Technik, Effizienzanforderungen, neue Regularien
Steigende Ansprüche an Rechenzentren
Fortsetzung des Artikels von Teil 2
Auswirkungen
Die Anforderungen der Kritis-Verordnung erstreckt sich auf unterschiedliche Bereiche. Dazu zählt unter anderem die bauliche und physische Sicherheit. Elektrizitätsversorgung, Temperatur- und Feuchtigkeitskontrolle, Telekommunikation und Internetverbindung müssen abgesichert sein. Darüber hinaus sind die Betreiber dazu verpflichtet, die entsprechenden Systeme nicht nur zu überwachen und regelmäßig zu warten, sondern auch zu testen, um die Funktionsfähigkeit jederzeit zu gewährleisten. Dazu sind auch automatische Ausfallsicherungen und anderen Redundanzen zu integrieren.
Gebäude und Liegenschaften
Gebäude und Räumlichkeiten, in denen sensible oder kritische Informationen gelagert, verarbeitet oder durchgeleitet werden, müssen physisch solide gebaut und mit angemessenen Sicherheitsmaßnahmen, beispielsweise einer Zutrittskontrolle, versehen sein. Aber auch Risiken aus Naturereignissen und menschengemachten Gefahren sind zu beachten: Feuer, Wasser, Erdbeben, Explosionen und zivile Unruhen sind nur einige Beispiele. Nicht zuletzt sind dort auch Konsequenzen aus dem Klimawandel zu ziehen: Mangel an Löschwasser und erhöhte Waldbrandgefahr wegen Trockenheit, Überflutungen wie im Ahrtal sowie ein stärkeres Risiko von Erdrutschen bei Starkregen. Deshalb hat man zuletzt auch die Anforderungen an die Standortwahl verschärft, auch in Hinblick auf redundante Anlagen, die im Störfall den Betrieb übernehmen sollen oder der Disaster Recovery dienen.
Der Anforderungskatalog ist höchst komplex. Um den Überblick zu bewahren und allen Anforderungen gerecht zu werden, empfiehlt es sich, Experten wie Rosenberger OSI hinzuzuziehen. Der Spezialist gleicht fachkundig die Passgenauigkeit der gültigen Anforderungskataloge mit der vorhandenen baulichen und physischen Sicherheit der IT-Infrastruktur ab und entwickelt daraus Maßnahmenlisten. Dabei liegt der Fokus auf der Gewährleistung des geforderten Sicherheitsniveaus und dem zu erfüllenden Schutzbedarf der IT. Neben den technischen Rahmenbedingungen sind dabei auch organisatorische Determinanten berücksichtigt.
Lösungsmöglichkeiten
Ein erheblicher Teil der Anforderungen lässt sich erfüllen, wenn von Anfang an grundsätzliche Designkonzepte eingehalten werden, insbesondere Redundanz, Modularität und Skalierbarkeit. Auch zu diesen Prinzipien stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine eigene Veröffentlichung bereit, die anschaulich die verschiedenen Aspekte und Ausprägungen darstellen. Ohne Redundanz, Modularität und Skalierbarkeit sind hoch- und höchstverfügbare Systeme nicht denkbar. Zugleich sind diese Prinzipien eng miteinander verknüpft. Redundanz beschreibt das Vorhalten von zusätzlichen Systemen über den eigentlichen Bedarf hinaus, die bei Ausfall oder Störung als Ersatz dienen können. Im einfachsten Fall ist beispielsweise eine zweite USV (unterbrechungsfreie Stromversorgung) installiert.
Eine besondere Form ist Redundanz durch Diversität. Damit ist der Einsatz von Systemen gemeint, die funktional gleichwertig, aber in der Regel von unterschiedlichen Herstellern sind, zumindest aber Produkte unterschiedlicher Chargen oder verschiedener Modellserien. So lässt sich Serien- und Konstruktionsfehlern vorbeugen.
Modularität bedeutet in diesem Kontext die Aufteilung von Leistung oder Kapazitäten auf mehrere, kleinere Einheiten. Also statt einer USV mit 100 kVA der Einsatz von vier USVs mit je 25 kVA. Kommt es zu einer Störung, fällt die Funktion nicht komplett aus, sondern nur in einem Teil der Anlage.
Redundanz lässt sich in diesem Fall mit einem zusätzlichen 25-kVA-Modul herstellen, das wesentlich günstiger ist als eine weitere 100-kVA-Anlage. Ebenso ist eine Diversifikation über die vier Module einfacher zu bewerkstelligen. Auch der Ersatz defekter Systeme ist dann wesentlich flexibler zu realisieren. Skalierbarkeit drückt die Fähigkeit aus, zusätzliche Einheiten hinzuzufügen, ohne eine Anlage grundsätzlich neu zu planen oder aufwendig umbauen zu müssen. Je höher die Skalierbarkeit, umso einfacher lassen sich zusätzliche Ressourcen, also Rechen-Power und Speicherplatz, Bandbreite und alle weiteren Systeme wie USV, Klimatisierung und Management hinzufügen.
Fazit: Kritis-Anforderungen beachten
Das Spektrum an Beweggründen, ein Rechenzentrum zu erweitern, zu modernisieren oder zu optimieren, ist vielfältig. Angesichts des ständig wachsenden Kreises der IT-Anwender, die unter den Kritis-Begriff fallen, und der ebenso ständig wachsenden Sicherheitsanforderungen, die jedes Unternehmen heute erfüllen muss, ist es für die Betreiber von Rechenzentren ein Muss, sich bei anstehenden Veränderungen auch mit den Kritis-Anforderungen auseinanderzusetzen. Deren Umsetzung öffnet den Kundenkreis in Richtung kritischer Infrastruktur und signalisiert allen anderen ein hohes Sicherheits- und Qualitätsniveau. Damit kann man sich von weniger leistungsfähigen Wettbewerbern differenzieren. Für die erfolgreiche Umsetzung des Transformationsprojekts gilt jedoch: Für eine nahtlose Integration der Sicherheitsmaßnahmen, in diesem Fall die Anforderungen der Kritis-Verordnung, müssen die Anforderungen bereits im Planungsprozess berücksichtigts sein. Denn nur so können von Anfang an alle Parameter bedacht werden und die getroffenen Maßnahmen schließlich ihre volle Wirkung entfalten.
Harry Jacob ist freier Journalist aus Augsburg. Matthias Reidans ist Senior Projekt-Manager Services bei Rosenberger OSI.
- Steigende Ansprüche an Rechenzentren
- Definition Kritis
- Auswirkungen
Lesen Sie mehr zum Thema
