Worauf RZ-Verantwortliche beim Bau von Rechenzentren achten sollten

Eine Zertifizierung nach ISO 27001 gehört heute zum Standard für den professionellen RZ-Betrieb. Auch Informationssicherheitsmanagementsysteme (ISMS) werden bereits in vielen Datacentern umgesetzt. Selbst ein gut gelebtes ISMS reicht jedoch alleine nicht aus, um ein Rechenzentrum wirklich ausfallsicher zu betreiben. Zudem sind noch immer die Planungsgrundlagen für die IT-Sicherheit in der RZ-Infrastruktur in zu vielen Unternehmen ungenügend. Nicht umsonst zählen zu den häufigsten Fragen: Wie sicher ist die IT-Infrastruktur wirklich? Was muss beachtet werden, um eine sichere RZ-Infrastruktur zu bauen? Welcher echte Mehrwert ergibt sich durch ein Generalunternehmen als Partner? Die Antworten können umso detaillierter ausfallen, je genauer und übersichtlicher der Sicherheitsbereich im Rechenzentrum geplant wird.

Leider wird dabei allzu oft der Bereich Facility-Management im Datacenter nur stiefmütterlich betrachtet. Das dürfte nicht zuletzt an dem Kommunikationsproblem zwischen IT-Management und Facility-Management liegen. Und auch das ISMS berücksichtigt die RZ-Gebäudetechnik bisher nicht ausreichend. Die Planungsgrundsätze aus der EN 50600 betrachten daher erstmals umfassend alle Bereiche der RZ-Infrastruktur und bieten gleichzeitig verschiedene Schnittstellen zum ISMS. Die Grundlage für die gesamte RZ-Planung ist somit eine ausführliche Risikoanalyse. Nach EN 50600 setzt sie sich aus einer Geschäftsrisikoanalyse und einer Ereignisrisikoanalyse zusammen.

Erstere soll die Fragen beantworten, welcher Schaden entsteht, wenn der Geschäftsprozess X ausfällt, welche Prozesse mit welchen Anwendungen laufen und welche IT-Hardware dafür eingesetzt werden soll. Die Antworten darauf kann ein gutes ISMS heute schon liefern. Die Geschäftsrisikoanalyse betrachtet allerdings nicht, beziehungsweise nur in geringem Maße, die RZ-Gebäudetechnik. Dabei sind die Bedrohungspotenziale gerade in Bezug auf die physische Infrastruktur von Rechenzentren in den letzten Jahren deutlich größer geworden.

Deshalb sollte die Ereignisrisikoanalyse die Planung ergänzen. Hier werden zum Beispiel Fragen wie „welche Bedrohungspotenziale existieren“ und „wie können diese verringert werden“ beantwortet. Denn: Mögliche Gefahren für den RZ-Betrieb gibt es viele. Zum Beispiel kann ein Brand im direkten Umfeld entstehen. Vor allem bei RZ-Infrastrukturen in Bestandsgebäuden ist das fast immer zu berücksichtigen. Aber auch der Ausfall der externen Stromversorgung muss immer bedacht werden. Für eine Bewertung des Risikos wird dann jede einzelne Bedrohung bezüglich ihrer Auftrittswahrscheinlichkeit und ihrer Auswirkung bewertet.

Gerade für das resultierende Sicherheitskonzept müssen bei der Rechenzentrumsplanung und beim -bau nahezu alle Gewerke im Zusammenspiel betrachtet werden. Eine isolierte Betrachtung der IT- respektive RZ-Sicherheit birgt immer die Gefahr, dass insbesondere die Schnittstellen zwischen den Gewerken im späteren Betrieb nicht die notwendigen Sicherheitsanforderungen erfüllen. Das führt nicht nur dazu, dass die Sicherheitslücken vorhanden sind, sondern meistens auch zu deutlich überhöhten Kosten im Sicherheitskonzept.

Die Vorzüge der Planung mithilfe eines Generalunternehmens liegen hier auf der Hand: Zunächst wird der Abstimmungsaufwand deutlich reduziert, da der Generalunternehmer genau einen Verantwortlichen für die gesamte Schnittstellenkoordination stellt. Infolge des Tagesgeschäftes, bietet er die notwendige Erfahrung bei der ganzheitlichen Planung und Umsetzung. Bereits bei der Risikoanalyse im Vorfeld der Planung berät er dabei umfassend, gewerkeübergreifend und neutral. Und nicht zuletzt übernimmt der Generalunternehmer die volle Haftung für die fach- und termingerechte Auftragserfüllung.