20.12.2016 „Immer Berater hinzuziehen“

Guter Ruf für Zertifizierungsstellen aus D/A

Von: Lea Sommerhäuser

Grundsätzlich sollte man vor einer Zertifizierung einen Berater hinzuziehen, der auch bei der Auswahl der Zertifizierungsstelle berät. Dieser Ansicht ist Christian Inzko, Chief Operating Officer bei Anexia. Zertifizierungsstellen aus Österreich und Deutschland würden hier einen sehr guten Ruf genießen.

Christian Inzko, Anexia

„Zertifizierungen gelten nur für einen bestimmten Zeitraum und müssen dann wieder überprüft werden“, betont Christian Inzko von Anexia.

IT-DIRECTOR: Herr Inzko, welchen Einfluss übt derzeit die Digitalisierung auf die Betriebssicherheit von Rechenzentren (RZ) und Serverräumen aus?
C. Inzko:
Die Ansprüche an die logische Sicherheit wachsen überproportional, d.h. Angriffsvektoren erhöhen sich mit der Anzahl an Kundensystemen. Firewall-Systeme, Intrusion-Detection-, Prevention- sowie Web-Application-Firewall-Systeme müssen zur Standardausrüstung eines Hosting-Anbieters gehören. Der Anspruch an die physische Sicherheit (Zutritt usw.) ist aus heutiger Sicht der Tier-3-Standard und deckt die Erwartungen der Kunden.

IT-DIRECTOR: Welche Rolle spielen an dieser Stelle Zertifizierungen für Rechenzentren? Inwieweit müssen sich Geschäfts- und IT-Leitung diesem Thema stellen?
C. Inzko:
Zertifizierungen spielen heute eine sehr wichtige Rolle, da sich Unternehmen generell immer häufiger nach geltenden ISO-Richtlinien zertifizieren lassen. In all diesen Standards ist der IT-Betrieb ein fixer Bestandteil. Daher ist es eine Pflicht, dass der Rechenzentrumsbetreiber über aktuelle Zertifizierungen in seinem Bereich verfügt. In unserem Falle sind das die Zertifizierungen ISO 9001 und ISO/ IEC 27001 und ab 2017 auch die Zertifizierung für Cloud-Dienstleister 27018.

IT-DIRECTOR: Welche konkreten Vorteile ergeben sich für RZ-Anbieter, wenn sie ihr Rechenzentrum zertifizieren lassen?
C. Inzko:
Vorteile für die Zertifizierung von Rechenzentren ergeben sich daraus, dass alle geltenden und vorgeschriebenen Prozesse wirklich gelebt werden und der Qualitätsstandard entsprechend gemessen werden kann.

IT-DIRECTOR: Welche RZ-Zertifizierungstypen/-arten gibt es überhaupt?
C. Inzko:
Viele. Die Zertifizierungen, die der Rechenzentrumsanbieter benötigt, ergeben sich aus dem Angebotsportfolio des Anbieters. In unserem Falle sind dies ISO 9001 sowie 27001 und 27018.

IT-DIRECTOR: Welche Zertifizierungen werden hiervon tatsächlich gebraucht bzw. sind ggf. auch Pflicht, welche sind eher ein „nice to have“?
C. Inzko:
Eine pauschale Aussage ist aufgrund der großen Anzahl an Normen nicht möglich. Der Anbieter muss geeignete Zertifizierungen anhand seines Angebotsportfolios definieren.

IT-DIRECTOR: Wie gestaltet sich der Markt offizieller Zertifizierungsstellen? Nach welchen Kriterien sollten RZ-Anbieter den Zertifizierer auswählen?
C. Inzko:
Grundsätzlich sollte man vor einer Zertifizierung einen Berater hinzuziehen, der auch bei der Auswahl der Zertifizierungsstelle berät. Zertifizierungsstellen aus Österreich und Deutschland genießen hier einen sehr guten Ruf.

IT-DIRECTOR: Wie läuft die eigentliche Zertifizierung ab? Mit welchem Aufwand (zeitlich, personell, finanziell) ist sie verbunden?
C. Inzko:
Der zeitliche Aufwand für die Zertifizierung ist sehr hoch. Wer ein Zertifikat anstrebt, muss die Normen erfüllen bzw. den Ist-Zustand dokumentieren und für den Auditor aufbereiten. Die Erstauditierung kann bis zu einer Woche dauern, die Rezertifizierung zwei bis drei Tage. Wichtig ist, dass sich im Unternehmen definiertes Personal um die Zertifizierung kümmert. Der finanzielle Aufwand richtet sich nach der Anzahl der Beratertage und der Länge der Zertifizierung.

IT-DIRECTOR: Gelten Zertifizierungen nur für einen bestimmten Zeitraum? Sprich: Müssen sie nach einer gewissen Zeit wiederholt werden?
C. Inzko:
Zertifizierungen gelten nur für einen bestimmten Zeitraum und müssen dann wieder überprüft werden. Hier gilt die Maxime des kontinuierlichen Verbesserungsprozesses, d.h. der Auditor macht nach der Zertifizierung Verbesserungs- und Änderungsvorschläge bzw. trägt sogar Verpflichtungen auf, die bis zur Rezertifizierung zu erbringen sind.

IT-DIRECTOR: Was besagt die noch relativ neue europäische Norm EN 50600?
C. Inzko:
Durch die Normenreihe EN 50600 „Einrichtungen und Infrastrukturen von Rechenzentren“ soll das Manko eines fehlenden einheitlichen Standards innerhalb von Europa behoben werden. In dieser Normenreihe werden zukünftig grundsätzliche Themen wie die Gebäudekonstruktion, die Energieversorgung, die Klimatisierung, die Sicherheitstechnik sowie der Bereich Management und Betrieb umfassend abgedeckt.

IT-DIRECTOR: Inwieweit ist die Norm verbindlich für den Bau und Betrieb eines RZ?
C. Inzko:
Derzeit sehe ich noch keine Verbindlichkeit, da ja auch Aspekte aus der EN 50600 in der ISO-Norm 27001 vorkommen. Es sieht aber danach aus, dass sich diese Norm mittelfristig zum Standard für Rechenzentren entwickeln kann. Jede erfüllte Norm bzw. Zertifizierung stellt für den Rechenzentrumsanbieter einen Wettbewerbsvorteil dar.

IT-DIRECTOR: Inwieweit kann/wird sich die Norm Ihrer Ansicht nach noch ändern und die RZ-Praxis beeinflussen?
C. Inzko:
Da es innerhalb der Norm um die Bereiche Telekommunikation, Energieversorgung des Rechenzentrums, Architektur und Gebäudephysik sowie Klimatisierung, Haustechnik und Zutritt geht, wird sich hier inhaltlich sicher nicht viel ändern – zumal diese Parameter immer den Kern eines Rechenzentrums repräsentieren.

Bildquelle: Anexia

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH