Qualitätssiegel für Rechenzentren

Wer seine Daten der Cloud anvertraut, der möchte sicher sein, dass sie dort gut aufgehoben sind. Das wissen natürlich auch die Rechenzentren, auf deren Servern die wertvollen digitalen Informationen liegen.  Deshalb werben viele von ihnen mit Zertifikaten, die ihre Zuverlässigkeit unter Beweis stellen sollen. So gibt es beispielsweise die Norm ISO 9001. Nach ihr wird überprüft, ob ein Rechenzentrum über ein gut funktionierendes Qualitätsmanagement verfügt. Anders ausgedrückt, geht es dabei um das Maß an Kundenfreundlichkeit. Eine weitere Zertifizierung erfolgt nach den Vorgaben der internationalen Norm ISO 27001. Hier steht die Handhabung der Datensicherheit im Mittelpunkt. Deshalb ist ein entsprechender Ausweis für die Anbieter von Cloud-Lösungen von besonderer Bedeutung.

Ganzheitlicher Ansatz: DIN EN 50600

Neben den genannten gibt es noch weitere Standards zu verschiedenen Bereichen. Das ist einerseits gut, weil sich damit viele Aspekte von Rechenzentren kategorisieren und bewerten lassen. Andererseits ist es schlecht, weil bei der Menge an Zertifikaten schnell der Überblick verloren geht. Das soll sich mit einem ganzheitlichen Ansatz ändern, an dem seit 2011 gearbeitet wird: die neue europäische Norm DIN EN 50600, die hierzulande vom Deutschen Institut für Normung (DIN) und vom Verband der Elektrotechnik, Elektronik und Informationstechnik e.V. (VDE) vorangetrieben wird. Sie besteht aus sieben Elementen, die folgende Gesichtspunkte untersuchen:

  • DIN EN 50600-1: Allgemeine Konzepte
  • DIN EN 50600-2-1: Gebäudekonstruktion
  • DIN EN 50600-2-2: Stromversorgung
  • DIN EN 50600-2-3: Regelung der Umgebungsbedingungen
  • DIN EN 50600-2-4: Infrastruktur der Telekommunikationsverkabelung
  • DIN EN 50600-2-5: Sicherungssysteme
  • DIN EN 50600-3-1: Informationen für das Management und den Betrieb

Sie sehen: Hinter dieser Zertifizierung  steht ein umfassendes Konzept. Ein Blick auf seine Details lohnt sich. Wie die Bezeichnung der einzelnen Bereiche verrät, gliedert sich die Norm in drei Hauptteile.

  • Risiko- und Anforderungsanalyse (DIN EN 50600-1)
  • technische Infrastruktur (DIN EN 50600-2)
  • Management und Betrieb (DIN EN 50600-3)

Im ersten Teil dreht sich alles um die operative Sicherheit der Rechenzentren. Das beinhaltet einerseits technische Vorkehrungen gegen Systemausfälle, Naturgewalten, unerlaubte Zugriffe auf die Daten oder Sabotageakte. Andererseits geht es auch um geschäftliche Risiken des Unternehmens. Davon ausgehend gibt es unter anderem ein vierstufiges System von Verfügbarkeitskategorien.

  • Klasse 1: Hier wird seitens des Rechenzentrums relativ wenig gegen einen Ausfall getan. Das heißt, die Wahrscheinlichkeit eines Kollapses ist relativ hoch.
  • Klasse 2: Mehrfach vorgehaltene Systeme versprechen ein Plus an Verfügbarkeit. Ein Ausfall ist dennoch jederzeit möglich.
  • Klasse 3: Ein so eingeordnetes Rechenzentrum läuft trotz Fehlern und ausfallenden Komponenten wahrscheinlich weiter. Auch während einer Wartung bei laufendem Betrieb.
  • Klasse 4: Damit ausgezeichnete Unternehmen bieten die besten Chancen auf einen unterbrechungsfreien Ablauf. Ausfälle sind praktisch ausgeschlossen.

Für Teil 2 wird die technische Infrastruktur unter die Lupe genommen. Neben standort- und baulichen Aspekten sowie den Umgebungsbedingungen (Temperatursteuerung, Umgang mit Schwebeteilchen und mechanischen Störfaktoren) spielt die Art der Stromversorgung und der Energieeffizienz eine große Rolle. Letztere wird in drei Qualitätsstufen (Granularitätsniveaus) eingeteilt.

  • Granularitätsniveau I: Es gibt einen Messpunkt (Stromzähler des Energieversorgers) oder nur sehr wenige, die ein mögliches Energiesparpotenzial aufzeigen können.
  • Granularitätsniveau II: Es sind mehrere Messpunkte an Teilsystemen vorhanden.
  • Granularitätsniveau III: An allen Komponenten lassen sich Messungen vornehmen.

Die Teile bis einschließlich "DIN EN 50600-2-4: Infrastruktur der Telekommunikationsverkabelung" sind bereits in Kraft. An den beiden letzten wird noch gearbeitet. Dazu gibt es bislang lediglich Normenentwürfe. Für den betroffenen Bereich DIN EN 50600-2-5 "Sicherungssysteme" befürwortet beispielsweise der TÜV Süd, "ein Sicherheitskonzept und Brandschutzkonzept in Übereinstimmung mit den Anforderungen der Norm und der Risikoanalyse zu erstellen". Der Teil DIN EN 50600-3-1 "Informationen für das Management und den Betrieb" wird sich vorwiegend auf die Unternehmensführung und die betrieblichen Prozesse für  einen unterbrechungsfreien Ablauf konzentrieren. Außerdem auf Verfahren, die sich am Bedarf der Nutzer orientieren.

Was haben die Kunden von einer Zertifizierung?

Die obige Beschreibung zeigt, dass Rechenzentren im Zuge einer Zertifizierung penibel geprüft werden. Das gilt für die Norm DIN EN 50600 ebenso wie für andere Standards. Die Kunden erkennen daran den Stand der Datensicherheit. Darüber hinaus sorgen die verschiedenen Labels jeweils für eine Vergleichbarkeit der Anbieter. Und die lassen sich das einiges kosten. Beispiel ISO 27001: Für eine Erstzertifizierung nach diesem Standard müssen sie zwischen 80.000 und 120.000 Euro investieren. Eine Zertifizierung hat meistens eine Gültigkeit von einem Jahr.

Weiterführende Links:

  • Cloud Computing bietet zahlreiche Vorteile, allerdings besteht auch die Gefahr, dass Daten über die Cloud in falsche Hände geraten. Doch Sie und Ihre Mitarbeiter können viel tun, um die Firmendaten zu schützen.
  • Eine SSL-Verschlüsselung macht Ihre Unternehmenswebsite sicherer und stärkt das Vertrauen in Ihren Auftritt. Lesen Sie hier, was dahinter steckt und wie Sie ein SSL-Zertifikat bekommen.