12.12.2016 Zertifizierer legen Wiederholungsrate fest

Weniger Aufwand bei Zweitzertifizierung von Rechenzentren

Von: Lea Sommerhäuser

Die Wiederholung von Rechenzentrumsprüfungen regele jeder Zertifizier für sich, berichtet Joachim Faulhaber, stellvertretender Bereichsleiter IT Infrastructure bei der TÜV Informationstechnik GmbH (TÜViT), im Interview. Eine Zertifizierung nach TSI sei z.B. zwei Jahre gültig. Die Wiederholungsprüfung sei vom Aufwand zirka ein Drittel der Erstzertifizierung.

Joachim Faulhaber, TÜViT

„Die Zahl der Zertifizierer steigt“, weiß Joachim Faulhaber von TÜViT. „Jeder Anbieter ist mit seiner eigenen Prüf- und Bewertungsgrundlage unterwegs.“

IT-DIRECTOR: Herr Faulhaber, welchen Einfluss übt derzeit die Digitalisierung auf die Betriebssicherheit von Rechenzentren (RZ) und Serverräumen aus?
J. Faulhaber:
Im Zuge von Cloud Computing, zunehmender Digitalisierung und Industrie 4.0 entwickeln sich Rechenzentren noch mehr als bisher zu Knotenpunkten von IT-Infrastrukturen. Der Datenverkehr wächst stetig. Dieser fließt zu den Rechenzentren und wird verteilt. Auch das IT-Sicherheitsgesetz und Unternehmen, die zu den sogenannten „kritischen Infrastrukturen“ (KRITIS) zählen, rücken die physische Sicherheit von Rechenzentren zunehmend in den Fokus.

IT-DIRECTOR: Welche Rolle spielen an dieser Stelle Zertifizierungen für Rechenzentren? Inwieweit müssen sich Geschäfts- und IT-Leitung diesem Thema stellen?
J. Faulhaber:
Zertifizierungen werden für Betreiber von Rechenzentren immer wichtiger. Das zeigt auch die wachsende Zahl von Zertifizierungsanbietern am Markt. Auch durch das neue IT-Sicherheitsgesetz rücken Zertifizierungen zunehmend auf die Tagesordnung von Rechenzentren. Es macht Unternehmen, die sogenannte „kritische Infrastrukturen“ (KRITIS) betreiben, feste Vorgaben. Damit sind auch die Rechenzentren dieser Unternehmen mittelbar oder unmittelbar den Vorgaben des Gesetzes betroffen.

IT-DIRECTOR: Welche konkreten Vorteile ergeben sich für RZ-Anbieter, wenn sie ihr Rechenzentrum zertifizieren lassen?
J. Faulhaber:

•    Unternehmen erhalten Sicherheit bei der Planungsvergabe neuer Rechenzentren, vor allem wenn die Zertifizierung zum Ausschreibungsbestandteil wird.
•    Das Zertifikat dient als Vertrauensnachweis für eine bessere Marktpositionierung.
•    Die Qualität der eigenen Projektsteuerung wird gesichert und verbessert.
•    Das Vertrauen vonseiten überwachender Institutionen festigt sich.
•    Die Zertifizierung dient als Nachweis für die Innenrevision und Wirtschaftsprüfer.
•    Das Zertifikat ermöglicht eine positive Risikobewertung durch Versicherungsunternehmen.

IT-DIRECTOR: Welche RZ-Zertifizierungstypen/-arten gibt es überhaupt?
J. Faulhaber:
Wenn es um die Prozesse und Abläufe geht, haben sich insbesondere ISO-Normen etabliert: z.B. die Qualitätsmanagement-Norm ISO 9001, die generell überprüft, ob die Prozesse eines Rechenzentrums qualitätsgesichert sind, oder spezifischer die ISO 27001 für das Management der Informationssicherheit. Wenn es um die physische Sicherheit geht, sind Prüfvorgaben wie TSI (Trusted Site Infrastructure) oder die neue europäische Norm EN 50600 relevant, da sie Vorgaben zur physischen Sicherheit machen.

IT-DIRECTOR: Welche Zertifizierungen werden hiervon tatsächlich gebraucht bzw. sind ggf. auch Pflicht, welche sind eher ein „nice to have“?
J. Faulhaber:
Die ISO 27001 kommt häufig zur Anwendung und ist in einigen Vorgaben verankert. Die Prüfung der physischen Rechenzentrumssicherheit und -versorgungsqualitäten nach TSI (in der klassischen Variante oder auf Basis der EN 50600) ist zwar nicht verpflichtend, dennoch setzen immer mehr Unternehmen auf derartige Nachweise, um eine verlässliche Risikoeinschätzung und Aussage über die Güte ihrer Rechenzentren zu erlangen.

IT-DIRECTOR: Wie gestaltet sich der Markt offizieller Zertifizierungsstellen? Nach welchen Kriterien sollten RZ-Anbieter den Zertifizierer auswählen?
J. Faulhaber:
Die Zahl der Zertifizierer steigt. Jeder Anbieter ist mit seiner eigenen Prüf- und Bewertungsgrundlage unterwegs. Somit sind die angebotenen Zertifikate nur zum Teil oder gar nicht miteinander vergleichbar. Deshalb empfehlen wir Unternehmen genau hinzuschauen, auf welcher Grundlage die jeweiligen Prüfkataloge entstanden sind, was sie im Detail abdecken und wie vollständig sie bestimmte Normen repräsentieren können. Darüber hinaus gilt es zu prüfen, über wie viele Prüfressourcen ein Anbieter verfügt und welche Kompetenzen diese aufweisen. Desweiteren sollten RZ-Verantwortliche klären, inwieweit der Zertifizierer selbst anerkannten Vorgehensweisen und Regeln wie z.B. ISO 17065 folgt.

IT-DIRECTOR: Wie läuft die eigentliche Zertifizierung ab? Mit welchem Aufwand (zeitlich, personell, finanziell) ist sie verbunden?
J. Faulhaber:
Der typische Ablauf einer Zertifizierung nach TSI sieht wie folgt aus:
•    Prüfung der Dokumentation (Sicherheitskonzept, Ausführungsbeschreibungen und Erläuterungsberichte, Pläne und Schemata, etc.)
•    Vor-Ort-Audit zur Überprüfung der geplanten und umgesetzten Infrastrukturmaßnahmen
•    Erstellung eines aussagekräftigen und belastbaren Prüfbericht
•    Zertifikatserteilung und -veröffentlichung bei Erfüllung aller Anforderungen

In einer Prüfung können bis zu sechs Experten für die einzelnen Themengebiete involviert sein. Die Aufwände richten sich in der Regel nach Größe des Rechenzentrums und dem nachzuweisenden Verfügbarkeitsniveau. Dies bedeutet eine Spanne von zehn bis 50 Personentage.

IT-DIRECTOR: Gelten Zertifizierungen nur für einen bestimmten Zeitraum? Sprich: Müssen sie nach einer gewissen Zeit wiederholt werden?
J. Faulhaber:
Die Wiederholung von Prüfungen regelt jeder Zertifizier für sich. Eine Zertifizierung z.B. nach TSI ist zwei Jahre gültig. Die Wiederholungsprüfung ist vom Aufwand zirka ein Drittel der Erstzertifizierung.

IT-DIRECTOR: Was besagt die noch relativ neue europäische Norm EN 50600?
J. Faulhaber:
Derzeit führt diese Norm offenbar schon zu einem größeren Zertifizierungsangebot, obschon sie mehr als Leitfaden und nicht als Prüfvorgabe konzipiert ist. Ihr fehlen ein Prüf- und Zertifizierungsschema. TSI ist derzeit das bekannteste Angebot, das als Prüfvorgabe für die EN 50600 dient.

IT-DIRECTOR: Inwieweit ist die Norm verbindlich für den Bau und Betrieb eines RZ?
J. Faulhaber:
Aus gesetzlicher Sicht lässt sich keine Verpflichtung ableiten, dennoch wird sie häufig in Verträgen unter der Maßgabe zitiert, dass eine Konformität zur Norm sicherzustellen ist. Aufgrund des Leitfadencharakters ist dies allerdings schwierig, so dass es Tendenzen gibt, eher einen Prüfkatalog als Basis der Verpflichtung in einem Vertrag aufzunehmen, da dieser dann auch von einem neutralen Dritten 1:1 überprüft werden kann.

IT-DIRECTOR: Inwieweit kann/wird sich die Norm Ihrer Ansicht nach noch ändern und die RZ-Praxis beeinflussen?
J. Faulhaber:
Die EN 50600 ist eine relativ neue Norm. Sie macht Vorgaben zu sehr vielen Fachthemen, die bei einem Rechenzentrum eine wichtige Rolle spielen, wie z.B. Gebäudekonstruktion, Stromversorgung, Kälteversorgung, Verkabelung, Sicherheitssysteme, Betrieb, etc. Damit hat man sich sehr viel vorgenommen und es liegt in der Natur der Sache, dass mit dem ersten Wurf auch noch Verbesserungspotentiale einhergehen. Insbesondere muss sich diese Norm in der Praxis behaupten, so dass Weiterentwicklungen der Norm abzusehen sind. Sicherlich wird die Norm auch Einfluss auf den Betrieb eines Rechenzentrums nehmen, da sie Betriebs- und Management-Prozesse beschreibt, die in vielen Rechenzentren noch verbesserungswürdig sind.

Bildquelle: TÜViT

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH