Vortrag Dr. Andreas Jabs im Rahmen der Roadshow-Reihe "Das 5 Sterne Rechenzentrum plus"
Köln, 07.09.2010 – IT-Sicherheit und Datensicherheit – dies sind zu Recht wohl die mit Abstand meist verwendeten Begriffe bei IT-Verantwortlichen. Oft ist Datensicherheit jedoch auf Themen wie Backup/Archive, Firewall oder dem Schutz vor Viren und anderen Schadprogrammen reduziert.
IT-Sicherheit wiederum wird häufig mit der Verfügbarkeit einer IT-Infrastruktur und damit deren Redundanz verbunden. Wie lässt sich jedoch eine umfassende Sicherheit für IT-Infrastrukturen und damit auch für die auf ihnen erzeugten, gespeicherten und prozessierten Daten erreichen?
Die Antwort ist das Zusammenspiel von physikalischer, technischer und darauf aufbauend der logischen Sicherheit in einem Rechenzentrum. Welche Fragen müssen daraufhin aber an ein Rechenzentrum gestellt werden, um für Geschäftsprozesse und -daten das richtige Maß an IT- und Datensicherheit zu finden? Wie müssen die Antworten auf solche, zumeist komplexen Zusammenhänge und Fragen bewertet werden?
Die Sterne eines Hotels verraten jedem Gast gleich, was ihn hier erwartet. Genügen 2-3 Sterne für einfache Zwecke oder sollen es die Ausstattung und der Service eines 5-Sterne-Hauses sein? Ein Zertifikat, das auf einer solch transparenten und einfachen Wertung die komplexen technischen, architektonischen und prozessualen Zusammenhänge in einem Rechenzentrum bewertet und zertifiziert, erleichtert deren Vergleichbarkeit und damit die Auswahl durch den Kunden.
Fünf Sterne oder nur eine einfache übernachtung?
Die Anforderungen der Kunden an Rechenzentren können sehr unterschiedlich sein. Für den Betreiber eines Intranets oder Webauftritts gibt es andere Anforderungen an eine Verfügbarkeit rund um die Uhr als für den Betreiber eines (weltweiten) Webshops oder kritische Applikationen eines international agierenden Unternehmens. Auch sind die Sicherheitsanforderungen im Bankenumfeld andere als die im produzierenden Gewerbe. Höchste Sicherheit, höchste Verfügbarkeit und damit verbundene Investitionen in Architektur, Infrastruktur und Redundanz bedeuten für die Kunden auch höhere Preise.
Eine Bewertung von Rechenzentren, die diese Abstufung von Anforderungen berücksichtigt und in einem einfachen Schema darstellt, ermöglicht es den Kunden, das für sie zugeschnittene Rechenzentrum zu identifizieren. FDA, SOX, GMP, GLP, REACh, GDPdU – immer mehr Regularien kommen auf die Unternehmen zu. Die Einhaltung dieser Regularien und die damit zusammenhängende Compliance spielt eine zunehmende Rolle vor allem in der IT-Infrastruktur der betroffenen Unternehmen. Diese, im Wesentlichen mit der logischen Sicherheit verknüpften Anforderungen, können jedoch nur auf der Basis physikalischer und technischer Sicherheit umgesetzt werden. Auch hier spielt die Auswahl des richtigen Rechenzentrums eine wichtige Rolle.
Sterne für mehr Kunden? – Was Sie mit dem DCSA erreichen
In fast allen Ausschreibungen, mit denen die Betreiber von Rechenzentren konfrontiert werden, sind immer wieder die gleichen, grundlegenden Kriterien zu technischer und physikalischer Sicherheit von potentiellen Kunden in verschiedenen Detaillierungsgraden abgefragt: Redundanzen von Strom, Netz und Kühlung, Gebäudearchitektur und Brandschutz, Sicherheit, Qualifizierung des Personals und Prozesse im Rechenzentrum.
Dabei stehen die Kunden meist vor der entscheidenden Frage: Mit welchen Fragestellungen kann ich mir ein klares Bild über die Zuverlässigkeit, Verfügbarkeit und Sicherheit meiner IT-Systeme in einem Rechenzentrum machen? Aber auch die Betreiber der Rechenzentren selbst stellen sich zunehmend die Frage: Wie kann ich meine Kunden von der Umsetzung dieser Kriterien überzeugen?
Beide Fragen stehen miteinander in unmittelbarem Zusammenhang. Mit einem Zertifikat, das die Fragen der physikalischen und technischen Sicherheit fokussiert, lassen sich beide Fragen beantworten und es lässt sich eine Bewertung aufbauen. Das Datacenter Star Audit (DCSA) ist ein solches Zertifikat für Rechenzentren und wurde vom eco Verband der deutschen Internetwirtschaft e.V. konzipiert. Das DCSA prüft und beurteilt objektiv die Produkte und Leistungen eines Rechenzentrums und vergibt die „eco Datacenter Stars“ – in Analogie zu den Sternen für ein Hotel – als Zertifikat für Qualität und Umfang der angebotenen Leistungen.
Geprüft und bewertet werden vier Hauptkategorien: Technik, Gebäude, Prozesse und Personal. Zimmerservice oder Minibar? Das wird bei der Zertifizierung beleuchtet Die Zertifizierung erfolgt in Punkten für jede der Hauptkategorien Technik, Gebäude, Prozesse und Personal, die sich aus der Bewertung der einzelnen Kriterien ergibt. Entsprechend der erreichten Punktzahl wird ein Data Center in eine der fünf Sterne-Kategorien eingeteilt. Dabei umfassen fünf Sterne die maximale Erfüllung der abgefragten Kriterien und ein Stern die Erfüllung der Mindestanforderungen für ein Rechenzentrum.
Über die Hauptkategorien hinweg werden dabei die Aspekte der physikalischen und technischen Sicherheit betrachtet und bewertet. Dabei werden für die physikalische Sicherheit einesRechenzentrums nicht nur die architektonischen Gegebenheiten, die Sicherung z.B. der Außenanlage durch Schutzzäune, PKW-Sperren und Roadblocker beurteilt. Ebenso sind die Fragen, ob die Serverflächen unterirdisch sind, sich das Rechenzentrum in einem Überschwemmungsgebiet nach HQ 30 befindet, in unmittelbarer Nähe Gefahrstoffe produziert oder gelagert werden vonBedeutung.
Der Zugangsschutz, von der Außenanlage über das Gebäude bis hin zur Serverfläche selbst, ist ein wichtiges Bewertungskriterium. Vom Wachpersonal bis hin zu den notwendigen technischen, geistigen und biometrischen Identifikationsmerkmalen und den für einen Zugang zu durchlaufenden Prozessen wird die physikalische Sicherheit ebenfalls bewertet. Ein weiterer Aspekt ist der Brandschutz, der über die Architektur des Gebäudes (Brandabschnitte, Feuerfestigkeit der Wände und Türen, Beschaffenheit des Doppelbodens etc.) und die technischen Anlagen zu Rauch- und Branderkennung betrachtet wird. Befinden sich im Rechenzentrum wasser- oder flüssigkeitsführende Rohre, sind Fragen der Detektion und der installierten technischen und architektonischen Maßnahmen zum Schutz der Racks vor Wasser ein weiteres Kriterium.
Für die technische Sicherheit wird die Redundanz der Energieversorgung, der Klimatisierung und der Netzwerkanbindung bewertet. Dabei beinhaltet die Redundanz die Zahl der Umspannwerke, der Transformatorstationen, der Dieselgeneratoren und der Systeme für eine unterbrechungsfreie Stromversorgung (USV) bis hin zur Stromführung zum einzelnen Rack. Gleiches gilt für eine redundant geführte Netzwerkanbindung von der Hauswegeeinführung bis hin zum Rack. Ein weiterer Schwerpunkt der Bewertung ist die Klimatisierung.
Verschiedene Faktoren – welche Klimatechnik wird mit welcher Redundanz eingesetzt, welche Temperatur und Luftfeuchte wird im Rechenzentrum umgesetzt – werden betrachtet. Ein weiterer Aspekt der Bewertung ist die Qualifikation und Verfügbarkeit des Personals. Vorhandene Zertifizierungen nach ISO 27001, ISO 9001 etc. sowie der Reifegrad der definierten Prozesse fliessen in die Bewertung ein.
Nur für die Großen? – Wenige Schritte zum Zertifikat
Geprüft und bewertet wird auf der Basis eines umfangreichen Fragenkatalogs, der vom Betreiber des Rechenzentrums ausgefüllt, durch zertifizierte Auditoren geprüft sowie durch eine Begehung des Rechenzentrums verifiziert wird. Der Fragenkatalog mit ca. 200 Fragen (Request for Information, RfI) wird zusammen mit einem erklärenden Dokument (Guide for Customer, GfC) demRechenzentrum zur Verfügung gestellt. Ausgefüllt, wird dieser den Auditoren zur Verfügung gestellt, die auf dieser Basis das Audit vor Ort vorbereiten. Das Audit vor Ort ist zweigeteilt: In der ersten Hälfte des Tages wird der Fragenkatalog von den Auditoren mit den zuständigen Mitarbeitern des Rechenzentrums beleuchtet. Die Antworten werden anhand vonDokumenten, die die Auditoren in Augenschein nehmen, verifiziert.
Die zweite Hälfte des Audittages ist der Begehung des Rechenzentrums vorbehalten. In der Regel erhalten die Rechenzentren nach 14 Tagen das Ergebnis in Form eines Auditberichts und einer Urkunde und Plakette über das Zertifikat.
Fazit: Zertifizierung eröffnet neue Kundengruppen bei geringeren Kosten
Es gibt am Markt Zertifikate, die fokussiert auf Themen der physikalischen, technischen und logischen Sicherheit die beiden zentralen Fragen von Rechenzentrumsbetreibern und Kunden beantwortet: Mit welchen Fragestellungen kann ich mir ein dediziertes Bild über die Zuverlässigkeit, Verfügbarkeit und Sicherheit meiner IT-Systeme in einem Rechenzentrum machen?
Wie kann ich meine Kunden von der Umsetzung dieser Kriterien überzeugen? Mit dem Datacenter Star Audit wurde das seit 2005 erfolgreich bestehende Zertifikat mit dem klaren Fokus auf überschaubaren Kategorien für Rechenzentren zur Verfügung gestellt. Es wurde eine Metrik entwickelt, die mehr Transparenz für den Markt schafft und eine bessere Vergleichbarkeit von Rechenzentren gestattet. Im Gegensatz zu beispielsweise ISO, TüV IT und Dekra steht mit dem Datacenter Star Audit ein Zertifikat Verfügung, das nicht nur erteilt oder nicht erteilt wird, sondern eine Klassifizierung und damit ein Benchmarking gestattet. Die Akzeptanz dieses Zertifikats bei den Betreibern unterschiedlichster Rechenzentren – von typischen Colocation- und Hosting-Anbietern bis hin zu firmeneigenen Rechenzentren – unterstreicht, dass hier eine Marktlücke geschlossen werden konnte.