| Sicherheit im Rechenzentrum | |
| Gefahren erkennen | |
| Kühlung schützt vor Feuer | |
| Outsourcing als Alternative |
So manchem Entscheider ist gar nicht bewusst, dass er je nach Rechtsform und Art des Unternehmens mehr oder minder strengen Gesetzen und Verordnungen unterworfen ist, die dazu verpflichten, dessen Fortbestand auch im Fall von Naturereignissen oder Terrorakten zu gewährleisten. Durch die Eigenkapitalvereinbarung "Basel II" und die Standards zur Vergabe von Krediten kommt es verstärkt darauf an, Risiken des IT-Betriebs einschätzen zu können. Die Firmen-IT ist häufig eng mit kritischen Bereichen wie Buchhaltung, Warenwirtschaft oder Produktionssteuerung verzahnt oder stellt sogar die Grundlage des Geschäftsmodells dar. Daher müssen die Sicherheit des Rechenzentrums (RZ) im Allgemeinen und die häufig unterschätzte physikalische Absicherung im Besonderen in den Mittelpunkt des Interesses rücken. Dies gilt nicht nur für große Konzerne, Banken und Versicherungen, sondern zunehmend auch für Mittelständler und ist unabhängig davon, ob das Unternehmen ein eigenes Rechenzentrum betreibt oder RZ-Dienstleistungen über einen Provider einkauft.
Um herauszufinden, welche physikalische Sicherheit sie brauchen, sollten Unternehmen methodisch vorgehen und mindestens einen Verantwortlichen für das Thema benennen. Auf diese Weise lässt sich mit vertretbarem Aufwand ein auf die jeweilige Organisation zugeschnittenes Sicherheitskonzept entwickeln.
Am Anfang der Planung sollte in jedem Fall die Anforderungsanalyse stehen. Hierbei handelt es sich um eine Risikoabschätzung im Hinblick auf mögliche Gefahren, die sich beispielsweise durch die Art des Geschäftsbetriebs, den Standort des RZ und weitere Faktoren ergeben. Als Nächstes gilt es, die erforderlichen Schutzmaßnahmen samt technischer Umsetzung zu ermitteln. Da sich die Parameter im Lauf der Zeit ändern, sollte alles schriftlich dokumentiert und im Sinn eines Qualitäts-Managements regelmäßig überprüft werden. Nur so kann Sicherheit dauerhaft aufrechterhalten werden.
"Wird der Betrieb eines eigenen RZ in Betracht gezogen, ist es wichtig, eine Vision zu entwickeln und diese während der gesamten Planung und Umsetzung im Auge zu behalten", rät Peter Heinemann, der als Senior Consultant beim Frankfurter Rechenzentrumsbetreiber Interxion tätig ist. "Essenziell ist zudem, nicht die technisch perfekte Detaillösung anzustreben, sondern auf eine optimale Abstimmung der einzelnen Elemente zu achten."
Anhaltspunkte, welche Anforderungen bei der physikalischen Sicherheit zu berücksichtigen sind, liefern beispielsweise das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), der BSI-Standard 100-2 oder die ISO-Norm 27001:2005. Bei Bedarf kann sich ein RZ-Betreiber beispielsweise vom TÜV gemäß ISO 27001 zertifizieren lassen, um den eigenen Qualitätsstandard zu dokumentieren.
