Physische Sicherheit in Rechenzentren
Abgeschottet
Veröffentlicht in Ausgabe 07/2023 - SCHWERPUNKT
Rechenzentren gewährleisten in der Regel eine Datenverfügbarkeit von über 99 Prozent, haben also praktisch keine Ausfallzeiten. Die Klassifizierung von Rechenzentren in die vier Stufen Tier 1 bis Tier 4 steht dabei für einen bestimmten Standard, den ein Rechenzentrum und dessen vorhandenen Systeme erfüllen. Ein wesentlicher Knackpunkt ist dabei die Stromversorgung. Ist diese gleichbleibend und über zusätzliche Notstromversorgung abgesichert, also redundant, verringern sich die Ausfallzeiten.
Steter Strom und Brandschutz
Tier 1 weist noch keine Redundanz bei der Stromversorgung auf, es besteht nur ein einziger Versorgungsweg. Das höchste Maß an Datenverfügbarkeit bietet Tier 4, wo doppelte Versorgungsleitungen eines Energieanbieters bestehen. Bei Tier 4 ist dementsprechend von "Hochverfügbarkeit" die Rede, wobei im Fall von Unterbrechungen ein uneingeschränkter Betrieb möglich sein soll. In Bezug auf die Stromversorgung sollte also ein Rack, genauso wie der Weg zum Rack, mehrfach abgesichert sein. Datacenter bieten hier unterschiedliche Optionen, wie auch redundante In-House-Leitungen, die für mehr Unabhängigkeit sorgen. So können etwa Wartungsarbeiten störungsfrei ausgeführt werden.
Brandschutzvorkehrungen gehen derweil mittlerweile nicht nur auf feuerfeste Materialien und die Unterteilung in Brandabschnitte ein, sondern umfassen selbstverständlich auch Brandfrüherkennungsmaßnahmen. Daneben spielen die ideale bauliche Fläche sowie sämtliche aktuelle Anschlussmöglichkeiten für die IT eine relevante Rolle. Spätestens bei der Besichtigung eines Rechenzentrums oder wenn es darum geht, Zugang zum eigenen Server zu erlangen, zeigt sich die Komplexität des Zutrittsystems. Im Inneren angelangt, geht es um die Frage der physischen Abtrennung. Zum Teil werden hier keine Ansprüche gestellt und die Serverracks stehen in einer "Shared Area". Neben "Private Suites" als eigener Raum im Rechenzentrum werden eigene Cages, auch "Private Cages" genannt, als sichere Variante eingesetzt.
Rechenzentren gewährleisten in der Regel eine Datenverfügbarkeit von über 99 Prozent, haben also praktisch keine Ausfallzeiten. Die Klassifizierung von Rechenzentren in die vier Stufen Tier 1 bis Tier 4 steht dabei für einen bestimmten Standard, den ein Rechenzentrum und dessen vorhandenen Systeme erfüllen. Ein wesentlicher Knackpunkt ist dabei die Stromversorgung. Ist diese gleichbleibend und über zusätzliche Notstromversorgung abgesichert, also redundant, verringern sich die Ausfallzeiten.
Steter Strom und Brandschutz
Tier 1 weist noch keine Redundanz bei der Stromversorgung auf, es besteht nur ein einziger Versorgungsweg. Das höchste Maß an Datenverfügbarkeit bietet Tier 4, wo doppelte Versorgungsleitungen eines Energieanbieters bestehen. Bei Tier 4 ist dementsprechend von "Hochverfügbarkeit" die Rede, wobei im Fall von Unterbrechungen ein uneingeschränkter Betrieb möglich sein soll. In Bezug auf die Stromversorgung sollte also ein Rack, genauso wie der Weg zum Rack, mehrfach abgesichert sein. Datacenter bieten hier unterschiedliche Optionen, wie auch redundante In-House-Leitungen, die für mehr Unabhängigkeit sorgen. So können etwa Wartungsarbeiten störungsfrei ausgeführt werden.
Brandschutzvorkehrungen gehen derweil mittlerweile nicht nur auf feuerfeste Materialien und die Unterteilung in Brandabschnitte ein, sondern umfassen selbstverständlich auch Brandfrüherkennungsmaßnahmen. Daneben spielen die ideale bauliche Fläche sowie sämtliche aktuelle Anschlussmöglichkeiten für die IT eine relevante Rolle. Spätestens bei der Besichtigung eines Rechenzentrums oder wenn es darum geht, Zugang zum eigenen Server zu erlangen, zeigt sich die Komplexität des Zutrittsystems. Im Inneren angelangt, geht es um die Frage der physischen Abtrennung. Zum Teil werden hier keine Ansprüche gestellt und die Serverracks stehen in einer "Shared Area". Neben "Private Suites" als eigener Raum im Rechenzentrum werden eigene Cages, auch "Private Cages" genannt, als sichere Variante eingesetzt.
Käfige für mehr Sicherheit
Die eigene, abgetrennte Fläche im Datacenter kann generell nach individuellen Kriterien gestaltet werden. Teilweise bieten Rechenzentren eigene Sicherheitssysteme oder Produkte von Partnern an. Es ist ratsam diese mit den eigenen Bedürfnissen zu vergleichen.
Cages bieten in erster Linie Zutritts- und Zugriffsschutz, aber auch – je nach Materialausführung – zusätzlichen Sichtschutz. Ergänzende Sicherheit lässt sich durch Möglichkeiten wie eine Videoüberwachung im eigenen Bereich erlangen. Die Zutrittskontrolle erfolgt über spezielle Schließanlagen. Hier sind, je nach Sicherheitsstufe, Schlösser mit E-Öffner mit und ohne Rückmeldung, selbstverriegelnde Panikschlösser, biometrische Zutrittskontrollsysteme wie Kartenleser, Fingerprint oder Venenscanner zum Standard geworden. Eine Kopplung an die bestehenden Sicherheitssysteme ist möglich. Bei der Fertigung überzeugen Anbieter mit eigener Produktion und erfahrenem Personal, um produktionsbedingte Verunreinigungen zu vermeiden, die Auswirkungen auf Nutzung und Betrieb im Rechenzentrum haben könnten.
Das sogenannte "Cage-Paneel-System" erlaubt die grundflächenunabhängige Planung und ist für Hallenhöhen von bis zu acht Metern geeignet. Individuelle Wand- und Deckenanschlüsse werden speziell vermessen und an das Raumlayout angepasst gefertigt. Paneele gibt es mit unterschiedlicher Perforation je nach Anforderungen an Sichtschutz, Sicherheit, die erforderliche Luftdurchlässigkeit und nicht zuletzt auch die Optik. Das höchste Maß an Sicherheit bieten Paneele ohne Perforation.
Um den Zutrittsschutz zu optimieren, ist im Doppelboden ein Unterkriechschutz unterhalb der Cage-Linie installiert. Innerhalb der Käfige stehen die Serverracks oder Cabinets in Reihen, sodass sich zwischen den Racks entsprechende Gänge bilden, die zur effizienten Luftverteilung eingehaust sind.
Kaltgang versus Warmgang
Über die Frage, ob Kaltgang oder Warmgang, wird oft diskutiert. Jedes System hat seine Vorteile und trennt kalte und warme Luft effizient voneinander, sodass nur die kalte gezielt zur Kühlung an die Serverelemente gelangt. Im Endeffekt kommt es auf das jeweilige Rechenzentrum an, das in der Regel das System vorgibt.
Bei der Kaltgang-Variante sind die sich gegenüberstehenden Vorderseiten der IT-Schränke eingehaust. Die erwärmte Luft strömt frei in den Serverraum, verteilt sich im Deckenbereich und wird dann per Klimaanlage abgesaugt und gekühlt über im Doppelboden verlegte Lochplatten in den Kaltgang abgegeben. Für den Doppelboden ist eine gewisse Raumhöhe notwendig, die je nach Leistung der Kühltechnik und weiteren Gegebenheiten variiert. Je nach Raumhöhe kann also nur ein System infrage kommen.
Beim Warmgang-Modell ist der Gang zwischen den Rückseiten der IT-Schränke eingekapselt. Die erwärmte Luft sammelt sich zwischen den Racks und bildet dort den Warmgang. Die warme Luft wird in der Regel über eine Doppeldecke abgeleitet und dem Luftkreislauf wieder zugeführt. Die Bauweise ist auch als Kaminbauweise bekannt. Bei beiden Verfahren sorgt die Einhausung dafür, die Vermischung von Kühl- und Abluft zu unterbinden, HotSpots zu vermeiden und somit möglichst energieeffizient zu operieren.
Sowohl Kaltgang- als auch Warmgang-Systeme sollten individuell konfigurierbar und passend für nahezu alle Server-Schranksysteme sein. Es lohnt sich, im Rechenzentrum nach den umgesetzten Verfahren und den Gründen dafür zu fragen. Für die eigenen Systeme in Colocations ist ein Partner mit Erfahrung empfehlenswert, denn die Sicherheits- und Montageanforderungen sind speziell. Besonders Dach- und Türsysteme bei Kaltgang- und Warmgangsystemen nehmen bei der Schottung eine entscheidende Rolle ein, da sie sich an den räumlichen Gegebenheiten und dem gewünschten zusätzlichen Maß an Systemsicherheit orientieren.
Bei Kaltgangsystemen, auch bekannt als CAC beziehungsweise "Cold Aisle Containment", kommen zum Beispiel transparente Dachelemente aus Makrolon oder Acrylglas infrage. Eine erhöhte Bauweise des Daches verhindert Hotspots und sorgt für eine gleichbleibende Luftverteilung für alle Serverracks. Bei den Türelementen ist zu beachten, dass auch diese möglichst luftdicht angefertigt und eingebaut werden. Schiebetüren sind eine platzsparende Alternative und unterschiedlich konfigurierbar – selbstschließend oder manuell schließend, frei- oder synchronlaufend, mit Fenstern aus Sicherheitsglas oder aus Kunststoff. Auch eine motorisch unterstützende Öffnung ist möglich.
Für die Wände der Warmgangsysteme, auch HAC oder "Hot Aisle Containement" genannt, werden standardmäßig Stahl, Makrolon oder Acrylglas oder auch eine Kombination aus den Materialien eingesetzt. Die Kaminelemente eignen sich auch für freistehende Gangvarianten für den individuellen Einsatz und Austausch der Racks.
Strukturierte Unterbringung von Racks
Aktuell sind Racks mit 19-Zoll-Normung internationaler Standard für die Unterbringung von Servern. So ist sichergestellt, dass Server und Netzwerkgeräte von unterschiedlichen Herstellern miteinander kompatibel sind und sich im selben Rack montieren lassen. Sie teilen sich meist in Zwei- und Vier-Säulen-Racks auf.
Die Ausführungen von Racks sind durch Normen definiert (EIA 310, IEC 297, DIN 41494). Die Einschübe sind so konfiguriert, dass mehrere Serverbestandteile horizontal oder vertikal eingebaut werden können. Klassische Bautiefen sind 80, 100 oder 120 Zentimeter. Die Kombination aus Basis- und Anreihsystem sorgt für einen besonders flexiblen, platzsparenden Aufbau. Traglasten bis 1500 Kilogramm und mehr sind in den Ausführungen möglich. Racks schützen zeitgleich auch die Kabel für Stromversorgung, Netzwerkkabel, Patchkabel und weiteres. Die Bauweisen sind modular und Kabelgänge lassen sich flexibel anbringen. Trotz der offenen Bauweise kann das Rack in Schrankreihen vollständig geschottet werden.
Nachhaltige digitale Infrastruktur
Die Frage der Nachhaltigkeit von Rechenzentren betrifft nicht nur die Betreiber selbst, sondern auch diejenigen, die für ihre Daten die Fläche im Rechenzentrum nutzen. Denn Nachhaltigkeitsstrategien der Unternehmen berücksichtigen immer häufiger auch die digitale Infrastruktur. Im Optimalfall planen Rechenzentren bereits energiesparende Maßnahmen beim Bau ein. So erfolgt die Stromversorgung von immer mehr Rechenzentren zu großen Teilen oder sogar ganz auf Basis von Ökostrom.
Auch die sinnvolle Verwertung von Abwärme der Rechenzentren sollte bereits in der Planung berücksichtigt werden, um beispielsweise Schwimmbäder oder andere Gebäude mit Wärme beliefern zu können. Bereits auf diese Art umgesetzte Datacenter finden sich immer häufiger. Auch die Akzeptanz in der Bevölkerung von Neubauten lässt sich durch diese Nachhaltigkeitsmaßnahme erhöhen.
Auch bei einem besonderen Augenmerk auf die Qualität und Langlebigkeit der Materialien von Cages, Elementen für Kalt- und Warmganglösungen besteht Potenzial bei der Ressourceneinsparung. Mieter und Datacenter-Betreiber sollten sich auch über den möglichen Rückbau und die Wiederverwertbarkeit von Teilen informieren. So lassen sich weitere Kapazitäten einsparen. Für Mieter, die sich in der Fläche vergrößern wollen, ist es ratsam, vor dem nächsten Schritt zu prüfen, welche Teile sich zweitverwerten lassen. All diese Aspekte können Kunden von Rechenzentren erfragen, um eine möglichst nachhaltige Auswahl zu treffen.
Cages als Alternative
Wenn das Datacenter für das eigene Unternehmen nicht die passende Wahl ist, lässt sich zusätzliche Sicherheit für den Server im Unternehmen mit praktischen Systemen unkompliziert erreichen. Das ist zudem ein klares Signal in Sachen bewusster Umgang mit Daten an die Mitarbeiter und Geschäftspartner. Immer häufiger müssen Firmen schließlich nachweisen, dass die Daten ihrer Partner gemäß den gesetzlichen Anforderungen geschützt sind. Wenn Sie die folgenden Fragen mit Ja beantworten können, haben Sie dringenden Handlungsbedarf:
- Ist der Server oder Serverraum im Gebäude frei zugänglich?
- Steht der Server in einem Raum ungeschützt vor Verschmutzung und Schäden, eventuell sogar noch neben Wasserkisten und Ähnlichem?
- Muss der Raum mit dem Server regelmäßig von Hand gelüftet und die Temperatur geprüft werden?
- Lässt sich der Server bei einem Einbruch schlichtweg mitnehmen?
Stellen Sie sich diese Fragen auch in Bezug auf physische Datenträger wie Akten, die Sie ebenfalls mit Cages schützen können. Dem physischen Datenschutz liegen dabei folgende Verordnungen zugrunde:
- Datenschutzgrundverordnung (DSGVO),
- Bundesdatenschutzgesetz (BDSG) und
- Grundsätze ordnungsgemäßer Buchführung (GoB).
Im Wesentlichen geht es um die Sicherstellung der Funktionsfähigkeit der Systeme und um das Errichten lokaler Zugangsberechtigungen.
Es muss also geregelt sein, wer Zugang zu den Rechenanlagen haben darf – Stichwort Zutrittskontrolle. Genaue Angaben dazu finden sich in den "Technisch Organisatorischen Maßnahmen", kurz TOMs:
- Zäune, Pforten und andere räumliche Begrenzungen
- Sicherheitsschlösser
- Schließsysteme mit Codesperren
- Chipkarten für verschlossene Bereiche
- Zugangssperren, die mit biometrischen Merkmalen abgesichert sind
Diese Bereiche werden durch Cages DSGVO-konform abgedeckt. Und auch, wenn erste Maßnahmen ergriffen wurden, lohnt sich der Blick eines Experten, der mögliche Gefahrenquellen aufdeckt oder auf Verbesserungen hinweist. Das kann ein Datenschutzbeauftragter sein oder auch ein externer Fachbetrieb, der entsprechend individuelle Lösungen anbietet. Bei einer Begehung vor Ort weist der Experte auf Besonderheiten hin und führt gegebenenfalls direkt ein Aufmaß durch. Die Montage im eigenen Unternehmen kann je nach System eigenständig oder von einem Fachbetrieb durchgeführt werden.
Um eine genauere Vorstellung zu erhalten, bieten etablierte Dienstleister eigene Showrooms an, um Produkte zu demonstrieren und Besonderheiten in den Ausführungen zu veranschaulichen.
Fazit
Der physische Datenschutz ist eine ebenso relevante und notwendige Komponente wie der digitale. Beide Bereiche sollten entsprechend gleichwertig berücksichtigt werden, um gemäß gesetzlichen Bestimmungen zu handeln, aber auch um Synergien bei der Planung zu nutzen. Egal, ob die Unternehmensserver in einem externen Datacenter oder vor Ort stehen – IT-Verantwortliche sind gut beraten, sich über den Einsatz passender Systeme Gedanken zu machen.
(dr)
Gesa Gröning ist Pressereferentin und Karsten Winning kaufmännischer Leiter bei SCS FACO Metalltechnik.