Welche Zertifizierungen sind für Rechenzentren wichtig?

Die überwiegende Mehrheit aller Daten im Internet wird in Rechenzentren verwaltet und aufbewahrt und sind für Unternehmen wie für Privatpersonen unverzichtbar. Nicht ohne Grund gelten sie als der bevorzugte Ort, um Informationen vor einem lokalen Ausfall von Hardware zu schützen und gleichzeitig permanent erreichbar zu machen. Um diesen Anspruch zu verwirklichen und zu garantieren, müssen die entsprechenden Anbieter allerdings die entsprechenden Zertifizierungen besitzen. Sie dienen dazu, eine ausfallfreie Erreichbarkeit zu ermöglichen und im Falle eines Zwischenfalls die Integrität der Daten zu gewährleisten. Dabei müssen verschiedene Ebenen beachtet werden, weil die Sicherheit von Rechenzentren von zahlreichen Faktoren wie den Schutz gegen physisches Eindringen, eine Kompromittierung durch Cyberangriffe, das Versagen von Hardware und andere Gefahren wie Brand, den Ausfall der Energieversorgung oder eine dauerhafte und mehrfach gesicherte Anbindung an das globale Netzwerk berücksichtigen muss.

Welchen Zweck verfolgen Zertifizierungen für Datenzentren?

Wer Daten online außerhalb seiner eigenen Hardware speichert, muss auf die Sicherheit von Rechenzentren vertrauen können - ganz unabhängig davon, ob es sich um Webseiten, interne Datenspeicher wie weltweit abrufbaren Informationen eines Network Attached Storage (NAS) in einem Virtual Private Network (VPN) oder öffentliche ebenso wie private Plattformen wie Git Repositories oder den kollektiven Zugriff auf gemeinsam einsehbare oder bearbeitete Dokumente handelt. Offizielle Zertifizierungen dienen dazu, dem Anwender einen maximalen Schutz gegen den Ausfall der von ihm gemieteten IT-Infrastruktur zu gewährleisten und bei einem Zwischenfall den Schaden auf ein Minimum zu reduzieren. Sie werden in der Regel von unabhängigen Stellen wie dem TÜV in Auftrag des Betreibers vorgenommen oder sind ab einem gewissen Umfang der Leistungen gesetzlich vorgeschrieben.

Im Unterschied zu Administratoren etwa von Webseiten oder extern verwalteten IT-Systemen müssen Rechenzentren neben den digitalen Angriffen ebenfalls konkrete und lokale Szenarien berücksichtigen. Die hohe Abwärme von Hardware wie Prozessoren, GPU Einheiten und spezialisierten CPU für Anwendungen wie Artificial Intelligence (AI) oder Laufwerken erfordert eine zuverlässige und dauerhafte Klimakontrolle mit aktiver Kühlung, alle Leitungen müssen außerdem ausfallsicher angebracht, verlegt und übersichtlich strukturiert werden. Die Anforderungen für ein Datacenter liegen entsprechend hoch und schließen zahlreiche Aspekte ein, die entsprechendes Fachpersonal und ein mehrfach abgesichertes Design benötigen. Ein besonderer Aufwand bedeutet hier die Colocation, bei der Rechenzentren Raum für fremde Hardware vermieten und den Inhabern Zugang zu dieser ermöglichen müssen. Zertifizierungen für ein Datacenter versuchen, alle möglichen Faktoren zur berücksichtigen und diese unter objektiven Kriterien nach einem universellen Maßstab zu bewerten.

Was sind die wichtigsten offiziellen Kriterien bei Zertifizierungen für Datenzentren?

Die Anforderungen an Datenzentren für einen sicheren Betrieb sind ebenso hoch wie vielseitig. Sie müssen unterschiedliche Ebenen berücksichtigen und reichen von der Sicherheit eines Gebäudes über die Redundanz von Anbindungen an das Netzwerk und die Stromversorgung bis zu ökologischen Kriterien wie die Verwendung erneuerbarer Energien. Zu den wichtigsten Kriterien für Zertifizierungen entsprechend internationaler Standards zählen:

• Physische Sicherheit der Datenzentren unter normalen und außergewöhnlichen Bedingungen
• Eindeutige Authentifizierung von Nutzern und Angestellten etwa durch biometrische Zutrittskontrolle
• Monitoring und effiziente Steuerung des Raumklimas durch ein Lüftungssystem
• Redundanz bei kritischer Infrastruktur wie Anbindung an das Netzwerk und Energieversorgung
• Geregelter und einheitlicher Ablauf von Prozessen und Arbeitsschritten
• Schutz gegen Unfälle wie Feuer oder Naturkatastrophen wie Überschwemmungen und Sturm
• Sicherung der Qualität und der Informationssicherheit anhand unabhängiger Standards
• Optionale Ergänzungen etwa zum Datenschutz, der ökologischen Stromversorgung oder dem internationalen Zahlungsverkehr

Bis etwa 2020 war es gängige Praxis, dass alle diese Anforderungen in unterschiedlichen Normen geregelt waren, für die Prüfstellen einzelne Zertifizierungen erteilten. Dabei existierte kein übergreifender und allgemein verbindlicher Katalog, welche Standards die Datenzentren konkret erfüllen mussten. Dies führte zu einer sehr unübersichtlichen Lage, in der Zertifizierungen in vielen Fällen ausschließlich auf einer freiwilligen Basis vorgenommen beziehungsweise für Kunden veröffentlicht wurden. Um diese Situation zu ändern und die Anforderungen an Zertifizierungen zu vereinheitlichen, entwickelte die Europäische Union einen generellen Standard DIN EN 50600, der im Jahr 2019 in Kraft trat.

Was besagen Zertifizierungen nach der neuen Norm DIN EN 50600?

Das wichtigste Regelwerk innerhalb der Europäischen Union (EU), das Zertifizierungen von ausfallsicheren Datenzentren ermöglicht, besteht in der DIN EN 50600 mit dem Namen "Informationstechnik - Einrichtungen und Infrastrukturen von Rechenzentren" und umfasst mehrere Teilbereiche. Sie bildet den ersten europaweit länderübergreifenden Standard, der eine einheitliche und umfassende Norm für eine sichere Operation von Datenzentren definiert und dabei alle Schritte von der Planung über den Bau und die Ausführung bis zum laufenden Betrieb einschließt. Zu dem Inhalt der ineinander aufbauenden Zertifizierungen zählen unter anderem:

• Theoretische Planung und grundlegende Architektur bei Neubauten
• Konstruktion und Anlage des Gebäudes
• Angemessene und ausfallsichere Energieversorgung
• Effiziente und ausreichende Klimatisierung der Serverräume
• Redundante und auf Spitzenlasten ausgelegte Anbindung an das Netzwerk
• Professionelles Management und Kontrolle der Arbeitsabläufe
• Physische Sicherheit der Rechenzentren zum Schutz der Daten
• Prävention gegen Unglücke wie Feuer und Naturkatastrophen wie Sturm und Überflutung

Die DIN EN 50600 soll mehrere Zertifizierungen ersetzen und die Anforderungen an die Sicherheit in einem einheitlichen Katalog zusammenfassen. Es handelt sich allerdings zunächst in erster Linie um einen Leitfaden, der nach dem System eines Baukastens die relevanten Prämissen vorgibt. Für Zertifizierungen existiert mit dem TSI.EN50600 ein separater Prüfkatalog, der alle Kriterien für eine erfolgreiche Abnahme einzeln und detailliert definiert. Aktuell ist dieser in der Version 2 gültig, die im April 2020 in Kraft getreten ist und nach einer Übergangsfrist von drei Jahren die von 2019 stammende Version 1 rechtsverbindlich ablöst.

Welche weiteren und älteren Zertifizierungen für Datenzentren existieren?

Im Laufe der vergangenen Jahrzehnte haben sich seit der Verbreitung des Internets zahlreiche unterschiedliche Standards für Rechenzentren etabliert, die teilweise allgemeine Anforderungen formulieren und teilweise für spezielle Zwecke - etwa den Betrieb in einem finanziellen oder industriellen Umfeld - entwickelt wurden. Zu den wichtigsten unter ihnen gehören:

• ISO 27001: Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen
• ISO 9001: Qualitätsmanagementsysteme - Grundlagen und Begriffe
• IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Payment Card Industry Data Security Standard (PCI-DSS)
• Trusted Site Infrastructure (TSI) von der TÜV Informationstechnik GmbH
• ISO 14000 ff: Internationaler Standard zum Umweltmanagement
• Verfügbarkeit durch verschiedene Tier-Klassen

Diese Normen und Zertifizierungen beziehen sich wie zum Beispiel die ISO 27001, TSI oder der IT-Grundschutz in einigen Fällen explizit auf die moderne Informations- und Kommunikationstechnologie inklusive Rechenzentren. In anderen wie bei der ISO 9001 oder ISO 14000 ff handelt es sich hingegen um Zertifizierungen, die unabhängig von der Branche auf alle Unternehmen angewandt werden können und die Einhaltung bestimmter Standards bescheinigen. Eine dritte Gruppe, darunter etwa PCI-DSS, umfassen besonders sicherheitskritische Teilbereiche wie den Zahlungsverkehr über elektronische Transferwege beispielsweise mit Kreditkarten. Eine wichtige Aufgabe der 2019 in Kraft getretenen DIN EN 50600 besteht darin, diese unterschiedlichen Zertifizierungen zu vereinheitlichen und in einem einzigen Standard zu sammeln, um eine hohe Transparenz herzustellen.

Wer stellt Zertifizierungen für Rechenzentren aus?

Bei den oben erwähnten Standards muss ausdrücklich betont werden, dass einige der verantwortlichen Institutionen für ihre Normen selbst keine eigenen Zertifizierungen vornehmen, die die Anforderungen an die Rechenzentren und deren Erfüllung unabhängig bestätigen. Dies gilt speziell für die International Organization for Standardization (ISO) und das Deutsche Institut für Normung (DIN), die beide lediglich Standards definieren und die Überprüfung nicht angeschlossenen Unternehmen beziehungsweise den Anwendern selbst überlassen. Große Rechenzentren von internationalen Betreibern lassen sich aus diesem Grund häufig von seriösen Anbietern wie dem TÜV extern überprüfen und weisen diese bei den Zertifizierungen explizit aus. Da dieser Vorgang allerdings mit nicht unerheblichen Kosten verbunden ist und nicht obligatorisch vorgeschrieben wird, verzichten andere auf eine solche Überprüfung und achten selbst auf die Einhaltung der vorgegebenen Anforderungen. Eine derartige Selbstzertifizierung ist durchaus nicht ungewöhnlich und ebenfalls in der Industrie weit verbreitet. Das prominenteste Beispiel ist die für Elektrogeräte und andere Produkte in der EU vorgeschriebene CE-Kennzeichnung, die die Kenntnis und Einhaltung bestimmter Regeln durch den Hersteller signalisiert, jedoch keinerlei Prüfung beinhaltet.

Sind Rechenzentren gesetzlich zu Zertifizierungen verpflichtet?

Es existiert keine rechtskräftige Vorschrift, die einem Datacenter eine bestimmte Prüfung grundsätzlich vorschreibt. Zertifizierungen für die Rechenzentren mit oder ohne Colocation erfolgen prinzipiell auf freiwilliger Basis und auf Antrag durch den Betreiber. Allerdings gibt es Einschränkungen, nach denen zum Beispiel für die Teilnahme an öffentlichen Ausschreibungen bestimmte, mit diesen in einem sachlichen Zusammenhang stehende Zertifizierungen vorliegen müssen. Viele mittelständische Unternehmen und große Konzerne achten zudem in ihrem eigenen Interesse darauf, dass die von ihnen genutzten Rechenzentren von unabhängiger Stelle begutachtet und zertifiziert werden. Insofern besteht zwar kein direkter gesetzlicher Zwang für Rechenzentren zu bestimmten Siegeln oder Überprüfungen, ab einer gewissen Größe jedoch ein starker kommerzieller Druck, diese vornehmen zu lassen, um entsprechende Zertifizierungen zu erwerben.