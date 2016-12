IT-DIRECTOR: Herr Astel, welchen Einfluss übt derzeit die Digitalisierung auf die Betriebssicherheit von Rechenzentren (RZ) und Server-Räumen aus?

J. Astel: Die bei der zunehmenden Digitalisierung von Fertigungsprozessen anfallenden Datenmengen werden den Bedarf an Speicherplatz und Computing Power explosionsartig wachsen lassen. Parallel steigen die Anforderungen an die Betriebssicherheit der IT-Infrastruktur – produktionsrelevante Daten müssen eben stets verfügbar und zuverlässig geschützt sein. Die meisten Unternehmen werden diese Skalierung bei den Anforderungen an die IT intern nicht stemmen können. Make-or-Buy-Entscheidungen werden daher zunehmend auf den Einkauf von externen RZ-Dienstleistungen hinauslaufen.

IT-DIRECTOR: Welche Rolle spielen an dieser Stelle Zertifizierungen für Rechenzentren? Inwieweit müssen sich Geschäfts- und IT-Leitung diesem Thema stellen?

J. Astel: Die Fertigung der Zukunft braucht die Vernetzung von Produzenten und Lieferanten. Damit müssen auch IT-Systeme vernetzt und weit mehr Daten als heute ausgetauscht werden. Zertifizierungsanforderungen wie sie heute in der IT, Banken-, Pharma- oder Automobilindustrie bereits an der Tagesordnung sind, werden daher auch in anderen Geschäftszweigen üblich werden, denn niemand will unsichere Systeme fremder Unternehmen mit den eigenen Systemen vernetzen. Zudem müssen Vorstände und IT-Verantwortliche nachweisen, dass sie bei zunehmender IT-Abhängigkeit ihrer Prozesse und Unternehmen entsprechende Sorgfalt bei der Compliance und bei der Auswahl von Dienstleistern und Infrastrukturen walten lassen. Beide Faktoren werden dazu führen, dass Zertifizierungen wichtiger werden.

IT-DIRECTOR: Welche konkreten Vorteile ergeben sich für RZ-Anbieter, wenn sie ihr Rechenzentrum zertifizieren lassen?

J. Astel: Rechenzentren ohne die wichtigsten ISO- und BSI-Zertifizierungen sind im B2B-Bereich schon heute nicht mehr konkurrenzfähig. Wer im Wettbewerb bestehen will, muss längst eine Vielzahl von national wie international gültigen Zertifizierungen nachweisen können. In Branchen wie IT, Banken und Pharma werden ergänzend branchenspezifische Zertifizierungen gefordert.

IT-DIRECTOR: Welche RZ-Zertifizierungstypen gibt es überhaupt?

J. Astel: Das beginnt bei den klassischen Zertifizierungen in den Bereichen „Business Continuity/Desaster Recovery“, „Security“ und klassischen Zertifizierungen der Verfügbarkeit – künftig nach der neuen EN 50600. Wachsende Bedeutung haben die Zertifizierungen im Bereich „Datenschutz“ und die Testierfähigkeit gegenüber Wirtschaftsprüfern. Ergänzt werden diese dann durch spezielle und branchenspezifische Zertifizierungen wie PCIDSS, kritische Infrastruktur, Banken, Pharma etc. Und dann sind da noch die Zertifizierungen in den Bereichen physikalische Sicherheit nach VdS3406, allgemeines Qualitätsmanagement nach ISO 9001, Code of Conduct/Compliance, Green IT etc. Kurzum: Die Vielfalt ist enorm.

IT-DIRECTOR: Welche Zertifizierungen werden hiervon tatsächlich gebraucht bzw. sind ggf. auch Pflicht, welche sind eher ein „nice to have“?

J. Astel: Es gibt für RZ-Betreiber einige unabdingbare Zertifizierungen wie ISO 27001 (besser noch nach BSI IT-Grundschutz), im Business-Continuity-Management und zur Definition der Verfügbarkeits- und Sicherheitsklassen. Maßgeblich ist allein, was der Kunde braucht oder fordert. Wenn ich im Bereich „Banken“ oder bei Energieversorgern Kunden gewinnen will, muss ich zusätzlich auch die branchenspezifischen Zertifizierungsprozesse durchlaufen oder die Auflagen für Unternehmen im Bereich kritischer Infrastruktur erfüllen. Wieder andere Unternehmen achten auf Zertifikate zur Energieeffizienz oder zum Datenschutz.

IT-DIRECTOR: Wie gestaltet sich der Markt offizieller Zertifizierungsstellen? Nach welchen Kriterien sollen RZ-Anbieter den Zertifizierer auswählen?

J. Astel: Für ISO-Normen akkreditiert die Deutsche Akkreditierungsstelle DAkkS Zertifizierer und nennt diese auf ihrer Website. Ist der Auditor zugelassen, so entscheiden nur noch Faktoren wie Preis, Verfügbarkeit und ggf. räumliche Nähe. Etwas anders läuft die Zertifizierung nach ISO 27001 nach BSI IT-Grundschutz: Hier hat das BSI eigene Auditoren ernannt. Und bei der Testierfähigkeit gegenüber Wirtschaftsprüfern muss man sich an die sogenannten „Big Five“ wenden: PWC, KPMG etc.

IT-DIRECTOR: Wie läuft die eigentliche Zertifizierung ab? Mit welchem Aufwand ist sie verbunden?

J. Astel: Die Aufwände schwanken natürlich je nach Zertifizierung und Unternehmensgröße. Der mit Abstand größte Faktor beim Aufwand aber ist die unternehmensinterne Erfahrung mit Zertifizierungen. Wer in seinem Unternehmen bei Null anfängt und die erste ernsthafte ISO-Zertifizierung durchläuft, muss allein für die Vorbereitung schon weit mehr als ein Jahr Zeit einrechnen. In dieser Zeit werden ein Kernteam komplett und zusätzlich zahlreiche andere Unternehmensressourcen immer wieder in Beschlag genommen. Der Einsatz externer Berater kann die Lernkurve verkürzen und den internen Aufwand verringern. Aber: Wer Zertifizierung ernst nimmt, muss das Know-how intern aufbauen – sonst werden die Prozesse nicht gelebt und es droht ein böses Erwachen bei der Rezertifizierung. Sind die ersten Zertifizierungen durchlaufen, fällt jede weitere Zertifizierung leichter – aber ein großer Aufwand ist es immer.

IT-DIRECTOR: Gelten Zertifizierungen nur für einen bestimmten Zeitraum? Sprich: Müssen sie nach einer gewissen Zeit wiederholt werden?

J. Astel: Ja, die meisten Zertifizierungen müssen nach zwei bis drei Jahren erneuert werden. Und auch in der Zwischenzeit gibt es oft jährliche Überwachungsaudits. Zudem sollten Auditoren über wesentliche Prozessänderungen immer vorab informiert werden – die Arbeit mit überraschten Auditoren macht eine Rezertifizierung nämlich bestimmt nicht einfacher.

IT-DIRECTOR: Was besagt die noch relativ neue europäische Norm EN 50600?

J. Astel: Mit der EN 50600 wird die von uns ersehnte, transparente und griffige Einteilung von Rechenzentren in Verfügbarkeits- und Sicherheitsklassen erreicht. Endlich kann nachgewiesen werden, was ein wirklich hochverfügbares und hochsicheres Rechenzentrum ist – nach klaren, relativ granularen Prüfkriterien werden die Rechenzentren in VK- und SK-Klassen von 1 bis 4 eingeteilt. Die Norm geht jetzt in die Umsetzung, allerdings sind vom DAkkS noch keine Zertifizierungsstellen akkreditiert. Ich kann aber versprechen: Wir werden sicherlich eines der ersten deutschen Unternehmen sein, das seine Rechenzentren nach EN 50600 zertifizieren lässt.

IT-DIRECTOR: Inwieweit ist die Norm verbindlich für den Bau und Betrieb eines RZ?

J. Astel: Die RZ-Anbieter werden sich bei Bau und Betrieb an dieser Norm ausrichten. Wir haben dies bei unserem RZ-Neubau in Aschheim bei München, der Januar 2017 in Betrieb geht, bereits umfänglich getan. Das Schöne an dieser Norm: Sie formuliert konkrete Umsetzungsvorschläge bzw. -konzepte. Die Einteilung in die Klassen ist somit sehr transparent. So können Unternehmen definieren, welche Anforderungen sie bei VK-/SK-Level stellen und die passenden Rechenzentren finden.

IT-DIRECTOR: Inwieweit kann/wird sich die Norm Ihrer Ansicht nach noch ändern und die RZ-Praxis beeinflussen?

J. Astel: Die Ausgestaltung einer internationalen Norm ist extrem arbeitsaufwendig und zieht sich über viele Jahre hin; das ändert man nicht mehr so schnell. Natürlich muss die Norm fortgeschrieben werden, wenn sich technische Grundlagen ändern – aber das passiert meist in sehr langen Zyklen. Ich persönlich erachte die Norm als ausformuliert und zudem auch für ungewöhnlich praxisnah und gut. Sie wird in ihrer jetzigen Form über viele Jahre bindend sein und auch für die Unternehmen bei der Auswahl von Rechenzentren große Bedeutung haben.



Bildquelle: Noris Network