Kriterien für Qualität und Zukunftsfähigkeit
Check-Liste für das Rechenzentrum
Im Gegensatz zum aktuellen Wirtschaftswachstum verzeichnet das weltweite Datenaufkommen enorme Zuwachsraten. Der Bedarf an Rechenzentrumsfläche, Leitungskapazitäten und Datenspeicher steigt stetig. Nicht nur aufgrund von Compliance- und EU-Richtlinien (zum Beispiel Sarbanes-Oxley Act, Basel II) sind Unternehmen und Organisationen zur Datenspeicherung gezwungen und müssen dafür Sorge tragen, dass ihre Daten ein sicheres Zuhause haben.
Die im Internet- und Web-2.0-Zeitalter veränderten Anwendungen sowie die allgemeine
Digitalisierung von Geschäftsprozessen und -modellen sorgen für eine unaufhaltsame Zunahme der
verfügbaren Datenmengen. Zudem müssen die Produktivsysteme, die diese geschäftskritischen Daten
verarbeiten, ausfallfrei arbeiten, da ein Systemausfall Umsatzverlust bedeutet und im schlimmsten
Fall die Existenz des Unternehmens bedrohen kann. Viele interne Rechenzentren sind deshalb mit
ihrer Infrastruktur und ihrer IT an ihrer Leistungsgrenze angelangt oder rechnen damit, in den
kommenden zwölf Monaten dort anzukommen.
Betriebskosten interner RZs zwingen zum Handeln
Die Betriebs- und Kapitalkosten eigener Rechenzentren stehen immer stärker auf dem Prüfstand und
stellen europaweit eine der größten und stetig steigenden Herausforderungen dar. Dies hat eine im
vergangenen Jahr durchgeführte Studie von Interxion in Zusammenarbeit mit IDC ergeben. Da die
Investitions- und Betriebskosten mit der Umsetzung aktueller Sicherheitsstandards in Rechenzentren
steigen, lässt sich eine hohe physische Sicherheit nicht immer und überall realisieren. Auch
entscheiden sich immer mehr Unternehmen und Organisationen aufgrund von Platzmangel oder Engpässen
bei der Stromversorgung und/oder der Klimatisierung im eigenen Rechenzentrum für alternative und
flexiblere Lösungen wie beispielsweise Colocation. Insbesondere in der aktuellen wirtschaftlichen
Situation tendieren Unternehmen dazu, Leistungen bedarfsgerecht von extern zu beziehen, anstatt
selbst in kapitalintensive eigene Anlagen zu investieren.
Bei Colocation mietet der Kunde lediglich eine hochwertige Stellfläche im Rechenzentrum eines
Dienstleisters an. Diese ist mit ausfallsicherer Stromversorgung und Klimatisierung ausgestattet
und physisch durch verschiedene Sicherheitsmechanismen abgesichert. Die eigene IT arbeitet mit
eigenem Personal dort weiter, die Server und Systeme sind somit nicht "in fremden Händen".
Ein Colocation-Anbieter bürgt für die Sicherheit, die unterbrechungsfreie Stromversorgung und
die optimale Klimatisierung der IT- und Telekommunikationssysteme seiner Kunden. Entsprechende
Service-Vereinbarungen und -Garantien, die so genannten Service Level Agreements (SLAs), regeln die
Verfügbarkeit, die Betriebszeiten und eventuelle Konsequenzen bei Nichteinhaltung durch den
Dienstleister. Ein Vorteil, der sich bei einer internen Lösung nur schwer abbilden lässt.
Hinsichtlich Flexibilität, Wirtschaftlichkeits- und Haftungsaspekten stellt die externe Lösung in
immer mehr Fällen eine interessante Alternative gegenüber dem eigenen Rechenzentrum dar.
Dementsprechend planen nach der Interxion/IDC-Studie die Hälfte der befragten deutschen Unternehmen
mittel- bis langfristig ein Outsourcing oder Outtasking ihrer IT- und Telekommunikationssysteme.
Dies ist mehr als im europäischen Durchschnitt.
Die Hauptgründe für die (bevorstehende) Nutzung von Colocation sehen die verantwortlichen CIOs
und befragten Entscheider in der höheren Flexibilität und Skalierbarkeit, in den
Kosteneinsparpotenzialen, der Ausfallsicherheit und der hohen Zukunftsfähigkeit externer
Rechenzentren gegenüber selbst betriebenen Anlagen. Auch vor dem Hintergrund eines funktionierenden
Business-Continuity-Managements allesamt wichtige Faktoren.
Neben den oben genannten Kriterien steht bei der Auswahl oder beim Um-(Aus)bau eines
Rechenzentrums vor allem die physische Sicherheit im Vordergrund. Als wesentliche Bestandteile der
physischen Sicherheit sind Stromversorgung, Klimatisierung, Kommunikationsanbindung, Brandschutz,
Gebäudesicherheit und restriktive Zutrittsregelungen zu nennen. Diese dürfen jedoch niemals
losgelöst voneinander betrachtet werden, da sie voneinander abhängig und im Zusammenspiel auch als
kritische Elemente anzusehen sind. So reicht eine perfekt funktionierende USV nicht aus, wenn beim
Umschalten von Netz- auf Batteriebetrieb die Elektronik versagt und die Anlagen nicht kompatibel
sind.
Es bedarf also eines ganzheitlichen Konzepts und einer Verzahnung der einzelnen Bereiche und
Systeme, um eine den Bedürfnissen entsprechende Sicherheit zu gewährleisten. Auch existierende
Notfallpläne dürfen bei der Betrachtung eines Rechenzentrums nicht außer Acht gelassen werden.
Bei externem Betrieb und der Wahl des optimalen Anbieters sind zudem die Verfügbarkeit von
Netzwerkdiensten und Managed-Services als auch die Auswahlmöglichkeit an unterschiedlichen Carriern
sowie das Reaktionsverhalten des Supports und die Flexibilität und Skalierbarkeit im Allgemeinen
mitentscheidend.
Zertifizierte RZ-Betreiber noch unterrepräsentiert
Wenn sich Unternehmen oder Organisationen für die Lösung eines externen Rechenzentrums
entscheiden, sollten die Verantwortlichen darauf achten, dass der Rechenzentrumsanbieter nach ISO
27001 zertifiziert ist. Dieser Standard ist einer der strengsten internationalen Standards für
System- und physische Sicherheitsprozesse. Der Auditierungs- und Zertifizierungsprozess erstreckt
sich auf alle Aspekte des Geschäfts inklusive Infrastruktur, physikalische Sicherheit und
Zutritts-Management, Personal, Kommunikation, Operations, Compliance-Kriterien sowie
Datensicherungs- und Disaster-Recovery-Systeme.
Da zurzeit noch die wenigsten Rechenzentrumsbetreiber eine Zertifizierung gemäß ISO 27001
vorzuweisen haben, dient die vorliegende Check-Liste um so mehr einer ersten überblicksartigen
Bestandsaufnahme und Beurteilung. Es sind die wichtigsten Kriterien zu den Themen physische
Sicherheit, Skalierbarkeit, Effizienz und Störungs-Management gelistet, die Entscheider bei der
Auswahl eines externen Rechenzentrums oder beim (Aus-)Bau des eigenen RZs zugrunde legen sollten.
Dabei gilt jedoch: Das Ganze ist wichtiger als die Summe seiner Teile. Die optimale Abstimmung
einzelner Faktoren und die Kompatibilität der unterschiedlichen Sicherheits- und Versorgungssysteme
wie beispielsweise bei der erwähnten USV sollte somit Vorrang vor ausgeklügelten Detaillösungen
haben. Für eine eigene Evaluierung soll die folgende Check-Liste als Hilfestellung dienen.
1. Check: Gebäudesicherheit und Zutrittsregelung
Rechenzentren müssen gewährleisten, dass IT-Systeme stets verfügbar sind und die
Vertraulichkeit, Verfügbarkeit und Integrität der dort gelagerten Daten sichergestellt ist.
Voraussetzung dafür: eine ausgefeilte Zutrittskontrolle, die jeden Zutritt genauestens kontrolliert
und protokolliert. Nur so haben Benutzer die Gewissheit darüber, welche Personen zu welcher Zeit im
Rechenzentrum waren. Damit auch wirklich nur autorisierte Personen Zutritt erlangen, hat sich in
der Praxis eine Kombination aus Schlüsselkarten, biometrischen Zugangssystemen in Verbindung mit
Personenvereinzelungsanlagen und Kameraüberwachung als zuverlässiges Zutrittssystem bewährt.
Im Einzelnen ist zu hinterfragen: Wie wird sichergestellt, dass nur Befugte Zugang zum
Rechenzentrum haben (zum Beispiel Absicherung durch mehrstufige Sicherheitssysteme, Abfrage von
biometrischen Merkmalen zur eindeutigen Erkennung, Dokumentation der Zu- und Austritte von
Personen, Personenvereinzelungsanlagen)? Ist das Gebäude adäquat gesichert und überwacht? Die
Kombination aus Sicherheitspersonal vor Ort und einer Kameraüberwachung aller kritischen und
wichtigen Innen- und Außenbereiche mit anschließender Langzeitarchivierung der Bilddaten hat sich
in der Praxis bewährt. Sind einbruchsichere Türen und Fenster sowie Einbruchmeldeanlagen im
Rechenzentrum vorhanden? Haben autorisierte Mitarbeiter und Zulieferer ohne Vorankündigung rund um
die Uhr an 365 Tagen im Jahr Zutritt zum Rechenzentrum – zum Beispiel durch Speicherung der Daten
im System? Rechenzentren müssen zwar sicher sein, doch darf die Sicherheit nicht alles
behindern.
Lässt sich ein unbefugter Zugang zur Technik im Inneren des Rechenzentrums – etwa von
anderen Kunden des Rechenzentrumsanbieters – vermeiden? Gibt es hier zusätzliche Kamera- oder
getrennte Zugangssysteme und Bewegungsmelder? Sind sensible Leckage-Systeme, die ein Eintreten von
Wasser in den Rechenzentrumskern erkennen, vorhanden?
2. Check: Brandschutz
Brände führen immer wieder zu verheerenden und Existenz bedrohenden wirtschaftlichen Folgen für
Unternehmen und zu einem unwiederbringlichen Verlust geschäftskritischer Daten. Deshalb ist es
wichtig, Brände frühzeitig zu erkennen. Zur Branderkennung bieten sich so genannte
Brand-Frühesterkennungs-Systeme an, die mit Hilfe von Lasern die Luft im Rechenzentrum permanent
monitoren und bereits bei einem geringen Anteil an Rußpartikeln, die beispielsweise durch ein
schmorendes Kabel freigesetzt werden können, Alarm schlagen.
Im Einzelnen: Ist das Rechenzentrum in verschiedene Brandabschnitte unterteilt? Gibt es
Room-in-Room-Lösungen, sind Brandschutzwände vorhanden und Brandbekämpfungssysteme nach neuestem
Stand der Technik installiert? Sind Brandschutztüren und -fenster installiert und wurde auf
Brandabschottung der Trassen geachtet? Wie sieht die Einhaltung der Brandschutzvorschriften im
Allgemeinen aus – wie gehen die Verantwortlichen mit Brandlasten um? Existieren Handfeuerlöscher?
Gibt es ein Brand-Frühesterkennungs-System? Sind Sensoren und Detektoren auch im Doppelboden
installiert, die auf Temperaturanstieg sowie auf Rauch- und Schwelgase reagieren? Wie erfolgt die
Information des internen Sicherheitsdienstes und der Feuerwehr im Brandfall?
Verwendet man im Brandfall Löschgas, das der Technik nicht schadet? Sind Entgasungs-,
Ventilations- und Druckentlastungs-Systeme vorhanden? Lässt sich der Betrieb auf Kundenwunsch
redundant auslegen oder überhaupt Brandprävention kundenspezifisch regeln? Kann also der IT-Betrieb
weiterlaufen, wenn ein Abschnitt oder ein Raum brennt? Ist das Brandbekämpfungssystem im
Allgemeinen redundant ausgelegt? Können Systeme auch im Brandfall weiter arbeiten?
3. Check: Unterbrechungsfreie Stromversorgung
Damit geschäftskritische Anwendungen und digitale Geschäftsprozesse auf den Produktivsystemen im
Rechenzentrum reibungslos abgebildet werden können und keine Daten verloren gehen, muss auch bei
Ausfällen des öffentlichen Stromnetzes für eine unterbrechungsfreie Stromversorgung gesorgt sein.
Im Einzelnen lauten die Fragen: Hat das Rechenzentrum eine Blitzschutzvorrichtung, einen
Überspannungsschutz, und liegt bei den Außenleitungen eine galvanische Trennung vor? Ist eine USV
vorhanden, und welche Verfügbarkeit ergibt sich aus der Konfiguration? Welchen Zeitraum kann die
USV unter Volllast überbrücken? Gibt es (redundante) Netzersatzanlagen, die im Falle eines länger
andauernden Stromausfalls die Versorgung übernehmen können? Wie lange reicht der Treibstoffvorrat
und existieren Lieferverträge mit Treibstofflieferanten, um im Bedarfsfall sofort Diesel
nachgeliefert zu bekommen? Erfolgt der Übergang der Stromversorgung unterbrechungsfrei – und zwar
vom Normal- auf Notbetrieb und umgekehrt? Ist die Kompatibilität der Systeme gewährleistet oder
existieren mehrere Systeme unterschiedlicher Hersteller nebeneinander?
Läuft die Krisenumschaltung voll automatisch? Ist die Stromverfügbarkeit in den Service Level
Agreements verbindlich geregelt? Laufen regelmäßig Wartungsarbeiten, und wird die
Notstromversorgung überwacht, kontrolliert und gestestet? Bestehen langfristige Verträge über
mögliche Kapazitätserweiterungen mit städtischen Energieversorgern oder Pläne eigener Kraftwerke
vor Ort? Ist eine zusätzliche Versorgung durch das bestehende Netz überhaupt möglich?
4. Check: Klimatisierung
Da der größte Teil der zugeführten Energie von den Geräten in Form von Wärme wieder abgegeben
wird, spielt – neben der Stromversorgung – die Klimatisierung eine wichtige Rolle. Vor allem im
Sommer kann es eine große Herausforderung sein, im Rechenzentrum Temperatur und Luftfeuchtigkeit im
Idealbereich zu halten. Die immer leistungsfähigere Hardware und deren steigender Strombedarf
lassen herkömmliche Klimatisierungskonzepte oft an ihre Grenzen stoßen. Sowohl bei der
Stromversorgung als auch bei der Klimatisierung müssen Überkapazitäten vorhanden sein, damit sich
bei einem (Teil-)Ausfall der Infrastruktur sowie bei Wartungsarbeiten entstehende Versorgungslücken
durch die Zuschaltung weiterer Anlagen kompensieren lassen. Das heißt: Ist das
Klimatisierungssystem von den Geräten bis hin zum Kaltwasserversorgungsnetz redundant aufgebaut?
Sind Überwachungs- und Früherkennungssysteme installiert, die die Temperatur und die
Luftfeuchtigkeit jederzeit messen und protokollieren? Sind Verfügbarkeiten und Service-Bedingungen
in SLAs geregelt? Laufen Alarme und Warnungen an einer zentralen Stelle auf (NOC), die 24×7 besetzt
ist, damit etwa bei Überhitzung eine schnelle Reaktion erfolgt? Nutzt man umweltfreundliche
Kühlsysteme mit Freikühlungsfunktion? Ist die Kühlungskapazität der IT-Dichte angemessen?
Sind die Anlagen auf weiteres Wachstum ausgelegt und stehen bei Bedarf noch Kapazitäten zur
Verfügung? Ist die Infrastruktur so ausgelegt, dass sich Luftströme optimal leiten lassen (keine
Kabelbündel im Doppelboden etc.)? Ist es möglich, vorhandene Klimatisierungssysteme auf den Bedarf
des Kunden abzustimmen?
5. Check: Netzwerkanbindung
Als essenzieller Bestandteil für den externen Datenaustausch sollte die Netzwerkanbindung
redundant aufgebaut sein. Optimal ist eine zusätzliche Anbindung, die durch einen zweiten
Netzbetreiber mit einer alternativen Wegeführung der Kabel oder auf drahtlosen Übertragungswegen
wie Richtfunk oder Satellit arbeitet.
Im Detail lauten die Fragen: Stehen mindestens zwei separate Hauseinführungen von zwei
unterschiedlichen Netzbetreibern zur Verfügung? Kann man mit Datenaustauschknoten/Carriern in
Verbindung treten? Ist die Carrier-Neutralität gewährleistet? Haben alle großen Netzbetreiber ihre
Anschlusspunkte im ausgewählten Rechenzentrum? Gibt es kurze Latenzzeiten?
6. Check: Skalierbarkeit
Da ein Unternehmen oder eine Organisation nie genau planen und somit wissen kann, wann eine
Expansion der IT- und Telekommunikationssysteme eintreten wird, ist es unerlässlich, dass das
vorhandene Rechenzentrum skalierbar ist und nicht von einem Tag auf den anderen an seine
Kapazitätsgrenzen stößt.
Das heißt: Ist die Rechenzentrumsfläche insgesamt nach aktuellen Sicherheits- und
Verfügbarkeitsstandards erweiterbar? Inwieweit lässt sich an jedem Punkt des Rechenzentrums die
Gerätekapazität aufstocken? Existieren Baupläne oder Erweiterungspläne für die nächsten zehn
Jahre?
7. Check: Energieeffizienz
Rechenzentrumsanbieter können sich nicht hinter dem Argument verstecken, dass sie selbst nicht
viel in Richtung Green IT tun können und ihre Energiebilanz von der Hardware und dem Stromverbrauch
ihrer Kunden abhängig ist. Colocation-Anbieter können durchaus mit der richtigen Architektur und
Klimatisierung für einen effizienteren Betrieb sorgen. Einige Anbieter sind sogar Mitglied bei "The
Green Grid", einem Konsortium, das sich weltweit für eine Verbesserung der Energieeffizienz in
Rechenzentren stark macht. Genau wie bei einer Zertifizierung nach ISO-Standard 27001 kann man bei
Rechenzentrumsanbietern darauf achten, dass sie bei Organisationen wie "The Green Grid" aktiv
sind.
Im Einzelnen: Bietet der Rechenzentrumsanbieter Beratung bei Virtualisierung und Konsolidierung
der Systeme? Werden energiesparende Klimatisierungsgeräte mit Freikühlungsfunktion eingesetzt und
beispielsweise Luftströme aus Warm- und Kaltluft vollständig getrennt? Stehen auch Nachrüstsysteme
zur Trennung von Warm- und Kaltluft bei bestehenden älteren Server-Schränken zur Verfügung?
Bestehen nachhaltige Raumkonzepte, und sind die Server-Räume durch ein Room-in-Room-Konzept von
äußeren klimatischen Bedingungen abgeschottet und unabhängig? Sind das Gebäude selbst wie auch die
Versorgungsinfrastruktur in Bezug auf Energieeffizienz aufeinander abgestimmt und bestehen auch
darüber hinaus "nachhaltige" Verhaltensregeln für Angestellte sowie ein nachhaltiges
(Kapazitäts-)Management und Wartungskonzepte?
8. Check: Störungs-Management
Auch Maßnahmen für den Notfall dürfen nicht außer Acht gelassen werden. In so genannten Business
Continuity-Plänen oder Disaster-Recovery-Plänen muss beschrieben sein, wie sich im Krisenfall der
Geschäftsbetrieb in kritischen Unternehmensbereichen wieder aufnehmen oder fortsetzen lässt. Das
bedeutet: Wie reagiert man bei Zwischenfällen oder gar Krisen? Liegen eine Dokumentation und die
Notfallpläne zur Einsichtnahme vor? Werden das Verhalten im Notfall und eventuelle Krisenszenarien
regelmäßig geprobt und durchgespielt? Welche Szenarien können den Fortbestand des Unternehmens
gefährden? Gibt es im Unternehmen einen Verantwortlichen, der für Datensicherheit zuständig ist und
auch in Notfallsituationen mit dem Rechenzentrumsanbieter zusammenarbeiten und vor Ort sein kann?
Stellt der Anbieter eigene Büros für Ihr Personal zur Verfügung?
Lesen Sie mehr zum Thema
