Mal eben schnell zertifiziert

Gemeinsam mit dem DataCenter-Insider hat die   Data Center Group eine kleine Ratgeberreihe aufgesetzt. Inhalt sind Praxistipps rund um das Datacenter.

Nur das einfache Abhaken der Anforderungen aus den Normen wie EN 50600 oder ISO 27001 reicht nicht aus für ein normkonformes Data-

center beziehungsweise dessen Betrieb. Ein Irr­glaube, der bei Audits regel­mäßig zu Frust­rationen führt. Zwar stimmt es, dass Audi­toren das Objekt inspizieren und am Ende das Zertifikat erteilen, jedoch eben nicht immer. Denn: Prüfer nehmen das RZ nicht nur rein technisch ab, sie stellen auch Fragen zur Orga­nisation oder zu den Management­prozessen.

Datacenter-Betreiber können die Prüfung daher deutlich zu ihren Gunsten beeinflussen, indem sie einige Vor­kehrungen treffen. Ähnlich wie bei einem Darlehen bei der Bank, beginnt ein Audit mit einer ordentlichen Vorbereitung. Darüber hinaus helfen auch Erfahrungs­werte und Kontinuität. Drei Tipps.

Die Vorbereitung ist das A und O einer Zertifizierung. RZ-Verantwortliche sollten sich darüber im Klaren sein, wozu sie die Zertifizierung brauchen, was sie erreichen wollen und welchen Nutzen das Zertifikat für ihr Unternehmen haben soll. Das gilt auch, wenn sie zu einer Zertifizierung wie der ISO 27001 verpflichtet sind, zum Beispiel als Betreiber kritischer Infra­strukturen. Ein Audit­termin ohne gute Vor­bereitung hat meist wenig Aussicht auf Erfolg. Anhand der bekannten Prüf­kriterien oder ent­sprechenden Workshops können Data­center-Betreiber für die meisten Zertifizierungen im Vorfeld in Er­fahrung bringen,

was beim Audit genau erwartet wird. Für eine optimale Vorbereitung sollten sie sich auch über die Hinter­gründe der Prüfkriterien informieren. Bei einer komplexen Gebäude­prüfung wie der nach EN 50600 beispiels­weise, kann es ohne Mindestmaß an Vorbereitung schnell passieren, dass Geprüfte unsachgemäße Antworten geben. Wenn sie zum Beispiel ihr Sicherheits­konzept nicht erklären können, haben sie schlechte Chancen, das Zertifikat zu erhalten. Größere Hilfe­stellung des Auditors ist hier in der Regel nicht zu erwarten.

Denn: Der Auftrag eines Auditors ist es nicht, zu beraten oder Maß­nahmen vorzuschlagen. Im Gegenteil, er darf meistens gar nicht beraten. Seine Aufgabe besteht darin, dem Datacenter-Betreiber die relevanten Fragen für das Audit zu stellen und die Antworten nach einem vorgegebenen Bewertungs­schema zu beurteilen. Auditoren müssen sich ihr Urteil unabhängig und neutral bilden können. Eine Beratungs­tätigkeit für den zu prüfenden Kunden – insbesondere eine bezahlte – ist daher in den sogenannten ge­regelten (akkreditierten) Prüf­verfahren nicht zulässig

Über den Autor

Marc Wilkens ist Mitglied im Normungskomitee EN 50600 und Auditor für die ISO 27001 und für das RAL-UZ 161 im Auftrag des TÜV Hessen.

Zuweilen kommt es auch vor, dass Datacenter-Verantwortliche trotz des Wissens um eine erforderliche Zertifizierung, schon während der Planung oder des Bauvorgangs Entscheidungen treffen, die nicht normkonform sind. Die dann unausweichlichen Umbaumaßnahmen sind sowohl kostspielig als auch zeitintensiv. Ein Fehler, der leicht vermeidbar ist,

wenn sie die Erfahrung von Fachleuten nutzen. Natürlich kann auch ein fachfremder Architekt beispielsweise einen IT-Sicherheitsraum planen und umsetzen. Infolge der fehlenden Fachkenntnis für IT-Infrastrukturen ist es dann aber nicht selten der Fall, dass die Räume nachgebessert werden müssen,

da sie eben nicht den notwendigen Schutz vor unberechtigtem Zutritt, Feuer, Wasser oder Explosionen bieten. Entscheidend ist daher ein Datacenter-Experte, der den Bauprozess und am besten auch die Planung begleitet.

Datacenter-Betreiber sollten sich auch überlegen, welche Ressourcen sie für eine Zertifizierung zur Verfügung stellen können. Sie sollten einplanen, dass Mitarbeiter beauftragt und organisatorische Maßnahmen getroffen werden müssen. Besonders vor dem Hintergrund einer zwangsläufigen Re-Zertifizierung. Sie erfolgt in der Regel alle zwei bis drei Jahre und prüft, ob das Datacenter und sein Betrieb noch den Normen entsprechen.

Insbesondere die Umsetzung etwaiger Verbesserungsauflagen aus den vorherigen Audits muss nachgewiesen werden. Viele Unternehmen verzögern oder verschlafen die konsequente Einführung eines kontinuierlichen Verbesserungsprozesses, bis sich der Auditor erneut anmeldet. Meistens fehlen dann Dokumente oder sie wurden nicht gepflegt. Ad hoc wird eilig versucht,

alle Auflagen umzusetzen respektive Nachweise zu beschaffen. Dieses Vorgehen ist meist wenig effektiv: Maßnahmen werden vergessen oder sind zeitlich nicht mehr zu leisten. Zudem merken erfahrenere Auditoren umgehend, wenn Unternehmen zwei Jahre lang nichts getan haben.