Verfügbarkeit rund um die Uhr

Von: Dr. Andreas Jabs

Datensicherheit und IT-Sicherheit – dies sind wohl die meist verwendeten Begriffe bei IT-Verantwortlichen – zu Recht, denn diese sind wichtige Grundlagen für die Verfügbarkeit der IT-Systeme rund um die Uhr.

In diesem Zusammenhang ist Datensicherheit oft nur mit Backup, Firewall oder dem Schutz vor Viren verknüpft. Und IT-Sicherheit wird häufig auf die Verfügbarkeit der IT-Infrastruktur und deren Redundanz reduziert. Umfassende Sicherheit für IT-Infrastrukturen und für die auf ihnen erzeugten, gespeicherten und prozessierten Daten bietet jedoch nur das Zusammenspiel von physikalischer, technischer und logischer Sicherheit. Welche Fragen muss man nun an ein Rechenzentrum stellen, um für Geschäftsprozesse und -daten optimale IT- und Datensicherheit zu finden? Wie darf man die Antworten darauf bewerten? Welche Fragen stehen für die RZ-Betreiber immer wieder im Fokus von Ausschreibungen?

Die physikalische Sicherheit eines Rechenzentrums ist definiert über die architektonischen Gegebenheiten, die Sicherung der Außenanlage, Brand- und Wasserschutz, Raucherkennung, eventuell umliegende Gefahrstoffproduktion und vom Wachpersonal bis zu den notwendigen technischen, geistigen und biometrischen Identifikationsmerkmalen sowie den zugangsrelevanten Prozessen. Die technische Sicherheit befasst sich mit den Fragen der Energieversorgung, der Klimatisierung und der Netzwerkanbindung: Wie viele Umspannwerke stehen dem RZ zur Verfügung, in welcher Redundanz sind Transformatorstationen, Dieselgeneratoren und die Systeme für eine unterbrechungsfreie Stromversorgung (USV) bis hin zur Stromführung ins einzelne Rack ausgelegt?

Aufbauend auf diesen Aspekten der physikalischen und technischen Sicherheit bezieht sich logische Sicherheit im Rechenzentrum auf den Schutz vor unbefugtem Zugriff auf Daten und Applikationen sowie deren Schutz vor Viren, Trojanern und anderen Schadprogrammen. Ebenso ist die Datensicherung und deren Archivierung Bestandteil der logischen Sicherheit. In den meisten Ausschreibungen, an denen RZ-Betreiber teilnehmen, werden diese Kriterien von potentiellen Kunden in verschiedenen Detaillierungsgraden abgefragt. Dabei stehen die Kunden meist vor der entscheidenden Frage: Mit welchen Fragen kann ich mir ein klares Bild über die Zuverlässigkeit, Verfügbarkeit und Sicherheit meiner IT-Systeme in einem Rechenzentrum machen? Auch die RZ-Betreiber müssen sich zunehmend fragen: Wie kann ich meine Kunden von der optimalen Umsetzung dieser Kriterien überzeugen? Beide Fragen hängen direkt miteinander zusammen. Mit einem Zertifikat, das die physikalische, technische und logische Sicherheit fokussiert, lässt sich beides beantworten und eine qualifizierte Bewertung aufbauen.

Die richtige Bewertung treffen

Das Wesentliche einer Bewertung ist deren Objektivität. Gerade wenn Kunden auch unternehmenskritische IT im Rechenzentrum betreiben, darf keine Interpretation zum eigenen Vorteil möglich sein. Ein Kernstück jeder Bewertung ist die Auswahl der Messpunkte. Deshalb muss eine standardisierte Bewertung ermöglichen, alle Rechenzentren auf die gleiche Art und Weise zu beurteilen. So ist der Kunde in der Lage, die Rechenzentren ohne zusätzlichen Aufwand miteinander zu vergleichen (Benchmark). Diese Bewertungsstandards müssen kontinuierlich angepasst werden, da technische Neuerungen (z.B. in Brandbekämpfung, Sicherheit, Prozessen etc.) den Alltag der Rechenzentren ständig verändern. Ein objektives, unabhängiges und auf die Kernthemen der Sicherheit fokussiertes Zertifikat erfüllt diese Anforderungen.

Die Anforderungen der Kunden an Rechenzentren sind sehr unterschiedlich. Für den Betrieb eines Intranets gelten andere Anforderungen an die Verfügbarkeit als für einen Webshop oder die kritischen Applikationen eines internationalen Unternehmens; die Sicherheitsanforderungen im Finanzbereich sind andere als im produzierenden Gewerbe. Höchste Sicherheit, höchste Verfügbarkeit und die damit verbundenen großen Investitionen in Architektur, Infrastruktur und Redundanz bedeuten für die Kunden auch höhere Preise. Eine Bewertung von Rechenzentren, die diese Abstufung von Anforderungen berücksichtigt und in einem einfachen Schema darstellt, ermöglicht den Kunden, das passende Rechenzentrum rasch zu finden, gerade auch für die Einhaltung der Compliance-Anforderungen wie FDA, SOX, REACH oder GDPdU. Besonders beim Cloud Computing müssen die Firmen genau prüfen, welche Bereiche der Unternehmens-IT sich derart abbilden lassen und welche in dedizierten Rechenzentren untergebracht werden müssen. Das Grundproblem des Cloud Computing – die Absicherung des Zugriffs auf die Daten während der Übertragung zwischen lokalem Client und entferntem Server – konnte bisher nicht zufriedenstellend gelöst werden.

Es existieren aber Entwicklungen im Bereich der Datensicherheit (z.B. SSL/TLS-Verschlüsselung), die es abzuwarten gilt. Das Datacenter Star Audit (DCSA) ist ein Zertifikat für Rechenzentren und wurde vom eco Verband der deutschen Internetwirtschaft e.V. konzipiert. Seit Oktober 2005 werden Rechenzentren für dieses Zertifikat bewertet; derzeit sind rund 40 Data Center zertifiziert. Das DCSA prüft und beurteilt objektiv die Produkte und Leistungen eines Rechenzentrums und vergibt die „eco Datacenter Stars“ als Zertifikat für Qualität und Umfang der angebotenen Leistungen. Dies geschieht in vier Hauptkategorien: Technik, Gebäude, Prozesse, Personal.

Für jede dieser Hauptkategorien werden die jeweils zugehörigen Kernkriterien beleuchtet sowie die über alle Hauptkategorien hinweg geltenden Sicherheitskriterien, für jede Hauptkategorie zutreffende, ergänzende Prüfpunkte sowie die zugrunde liegenden Services. Geprüft und bewertet wird auf Basis eines umfangreichen Fragenkatalogs, der vom RZ-Betreiber ausgefüllt, durch zertifizierte Auditoren, z.B. von der Alegri International Group, geprüft sowie durch Begehung des Rechenzentrums verifiziert wird. Die Zertifizierung erfolgt in Punkten für jede Hauptkategorie, die sich aus der Bewertung der Einzelkriterien ergibt. Entsprechend der erreichten Punktzahl wird ein Data Center in eine der fünf Sterne-Kategorien eingeteilt. Dabei bedeuten fünf Sterne die maximale Erfüllung der abgefragten Kriterien und ein Stern die Genüge der Mindestanforderungen.

Für die Rechenzentrumsbetreiber wird eine Benchmark-Situation angestrebt, die die Möglichkeit zum Vergleich mit anderen Betreibern und zur Erkennung und Behebung eigener Schwachstellen bietet. Unter Beibehaltung des Ziels, ein Zertifikat mit klarem Fokus auf Sicherheit, Verfügbarkeit und Redundanz in überschaubaren Kategorien zur Verfügung zu stellen, wurde mit dem Datacenter Star Audit 2.0 eine Metrik entwickelt, die mehr Transparenz für den Markt schafft, eine bessere Vergleichbarkeit von Rechenzentren gestattet und technische Neuerungen berücksichtigt. Zusammen mit einem Fachgremium hat der eco Verband das neue Release entwickelt. Im Gegensatz zu beispielweise ISO, Tüv IT oder Dekra steht mit dem Datacenter Star Audit ein Zertifikat Verfügung, das nicht nur erteilt oder nicht erteilt wird, sondern eine Klassifizierung gestattet. Die Akzeptanz dieses Zertifikats ist bei Betreibern unterschiedlicher Rechenzentren gegeben – von typischen Colocation-/Hosting-Anbietern bis hin zu firmeneigenen Rechenzentren.

Das Datacenter Star Audit
Das Datacenter Star Audit, kurz DCSA, ist ein Zertifikat für Rechenzentren und wurde vom eco Verband der deutschen Internetwirtschaft e.V. konzipiert. Seit Oktober 2005 werden Rechenzentren für dieses Zertifikat bewertet; derzeit sind rund 40 Data Center zertifiziert. Das DCSA prüft und beurteilt objektiv die Produkte und Leistungen eines Rechenzentrums und vergibt die sogenannten „Datacenter Stars“ als Zertifikat für Qualität und Umfang der angebotenen Leistungen. Dies geschieht in vier Hauptkategorien: Technik, Gebäude, Prozesse, Personal.
Im Internet: www.eco.de