Physische RZ-Sicherheit
DIN EN 50600 richtig umsetzen
Mit der DIN EN 50600 "Informationstechnik - Einrichtungen und Infrastrukturen von Rechenzentren" erhalten Betreiber von Rechenzentren jetzt klare Vorgaben und Kunden garantierte Standards - oder etwa nicht? In den technischen Details und der täglichen Praxis muss sich die Umsetzung der Vorgaben bewähren.
Teile der Norm sind noch in der Abstimmung, doch klar ist: Die Zertifizierung nach DIN EN 50600 wird künftig ein entscheidendes Qualitätskriterium für hochverfügbare, hochsichere Rechenzentren sein. Wie bisher mit ISO/IEC 20000-1 und 27001 (am besten auf Basis von BSI IT-Grundschutz) erhalten Kunden mit der DIN EN 50600 eine Orientierungshilfe bei der Auswahl von Rechenzentren mit hohen Standards bei Verfügbarkeit und Datenschutz.
Trotzdem werden sich die Verantwortlichen in den Unternehmen auch weiterhin genau ansehen müssen, wem sie IT-Systeme und Daten anvertrauen. Und wer für physische Sicherheit eines Rechenzentrums zuständig ist, sollte sich dafür starkmachen, dass die hier etablierten Sicherheitsstandards auch "gelebt" werden - und man ein Audit nicht nur knapp "überlebt". Damit die Leitplanken der Norm eine sichere Straße formen, sind organisatorische, bauliche und technische Maßnahmen nötig.
Die DIN EN 50600 ist in mehrere Abschnitte unterteilt. DIN EN 50600-1 fasst allgemeine Konzepte zusammen, etwa zur Analyse des Geschäftsrisikos, und legt ein Klassifikationssystem zu den Kriterien "Verfügbarkeit", "Betriebssicherung" und "Energieeffizienz" vor. Der Teil 2-1 enthält allgemeingültige Anforderungen und Empfehlungen für die Gebäudekonstruktion von Rechenzentren. Positiv zu vermerken: Die Norm setzt hier schon bei der Standortwahl an. DIN EN 50600-2-2 gibt Empfehlungen für die Stromversorgung und -verteilung in Rechenzentren. Hier werden die Dimensionierung der entsprechenden Anlagen, Verfügbarkeitsklassen und deren physische Sicherheit behandelt. Im Hinblick auf die Befähigung zur Energieeffizienz werden drei Granularitätsniveaus mit Messpunkten definiert, an denen der Stromverbrauch der elektrischen Einrichtungen und Infrastrukturen eines Rechenzentrums zu erfassen ist. Diese Festlegungen sind ein großer Schritt in Richtung Vergleichbarkeit beim Energieverbrauch.
In DIN EN 50600-2-3 geht es um die Regelung der Umgebungsbedingungen. Dies umfasst Empfehlungen für die Regelung von Temperatur, Kühlflüssigkeitsströmen oder Luftfeuchte. Es werden Verteilungsmethoden für temperaturgeregelte Luft in Rechnerraumbereichen beschrieben. Teil 2-4 befasst sich mit der Infrastruktur der Telekommunikationsverkabelung, Teil 2-5 wiederum beschreibt die Einrichtung von Sicherungssystemen für den Schutz vor unautorisiertem Zugang und zeigt konstruktionsbedingte, organisatorische und technische Lösungen auf. DIN EN 50600-2-6 (künftig DIN EN 50600-3-1) schließlich spezifiziert Prozesse für RZ-Management und -Betrieb.
Grundlegende Entscheidungen
Eine Norm gibt keine Baupläne vor, sondern definiert Sicherheitsprinzipien. Wie diese Prinzipien erfüllt werden, muss und kann der Betreiber entscheiden und dabei zwischen verschiedenen Zielen abwägen. Am Beispiel des im Bau befindlichen Rechenzentrums MUC5 der Noris Network lässt sich dies beispielhaft nachvollziehen. MUC5 wird eines der europaweit ersten Rechenzentren sein, die die Sicherheitsklasse 4 der neuen Norm erfüllen. Bei der Wahl des Standorts Aschheim bei München war es mit entscheidend, außerhalb der Hochwassergebiete im Großraum Münchens und auf kiesigem Untergrund zu bauen.
Ein weiterer Aspekt: Für die Wärmeabfuhr an High-Density-Racks setzen viele Betreiber auf Wasserkühlung. Allerdings lassen sich bei diesen Kühlsystemen meist keine echten Redundanzen realisieren, und Leckagen der Kühlflüssigkeit können andere Systeme gefährden. Daher fiel die Entscheidung mit Blick auf die Norm zugunsten der indirekt freien Kühlung mit Kyotocooling. So konnte man Wasserleitungen aus dem RZ verbannen und die physische Sicherheit erhöhen.
Wir kennen es vom Flughafen: Jeder begrüßt hohe Sicherheitsstandards, aber im Alltag sind Sicherheit und Kontrollen lästig. In einem modernen Rechenzentrum ist Wandel die Normalität. Dutzende interne und externe Mitarbeiter sind ständig mit Umbauten und Service-Arbeiten beschäftigt. Laufend treffen Paketlieferungen mit IT-Equipment ein und sind in die sicherheitskritischen Zonen zu überbringen.
Um den Zugang zu den IT-Systemen zu sichern, werden die jeweils sensibleren Bereiche vollständig von der nächstniedrigeren Schutzklasse umschlossen (Schalenprinzip). DIN EN 50600 beschreibt vier Schutzklassen. Die nach dem Schalenprinzip aufgebauten Bereiche können nur nacheinander und jeweils nach einer kameraüberwachten, dokumentierten Authentisierung betreten werden. Personen mit einer niedrigeren Berechtigungsstufe müssen in geschützteren Bereichen von entsprechend autorisierten Personen begleitet werden. Wichtig: Damit die Zutrittskontrolle im Alltag nicht aus Bequemlichkeit unterlaufen wird ("Nimm mich mal schnell mit rein!"), muss die Authentisierung zwingend mit Vereinzelung verbunden sein.
Was oft vergessen wird: Auch die Versorgungseinrichtungen des IT-Bereichs sollten Hochsicherheitszonen sein. So ist es beispielsweise sinnvoll, wenn "Combined Energy and Cooling Cells" - baugleiche Zellen, jeweils abgetrennt neben den IT-Flächen eingebaut - im laufenden Betrieb die Aufgabe jeder anderen CECC übernehmen können. Sie erbringen je 1.000 kW IT-Last und beherbergen zugleich entsprechend dimensionierte USV-Anlagen und Notstromdieselgeneratoren.
Diese Anlagen gilt es zu warten, Racks und Cages wollen aufgebaut sein; es gibt also jede Menge Aufgaben in diesen gesicherten Bereichen zu erledigen, bevor überhaupt IT-Personal auf den Plan tritt. Die Folge: In der Praxis haben weit mehr Personen in Hochsicherheitsbereichen zu tun, als man gemeinhin annimmt. Um bei diesem regen Betrieb Sicherheit zu gewährleisten, muss zur Zwei-Faktor-Authentisierung mit biometrischer Komponente (zum Beispiel Iris- oder Handvenenscan) auch eine umfassende Überwachung und Dokumentation aller Bewegungen im Rechenzentrum und auf dem Gelände kommen. So ist es beispielsweise ratsam, jede Authentisierung zu filmen und die Kameraaufnahmen für 90 Tage zu speichern, sodass sie sich vorfallsbezogen durchsuchen lassen.
Ein weiterer Prüfstein für die Einhaltung der baulichen, technischen und organisatorischen Sicherheitsstandards sind Ausnahmesituationen im RZ-Betrieb. Bei großen Installationen zum Beispiel kann für die Anlieferung von Equipment auch mal ein kompletter 40-Tonner mit Hunderten Servern auf das RZ-Gelände fahren. Das Problem: Gibt es hinter der Laderampe nicht genug Stauraum für die komplette Ladung, müsste man zwischendurch immer wieder die Schleuse zum inneren Bereich öffnen. Eine durchgehende Öffnung über mehrere Sicherheitszonen ist aber ein Verstoß gegen die Norm. Streng genommen müsste man also den Entladevorgang unterbrechen, die Entladerampe schließen und erst dann das innere Tor zum nächsthöheren Sicherheitsbereich öffnen. Wer einmal mit einem unter Zeitdruck stehenden Lkw-Fahrer diskutiert hat, ahnt schon, wie schwierig dies in der Praxis sein könnte. Vielfach öffnet man in Rechenzentren dann einfach mehrere Türen, um einen direkten Zugang zur IT-Fläche zu schaffen.
In normgerechten Rechenzentren wird dieser Verstoß technisch verhindert. Zum einen bietet die Entladezone hinter der Laderampe genug Platz für komplette Lkw-Ladungen, zum anderen funktioniert die Entladezone wie eine Schleuse: Ein zeitgleiches Öffnen beider Türen ist technisch unmöglich. Erst wenn das äußere Tor geschlossen ist, lässt sich die Tür zur inneren Zone öffnen. Im Idealfall ist der Zugang zu den RZ-Flächen sehr limitiert: Verkehrsflächen und Verwaltungsgebäude sind nur über einen Tunnel verbunden, ein direkter Zugang von außen in die RZ-Flächen besteht nicht.
Verfügbarkeits- und Schutzklassen
Neben dem Schalenmodell mit vier Schutzklassen für die physische Sicherheit unterscheidet die neue Europanorm auch vier Verfügbarkeitsklassen (VKs). So muss ein RZ für die höchste VK4 mehrere redundante und getrennte Stromversorgungspfade aufweisen, zwischen denen man im laufenden Betrieb umschalten kann. Die Kühlung muss aufrechterhalten bleiben, auch wenn einzelne Anlagen zur Wartung abgeschaltet sind.
Lesen Sie mehr zum Thema
