EN 50600, ISO 27001, TSI & Co.

Warum RZ-Zertifizierungen wichtig sind

26. Juni 2018, 7:00 Uhr | Richard Hartmann

Es gibt weltweit und in Deutschland unterschiedliche Normen, deren Regularien explizit Rechenzentren betreffen. Teils überschneiden sie sich in ihren Auswirkungen, teils decken sie völlig unterschiedliche Bereiche ab. Gemeinsam haben diese Zertifizierungen jedoch, dass sie Leistungen von Rechenzentren vergleichbar machen und einen (prozess-) technischen Mindeststandard garantieren. Zudem können Unternehmen dadurch ihre Compliance nachweisen.

Bisher betrieben Unternehmen ihre Server oft in Rechnerräumen innerhalb des eigenen Firmengebäudes. Häufig rechnet sich dies jedoch nicht mehr: Aufgrund der hohen Datenmengen und erforderlichen Rechenleistung muss ein Rechenzentrum sehr energieeffizient arbeiten. Das ist technisch sehr aufwändig und damit teuer in der Anschaffung. Ohne einen guten PUE-Wert (Power Usage Effectiveness) ist jedoch der RZ-Betrieb nicht kosteneffizient. Des Weiteren sind auch die heute nötigen Sicherheitsmaßnahmen wie das EMV-Konzept oder die mehrfach redundante Stromversorgung mit hohen Investitionen verbunden.

Aus dieser Situation heraus müssen viele Unternehmen Betrieb und Daten an externe Rechenzentrumsbetreiber auslagern. Dann müssen sie sich entscheiden, welcher RZ-Betreiber der richtige für sie ist. Denn es gibt immer mehr gesetzliche Auflagen und Compliance-Vorschriften, die hohe Anforderungen an die Daten- und IT-Sicherheit stellen, darunter die neue Datenschutz-Grundverordnung (DSGVO). Zugleich haben die Unternehmen auch selbst ein vitales Interesse daran, dass ihre Daten und Anwendungen vor Fremdzugriffen und Angriffen geschützt und jederzeit verfügbar sind.

Bei der Auswahl des passenden RZ-Providers sind Zertifizierungen hilfreich. Sie machen die Leistungen der Rechenzentren vergleichbar, garantieren Mindeststandards und erlauben es auch, gegenüber Regulierern und Wirtschaftsprüfern darzulegen, dass man sauber und ordnungsgemäß arbeitet sowie Vorschriften einhält.

Normen wie ISO 27001 und EN 50600 sind zwar rechtlich nicht vorgeschrieben, sie haben aber gemein, dass die darin beschriebenen Technologien und Prozesse den aktuellen "Stand der Technik" abbilden. Unternehmer, die sich nicht daran orientieren, laufen künftig Gefahr, wegen fahrlässigen Verhaltens belangt zu werden. Daher ist zu erwarten, dass mehr und mehr Ausschreibungen, Compliance-Richtlinien und Wirtschaftsprüfer die Einhaltung fordern und überprüfen werden. Oft sind diese Anforderungen zudem transitiv: Betriebe, die eine Zertifizierung nach ISO/IEC 27001 anstreben, müssen auch nachweisen, dass ihre Zulieferer danach arbeiten und entsprechend zertifiziert sind.

Zertifizierungen wie die neue EN 50600 oder ISO 27001 fordert heute fast jeder Kunde bei der Vergabe von RZ-Dienstleistungen. Auch die Anforderung einer 27001-Zertifizierung ist in nahezu jeder Ausschreibung enthalten. Dies ist zwar bei der EN 50600 heute noch nicht der Fall, doch zeichnet es sich ab, dass die Lage hier in absehbarer Zeit ähnlich sein wird.

ISO/IEC 27001 und EN 50600

Es gibt unterschiedliche Normen für die Sicherheit und Zuverlässigkeit eines Rechenzentrums und jeweils Zertifikate, die dies bescheinigen. Sie beschreiben bauliche Vorschriften ebenso wie prozesstechnische Regeln und Vorgehensweisen. Teilweise überschneiden sie sich und decken dieselben oder ähnliche Bereiche ab - etwa die vergleichsweise neue Norm EN 50600, Zertifikate von Instituten wie TÜViT, dem Uptime Institute oder TIA-942. Andere Normen wiederum, etwa ISO 27001, decken komplett andere Bereiche ab; wieder andere - wie der BSI-IT-Grundschutzkatalog - haben eine Querschnittsfunktion.

LL07S01b
Die Bestandteile der EN 50600. Bild: SpaceNet

Explizit zugeschnitten auf RZ-Belange und deshalb als Beurteilungskriterium besonders geeignet ist die EN 50600 in Kombination mit dem eher allgemein gehaltenen ISO/IEC-Management-Standard 27001. Sie ergänzen sich inhaltlich und decken in Kombination alle nötigen Bereiche ab, um ein hochsicheres Rechenzentrum aufzubauen und zu betreiben. Vereinfacht gesagt konzentriert sich die EN 50600 auf die Absicherung vom Baugrund bis hin zum laufenden Rechner mit Strom und Kühlung, ISO/IEC 27001 deckt die Bereiche vom laufenden Rechner bis zu den Endkunden-Services ab.

Die Zertifizierung nach ISO/IEC 27001 sorgt einerseits dafür, dass die Arbeitsorganisation innerhalb eines Unternehmens durch klar definierte und regelmäßig aktualisierte Prozesse effektiv und effizient ist. Andererseits stellt sie auch sicher, dass alle Mitarbeiter sich an Sicherheitsvorgaben halten. Dank dokumentierter Prozesse ist zudem gewährleistet, dass operatives Wissen nicht verloren geht und ständig aktuell ist. Normen der ISO-27000-Familie sagen jedoch nichts über die Details der Infrastrukturanforderungen bezüglich Strom, Kühlung und anderer Einrichtungen aus, die für ein RZ essenziell sind. Hier kommen Standards wie EN 50600 zum Tragen, um die Einhaltung der aus ISO 27001 und 27002 gewachsenen Anforderungen für sichere Stromversorgung und andere Infrastruktureinrichtungen nachzuweisen.

Ganzheitliches RZ-Betriebskonzept

Bis zur Einführung der EN 50600 mussten sich Unternehmen mit verschiedenen, meist privatwirtschaftlich organisierten Zertifizierungen auseinandersetzen. Dazu gehören zum Beispiel die diversen TÜVs, insbesondere TÜViT, das Tier-System der US-amerikanischen Organisation Uptime Institute oder der Standard TIA-942 der Telecommunications Industry Association. In den USA ist Uptime stark vertreten, Asien verwendet oft TIA, und in Europa kommen hauptsächlich nationale Normen zum Einsatz. Echte Vergleichbarkeit oder gar global gleiche Beschaffungsprozesse sind damit unmöglich. Zudem ist ein Standard immer ein Spiegel der Erfahrungen der Ersteller: Je weiter der Autorenkreis, desto umsichtiger lassen sich alle Aspekte beleuchten.

Mit EN 50600 existiert nun erstmals eine ganzheitliche, übernationale Norm für die Betriebssicherheit von Rechenzentren, die alle Aspekte von den Grundlagen über die Planung bis zum Betrieb abdeckt. Die Norm ist modular aufgebaut und unterscheidet vier Verfügbarkeitsklassen (VK):

  • Klasse 1: geringe Maßnahmen, die Unterbrechung des Betriebs ist jederzeit möglich,
  • Klasse 2: geplante Unterbrechungen durch Wartungsarbeiten erlaubt,
  • Klasse 3: keine geplanten Unterbrechungen im Wartungsfall, Ausfallsicherheit im Normalbetrieb,
  • Klasse 4: Ausfallsicherheit selbst bei Wartungsarbeiten.

Ein Rechenzentrum mit der höchsten Verfügbarkeitsklasse muss beispielsweise mehrere redundante und getrennte Pfade für die Stromversorgung aufweisen, zwischen denen man im laufenden Betrieb umschalten kann. Die Kühlung insgesamt muss auch dann weiterlaufen, wenn zu Wartungszwecken einige der Anlagen abgeschaltet sind und zusätzlich ein Fehler auftritt. Wenn es bei unterschiedlichen Komponenten unterschiedliche Verfügbarkeitsklassen gibt, dann definiert die niedrigste Stufe innerhalb aller Einzelteile die gesamte Verfügbarkeitsklasse. Im Extremfall würde ein nach VK4 geplantes Rechenzentrum, bei dem die Kühlung nur VK3 genügt, also in seiner Gesamtheit auf VK3 herunterfallen.

Stand der Technik im Colocation-Bereich war bisher eine Äquivalenz zu Uptime Tier 3, grob vergleichbar mit der VK3 der EN 50600. In letzter Zeit lässt sicher aber ein klarer Trend zu VK4 verzeichnen.

Feedback aus dem Realbetrieb

EN 50600 ist ein lebender Standard. Selbst wenn noch nicht alle Teile final veröffentlicht sind, werden für andere Teile schon neue Versionen vorbereitet. Konkret befinden sich im Moment die Teile 1, 2-2 und 2-3 in Überarbeitung. Hier fließen die Erfahrungen und Erkenntnisse der vergangenen Jahre mit ein, und es werden auch Anregungen und Kommentare aus dem Markt mit eingearbeitet und Unstimmigkeiten beseitigt. Der komplette Standard wird voraussichtlich im zweiten Quartal 2019 veröffentlicht.

Zeitgleich wird aus dem europäischen Standard (EN) ein internationaler Standard - Arbeitstitel ISO/IEC TS 22237-X (Technical Specification, also Arbeitsdokument). Dieser ist dann global gültig und der EN 50600 funktional äquivalent. Lediglich die EN 50600-4 geht den anderen Weg: Hier wird die ISO/IEC 30134, die sich mit diversen Kenngrößen - insbesondere Energieeffizienz (PUE) - befasst, in die europäische Normierung überführt. Spätestens dann dürften die unterschiedlichen Zertifizierungen von Uptime Institute, TIA-942, TÜV-Kriterienkataloge, Eco Datacenter Star Audit oder BICSI an Bedeutung verlieren, da die globale Vergleichbarkeit etwaige Vorteile anderer Standards mehr als aufwiegt.

Datacenter-Normen und Institute
ISO/IEC 27001 (weltweit): Spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Management-Systems (ISMS) unter Berücksichtigung des Kontextes einer Organisation. Beinhaltet Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation und spezifiziert die Implementierung geeigneter Sicherheitsmechanismen. Entwickelt von ISO (International Organization for Standardization) und IEC (International Electrotechnical Commission).

TIA-942 (Asien): Qualitätsstandard für Rechenzentren, entwickelt von der TIA (Telecommunications Industry Association). Spezifiziert Anforderungen an Rechenzentren vom Single-Tenant-Unternehmens-RZ bis zum Multi-Tenant-Hosting-Rechenzentrum für das Internet. Deckt alle physischen Infrastrukturen ab, einschließlich Baustellenstandort, Brandschutz-, Telekommunikations-, Sicherheits- und andere Anforderungen. Web: www.tia-942.org.

EN 50600 (EU): Entwickelt von der europäischen Normungsgesellschaft CENELEC (Europäisches Komitee für elektrotechnische Normung). Erste europaweit länderübergreifende Norm, die mit einem ganzheitlichen Ansatz umfassende Vorgaben für Planung, Neubau und Betrieb eines Rechenzentrums macht - von der Planung der Gewerke Baukonstruktion, Elektroversorgung, Klimatisierung und Verkabelung über Sicherheitssysteme bis zum RZ-Betrieb.

Eco Datacenter Star Audit (Deutschland): RZ-Zertifizierung nach vorgegebenen Kriterien von mindestens zwei unabhängigen Auditoren. Fokus auf Verfügbarkeit und Sicherheit der RZ-Infrastruktur. Web: www.dcaudit.de.

TÜViT - TÜV Informationstechnik (Deutschland): Unabhängiger Prüfdienstleister mit Fokus auf IT-Sicherheit. Zur Leistung gehört die Prüfung und Zertifizierung von Rechenzentren hinsichtlich physischer Sicherheit und Hochverfügbarkeit. Web: www.tuvit.de.

BICSI - International Standard Program (USA): Institut aus Florida, das Standards und Richtlinien für den Entwurf, die Installation und die Integration von Informations- und Kommunikationstechnik (ICT) erstellt. BICSI-Standards wurden entwickelt, um aktuelle Praktiken zu definieren und die Qualität und Systemleistung über das Spektrum von Sprache, Daten, elektronischer Sicherheit und Audio- und Videotechnik zu verbessern. Web: www.bicsi.org.

Uptime Institute (USA): Neutrale Beratungsorganisation, die sich auf die Verbesserung der Leistung, Effizienz und Zuverlässigkeit geschäftskritischer Infrastrukturen durch Innovation, Zusammenarbeit und unabhängige Zertifizierungen konzentriert. Weltweit bekannt für die Erstellung und Verwaltung der Tier-Standards und Zertifizierungen für Design, Konstruktion und betriebliche Nachhaltigkeit von Rechenzentren sowie für Management- und Betriebs-Reviews. Web: uptimeinstitute.com.

Richard Hartmann ist Projektleiter Datacenter bei SpaceNet, www.space.net.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu BASE c/o E-Plus Service GmbH & Co.

Matchmaker+