit und Kosten natürlich deutlich.

IT-DIRECTOR: Gelten Zertifizierungen nur für einen bestimmten Zeitraum? Sprich: Müssen sie nach einer gewissen Zeit wiederholt werden?
D. Badoux:
Das ist meistens von den zugrundeliegenden Normen selbst geregelt. Die meisten Zertifizierungen erfordern sowohl großangelegte Re-Zertifizierungen in regelmäßigen Abständen – meistens alle drei Jahre – als auch kleinere Überwachungsaudits dazwischen, um den aktuellen Zustand des Unternehmens zu prüfen und gegebenenfalls Gegenmaßnahmen einleiten zu können.

IT-DIRECTOR: Was besagt die noch relativ neue europäische Norm EN 50600?
D. Badoux:
Diese Normfamilie definiert sehr umfassend gewünschte Eigenschaften für den RZ-Betrieb, z.B. von der Energieversorgung bis zum sicheren Betrieb.

IT-DIRECTOR: Inwieweit ist die Norm verbindlich für den Bau und Betrieb eines RZ?
D. Badoux:
Sie ist derzeit nicht verbindlich, stellt aber „Best Practice“ dar, sprich sie ist eine Sammlung der optimalen und bewährten Methoden oder Praktiken für den sicheren Betrieb von Rechenzentren.

IT-DIRECTOR: Inwieweit kann/wird sich die Norm Ihrer Ansicht nach noch ändern und die RZ-Praxis beeinflussen?
D. Badoux:
Als neue Norm mit ganzheitlichem Anspruch muss sie kontinuierlich den sich ständig erweiternden Anforderungen des Marktes vorausgehen. Sie zeigt aber bei ihren Forderungen in Level 3 und 4 auf, was momentan als „Best Practice“ von einem Rechenzentrum erwartet werden kann, und stellt somit einen Maßstab für diese dar.

Bildquelle: Equinix

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH