Die Sicherheit von Produktionsanlagen, Forschungseinrichtungen und Bürogebäuden ist seit jeher eine Angelegenheit, der in Unternehmen und Verwaltungen selbstverständliche Aufmerksamkeit widerfährt. Für den Schutz der eingesetzten IT-Infrastruktur und -Systeme gilt das seltener. Die Gründe dafür variieren von Organisation zu Organisation: Bestehende Risiken werden unterschätzt, Kosten gescheut, Erfordernisse fragwürdig priorisiert, Mahner in der IT nicht gehört.
Foto: Wortmann AG
Dass in vielen Vorstandsetagen nach wie vor solide IT-Kompetenz fehlt, verschärft die Situation regelmäßig. Auch verlassen sich immer mehr Unternehmen auf externe Dienstleister, etwa mittels Outsourcing und Cloud Computing. Diese reklamieren für sich, über die für den Betrieb von IT-Systemen im Vergleich zuverlässigeren und sichereren Rechenzentrumsumgebungen zu verfügen. Dabei ist - physische - Rechenzentrumssicherheit nur eine von zahlreichen sicherheitskritischen Komponenten an dieser Stelle, die - logische - Sicherheit elektronischer Daten eine weitere und komplexere zudem.
Externe IT-Dienstleister sollten über Rechenzentrums-Know-how verfügen
Rechenzentrumssicherheit erscheint vordergründig langweilig und kommod. Beim näheren Hinsehen - was stets empfehlenswert ist - erweist sie sich überraschend als ein häufig ungenügend bewältigtes, jedenfalls immer wieder aufs Neue zu bewältigendes Thema für Unternehmen, Verwaltungen und selbst für IT-Dienstleister. Hierzu zwei Beispiele aus der Praxis:
Ein europäisches Bankhaus beispielsweise hatte einen seiner geschäftlichen Schwerpunkte im Wertpapierhandel. Dafür verfügte es über zwei Rechenzentrumszellen, unter anderem zum redundanten Betrieb seiner wichtigsten Handelssysteme und Kundendatenbanken.
Eine der Zellen (Backup-Rechenzentrum) befand sich im Hautgebäude der Bank selbst, während die Zwischenetage in einem gemischtgewerblichen Gebäudekomplex als Primärrechenzentrum (Hauptrechenzentrum) diente. Unter dem Haupt-Rechenzentrum lag ein Parkdeck, darüber befanden sich Einkaufsetagen sowie Wohnungen. Eine der Hautverkehrsadern der Stadt führte unmittelbar an dem in einen Steilhang hineingebauten Komplex vorbei.
Im Hauptrechenzentrum bot eine Stahltür Zugang zu einem Zwischenraum mit einem Rohr von rund zwei Meter Durchmesser. Darin wurde durch den Felsabhang ein Bach talwärts geführt direkt am Doppelboden vorbei. Der Bank war das latente Risiko bekannt, der Entscheidungsprozess, Neubau oder Anmietung von Rechenzentrumsfläche, zog sich indes über Jahre hin. Das Risiko wurde derweil täglich hingenommen.
Falsche Wahl des Orts für den Bau des Rechenzentrums
Der Auftrag an die IT eines Chemiekonzerns war es, in Asien Möglichkeiten für einen extern beauftragten Betrieb der weltweit genutzten SAP-Landschaft zu prüfen. Während das Management - Gesellschafter war ein Private Equity Fond - ungesehen den global ausgerichteten IT-Anbietern vertraute, entschied sich die IT-Führung angesichts der geschäftskritischen Systeme für eine Inaugenscheinnahme der tatsächlichen Rechenzentrumsgegebenheiten vor Ort.
Geprüft wurden letztlich sieben Rechenzentren in Singapur und Malaysia. Die in die engere Auswahl genommenen IT-Dienstleister (aus USA, Europa, Asien) führten aus, bei ihren in Singapur und Kuala Lumpur angebotenen Rechenzentren handele es sich mindestens um solche der Klassen Tier 3+ beziehungsweise Tier 4 (gemäß UptimeInstitute.com), wobei das Plus (Klasse Tier 3) trotz Nachfrage nicht inhaltlich validierbar war. Von den sieben analysierten Rechenzentren erfüllten letztlich zwei Anbieter die Anforderungen für einen Betrieb geschäftskritischer SAP-Systeme, wobei neben den reinen Rechenzentrum-Einrichtungen unter anderem auch die Fähigkeiten des operativen Personals hinterfragt wurden.
Drei der Rechenzentren wiesen erhebliche Defizite sowohl in bautechnischer (unter anderem Gebäudesicherheit, Standortbedingungen) als auch in sicherheitstechnischer (ungenügende oder fehlende Ausstattungsmerkmale, unter anderem Kühlung, Brandschutz, Verkabelung, Personenführung) Hinsicht auf. So befand sich ein Rechenzentrum im Parkhaus einer Mall mit eigener Tankstellenzufahrt, ein zweites in einer der oberen Etagen eines Bürohochhauses (eine in Asien durchaus häufig anzutreffende Praxis), wo in einem Großraumbüro per Leichtbauweise ein Kubus zur Nutzung als Server-Raum abgetrennt war.
SAP-Personal war unzureichend ausgebildet
Das vorgeblich eigene SAP-Personal erwies sich hier zudem als Anruf bei einem offenbar frisch subkontrahierten Partner in Indien. Eine ebenerdig gebaute Holzbaracke schließlich, die hinsichtlich Brandschutz und Gebäudesicherheit schon geringen Ansprüchen nicht zu genügen vermochte, stellte sich als das dritte mangelhafte Rechenzentrum heraus. Bei zwei weiteren Anbietern waren die vorgefundenen Rechenzentrum-Gegebenheiten mit bestimmten bau- und ausstattungstechnischen Einschränkungen behaftet. Die damit verbundenen Risiken wurden transparent gemacht und bewertet.
Eine Tragbarkeit der Risiken hätte im Zusammenspiel mit einem entsprechenden Risikoabschlag beim Preis zu einer Nutzung der angebotenen Rechenzentrumszellen führen können. Nicht zu überzeugen indes vermochten diese beiden Anbieter in fachlicher Hinsicht. Das als langjährig erfahrene SAP-Operatoren jeweils präsentierte Personal (angeblich mit über fünf und sieben Jahren Berufserfahrung) konnte bereits Standardfragen zur SAP-Basis nicht unmittelbar beantworten.
Die Frage "Wie sicher muss ein Rechenzentrum für einen sicheren Betrieb von IT-Systemen sein?" kann nicht pauschal beantwortet werden. Die Antwort hängt maßgeblich von den konkret bestehenden IT-Anforderungen der Fachbereiche im jeweiligen Unternehmen beziehungsweise von der Verwaltung ab. Diese sind, nicht zuletzt aus Kostengründen, mit Sachkunde zu analysieren. Die geschäftliche Kritikalität der IT unterscheidet sich in Fertigungsbetrieben mit einer Rund-um-die-Uhr-Produktion (etwa in der Automobilbranche) oder in Bereichen mit typischerweise prozesskritischen Applikationen (etwa dem Flugverkehr) erheblich von jener beispielsweise in Bankfilialen oder Stadtverwaltungen, wo IT-Dienste typischerweise an fünf Tagen für einige Stunden genutzt wird.
Eigenes Rechenzentrum, Co-Location oder Outsourcing?
Ob der Bau und Betrieb eines eigenen Rechenzentrums, die Anmietung von gemanagter Rechenzentrum-Fläche (Co-Location) oder die Auslagerung des gesamten Systembetriebs (Outsourcing) letztlich die vorteilhafteste Lösung für eine Organisation darstellt, ist im Einzelfall genau zu prüfen. Ein sachkundiges Bewertungsergebnis sichert eine fundierte Strategieentscheidung des Managements.
Die Würth-Gruppe beispielsweise hat sich auf der Grundlage einer solchen Bewertung jüngst für den Bau eines eigenen Rechenzentrums entschieden. Allerdings ist ein Rechenzentrum immer nur die physische Schutzhülle für die darin betriebenen IT-Systeme. Eine Entscheidung über die benötigten Rechenzentrum-Sicherheitsstandards ist stets in eine ganzheitliche - physische und logische Schutzaspekte berücksichtigende - Anforderungsbewertung einzubetten.
In Zeiten von Industrie 4.0 und Digitalisierung gewinnt ein umfassender und zuverlässiger Schutz sensibler Unternehmensdaten eine ganz neue Bedeutung. Noch nicht in allen Vorstandsetagen ist der entsprechende Handlungsbedarf erkannt - er ist erheblich und wird dauerhaft zu höheren IT-Kosten führen. Sie dürften indes in keinem Verhältnis zu der finanziellen Dimension stehen, die eine einzige ernsthafte Sicherheitsverletzung künftig annehmen kann. (rw)