Betriebssicherheit im Rechenzentrum

Rechenzentren, als Sonderimmobilie oder Räumlichkeiten des Unternehmenssitzes, schützen die zentrale IT-Infrastrukturen und kombinieren verschiedene technische Disziplinen auf Infrastrukturebene wie Elektrotechnik, Maschinenbau, Mechanik, Bauwesen, Brandschutz, Sicherheitstechnik und vieles mehr. In der IT-Technologie werden fast alle Aspekte der Informatik verwendet, auf der Ebene der Organisation gibt es verschiedene Managementmethoden zur Überwachung und Steuerung von Prozessen.

In Bezug auf Sicherheit, Verfügbarkeit, Vertraulichkeit und Integrität der Daten werden Zertifizierungsverfahren auf der Grundlage von Standards und Prüfkatalogen in drei Bereichen festgelegt: Physische Infrastruktur, Informationstechnik und Organisationsprozess. Aufgrund der Komplexität von Rechenzentren gibt es verschiedene Authentifizierungsmethoden, um einzelne Bereiche oder ausgewählte Eigenschaften eines Rechenzentrums zu prüfen und zu bestätigen.

 

Betriebssicherheit Rechenzentrum RZ Serverraum

 

Betriebssicherheit im Rechenzentrum (RZ)

Informations- und Kommunikationssysteme (ITK) bilden die Grundlage für fast alle Geschäftsentscheidungen und -aktivitäten. Ihre Verfügbarkeit ist für das Unternehmen von entscheidender Bedeutung. Heutzutage kann ein Ausfall der ITK schnell die Existenz gefährden. Die Arbeitsprozesse von Unternehmen und Behörden werden zunehmend digitaler, einschließlich Rechenzentren und Serverräume. Wenn das Rechenzentrum (RZ) ausfällt, kommt der zentrale Prozess zum Stillstand. Bei der Erstellung, Erweiterung oder Überprüfung von IT-Konzepten und der Betriebssicherheit im Rechenzentrum ist es wichtig, die Verfügbarkeit der IT-Infrastruktur eines Unternehmens zu bewerten. Die grundlegende Frage lautet: "Was ist die maximale Ausfallzeit, die ein Unternehmen aushalten kann?" Betriebssicherheit und hohe Verfügbarkeit sind daher die Grundstandards, die moderne Rechenzentren erfüllen müssen.

Im Kontext der digitalen Transformation werden die Leistung und Zuverlässigkeit der IT-Infrastruktur zu Herausforderungen und Erfolgsfaktoren für Unternehmen. Aber wie kann die physische Zuverlässigkeit des Rechenzentrums ermittelt und bewertet werden? Wie können Unternehmen den Reifegrad ihres digitalen Kontrollzentrums bestimmen? Welche Standards für eine Zertifizierung "Betriebssicheres Rechenzentrum" gelten? Welche Maßstäbe werden bei einem Audit angelegt?

IT-Fehler und Ausfälle sind der Albtraum eines jeden Administrators, der Organisationen und Unternehmen schwer zu schaffen machen. Wenn Sie nicht sicher sind, ob Ihr RZ betriebsbereit ist und über ausfallsichere Funktionen verfügt, sollten Sie die Empfehlungen vom TÜV befolgen. Sie zeigen, warum die Bewertung des Data Centers für den Erfolg des Unternehmens so wichtig ist. Zu diesem Zweck müssen viele Aspekte berücksichtigt werden, z. B. die Auswahl des richtigen Standorts, redundante Anbindung und Stromversorgung, die Verbesserung der Energieeffizienz sowie ein zuverlässiger Brandschutz.

Mit Data Center Services können Sie die Anforderungen verschiedener Zielgruppen erfüllen, da Banken und Versicherungsunternehmen ihre Kredite und Versicherungsprämien an der Sicherheit und Verfügbarkeit der IT-Umgebung ausrichten. Kunden verlassen sich beim Betrieb ihrer Handelsplattformen auf zuverlässige Rechenzentren, während Benutzer von Cloud-Diensten den Schutz ihrer Daten benötigen.

 

Sicherheitsstandards in Rechenzentren

Bei der Planung und Gestaltung von Rechenzentren wird eine Vielzahl von Sicherheitsstandards verwendet. Zum einen unterstützen sie die verantwortliche Person, zum anderen definieren sie aber auch Anforderungen. Die wichtigsten Standards auf organisatorischer Ebene sind ISMS (Information Security Management Systems, Informationssicherheits-Managementsystem) und ITIL (IT Infrastructure Library, IT-Infrastrukturbibliothek) sowie Sarbanes-Oxley-Ac. Die Normenreihen ISO / IEC 27001 können Informationen als Unternehmensressourcen vor Bedrohungen schützen. Es wird immer wichtiger, weil es die Grundlage für das Unternehmen bildet, um gesetzliche Anforderungen und Aufgabenstellungen Dritter zu erfüllen. Für die Sauberkeit im Serverraum (im laufenden Betrieb) gilt die DIN EN ISO 14644-1.

Der TSI-Prüfkatalog des TÜV ist zum Industriestandard für die Zertifizierung der Rechenzentrumsinfrastruktur geworden. Die europäische Norm EN 50600 legt die technischen Infrastrukturanforderungen für Rechenzentren und die darin laufenden Systeme fest.

In geschäftlicher Hinsicht wird der Begriff "Compliance" verwendet, um die Einhaltung von Gesetzen, Richtlinien und freiwillige Vorschriften in einem Unternehmen zu beschreiben. Sehr hilfreich sind auch die Grundschutz-Handbücher (Leitfaden und Katalog) nach ISO 27001, das seit vielen Jahren vom BSI (Bundesamt für Sicherheit in der Informationstechnik) weiterentwickelt wird. Die vorgeschlagenen Standards werden von Kunden, Zertifizierungsstellen, Auditoren und anderen Institutionen überprüft. Im Rahmen der regelmäßigen Überwachung und Audits (Überprüfung) werden die umgesetzten Maßnahmen regelmäßig überprüft, um Verbesserungspotenziale festzustellen.

Hardware- und IT-Hersteller stellen hohe Anforderungen an die Umgebungsluft des Rechenzentrums, um den sicheren Betrieb von Servern, Storages und Switches zu gewährleisten. Die Anzahl der Staubpartikel verschiedener Größen (in der Luft) muss auf ein Minimum reduziert werden. Die Norm DIN EN ISO 14644-1 Reinraumklasse 8 oder höher ist für die erforderliche Sauberkeit geeignet, um die Hardware und andere Komponenten in akzeptablen Umgebungsbedingungen zu betreiben. Wer diese Norm einhält, sichert sich gegen Verlust der Garantie, Gewährleistung und Wartung ab.

 

Breites Anforderungsspektrum

Aufgrund der steigenden Nachfrage nach Verfügbarkeit von IT-Infrastruktur steigen nicht nur die Anforderungen an das IT-System selbst, sondern insbesondere der kontinuierliche Schutz der Umgebungsbedingungen und Versorgung.

Zeitkritischer Zugriff, zeitnahe Prozesse, hohe Netzwerkkonnektivität und Online-Geschäfte erhöhen die Verfügbarkeits- und Leistungsanforderungen für Systeme, Datenspeicherung und unterstützende Infrastruktur erheblich. Im Internet der Dinge und im digitalen Zeitalter ist die Verfügbarkeit von Servern und Rechenzentren einer der Schlüsselfaktoren für den Erfolg von Unternehmen und Kommunen.

Um die Möglichkeit von Systemausfällen und Datenverlust in einer zentralisierten Umgebung zu verringern, sind komplexe Schutzkonzepte und zuverlässige Sicherheitsbewertungen erforderlich. Zur Gefährdungslage gehören laut BSI Fehlerhafte Planung, Unberechtigter Zutritt, Unzureichende Überwachung, Unzureichende Klimatisierung im Serverraum, Feuer, Wasser, Fehlender oder unzureichender Einbruchschutz, Ausfall der Stromversorgung, Verschmutzung, Unzureichende Trassendimensionierung.

Basis-Anforderungen bestehen aus Festlegung von Anforderungen, Bildung von Brandabschnitten, Einsatz einer unterbrechungsfreien Stromversorgung, Notabschaltung der Stromversorgung, Einhaltung der Lufttemperatur und -feuchtigkeit, Zutrittskontrolle, Verschließen und Sichern, Einsatz einer Brandmeldeanlage, Einsatz einer Lösch- oder Brandvermeidungsanlage, Inspektion und Wartung der Infrastruktur, Automatische Überwachung der Infrastruktur, Brandfrüherkennung, Vermeidung und Überwachung nicht erforderlicher Leitungen.

Standard-Anforderungen sind Perimeterschutz für das RZ, Planung und Installation von Gefahrenmeldeanlagen, Einsatz einer Netzersatzanlage, Überspannungsschutzeinrichtung, Klimatisierung im Data Center, Durchführung von Funktionstests der technischen Infrastruktur, Regelmäßige Aktualisierungen der Dokumentation, Anlagen zur Erkennung, Löschung oder Vermeidung von Bränden.

Anforderungen bei erhöhtem Schutzbedarf sind Ausweichrechenzentrum, Durchführung von Staubschutzmaßnahmen, Sicher strukturierte Verkabelung im Serverraum, Einsatz von Videoüberwachungsanlagen, Redundante Auslegung von unterbrechungsfreien Stromversorgungen, Redundante Auslegung von Netzersatzanlagen, Durchführung von Alarmierungs- und Brandschutzübungen, Einsatz von höherwertigen Gefahrenmeldeanlagen.

Um die Betriebssicherheit und Zuverlässigkeit des RZs objektiv bewerten zu können, haben Experten vom TÜV Rheinland ihre eigenen Anforderungsstandards formuliert. Der Normenkatalog basiert insbesondere auf der Rechenzentrumsnorm DIN EN 50600 und eigener Best-Practice-Erfahrung sowie den wichtigsten internationalen Standards und Normen, einschließlich der Berücksichtigung der physischen Infrastruktur sowie der Sicherheit und Verfügbarkeit in verschiedene Kategorien.

Nur durch das Konzept des Gesamtschutzes (ganzheitliches Schutzkonzept) kann die funktionale Sicherheit von IT-Systemen optimiert werden. Sicherheit im Bereich der Infrastruktur (physische Sicherheit) ist ebenso wichtig wie die Sicherheit der Organisation und der Informationstechnologie (IT-Systeme und ihre Anwendungen). Die physische Sicherheit wurde lange Zeit nicht systematisch untersucht, hat sich jedoch mit dem Erscheinen der Norm EN 50600 geändert. Dies ist das erste Mal, dass ein umfassender, koordinierter europäischer Leitfaden bereitgestellt wird.

Zu den allgemeinen Grundsätzen, die TÜV Rheinland genauer analysiert, gehören Kundendaten, Verfügbarkeitsanforderungen, Risikomanagement und Sicherheitskonzepte. Im Bereich Hochbau stehen Umwelt und Standort sowie Erweiterung und Layout im Zusammenhang mit der Gestaltung von IT-Bereichen. In der Technologiekategorie spielen Aspekte wie Brandmelde- und Brandbekämpfungssysteme und Zugangssicherheit sowie Gebäudemanagementsysteme, unterbrechungsfreie Stromversorgungen, Klimaanlagen, IT- und Netzwerkverkabelungen und Doppelböden eine Rolle.

 

Individuelle Überprüfungsverfahren und Betriebssicherheitsmaßnahmen

Es gibt einige Indikatoren, die darauf hinweisen, dass im Bereich der Betriebssicherheit des Rechenzentrums Maßnahmen ergriffen werden müssen. Schlechter Geruch, Verschmutzungen, hoher Stromverbrauch, überlaute Lüftergeräusche, spakige Klimaanlagenfilter, Staub auf den Geräten oder im Doppelboden, fehlende Dokumentation, ungenügende Tests und vieles mehr erregen Verdacht. Der erste Eindruck des Data Centers ist ein wichtiger Bestandteil des Gesamtbildes.

Die objektive Identifizierung und angemessene Beseitigung von Sicherheitsrisiken in der IT-Infrastruktur hat für IT-Betreiber oberste Priorität. Ziel ist es, vorbeugende Maßnahmen zum physischen Schutz von IT- und Kommunikationssystemen zu ergreifen und sicherzustellen, dass die Infrastruktur den Anforderungen entspricht, die auf bestehenden Standards und deren Grenzen basieren. Dabei soll eine höchstmögliche System- und Datenverfügbarkeit sowie eine nahezu 100% ige Funktionssicherheit gewährleistet sein.

Der Basistestkatalog in der aktuellen Version basiert auf den empfohlenen Maßnahmen im BSI-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik und berücksichtigt relevante EN- und DIN-Normen, insbesondere DIN EN 50600: Informationstechnik –Einrichtungen und Infrastrukturen von Rechenzentren, VDE-Vorschriften und VdS-Veröffentlichungen unter Berücksichtigung der "Best Practice" -Aspekte der Ergebnisse der täglichen Praxis.

Allgemeine organisatorische Faktoren sind ebenfalls wichtig. Gibt es eine Bedienungsanleitung, wie man den Organisationsprozess organisiert, wie man Logistik und Transport überwacht und gibt es regelmäßige Abnahmetests und Funktionstests? Wie unterrichte ich Mitarbeiter? In Bezug auf den Betrieb spielen Fragen im Zusammenhang mit Wartung und Service sowie Ausbildung, Schulung, Qualifikation und Notfallübungen eine wichtige Rolle.

Der Überprüfungsprozess ist auf die persönlichen Schutzbedürfnisse der Organisation zugeschnitten. Das Rechenzentrums-Serviceteam von TÜV Rheinland hat Audits bei vielen Unternehmen aus vielen Branchen und Rechenzentrumsbetreibern durchgeführt. Darüber hinaus haben Experten vorhandene Rechenzentren und Serverräume angepasst.

 

Simulation von Störungen

Der Integrationstest der Energie-, Kühl- und Sicherheitstechnologie ist eine wichtige Anforderung. Diese Testverfahren werden verwendet, um die kontinuierliche Entwicklung der Rechenzentrumstechnologie zu ermöglichen. Ohne diese Tests können Rechenzentrumsbetreiber nicht sicherstellen, dass das Rechenzentrum selbst im Falle eines Failovers sicher funktioniert. Viele Standards erfordern dies jedoch. In vielen Projekten, die von TÜV Rheinland als Qualitätssicherungs-Rechenzentrumsdienst unterstützt werden, sind Integrationstests eine Voraussetzung für die endgültige Akzeptanz und Abnahme des Kunden.

Nach der Inbetriebnahme zeigen Integrationstests, ob hochkomplexe technische Gebäudeausrüstung (TGA) zuverlässig funktionieren. Dies ist eine wichtige Voraussetzung für die Genehmigung neuer Rechenzentren. Der von TÜV Rheinland durchgeführte Test kann verschiedene Ausfall- und Schaltszenarien simulieren und sich dabei auf die betroffenen Komponenten in den Bereichen Elektrotechnik, Kühlversorgung und Sicherheitstechnik konzentrieren. Beispielsweise wurde beim "Black Building" -Test die Hauptstromversorgung unterbrochen. Startet die Notstromversorgung automatisch?

Wird ein Umschaltvorgang fehlerfrei durchgeführt? Schaltet das System wieder in den normalen Betrieb, wenn die Hauptstromversorgung wieder verfügbar ist? Wenn die Antwort auf eine dieser Fragen "Nein" lautet, müssen Maßnahmen ergriffen werden. Ein weiterer Test: Wenn eine der beiden redundanten Klimaanlagen ausfällt, muss die andere in der Lage sein, die angegebene Temperatur selbst aufrechtzuerhalten. Wenn das Problem nicht gelöst werden kann, muss es dringend verbessert werden.

Durch das Audit kann das Unternehmen Fehler im RZ frühzeitig erkennen. Diese Fehler können während des routinemäßigen Inbetriebnahmevorgangs noch verborgen bleiben und haben in Zukunft enorme Auswirkungen auf den Routinebetrieb. Der erfreuliche Nebeneffekt: Die Mitarbeiter der Rechenzentrumsbetreiber haben eine effektive Schulung am Arbeitsplatz erhalten, die ihr Verständnis des Systems erheblich erweitern kann. Letztendlich leisten diese Tests einen entscheidenden Beitrag zur Reduzierung möglicher Ausfallzeiten und die Verbesserung der Verfügbarkeit.

 

Betriebssicherheit im RZ, Serverraum und Data Center

Quelle und weitere Informationen:

Betriebssichere Rechenzentren

BSI IT-Grundschutz INF.2 Rechenzentrum sowie Serverraum