Brandschutz ist kein Luxus mehr

Geschäftsführer oder IT-Verantwortliche tätigen meist alle erdenklichen Investitionen in die Verfügbarkeit der Soft- und Hardware ihrer Rechenzentren. Die Gefahren durch äußere Einflussfaktoren wie Raumklima, Stromausfall oder Feuer werden dabei oft - seit einiger Zeit im wahrsten Sinne des Wortes - "sträflich" vernachlässigt.

Seit der Einführung von KonTraG und Basel II können eine vernachlässigte Risikoanalyse und ein
fehlendes oder mangelhaftes Risikomanagement direkte rechtliche Konsequenzen wie etwa die
persönliche Haftung der Verantwortlichen nach sich ziehen. Brandschutz ist dabei durchaus ein
wichtiges Thema – sowohl bei der Risikoanalyse als auch beim aktiven Risikomanagement.

Mit dem zum 1. Mai 1998 in Kraft getretenen Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich (KonTraG) wurde die Pflicht zur Schaffung eines unternehmensinternen
Risikofrüherkennungssystems im Recht der Aktiengesellschaft eingeführt. "Der Vorstand hat geeignete
Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der
Gesellschaft gefährdende Entwicklungen früh erkannt werden" (Paragraf 91 Absatz 2, AktG). Da heute
mehr denn je die Gefährdung der Verfügbarkeit des IT-Bereichs direkte Auswirkungen auf den
unternehmerischen Fortbestand hat, sind hier besondere Maßnahmen zu ergreifen und verstärkte
Kontrollen wie etwa interne Revisionen nachzuweisen. Stellt eine derartige Revision fest, dass
dringender Handlungsbedarf zur Sicherstellung der ordentlichen Geschäftsabwicklung besteht, können
daraus entsprechende Konsequenzen entstehen und die Verantwortlichen bereits für diese Situation
haftbar gemacht werden. Das Gesetz verpflichtet Aktiengesellschaften zur Implementierung eines
entsprechenden Risikomanagements.

Aber auch für Nichtkapitalgesellschaften – so die herrschende Meinung – erhöht sich in dieser
Hinsicht der Druck, entsprechend zu agieren. Wichtig ist in jedem Fall: Nicht nur die
IT-Infrastruktur an sich, sondern auch die Sicherung der eingesetzten Anwendungen sind zu
berücksichtigen.

Schwachstellen analysieren

Als Risiko gelten Umstände oder Ereignisse, die die Verfügbarkeit, Vertraulichkeit oder
Integrität der IT-Systeme gefährden. Zu den Bedrohungspotenzialen zählen Umweltbedingungen wie
Überschwemmung oder Feuer, fehlende Organisation oder fehlendes Krisenmanagement,
Mitarbeiterfehlverhalten, technisches Versagen oder Angriffe von außen. Die
Eintrittswahrscheinlichkeit sowie die Auswirkungen einer oder mehrerer dieser Bedrohungen sind
abhängig von den jeweiligen Gegebenheiten im Unternehmen und nur durch eine gesamtheitliche
Risikoanalyse zu ermitteln.

Risikovorsorge gewinnt an Gewicht

Wie eindeutig mittlerweile ein sicher funktionierender IT-Bereich den unternehmerischen Fortgang
bestimmen kann, ist auch durch Basel II dokumentiert: Kreditgeber werden die Risikovorsorge im
Unternehmen weitaus stärker berücksichtigen. Im Gegensatz zu Basel I soll sich zukünftig der für
den Kredit zu hinterlegende Betrag nicht mehr ausschließlich nach der Einteilung in bestimmte
Gruppen oder Branchen richten, sondern nach dem Ausfallrisiko im Einzelfall. Hier finden neben den
finanziellen und geschäftlichen auch operationale Risiken Beachtung.

Im Rahmen der operationalen Risiken ist auch die potenzielle Gefahr von Verlusten zu bewerten,
also mögliche Schäden, die infolge der Unangemessenheit oder des Versagens von internen Verfahren,
Menschen und Systemen oder infolge externer Ereignisse eintreten können – wie eben durch einen
Brand im Rechenzentrum. Die meisten Entscheidungsträger definieren die Verfügbarkeitsanforderungen
ihrer Rechenzentren heute mit 24 Stunden am Tag und 365 Tagen im Jahr.

Verfügbarkeit ist entscheidend

Auch die Statistik spricht für sich: Laut des Versicherers Gerling "überleben" nach einem
kompletten Ausfall von IT-Anlagen Versicherungen maximal 5,5 Tage, Industrieunternehmen 5,0 und
Handelsfirmen 2,5 Tage, Banken nur 2,0 Tage und Just-in-time-Lieferanten allerhöchstens 24 Stunden.
Der Anspruch auf Ausfallsicherheit, der sch hier niederschlägt, bedingt auch unternehmerisch die
gesetzlich geforderte professionelle Risikoanalyse. Brandschutz spielt dabei eine wesentliche
Rolle, denn bereits kleinste Mengen an Rauchgasen können die empfindliche Elektronik im
Rechenzentrum schädigen und zu Systemausfällen führen. Nicht nur wegen ihrer wirtschaftlichen
Bedeutung, sondern auch aufgrund der Brandlast muss dem Brandschutz bei der Risikoanalyse in
Rechenzentren eine hohe Bedeutung zukommen.

Gebündelte Gefahr

Die Anlagen mit ihren umfangreichen elektrischen Installationen bergen stets die Gefahr eines
technischen Defekts. Die hohe Kabeldichte in Doppelböden und Zwischendecken stellt ein weiteres
Risiko dar. Ein Schwelbrand, der nicht frühzeitig erkannt wird, findet hier ausreichend Nahrung, um
sich ungestört weiter auszubreiten. Erschwerend kommt oft hinzu, dass sich
Stromversorgungseinheiten, Schaltschränke und Rechneranlagen an einem Ort bündeln, woraus eine
große Wärmeentwicklung resultiert. So erzeugt beispielsweise ein Server-Rack mit 30 Intel-Servern
eine Abwärme, die zum Betrieb einer Sauna ausreicht.

Rauchgase wirken zerstörerisch

Zu wenig bekannt ist auch, dass nicht nur ein Feuer mit offenen Flammen eine Gefahr für das
Rechenzentrum darstellt. Bereits ein Schwelbrand ohne bemerkenswerte Flammenbildung, aber mit
starker Rauchgasentwicklung kann die Technik hochgradig schädigen und für Menschen lebensgefährlich
sein.

In Rechenzentren enthalten Rauchgase immer korrosionsfördernde Pyrolyseprodukte wie HCl oder
HBr. HCl bildet mit dem Wasser, das in der Raumluft oder in den Wänden gebunden ist, Salzsäure, HBr
Bromwasserstoffsäure. Aufgrund der Kunststoffe, die heute in der Gebäudeausstattung vorhanden sind,
entsteht ein weiterer Problemkreis: So können beispielsweise aus einem Kilogramm PVC bei einem
Brand etwa 360 Liter Salzsäuregas freigesetzt werden und insgesamt 2500 Kubikmeter Rauchgas
entstehen. Diese Menge reicht aus, um zwei bis drei Einfamilienhäuser vollständig zu
verrauchen.

Der Brandschutzmarkt hat auf die hohen Verfügbarkeitsanforderungen im IT-Bereich längst
reagiert. Den gängigen Lösungen ist jedoch eines gemein: Sie treten erst in Aktion, wenn ein Brand
bereits entstanden ist.

Brandvermeidungstechnik ist besser

Besser als einen Brand zu bekämpfen ist es in jedem Fall, Brände von vornherein zu vermeiden.
Das Grundprinzip eines entsprechenden Systems: Abgestimmt auf die jeweils zu schützenden
Materialien wird die Sauerstoffkonzentration in den Räumen durch die Zufuhr von Stickstoff
heruntergefahren und auf dem definierten Niveau gehalten. Dadurch lässt sich erreichen, dass die im
EDV-Bereich vorherrschenden Materialien nicht mehr brennen können. Auf die Begehbarkeit der
Schutzbereiche braucht nicht verzichtet zu werden. Auch Schwelbrände, ausgelöst durch technische
Defekte, müssen nicht zu unkontrollierten Anlagenausfällen führen: Hochsensible Rauchansaugsysteme
sind in der Lage, Probleme in der frühesten Pyrolysephase zu entdecken und das Einleiten von
Gegenmaßnahmen so früh zu ermöglichen, dass sich der Brand nicht weiter im Schutzbereich
ausbreitet. Der wichtigste Vorteil: Anders als bei Löschkonzepten im IT-Bereich ist das
Stromlosschalten der technischen Anlagen nicht erforderlich. Die Verfügbarkeit bleibt
gewährleistet.

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice