Sicherheitsanforderungen an RechenzentrenIT-Banken & Versicherungen 2.2006, 08. Juni 2006Vorschriften für Banken wirken sich direkt auf den Betrieb ihrer IT-Infrastruktur aus Betreiber von Rechenzentren (RZ), die ihre Dienste vor allem Banken und Versicherungen anbieten, müssen neben den gängigen Anforderungen an die Infrastruktur zusätzliche Auflagen erfüllen. Diese sind vor allem durch gesetzliche Anforderungen getrieben, bei denen die ständige Verfügbarkeit der Systeme eine extrem wichtige Rolle spielt. Deshalb müssen IT-Servicedienstleister im Bankenumfeld beispielsweise redundante Rechenzentren an räumlich von einander getrennten Standorten betreiben. Dies soll die RZ nicht nur vor Komplettausfällen der Systeme schützen, sondern dient auch dem Schutz in Katastrophenfällen - bei Naturkatastrophen oder Unglücken wie einem Flugzeugabsturz. Die Datacenter müssen dabei vollkommen autark arbeiten und beispielsweise von unterschiedlichen Umspannwerken mit Strom versorgt werden. Alles in allem muss der Betreiber für eine Verfügbarkeit von 99,9 Prozent sorgen. Deshalb sind auch alle kritischen Komponenten innerhalb eines RZ redundant ausgelegt. Daneben gelten eine weitere Reihe gesetzlicher Auflagen wie der §25a des Kreditwesengesetzes, der beim Outsourcing Aspekte wie Mandantenfähigkeit und die Einführung eines sicheren IT-Betriebs regelt. Auch das KontraG und Basel II haben direkte Auswirkungen. So müssen die Betreiber eines RZ für Banken beispielsweise ein Risikomanagementsystem implementieren, das auch eine detaillierte Risikobetrachtung der kompletten Infrastruktur ermöglicht. Daneben gelten natürlich die grundsätzlichen Datenschutzbestimmungen. Eine Besonderheit, die das IZB Informatik-Zentrum seinen Kunden bietet: die Zertifizierung des RZ nach dem Prüfverfahren der TSI (Trusted Site Infrastructure) des TÜViT. Sicherheit vor Ort Doch Sicherheit fängt bereits am Rande des Grundstücks an, auf dem ein RZ steht. Ein Sicherheitskonzept erstreckt sich dabei über mehrere unterschiedliche Schichten. Hierzu gehört bereits ein erster Perimeterschutz am Zaum zum Gelände. Dazu kommt die Überwachung von Fenstern und Türen mittels Einbruchmeldern sowie im Gebäudeinneren die Überwachung der Verkehrsflächen wie Flure mit Bewegungsmeldern. Ein Zugangsverfahren über spezielle Ausweislesegräte und Vereinzelungsschleusen beim direkten Zugang zum Rechenzentrum (wer reingeht muss auch wieder rauskommen) halten unbefugte Personen fern. Die Videoüberwachung des Gebäudes sowie der Zufahrtswege, Verkehrsflächen und des Kernbereichs im RZ und nicht zuletzt regelmäßige Rundgänge durch einen Sicherheitsdienst schließen die physikalische Sicherheit ab. Brandschutz Auch für den Brandschutz gelten in Rechenzentren sehr spezielle Anforderungen. So ist die Brandmeldeanlage via Aufschaltleitung direkt an die Feuerwehr anzubinden. Zudem müssen die Betreiber sicherstellen, dass immer eine ausreichende Menge an Löschmitteln vorrätig ist. Brandfrühsterkennungssysteme müssen zudem kleinste Brandquellen und Rauchpartikel erkennen und einen Alarm auslösen. Stromversorgung Die Stromversorgung eines RZ sollte von zwei unterschiedlichen Umspannwerken erfolgen. Dort sollten zudem die Transformatoren redundant ausgelegt sein. Zusätzlich müssen die Systeme im RZ mit unterbrechungsfreien Stromversorgungen (USV) ausgestattet sein. Diese verhindern bei Stromausfall den Absturz der Systeme im RZ und sollten die Versorgung der kompletten EDV-Systeme mehr als 30 Minuten lang übernehmen können. Bei einem länger andauernden Stromausfall helfen Netzersatzanlagen, die ebenfalls im "Doppelpack" bereitstehen müssen. Zur Standardausrüstung gehören zudem Blitz- und Überspannungsschutzmaßnahmen sowie eine redundante Verkabelung der Systeme. Klimatisierung & mehr In einem RZ erfolgt die Klimatisierung durch Umluftkühlgeräte. Diese saugen warme Luft im Deckenbereich ab, führen sie durch Kühlregister und blasen sie dann in einen Doppelboden ein. Dieser wiederum verteilt die Luft an den benötigten Stellen. Zusätzlich sind die Systeme an ein Kaltwassersystem angeschlossen. Auch im Beriech der Klimatisierung sollten alle wichtigen Geräte redundant ausgelegt sein. Genauestens definierte Verfahren für alle Wartungs- und Instandhaltungsarbeiten unter Berücksichtigung sämtlicher betriebsrelevanter Prozesse runden das Gesamtsicherheitskonzept ab. Autor: Dr. Walter Kirchmann, Geschäftsführer vom IZB Informatik-Zentrum München. zurück |