Technik, Effizienzanforderungen, neue Regularien
Steigende Ansprüche an Rechenzentren
Fortsetzung des Artikels von Teil 1
Definition Kritis
Der Kreis der Betroffenen umfasst inzwischen rund 1.850 Unternehmen, die sich auf zehn Wirtschaftssektoren und eine Sonderkategorie verteilen:
- Informationstechnik und Telekommunikation,
- Gesundheit,
- Energie,
- Wasser,
- Ernährung,
- Finanz- und Versicherungswesen,
- Transport und Verkehr,
- Siedlungsabfall-Entsorgung
- Staat und Verwaltung,
- Medien und Kultur sowie
- Unternehmen im besonderen öffentlichen Interesse.
Wichtig ist, dass nicht nur die Kunden von Rechenzentren unter die Kritis-Definition fallen, sondern auch Provider und Datacenter selbst zur kritischen Infrastruktur zählen, wenn sie gewisse Schwellwerte überschreiten. So sind beispielsweise Zugangs- und Übertragungs-Provider betroffen, die mindestens 100.000 Teilnehmer versorgen. Damit liegt beispielsweise die Grenze für DNS-Server und Top-Level-Domain-Registrare (TLD-Registry) bei 250.000 Domänen. Ferner gelten DNS-Resolver als kritisch, die mehr als 100.000 Vertragspartner haben. Internet-Austauschknoten zählen ab 100 angeschlossenen autonomen Systemen zum Betroffenenkreis.
Was viele nicht wissen, ist, dass am 1. Januar 2022 die Regularien verschärft wurden. Um zwei Beispiele zu nennen: Ab diesem Zeitpunkt gelten Rechenzentren bereits ab 3,5 MW als kritische Infrastruktur. Davor lag die Grenze bei 5 MW. Auch bei Server-Farmen beträgt der Schwellenwert nun statt bisher 25.000 jetzt 10.000 physische oder 15.000 virtuelle Instanzen.
Schärfere gesetzliche Grundlagen
In Deutschland sind zentrale Anforderungen in der Kritis-Verordnung (KritisV) 1.5 niedergelegt. Weitere Vorgaben finden sich beispielsweise im BSI-Gesetz (BSIG), das Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) enthält. So verpflichtet beispielsweise Paragraf 8a die Unternehmen dazu, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“.
Kurz gesagt: Alle Betreiber von IT-Infrastruktur müssen diese auf dem „Stand der Technik“ halten. Im Fall der Kritis-Anforderungen stellt das BSI darüber hinaus auf branchenspezifische Sicherheitsstandards (B3S) ab, die in der Regel von Branchenverbänden definiert werden. Kritis-Unternehmen müssen sich alle zwei Jahre nach diesen Standards zertifizieren lassen.
Wie die Technik selbst ist auch der gesetzliche Rahmen im steten Wandel begriffen – weitere Verschärfungen sind bereits in Arbeit. In Deutschland feilen die Fachleute gerade an der Kritis-Verordnung 2.0. Auf EU-Ebene stehen die Direktiven RCE und NIS2 in den Startlöchern. Mit der Direktive „Resilience of Critical Entities“ (RCE) sollen Organisationen, die kritische Dienste in der Europäischen Union erbringen, im Hinblick auf ihre Widerstandsfähigkeit und die möglichen Risiken reguliert und von den nationalen Regierungen beaufsichtigt werden.
Ähnlich wie mit der deutschen Kritis-Verordnung will man mit RCE die Ausfallsicherheit von kritischen Diensten in der gesamten EU stärken.
Die „Directive on Security of Network and Information Systems“ (EU NIS2) zielt auf die Regulierung der Informationssicherheit von kritischen Betreibern ab, um die Auswirkungen von Cyberangriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren. Sie verlangt von den Betreibern dazu eine Reihe von Maßnahmen, wie die Festlegung von Policies und Governance, Einführung von Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, sowie die Nutzung von Kryptografie.
- Steigende Ansprüche an Rechenzentren
- Definition Kritis
- Auswirkungen
Lesen Sie mehr zum Thema
