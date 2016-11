ITM: Herr Hellwig, wo lauern Ihrer Erfahrung nach derzeit die ­größten Gefahren für einen sicheren Betrieb von Rechenzentren?

Robert Hellwig: Durch die zunehmende Zentralisierung der Daten vieler Unternehmen an einer Stelle steigt das Risiko, da potentielle Angreifer solche RZ-Betreiber im Visier haben. Hinzu kommen oftmals ein nicht ausreichender Zutrittsschutz sowie keine bzw. eine unzureichende Zertifizierung. Im Vorfeld fehlen außerdem Risikoanalysen und die Gesamtsicht der IT auf den Themenblock RZ und RZ-Sicherheit, somit auf IT, Physik, Organisation und die Prozesse. Ein weiterer Punkt ist der Mangel an qualifiziertem Personal und der Loyalität der eigenen Mitarbeiter. Dadurch hat der IT-Bereich kaum mehr Kontrolle über kritische Unternehmensdaten. Das Stichwort lautet hier: Schatten-IT durch Fachbereiche.



ITM: Welche Rolle spielt dabei die zunehmende Nutzung aktueller Technologien wie Cloud Computing, Big Data, Software-defined ­Everything oder Internet der Dinge?

Hellwig: Cloud Computing ist einfach nutzbar, aber auch gefährlich. Kein Nutzer kann wirklich sagen, wohin seine Daten gehen und wer darauf zugreifen kann. Die Cloud ist vordergründig billiger. Wegen der unkalkulierbaren Risiken wie z.B. Datenabwanderung, Datenverfälschung oder Verfügbarkeit ist sie aus Firmensicht deswegen nicht zwingend preiswerter, sondern kann sogar existenzbedrohend werden.

Ohne sich der Folgen und Risiken insgesamt bewusst zu sein, weichen Unternehmen häufig aber nur infolge von Big Data auf Cloud-Lösungen aus. Das Problem sind hier die großen Datenmengen. Sie benötigen viel und skalierbaren Speicherplatz sowie eine hohe Rechenleistung, um sie auszuwerten. Klassisch aufgebaute Rechenzentren und starke Budgetbeschränkungen bieten nur selten diese Rahmenbedingungen. Software-defined Everything ist die Entkoppelung der klassischen Zuordnungen von Hard- zu Software. Alles wird vorwiegend unter dem Ansatz höchster Flexibilität virtualisiert, wodurch die Systemgrenzen verschwimmen. Infolgedessen versagen die meisten bisherigen Sicherungs- und Sicherheitskonzepte. Zudem wird durch das Internet der Dinge alles Mögliche ans Web angebunden. Auch hier versagen klassische Sicherungskonzepte. Neue Einbruchstellen entstehen, da „Dinge“ in der Regel schlechter abgesichert oder absicherbar sind.



ITM: Welche Schritte sollten Data-Center-Verantwort­liche unternehmen, um die erwähnten Gefahren erfolgreich bannen zu können?

Hellwig: In erster Linie muss das Bewusstsein im Unternehmen und insbesondere auf Geschäftsleitungsebene geschaffen werden, wie wichtig eine Ermittlung und Bewertung von Risiken, Bedrohungen oder Gefahren der Externalisierung für die unternehmenskritischen Informationen ist. Neutrale Risikoanalysen und Präsentation der Ergebnisse auf Geschäftsführungsebene sollten regelmäßig durchgeführt werden. Zudem muss den Fachbereichen, gegebenenfalls auch unter Androhung von Sanktionen, verboten werden, Unternehmensdaten ohne Autorisierung extern zu speichern.

Ein weiterer Schritt ist ein Gesamtkostenvergleich zwischen möglichen Outsourcing-, Hosting- oder Housing-Initiativen gegenüber dem Eigenbetrieb, da diese dann in den meisten Fällen schlechter abschneiden. Aber auch bei einem Kostenvorteil sollten Verantwortliche mindestens ein eigenes RZ betreiben, möglichst auf dem eigenen Gelände. Das gilt insbesondere für Unternehmen, die als „Kritische Infrastruktur“ (Kritis) gelten. Schließlich hilft immer eine dreidimensionale Betrachtung: Firewalls & Co. sind nicht alles. Auch Physik, Organisation und Prozesse sind entscheidend. Wenn vor allem in strukturschwachen Gebieten qualifiziertes Personal fehlt, können Kooperationen mit externen Dienstleistern sinnvoll sein, die verschiedene Bereiche des Rechenzentrums betreiben.



ITM: Mit welchen Lösungen unterstützen Sie die Kunden bei der Abwehr potentieller Attacken?

Hellwig: Mit der Tochterfirma Securisk bietet die Data Center Group Beratung rund um alle Informationssicherheitsthemen. Dazu zählen u.a. bereits im Vorfeld Risikoanalysen, der Aufbau und die Optimierung von Sicherheitsorganisation und -prozessen (z.B. ein ISMS nach ISO/IEC 27001) sowie von Betriebsführungs­management (z.B. nach Itil).

Die Töchter RZingcon und ProRZ planen und realisieren Hochverfügbarkeitsrechenzentren mit definierten Redundanzen und Effizienzzielen. RZservices bietet den durchgängigen Betrieb von kundenspezifischen Rechenzentren auf der Basis von vertraglich geregelter Effizienz- und Verfügbarkeitsziele. Durch qualifiziertes Personal entfällt das beim klassischen Housing notwendige Teilen von Fläche, Datennetzen oder anderen Ressourcen mit unbekannten Dritten bei ähnlichen Betriebskosten. RZproducts schließlich hat sich der Herstellung von physikalischen, zertifizierten RZ-Sicherheitslösungen zum Schutz gegen Bedrohungen wie Feuer, Staub, Einbruch und Wasser verschrieben. Zum IT-Sicherheitsraumportfolio gehören zudem Monitoring-Systeme zur exakten Messung und Überwachung der definierten Effizienz- und Verfügbarkeitsziele.