:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zertifiziert – aber wie? Rechenzentren im Wirrwarr der Normen
Zertifizierungen werden für Betreiber von Rechenzentren immer wichtiger. Das zeigt auch die wachsende Zahl von Zertifizierungsanbietern am Markt. Aber welche der vielen Zertifikate machen überhaupt Sinn? Und welche Unterschiede gibt es zwischen den Zertifizierungs-Anbietern?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
„Wir sind auch zertifiziert.“ Was viele Rechenzentrumsleiter stolz verkünden, sagt in seiner Pauschalität erst einmal wenig aus. Schließlich zählt nur, was genau geprüft worden ist und nach welchem Standard, beziehungsweise nach welcher Prüfvorgabe.
Was will sich ein Rechenzentrum bestätigen lassen: die Verfügbarkeit der Technik und Versorgungsstrukturen? Die Energie-Effizienz? Die Qualität der organisatorischen Prozesse? Die Qualifikationen von Mitarbeitern?
Auch die Motivation für eine Zertifizierung fällt ganz unterschiedlich aus: Während die einen möglichst einfach, schnell und billig ein Zertifikat erhalten wollen, um damit ihre Wand und ihre Webseite zu schmücken, suchen andere Unternehmen beim Aufbau eines neuen Rechenzentrums eine neutrale, kompetente Instanz. In diesem Fall will der Bauherr vor allem die Sicherheit haben, dass seine Lieferanten und Dienstleister die geltenden Regeln befolgen und die notwendigen Qualitätsstandards einhalten.
Bald eine verpflichtende Prüfung?
Wenn es um den großen Rahmen geht, also vor allem um die Prozesse und Abläufe, haben sich insbesondere ISO-Normen etabliert: zum Beispiel die Qualitäts-Management-Norm ISO 9001, die generell überprüft, ob die Prozesse eines Rechenzentrums qualitätsgesichert sind, oder spezifischer die ISO 27001 für das Management der Informationssicherheit. Da bei den Rechenzentren der Aspekt Sicherheit grundsätzlich im Fokus steht, ist die Zertifizierung nach ISO 27001 ein häufig beschrittener Weg.
Auch durch das neue IT-Sicherheitsgesetz rücken Zertifizierungen zunehmend auf die Tagesordnung von Rechenzentren. Es macht Unternehmen, die so genannte „kritische Infrastrukturen“ (KRITIS) betreiben, feste Vorgaben. Damit sind auch die Rechenzentren dieser Unternehmen mittelbar oder unmittelbar den Vorgaben des Gesetzes unterworfen. Wie diese konkret aussehen sollen, wird derzeit in den zuständigen Arbeitskreisen diskutiert.
ISO-Zertifikate reichen nicht
Die von Rechenzentren verwendeten ISO-Normen sind Management-Normen, die Absicherungsprozesse überprüfen. Was dabei außen vor bleibt, ist das sprichwörtliche Fundament von Rechenzentren, nämlich alle technischen Belange und die damit verbundene konkrete physische Sicherheit – von der Strom- und Kälteversorgung bis hin zu bautechnischen Fragestellungen. Sie sind wesentliche Faktoren für die Verfügbarkeit eines Rechenzentrums.
Damit kommen Prüfvorgaben wie TSI (Trusted Site Infrastructure, s.o.) oder die neue europäische Norm EN 50600 ins Spiel, welche Vorgaben zur physischen Sicherheit machen. Generell gilt: Sicherheit spielt sich auf unterschiedlichen Ebenen ab, etwa auf der organisatorischen, IT-technischen und der physischen Ebene. So ist RZ-Betreibern zum Beispiel oft nicht bewusst, dass die relevanten ISO-Normen ihren Schwerpunkt auf der organisatorischen Ebene haben – im Gegensatz zu den oben genannten Prüfvorgaben und Normen mit dem Fokus auf der physischen Ebene.
Viele denken, mit einer Zertifizierung nach ISO 27001 sei alles abgedeckt, übersehen dabei jedoch, dass der Norm keine detaillierte technische Betrachtung hinterlegt ist. Auch verfügt die technische Prüfung der Infrastruktur über eine höhere Aussagekraft, denn anders als bei ISO-Prüfungen gibt es hier weniger Interpretationsspielraum: Entweder ist ein Notstromdiesel mit den richtigen Leistungsmerkmalen installiert oder nicht.
Bildlich gesprochen lassen sich die unterschiedlichen Sicherheitsebenen mit einem Haus vergleichen. ISO-Normen wie 9001 und 27001 bilden in diesem Bild das Dach des Hauses und die technische Prüfungen wie zum Beispiel TSI das Fundament. Daneben gibt es noch die so genannten „Common Criteria“ – auch beschrieben in ISO 15408 –, welche den Baukörper (ein Geschoss des Hauses) betreffen, um im Bild zu bleiben.
Doch kommen RZ-Betreiber mit diesen Prüfungen kaum in Berührung, denn Common Criteria/ISO 15408 betreffen unter anderem Betriebssysteme, Firewalls, Verschlüsselungssoftware oder – Hardware. Hier müssen vielmehr die Hersteller dieser Produkte dafür sorgen, dass die jeweiligen Installationen sicherheitstechnisch sauber sind. Ein RZ-Betreiber muss höchstens überprüfen, ob die eingesetzten Komponenten zertifiziert sind – etwa, wenn Behörden oder vertragliche Regelungen dies fordern.
Die Zahl der in Deutschland betriebenen Rechenzentren, die nach TSI oder nach anderen, auf die physische Sicherheit ausgerichtete Kriterienkataloge zertifiziert sind, steigt derzeit stark an, denn der Nutzen umfasst mehrere harte wie weiche Faktoren:
- Unternehmen erhalten Sicherheit bei der Planungsvergabe neuer Rechenzentren, vor allem wenn die Zertifizierung zum Ausschreibungsbestandteil wird.
- Das Zertifikat dient als Vertrauensnachweis für eine bessere Marktpositionierung.
- Die Qualität der eigenen Projektsteuerung wird gesichert und verbessert.
- Das Vertrauen vonseiten überwachender Institutionen festigt sich.
- Die Zertifizierung dient als Nachweis für die Innenrevision und Wirtschaftsprüfer.
- IT-Sicherheitsgesetz bringt Bewegung.
In der jüngsten Zeit fragen auch KRITIS-Unternehmen – Gesundheits-, Wasser- oder Energieversorger zum Beispiel – verstärkt nach der Zertifizierung der physischen Sicherheit ihrer Rechenzentren, da sie sich wegen des IT-Sicherheitsgesetzes an zusätzliche Auflagen halten müssen. Im Bankenbereich gehören TSI-Zertifizierungen mittlerweile fast zur Grundausstattung, da sie unter strenger Aufsicht stehen und mit der TSI-Zertifizierung einen entsprechenden Nachweis zur Verlässlichkeit ihrer Rechenzentren führen.
Wie viel zusätzliche Dynamik die europäische RZ-Norm EN 50600 erzeugen wird, ist noch nicht absehbar. Derzeit führt diese Norm offenbar schon zu einem größeren Zertifizierungsangebot, obschon sie mehr als Leitfaden und nicht als Prüfvorgabe konzipiert ist. Ihr fehlen ein Prüf- und Zertifizierungsschema.
Das nahm TÜViT zum Anlass, den TSI-Kriterienkatalog so zu überarbeiten, dass die neue Version 4.0 die EN 50600 komplett abdeckt. Auf Basis der aktuell vorliegenden Nachfragezahlen geht das Unternehmen davon aus, dass die Zahl der TSI-Zertifizierungen auch dank der EN 50600 pro Jahr im zweistelligen Prozentbereich steigen wird.
Immer mehr Anbieter
Dementsprechend drängen immer mehr Zertifizierungsanbieter in den Markt. War es zunächst nur das TÜV NORD-Unternehmen TÜViT, das mit TSI den Markt besetzte und noch immer die größten Marktanteile hat, bieten heute auch andere Institutionen Dienstleistung in dieser Richtung an.
Die neue Anbietervielfalt gibt den Unternehmen und RZ-Betreibern natürlich ein Mehr an Optionen, stellt ihn aber bei der Auswahl zugleich vor Schwierigkeiten, denn jeder Anbieter ist mit seiner eigenen Prüf- und Bewertungsgrundlage unterwegs. Somit sind die angebotenen Zertifikate nur zum Teil oder gar nicht miteinander vergleichbar. Deshalb empfiehlt es sich für Unternehmen genau hinzuschauen, auf welcher Grundlage die jeweiligen Prüfkataloge entstanden sind, was sie im Detail abdecken und wie vollständig sie bestimmte Normen repräsentieren können.
Darüber hinaus gilt es zu prüfen, über wie viele Prüfressourcen ein Anbieter verfügt und welche Kompetenzen diese aufweisen. So ist zum Beispiel Vorsicht geboten, wenn die Prüfung nur durch eine Person erfolgen soll. Denn da ein Rechenzentrum aus vielen unterschiedlichen Gewerken besteht, sollten auch die Ressourcen eines Anbieters möglichst alle Gewerke mit Spezialisten abdecken können, etwa für die Energie- und, Kälteversorgung, Brandschutz- und Sicherheitstechnik, die Beurteilung von Umgebungsgefährdungen und der Baukonstruktion. Je mehr Sachverstand ein Anbieter bei der Zertifizierung hinzuzieht und je routinierter die Prüfung durch jahrelange Erfahrung erfolgt, umso aussagekräftiger ist das am Ende verliehene Zertifikat.
Nicht zuletzt sollten RZ-Verantwortliche klären: Inwieweit folgt der Zertifizierer selbst anerkannten Vorgehensweisen und Regeln? Hat er seine Zertifizierungstätigkeiten zum Beispiel nach ISO 17065 ausgerichtet? Diese Norm soll garantieren, dass die Qualifikation und Unabhängigkeit der Prüfer, die Abwicklung oder der Umfang eines solchen Projektes die entsprechenden Vorgaben erfüllt.
Bedeutung von Rechenzentren steigt
Rechenzentren spielen eine Schlüsselrolle bei den derzeitigen Umwälzungen in IT und Wirtschaft: Cloud, Digitalisierung, Internet der Dinge oder Industrie 4.0. Dies lässt die Bedeutung von RZ-Zertifizierungen weiter steigen. Dabei gilt: Gerade die Prüfung der physischen Belange ist eine Bewertung der Realisierungen und Installationen mit den zugrundeliegenden Konzepten.
Hierbei identifizierte Schwachstellen bedeuten Korrekturen, die aufwändig sein können. Eine frühzeitige Ausrichtung auf die EN 50600, oder spezieller auf die Prüfvorgabe TSI, schon beim Bau, Umbau oder Ertüchtigung eines Rechenzentrums ist deshalb geboten.
Hinweis: Die TÜViT GmbH (TÜV Nord) ist nominiert für den IT-Award in der Kategorie d. RZ-Planer & Auditoren. Per Online-Abstimmung können die Leser von DataCenter-Insider für das Unternehmen stimmen oder auch für ein anderes, das nominiert ist.
* Joachim Faulhaber ist stellvertretender Bereichsleiter IT Infrastructure bei der TÜV Informationstechnik GmbH (TÜViT) in Essen.
Artikelfiles und Artikellinks
(ID:44181394)
:quality(80)/images.vogel.de/vogelonline/bdb/1902400/1902401/original.jpg "Sicherheitszertifizierungen sind heute wichtiger denn je. Sie ermöglichen nicht nur einen ganzheitlichen Unternehmensschutz, sondern auch einen Wettbewerbsvorteil. (BSI)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953800/1953884/original.jpg "Im Rahmen der Umsetzung des Onlinezugangsgesetzes hat das BSI in Zusammenarbeit mit dem Bundesministerium des Innern und für Heimat das Antragsverfahren für die Personenzertifizierung digitalisiert (momius – stock.adobe.com)")