Datensicherheit genießt spätestens seit Inkrafttreten der DSGVO hohe Priorität bei Unternehmensentscheidungen – nicht nur im IT-Sektor. Wenn sich IT-Leitung und Management dazu entscheiden, Unternehmensdatenschätze in die Obhut eines professionell geführten und sicheren Rechenzentrums zu geben, haben sie die Wahl zwischen diversen Standorten, Betreibern und Konzepten.

Wer sich fragt, ob Umweltphänomene wie die in den vergangenen Wochen deutlich spürbare globale Erwärmung Einfluss auf den Rechenzentrumsmarkt in Deutschland hat, antwortet zügig mit einem Ja. Neben Wissenschaftlern und Regierungsorganisationen beunruhigt die steigende Anzahl an Naturkatastrophen auch europäische Unternehmen. Laut Allianz Risk Barometer 2018 kehren diese unter die Top 3 der größten Geschäftsrisiken weltweit und in Deutschland zurück. Ist ein Datacenter betroffen und fällt es im schlimmsten Fall aus, sind die Folgen in puncto Datensicherheit eklatant. Auch die Studie Cloud Security 2016 von IDG Research Services stellt fest, dass Ausfallsicherheit für über 95 Prozent der Unternehmen ein absolutes Muss darstellt.

Naturkatastrophen wie Hochwasser, Stürme, Erdstöße und Blitzeinschläge sind über ganz Deutschland ungleich verteilt. Demzufolge spielt bei der Auswahl eines geeigneten Rechenzentrums auch der Standort mit seinen spezifischen Abhängigkeiten eine entscheidende Rolle. Aktuell stehen sieben der zehn größten Rechenzentren Deutschlands in Frankfurt am Main. Im Großraum Frankfurt herrscht die höchste Dichte an Rechenzentren. Dies ergibt unter dem Gesichtspunkt Sinn, dass sich hier auch der weltweit größte Internetknoten befindet. Zeitgleich registrieren Mitarbeiter des Hessischen Landesamts für Naturschutz, Umwelt und Geologie, kurz HLNUG, immer wieder Erdstöße, in der Spitze mit einer Stärke von sogar 4,2 auf der Richterskala. 2018 erreichten regelmäßige Beben in Hessen bis dato Werte bis 2,61 [1]. Das kleinste Bundesland Bremen als Gegenbeispiel liegt in der seismischen Zone 0, unterliegt damit keinerlei Erdbebengefahr und gilt als Region mit den wenigsten Blitzeinschlägen in Deutschland. Als weitere äußere Faktoren bei der Standortwahl gelten auch Bergbau-Aktivitäten oder Einflugschneisen von Flughäfen.

Wenn sich Unternehmen für die Auslagerung ihrer Daten in ein Colocation-Rechenzentrum entscheiden, dann setzen sie voraus, dass dessen Betreiber Gebäudekonstruktion, Sicherheitstechnik, Stromversorgung und Brandschutz optimal aufeinander abgestimmt hat, damit sich alle Voraussetzungen physischer Sicherheit erfüllen. Zur Absicherung etabliert die europäische Normungsgesellschaft Cenelec seit 2012 die siebenteilige Normreihe DIN EN 50600 „Informationstechnik – Einrichtungen und Infrastrukturen von Rechenzentren“. Sie thematisiert alle Aspekte in puncto Infrastruktur des RZs sehr praxisbezogen und legt so einen Projektleitfaden für dessen Planung, Einrichtung und Betrieb vor. Anbietern eröffnet sich auf dieser Grundlage anschließend die Möglichkeit, das Rechenzentrum zertifizieren zu lassen.

Als Basis eines jeglichen Zertifizierungs-Checks bei der Auswahl des passenden Rechenzentrums ist der Standard ISO 27001 zu nennen. Er ist der weltweit am meisten anerkannte Standard für die Informationssicherheit im Rechenzentrum. Unternehmen erhalten das Zertifikat, indem sie die eigene Sicherheit von unabhängigen Prüfern untersuchen lassen und dieses Level auch im Anschluss einhalten.

Informationen zur Ausfallsicherheit ihres potenziellen Rechenzentrums erhalten Suchende über die Tier-Klassifizierungen des amerikanischen Uptime Instituts. Es existieren vier Tier-Klassen, die eine Ausfallsicherheit von 99,67 Prozent bis 99,99 Prozent Verfügbarkeit beschreiben. Auf den ersten Blick erscheinen die Unterschiede zu vernachlässigen, was sich jedoch komplett anders darstellt, wenn im Extremfall Ausfallzeiten entstehen. International agierende Firmen mit einem 24/7 Dienstleistungs- beziehungsweise Verfügbarkeitsanspruch sollten auf Tier-4-Partner mit einem jährlichen Ausfallrisiko von 0,8 Stunden bauen. Dort sind fast alle Single Point of Failures (SPOFs) im kompletten technischen System ausgeschlossen, die einen Systemausfall herbeiführen könnten. Neben IT-Komponenten spielen auch Klimatisierung, Brandschutz und Leitungswege eine Rolle – Parameter, die in direkter Abhängigkeit zu physischen Sicherheitsfaktoren stehen.

Eine zwei Meter dicke Schicht aus Stahlbeton bildet die Außenhülle. Bild: Consultix

Als Best-Case-Szenario für physische Sicherheit empfiehlt sich ein vielschichtiges Security-Konzept nach dem Zwiebelschalenprinzip. Damit kann schon ein Sicherheitszaun um das Gelände im ersten Schritt als Abstandhalter fungieren. Das Rechenzentrum muss zur Aufrechterhaltung der Sicherheit gewährleisten, dass nicht-autorisierte Besucher keinen Zutritt erhalten. Zukunftsgewandte Gebäude verfügen daher über mehrstufige Zutrittsauthentifizierungen vom ausgebildeten Sicherheitspersonal über Metalldetektoren im Eingangsbereich bis hin zu technischen Authentifizierungskonzepten. Das Bremer Hochsicherheits-Rechenzentrum ColocationIX beispielweise verfügt über eine Drei-Faktor-Authentifizierung. Sie besteht aus Code-, Chip- sowie Biometrie-Erkennung. Will ein Kunde Zutritt zu seinem eigenen Server haben, muss er alle drei Voraussetzungen erfüllen. Anschließend erhält die Person zwar Zugang zum eigenen Equipment, nicht jedoch zu anderen Server-Räumen.

Angriffe auf Datenbestände im Rechenzentrum gehen häufig von Personen aus, deren Motive von Neugier bis hin zu Betriebsspionage sehr unterschiedlich gelagert sind. Aus diesem Grund und aus Schutz vor Einbruch sollte eine in das Sicherheitssystem integrierte Videoüberwachung einen wesentlichen Baustein des Konzepts darstellen. Clevere Strategien fußen auf 24/7-Monitoring und Analyse, aber auch auf Archivierung der Aufnahmen und situativer Alarmmeldung. Die Dokumentation der Aufnahmen sichert RZ-Betreiber vor Gericht ab, da sie Haftungsrisiken und Regressansprüchen ausgesetzt sind und gerichtsverwertbare Videoaufnahmen bei der Entlastung eine entscheidende Rolle spielen.

Hohe Verfügbarkeit dank modernem Brandschutz

Ein modernes Brandschutzsystem mit permanenter Sauerstoffreduktion sichert höchste Verfügbarkeit. Der entscheidende Vorzug gegenüber herkömmlichen Löschanlagen liegt im Timing: Während diese den Brandherd erst nach seiner Entstehung eindämmen, setzt Sauerstoffreduktion schon eine Etappe eher an. Durch die Verringerung des Sauerstoffs in der Raumluft auf ein vorab definiertes Niveau und das anschließende Halten des Levels entstehen weder Flammenbildung noch Brand. Von der Brandfrüherkennung erkannte Gefahrenquellen lassen sich so im Vorfeld entfernen.

Dadurch muss auch die Feuerwehr nicht benachrichtigt werden, und Betreiber vermeiden Einsätze der Feuerwehr mit Stromabschaltung von vornherein. In letzter Zeit berichtete die Branche auch über Fälle, in denen das Auslösen von Gaslöschanlagen, die mit Schnellabsenkung arbeiteten, zu Beschädigung insbesondere der Festplatten von Storage-Systemen führte. Ursache war der hohe Schallpegel beim Einströmen des Löschgases.

Auch die komplette Unbedenklichkeit für Mitarbeiter und Besucher des Rechenzentrums spricht für eine Brandvermeidungsanlage. Da Stickstoff mit knapp unter 80 Volumenprozenten den höchsten Anteil des Luftgemischs von Atemluft ausmacht, sind Aufenthalt und Arbeiten in sauerstoffreduzierter Atmosphäre ungefährlich.

Ergänzend sind bauliche Maßnahmen erforderlich, um Brandrisiken zu reduzieren:

  • Redundanz der Sauerstoffreduktionssysteme,
  • separate Löschsysteme für andere Bereiche wie Flure, Treppenhaus, Büros,
  • Vermeidung von brennbaren Materialien wie zum Beispiel Kabel,
  • Brandabschnitte je nach Anforderung ausgebaut für F30/T30 bis F120/T120,
  • separate Brandabschnitte,
  • Brandfrühesterkennung mit Aufschaltung an die Alarmzentrale und
  • eine Brandmeldeanlage mit Aufschaltung an die Feuerwehr.

Steht ein Unternehmen vor der Entscheidung, seine Server in ein Colocation-Rechenzentrum auszulagern, dann bietet sich bei der Auswahl eine Checkliste mit firmenspezifischer Priorisierung an. Standortparameter, Zertifikate, Multifaktor-Authentifizierung und Brandschutzkonzept sollten darin ebenso viel Raum einnehmen wie Datensicherheit und Energieeffizienz.

Andres Dickehut ist Geschäftsführer von Consultix, www.consultix.de, und Gesellschafter von ColocationIX, www.colocationix.de.