Die Sicherheit von Produktionsanlagen, Forschungseinrichtungen und Bürogebäuden ist seit jeher eine Angelegenheit, der in Unternehmen und Verwaltungen selbstverständliche Aufmerksamkeit widerfährt. Für den Schutz der eingesetzten IT-Infrastruktur und -Systeme gilt das seltener. Die Gründe dafür variieren von Organisation zu Organisation: Bestehende Risiken werden unterschätzt, Kosten gescheut, Erfordernisse fragwürdig priorisiert, Mahner in der IT nicht gehört.
Dass in vielen Vorstandsetagen nach wie vor solide IT-Kompetenz fehlt, verschärft die Situation regelmäßig. Auch verlassen sich immer mehr Unternehmen auf externe Dienstleister, etwa mittels Outsourcing und Cloud Computing. Diese reklamieren für sich, über die für den Betrieb von IT-Systemen im Vergleich zuverlässigeren und sichereren Rechenzentrumsumgebungen zu verfügen. Dabei ist die physische Rechenzentrumssicherheit nur eine von zahlreichen sicherheitskritischen Komponenten an dieser Stelle, die logische Sicherheit der Daten eine weitere und komplexere zudem.
Externe IT-Dienstleister sollten über Rechenzentrums-Know-how verfügen
Rechenzentrumssicherheit erscheint vordergründig langweilig und kommod. Beim näheren Hinsehen - was stets empfehlenswert ist - erweist sie sich überraschend als ein häufig ungenügend bewältigtes, jedenfalls immer wieder aufs Neue zu bewältigendes Thema für Unternehmen, Verwaltungen und selbst für IT-Dienstleister.
Hierzu zwei Beispiele aus der Praxis:
Wenn ein Bach unter dem Rechenzentrum durchfließt
Ein europäisches Bankhaus hatte einen seiner geschäftlichen Schwerpunkte im Wertpapierhandel. Dafür verfügte es über zwei Rechenzentrumszellen, unter anderem zum redundanten Betrieb seiner wichtigsten Handelssysteme und Kundendatenbanken. Eine der Zellen, das Backup-Rechenzentrum, befand sich im Hauptgebäude der Bank selbst, während die Zwischenetage in einem gemischtgewerblichen Gebäudekomplex als Primärrechenzentrum diente. Unter diesem Hauptrechenzentrum lag ein Parkdeck, darüber befanden sich Einkaufsetagen sowie Wohnungen. Eine der Hauptverkehrsadern der Stadt führte unmittelbar an dem in einen Steilhang hineingebauten Komplex vorbei.
Im Hauptrechenzentrum bot eine Stahltür Zugang zu einem Zwischenraum mit einem Rohr von rund zwei Meter Durchmesser. Darin wurde durch den Felsabhang ein Bach talwärts geführt direkt am Doppelboden vorbei. Der Bank war das latente Risiko bekannt, der Entscheidungsprozess, Neubau oder Anmietung von Rechenzentrumsfläche, zog sich indes über Jahre hin. Das Risiko wurde derweil täglich hingenommen.
Falsche Ortswahl
Der Auftrag an die IT eines Chemiekonzerns war es, in Asien Möglichkeiten für einen extern in Auftrag gegebenen Betrieb der weltweit genutzten SAP-Landschaft zu prüfen. Während das Management - Gesellschafter war ein Private Equity Fond - unbesehen den global ausgerichteten IT-Anbietern vertraute, entschied sich die IT-Führung angesichts der geschäftskritischen Systeme für eine Inaugenscheinnahme der Gegebenheiten vor Ort.
Geprüft wurden letztlich sieben Rechenzentren in Singapur und Malaysia. Nur zwei Anbieter erfüllten die Anforderungen für einen Betrieb geschäftskritischer SAP-Systeme, wobei neben den Einrichtungen des Rechenzentrums unter anderem die Fähigkeiten des operativen Personals hinterfragt wurden.
Drei der Rechenzentren wiesen erhebliche Defizite sowohl in bautechnischer (unter anderem Gebäudesicherheit, Standortbedingungen) als auch in sicherheitstechnischer (ungenügende oder fehlende Ausstattungsmerkmale, unter anderem Kühlung, Brandschutz, Verkabelung, Personenführung) Hinsicht auf. So befand sich ein Rechenzentrum im Parkhaus einer Mall mit eigener Tankstellenzufahrt, ein zweites in einer der oberen Etagen eines Bürohochhauses (eine in Asien durchaus häufig anzutreffende Praxis), wo in einem Großraumbüro per Leichtbauweise ein Kubus zur Nutzung als Server-Raum abgetrennt war.
Keine SAP-Kenntnisse vor Ort
Das vorgeblich eigene SAP-Personal erwies sich zudem als ein offenbar frisch subkontrahierter Partner in Indien. Eine ebenerdig gebaute Holzbaracke schließlich, die hinsichtlich Brandschutz und Gebäudesicherheit schon geringen Ansprüchen nicht zu genügen vermochte, stellte sich als das dritte mangelhafte Rechenzentrum heraus. Bei zwei weiteren Anbietern waren die vorgefundenen Gegebenheiten mit bestimmten bau- und ausstattungstechnischen Einschränkungen behaftet. Die damit verbundenen Risiken wurden transparent gemacht und bewertet.
Eine Tragbarkeit der Risiken hätte im Zusammenspiel mit einem entsprechenden Risikoabschlag beim Preis zu einer Nutzung der angebotenen Rechenzentrumszellen führen können. Nicht zu überzeugen indes vermochten diese beiden Anbieter in fachlicher Hinsicht. Das als langjährig erfahrene SAP-Operatoren jeweils präsentierte Personal (angeblich mit über sieben Jahren Berufserfahrung) konnte bereits Standardfragen zur SAP-Basis nicht unmittelbar beantworten.
Eigenes Rechenzentrum, Co-Location oder Outsourcing?
Die Frage "Wie sicher muss ein Rechenzentrum für einen sicheren Betrieb von IT-Systemen sein?" kann nicht pauschal beantwortet werden. Die Antwort hängt von den konkret bestehenden IT-Anforderungen der Fachbereiche im jeweiligen Unternehmen beziehungsweise von der Verwaltung ab. Diese sind, nicht zuletzt aus Kostengründen, mit Sachkunde zu analysieren.
Die Belastbarkeit der IT unterscheidet sich in Fertigungsbetrieben mit einer Rund-um-die-Uhr-Produktion (etwa in der Automobilbranche) oder in Bereichen mit typischerweise prozesskritischen Applikationen (etwa dem Flugverkehr) erheblich von jener beispielsweise in Bankfilialen oder Stadtverwaltungen, wo IT-Dienste nur an fünf Tagen für einige Stunden genutzt werden.
Ob der Bau und Betrieb eines eigenen Rechenzentrums, die Anmietung von gemanagter Rechenzentrumsfläche (Co-Location) oder die Auslagerung des gesamten Systembetriebs (Outsourcing) die vorteilhafteste Lösung darstellt, ist im Einzelfall zu prüfen. Eine sachkundige Bewertung sichert eine fundierte Strategieentscheidung des Managements.
Die Würth-Gruppe beispielsweise hat sich auf der Grundlage einer solchen Bewertung jüngst für den Bau eines eigenen Rechenzentrums entschieden. Allerdings ist ein Rechenzentrum immer nur die physische Schutzhülle für die darin betriebenen IT-Systeme. Eine Entscheidung über die für das Rechenzentrum benötigten Sicherheitsstandards ist stets in eine ganzheitliche - physische und logische Schutzaspekte berücksichtigende - Anforderungsbewertung einzubetten.
In Zeiten von Industrie 4.0 und Digitalisierung gewinnt ein umfassender und zuverlässiger Schutz sensibler Unternehmensdaten eine ganz neue Bedeutung. Noch nicht in allen Vorstandsetagen ist der entsprechende Handlungsbedarf erkannt - er ist erheblich und wird dauerhaft zu höheren IT-Kosten führen. Sie dürften indes in keinem Verhältnis zu der finanziellen Dimension stehen, die eine einzige ernsthafte Sicherheitsverletzung künftig annehmen kann. (rw)
Lesen Sie auch: Das Rechenzentrum als latentes Risiko