08.12.2016 Sicherheitsstandards in Rechenzentren

RZ-Zertifizierungen: Kür oder Pflicht?

Von: Lea Sommerhäuser

Wachsende Datenberge, ständige Verfügbarkeit und absolute Ausfallsicherheit sind nur einige der Herausforderungen, die die zunehmende Digitalisierung für Rechenzentren (RZ) bereithält. Mit entsprechenden Zertifizierungen können RZ-Anbieter hier belegen, dass sie die geforderten Sicherheitsstandards erfüllen. Doch inwieweit sind die Normen Pflicht?

Mit entsprechenden Zertifizierungen können RZ-Anbieter die Sicherheit ihrer Data Center garantieren. Doch inwieweit sind diese Zertifakte Kür oder Pflicht?

Im Zuge von Cloud Computing, zunehmender Digitalisierung und Industrie 4.0, durch die immer größere Datenberge entstehen, entwickeln sich Rechenzentren noch mehr als bisher zu Knotenpunkten von IT-Infrastrukturen. In ihnen fließen sämtliche Daten und Informationen zusammen und werden entsprechend weiterverteilt. Die Verfügbarkeit und Sicherheit der Daten muss dabei jederzeit garantiert sein, denn ein Ausfall hätte verheerende Folgen – nicht unbedingt nur für ein einzelnes Unternehmen, sondern unter Umständen für einen ganzen Markt oder gar die gesamte Wirtschaft. Nicht zuletzt rücken auch das IT-Sicherheitsgesetz und Unternehmen, die zu den sogenannten „Kritischen Infrastrukturen“ (Kritis) zählen, die physische Sicherheit von Rechenzentren zunehmend in den Fokus.

Mit entsprechenden Zertifizierungen haben RZ-Anbieter allerdings die Möglichkeit, vor allem nach außen hin zu belegen, dass ihre Data Center die geforderten Sicherheitsstandards erfüllen. „In vielen Fällen ist es auch Grundvoraussetzung für das Geschäft, denn Kunden setzen für eine Zusammenarbeit gewisse Zertifizierungen voraus“, weiß Michael Hartmann, Country Manager von Interoute Germany. Gleiches bestätigt Gunter Papenberg von Maincubes: Ob national oder international würden Zertifikate bei jeder Ausschreibung in den verschiedenen Branchen gefordert. „In der Regel wird ein Unternehmen gar ohne Zertifizierungen zu Ausschreibungen nicht mehr zugelassen“, so der Strategy & Marketing Director.

Daneben dienen Zertifikate aber auch als interne Kontrolle und gute Methode, um die wichtigsten Qualitätsstandards permanent einzuhalten. Dank des Blicks von außen können Betreiber ihre Prozesse jederzeit überprüfen und gegebenenfalls optimieren, um so konkurrenzfähig zu bleiben.

Enorme Vielfalt


Mittlerweile gibt es eine ganze Reihe an Normen und Zertifizierungen – teils auch speziell für bestimmte Branchen wie etwa „Pharma“ und „Banken“. Sie können einzelne Bereiche, einzelne Systeme oder bereichs- und systemübergreifende Mischungen betrachten. „Wenn es um die Prozesse und Abläufe geht, haben sich insbesondere ISO-Normen etabliert“, betont Joachim Faulhaber, stellvertretender Bereichsleiter IT Infrastructure bei der TÜV Informationstechnik GmbH (TÜViT). Das wäre z.B. die Qualitätsmanagement-Norm ISO 9001, die generell überprüft, ob die Prozesse eines Rechenzentrums qualitätsgesichert sind, oder spezifischer die ISO 27001 für das Management der Informationssicherheit. Gerade letztere Norm zählt Michael Hartmann neben dem BSI IT-Grundschutz und PCI-DSS, einem Regelwerk im Zahlungsverkehr, das Standards bei der Abwicklung von Kreditkartentransaktionen definiert, zu den „wichtigsten Zertifizierungen“ überhaupt.

„Wenn es um die physische Sicherheit geht“, so Joachim Faulhaber weiter, „sind Prüfvorgaben wie TSI (Trusted Site Infrastructure) relevant.“ Diese sei zwar nicht verpflichtend, dennoch würden immer mehr Unternehmen auf derartige Nachweise setzen, um eine verlässliche Risikoeinschätzung und Aussage über die Güte ihrer Rechenzentren zu erlangen. „Daneben gibt es immer mehr Zertifizierungen beispielsweise für ‚grüne’ Rechenzentren, garantierte Verfügbarkeit und viele weitere Aspekte“, ergänzt Michael Hartmann. Laut Joachim Astel von der Noris Network AG kommt den Zertifizierungen im Bereich „Datenschutz“ sowie der Testierfähigkeit gegenüber Wirtschaftsprüfern eine wachsende Bedeutung zu. „Kurzum: Die Vielfalt ist enorm“, so der Unternehmensvorstand.

Doch welche dieser Zertifizierungen werden eigentlich wirklich benötigt oder sind gar Pflicht und welche eher nur „nice to have“? Donald Badoux, Managing Director Equinix Deutschland, erklärt: „Für RZ-Betreiber sind Zertifizierungen notwendig, welche mit den Kernkompetenzen eines Rechenzentrums zu tun haben, so z.B. die ISO 27001 oder der Standard PCI-DSS.“ Eher „nice to have“ seien indes Zertifizierungen, welche nachweisen, dass sich Rechenzentren auch gesellschaftlichen Normen stellen, wie z.B. die ISO 14001. „Auch ist die Branche, in der sich ein Unternehmen befindet, wichtig für die benötigten Zertifizierungen“, fügt Gunter Papenberg an. Grundlage für jeden Betrieb eines RZ sei heute die ISO 27001, die dann mit den jeweiligen Anforderungen – wie beispielsweise für Zahlungsverkehr, etc. – erweitert werden könne.

EN 50600 noch im Entwicklungsprozess


Eine noch relativ neue Norm für den RZ-Bereich verbirgt sich hinter der Bezeichnung „EN 50600“. Hiermit soll eine allgemeine Richtlinie für Rechenzentren in Europa geschaffen werden, um die Vergleichbarkeit zwischen den RZs zu gewährleisten. „In dieser Normenreihe werden zukünftig grundsätzliche Themen wie die Gebäudekonstruktion, Energieversorgung, Klimatisierung, Sicherheitstechnik sowie die Bereiche Management und Betrieb umfassend abgedeckt“, erläutert Christian Inzko, Chief Operating Officer von Anexia. Die EN 50600 befindet sich derzeit in einem Entwicklungsprozess und von der Deutschen Akkreditierungsstelle GmbH (DAkkS) sollen noch keine Zertifizierungsstellen akkreditiert worden sein. Joachim Astel verspricht allerdings: „Wir werden sicherlich eines der ersten deutschen Unternehmen sein, das seine Rechenzentren nach EN 50600 zertifizieren lässt.“

Doch wird die neue Norm verbindlich sein für zukünftige Rechenzentrumsbaumaßnahmen? „Aus gesetzlicher Sicht lässt sich keine Verpflichtung ableiten“, sagt Joachim Faulhaber von TÜViT, „dennoch wird sie häufig in Verträgen unter der Maßgabe zitiert, dass eine Konformität zur Norm sicherzustellen ist.“ Auch Christian Inzko sieht derzeit noch keine Verbindlichkeit, „da ja auch Aspekte aus der EN 50600 in der ISO-Norm 27001 vorkommen.“ Es sehe aber danach aus, dass sich diese Norm mittelfristig zum Standard für Rechenzentren entwickeln könne.

Joachim Astel erachtet die neue Norm bereits als „ausformuliert und ungewöhnlich praxisnah“. Natürlich müsse die Norm fortgeschrieben werden, wenn sich technische Grundlagen ändern – aber das passiere meist in sehr langen Zyklen. In ihrer jetzigen Form werde die EN 50600 viele Jahre bindend sein und für Unternehmen bei der Auswahl von Rechenzentren große Bedeutung haben.

Schwachstellen effizient aufzeigen


Apropos „Auswahl“: Wie es scheint, gestaltet sich der Markt offizieller Zertifizierungsstellen nicht weniger komplex. Da ist es für Rechenzentrumsanbieter nicht gerade einfach, einen passenden Zertifizierer fürs eigene Data Center zu finden. Michael Hartmann bestätigt: „Aktuell schießen Zertifizierungsstellen wie Pilze aus dem Boden. Entscheidend ist die Akzeptanz der jeweiligen Zertifizierung am Markt.“ Denn sie entscheidet am Ende darüber, ob sich neue Zertifikate und damit die zertifzierenden Stellen durchsetzen. Die Auswahl der Auditoren sollte sich insbesondere nach der Erfahrung der Prüfer richten sowie auch nach der Internationalität des Anbieters. Sie spielt vor allem dann eine Rolle, wenn RZ-Anbieter weltweit Rechenzentren betreiben. Kosten sollen indes bei der Auswahl nur eine untergeordnete Rolle spielen, da die Gebühren der Auditoren laut Hartmann einheitlich festgelegt sind.

„Wie auch bei den RZ-Anbietern gibt es bei den Zertifizierern Schwerpunkte und diese sollten das Kriterium dafür sein, welche Zertifizierung ausgewählt wird“, empfiehlt derweil Gunter Papenberg. Oft habe der Rechenzentrumsanbieter gewisse Vorstellungen darüber, was er erreichen möchte, aber noch nicht das spezifische Wissen, wie dies zu erreichen ist oder ob die Anforderungen generell umgesetzt werden können. Um hier die bestmöglichen Effekte in der Vorarbeit wie auch in den jeweiligen Zertifizierungsstufen zu erreichen, sollte der Zertifizierer den RZ-Markt genau kennen, um auch mögliche Schwachstellen effizient aufzeigen zu können.

„Jeder Anbieter ist mit seiner eigenen Prüf- und Bewertungsgrundlage unterwegs“, bemerkt Joachim Faulhaber. Somit seien die angebotenen Zertifikate nur zum Teil oder gar nicht miteinander vergleichbar. Deshalb empfehle er Unternehmen genau hinzuschauen, auf welcher Grundlage die jeweiligen Prüfkataloge entstanden sind, was sie im Detail abdecken und wie vollständig sie bestimmte Normen repräsentieren können. Desweiteren sollten RZ-Verantwortliche klären, inwieweit der Zertifizierer selbst anerkannten Vorgehensweisen und Regeln wie z.B. ISO 17065 folgt.

Grundsätzlich sollte man vor einer Zertifizierung einen Berater hinzuziehen, der auch bei der Auswahl der Zertifizierungsstelle berät, meint nicht zuletzt Christian Inzko. „Zertifizierungsstellen aus Österreich und Deutschland genießen hier einen sehr guten Ruf“, so der Anexia-COO.

Kein böses Erwachen dank internem Know-how


Der generelle Aufwand hängt natürlich von der jeweiligen Zertifizierung, der Unternehmensgröße und auch von der firmeninternen Erfahrung mit solch einem Verfahren ab. Wer in seinem Unternehmen bei Null anfängt und die erste ernsthafte ISO-Zertifizierung durchläuft, muss laut Joachim Astel von Noris Network allein für die Vorbereitung schon weit mehr als ein Jahr Zeit einrechnen. In dieser Zeit werden ein Kernteam komplett und zusätzlich zahlreiche andere Unternehmensressourcen immer wieder in Beschlag genommen. Der Einsatz externer Berater kann hierbei die Lernkurve verkürzen und den internen Aufwand verringern. Aber: „Wer Zertifizierungen ernst nimmt, muss das Know-how intern aufbauen“, betont Astel, „sonst werden die Prozesse nicht gelebt und es droht ein böses Erwachen bei der Rezertifizierung.“

Dass eine Erstzertifizierung immer mit sehr hohem Aufwand verbunden ist, bestätigt auch Gunter Papenberg, da hier vom Grunde alles neu aufgebaut werden müsse. „In der letzten Zertifizierung haben wir zwei Vollzeitmitarbeiter und einen externen Betreuer benötigt, um ISO 27001 umfassend zu bearbeiten“, gewährt der Strategy & Marketing Director von Maincubes einen tieferen Einblick. „Der Kostenrahmen liegt bei rund 80.000 bis 120.000 Euro für eine Erstzertifizierung im RZ-Bereich.“

Die eigentliche Zertifizierung dauert dann laut Michael Hartmann je nach Art einen oder mehrere Tage. Zu unterscheiden sei allerdings zwischen Erstzertifizierung und Überwachsungsaudits, die im Anschluss regelmäßig folgen und nicht ganz so umfangreich sein sollen. „Vernachlässigbar ist der Aufwand jedoch auch hier nicht, denn es gilt, die permanente Einhaltung der Zertifizierungsvoraussetzungen nachzuweisen“, betont der Country Manager. Die meisten Zertifizierungen seien für einen definierten Zeitraum, meist von einem Jahr, gültig und werden daher regelmäßig durch ein Überwachungsaudit überprüft. Dies sei notwendig, da sich Anforderungen im Laufe der Zeit ändern würden. Daher unterscheide sich auch die Vorbereitung auf jene Audits von Jahr zu Jahr.

Dies ist ein Artikel aus unserer Print-Ausgabe 12/2016. Bestellen Sie ein kostenfreies Probe-Abo.

„Jeder von uns weiß, dass ein modernes Auto ein ABS für die Sicherheit haben muss“, bringt Papenberg abschließend eine treffende Analogie. „Aber wie und bei welchem Hersteller unterschiedliche Funktionen im Detail gegeben sind, ist nicht bekannt. Das ABS muss vorhanden sein und mindestens den geltenden Richtlinien standhalten. Und genau diese ‚Einfachheit’ soll auch über die verschiedenen Zertifizierungen und Normen erreicht werden.“ Dies ermögliche einem Interessenten oder Kunden letztlich einen schnelleren Entscheidungsprozess bei der Wahl „seines“ RZ-Betreibers. Es spare allen Seiten Zeit und Ressourcen bei Planung und Umsetzung.


Neue Norm jetzt prüfbar


Die neue europäische Norm EN 50600 geht über die bislang schon existierenden Standards und Verordnungen für einzelne Rechenzentrumsgewerke hinaus: Mit ihr gibt es erstmals eine Normenreihe am Markt, welche die Anforderungen an ein Rechenzentrum (RZ) ganzheitlich in Form eines Leitfadens beschreibt. Der Kriterienkatalog Trusted Site Infrastructure (TSI) in der Version 4.0 stellt dieser RZ-Norm nun eine kompakte Prüfvorschrift zur Seite, mit der die Anforderungen der Norm abgeglichen werden können.

Quelle: TÜViT


Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH