15.12.2016 Überprüfung von Rechenzentren

„Zertifizierungsstellen schießen wie Pilze aus dem Boden“

Von: Lea Sommerhäuser

Michael Hartmann, Country Manager von Interoute Germany, weiß: „Aktuell schießen Zertifizierungsstellen wie Pilze aus dem Boden.“ Entscheidend sei die Akzeptanz der jeweiligen Zertifizierung am Markt. Sie entscheide am Ende darüber, ob sich neue Zertifikate und damit die zertifizierenden Stellen durchsetzen.

Michael Hartmann, Interoute

„Jede Norm ändert sich und wird im Laufe der Zeit angepasst, da es technologische und sicherheitsrelevante Entwicklungen gibt“, betont Michael Hartmann von Interoute.

IT-DIRECTOR: Herr Hartmann, welchen Einfluss übt derzeit die Digitalisierung auf die Betriebssicherheit von Rechenzentren (RZ) und Serverräumen aus?
M. Hartmann:
Die Digitalisierung bzw. die intensive Nutzung des Internets stellt Betreiber von Rechenzentren vor enorme Herausforderungen, insbesondere mit Blick auf die Sicherheit. Die Schutzmechanismen, um Systeme vor feindlichen Angriffen zu schützen, sind daher in den vergangenen Jahren deutlich verstärkt worden.

IT-DIRECTOR: Welche Rolle spielen an dieser Stelle Zertifizierungen für Rechenzentren? Inwieweit müssen sich Geschäfts- und IT-Leitung diesem Thema stellen? Welche konkreten Vorteile ergeben sich für RZ-Anbieter, wenn sie ihr Rechenzentrum zertifizieren lassen?
M. Hartmann:
Zertifizierungen sind wichtig, da sie externen Unternehmen und Einrichtungen zeigen, dass Sicherheitsstandards erfüllt werden. In vielen Fällen ist es auch Grundvoraussetzung für das Geschäft, denn Kunden setzen für eine Zusammenarbeit gewisse Zertifizierungen voraus. Daneben dienen Zertifikate auch intern als Kontrollmechanismen und gute Methode, um die wichtigen Standards permanent einzuhalten. Für den Betreiber ist der Blick von außen wertvoll, um seine Prozesse zu überprüfen und gegebenenfalls zu optimieren.

IT-DIRECTOR: Welche RZ-Zertifizierungstypen/-arten gibt es überhaupt?
M. Hartmann:
Zu den wichtigsten Zertifizierungen gehören die ISO 27001, die international führende Norm für Informationssicherheits-Management-Systeme, der BSI IT-Grundschutz, der auf ISO 270001 basiert, und die PCI DSS, ein Regelwerk im Zahlungsverkehr, das Standards bei der Abwicklung von Kreditkartentransaktionen definiert. Daneben gibt es immer mehr Zertifizierungen beispielsweise für „grüne“ Rechenzentren, garantierte Verfügbarkeit und viele weitere Aspekte.

IT-DIRECTOR: Welche Zertifizierungen werden hiervon tatsächlich gebraucht bzw. sind ggf. auch Pflicht, welche sind eher ein „nice to have“?
M. Hartmann:
Zertifizierungsverfahren sind sehr kostenintensiv, daher muss die Kosten-Nutzen-Relation stimmen. ISO 27001, BSI-Grundschutz und PCI-DSS sind wichtig und gebräuchlich, da sie Aufschluss über Sicherheitsstandards geben und Kunden diese auch einfordern. Daneben gibt es Zertifizierungen, die eher Marketing-Zwecken dienen.

IT-DIRECTOR: Wie gestaltet sich der Markt offizieller Zertifizierungsstellen? Nach welchen Kriterien sollten RZ-Anbieter den Zertifizierer auswählen?
M. Hartmann:
Aktuell schießen Zertifizierungsstellen wie Pilze aus dem Boden. Entscheidend ist die Akzeptanz der jeweiligen Zertifizierung am Markt. Sie entscheidet am Ende darüber, ob sich neue Zertifikate und damit die zertifizierenden Stellen durchsetzen. Die Auswahl der Auditoren sollte sich insbesondere nach der Erfahrung der Prüfer richten sowie auch nach der Internationalität des Anbieters. Sie spielt insbesondere dann eine Rolle, wenn Rechenzentrumsanbieter weltweit Rechenzentren betreiben. Kosten spielen bei der Auswahl eine untergeordnete Rolle, da die Gebühren der Auditoren einheitlich festgelegt sind.

IT-DIRECTOR: Wie läuft die eigentliche Zertifizierung ab? Mit welchem Aufwand (zeitlich, personell, finanziell) ist sie verbunden?
M. Hartmann:
Der Aufwand ist in jeder Hinsicht enorm und beginnt lange vor der eigentlichen Zertifizierung. Prozesse müssen nicht nur beschrieben und dokumentiert, sondern auch deren Einhaltung nachgewiesen werden. An jedem Standort gibt es daher bei uns einen Mitarbeiter, der Audits vorbereitet und begleitet. Die eigentliche Zertifizierung kann je nach Art einen oder mehrere Tage dauern. Zu unterscheiden ist außerdem zwischen Erstzertifizierung und den Überwachungsaudits, die im Anschluss regelmäßig folgen und nicht ganz so umfangreich sind. Vernachlässigbar ist der Aufwand jedoch auch hier nicht, denn es gilt, die permanente Einhaltung der Zertifizierungsvoraussetzungen nachzuweisen. Die Frage nach den Kosten kann nicht pauschal beantwortet werden, da der Aufwand je nach Zertifizierung unterschiedlich ist.

IT-DIRECTOR: Wie oft müssen Zertifizierungen wiederholt werden?
M. Hartmann:
Die meisten Zertifizierungen sind für einen definierten Zeitraum, meist von einem Jahr, gültig und werden daher regelmäßig durch ein Überwachungsaudit überprüft. Dies ist notwendig, da sich Anforderungen im Laufe der Zeit ändern. Daher unterscheidet sich auch die Vorbereitung auf die Überwachungsaudits von Jahr zu Jahr.

IT-DIRECTOR: Was besagt die noch relativ neue europäische Norm EN 50600?
M. Hartmann:
In der EN 50600 werden in sieben Teilen alle Aspekte rund um die Rechenzentrumsinfrastruktur behandelt. Sie bietet einen Praxisleitfaden für Konzeption, Einrichtung und Betrieb. Als Orientierung ist die Norm sinnvoll, da sie einen Überblick über die bewährten Vorgehensweisen gibt.

IT-DIRECTOR: Inwieweit ist die Norm verbindlich für den Bau und Betrieb eines RZ?
M. Hartmann:
Die Norm ist nicht verbindlich und wird es voraussichtlich auch nicht. Sollten Kunden den Nachweis der Norm verlangen, müssen sich die Betreiber allerdings zwangsläufig mit einer Zertifizierung auseinandersetzen.

IT-DIRECTOR: Inwieweit kann/wird sich die Norm Ihrer Ansicht nach noch ändern und die RZ-Praxis beeinflussen?
M. Hartmann:
Jede Norm ändert sich und wird im Laufe der Zeit angepasst, da es technologische und sicherheitsrelevante Entwicklungen gibt. Diese werden von einem Gremium kontinuierlich beobachtet und die Norm aktualisiert. Die Praxis wird sie dahingehend beeinflussen, dass Unternehmen sich beim Neubau von Rechenzentren an ihr orientieren werden, da sie die Best Practices abbildet.

Bildquelle: Interoute

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH