Den Totalausfall der IT kann heute kein Unternehmen mehr verkraften. In vernetzten, unternehmensübergreifenden Supply Chains hängen von der reibungslosen Datenverarbeitung nicht nur die eigene Firma, sondern auch die Prozesse der Lieferanten und Auftraggeber ab. "Mit zertifizierter Sicherheit signalisiert man den Partnern Verlässlichkeit", sagt IT-Leiter Matthias Kunz von der Weber GmbH aus Dillenburg. Das Unternehmen hat sich auf Kinematik-Module wie Cupholder, Ablagefächer und Dachkonsolen sowie Design- und Akustik-Motorabdeckungen spezialisiert. Zu den Kunden gehören fast alle großen Autohersteller: Audi, Seat, Skoda, VW, Daimler-Chrysler, Porsche, GM und BMW beziehen bei dem 430-Mann-Unternehmen Kunststoffteile. "In den eng verzahnten Lieferketten der Automobilbranche ist die Ausfallsicherheit der IT ebenso wichtig wie die der Produktionsmaschinen", sagt Kunz.
Kein Zweifel: Die Sensibilität für Gefahren durch Systemausfälle hat nicht nur im Automobilbau zugenommen. Business-Continuity-Pläne sind zwar noch nicht überall die Regel, aber die Terroranschläge vom 11. September 2001, das Hochwasser im Sommer 2002 und die jüngsten Stromausfälle in den USA, London und Italien haben das Problem ins Bewusstsein gerückt. Zunehmend zwingen auch gesetzliche Regelungen wie Basel II und KonTraG das Management, umfassende Sicherheitsmaßnahmen nach dem Stand der Technik zu installieren.
F90 schützt keine Computer
Meist stehen bei Business-Continuity-Plänen jedoch Systeme und Anwendungen im Vordergrund. Räumliche Gegebenheiten geraten erst dann ins Blickfeld, wenn unternehmensweite Sicherheitsrichtlinien eingeführt werden oder im Serverraum oder Rechenzentrum der Platz knapp wird. Dabei werden die Gefahren häufig unterschätzt. Denn die im Baubereich gängigen Normen vermitteln nur eine trügerische Sicherheit.
Gängige Brandschutzmauern vom Typ F90 etwa garantieren lediglich, dass bei einem Feuer von 1000 Grad auf der anderen Seite der Wand die Temperatur innerhalb von 90 Minuten um nicht mehr als 140 Grad ansteigt. Das reicht zwar, um das Übergreifen eines Feuers zu verhindern; für ein Rechenzentrum bieten F90-Wände aber keinen hinreichenden Schutz. Aufgeheizte elektronische Bauelemente versagen zwar nicht unbedingt sofort ihren Dienst, aber die Elektronikteile altern überproportional, der MTBF (Mean Time between Failures) steigt dramatisch; die Herstellergarantie der meisten Hardwaresysteme erlischt schon bei 50 Grad. Ebenso ungeeignet sind gängige Brandmelder-Systeme und Sprinkler-Anlagen für das Rechenzentrum. Schon ein kurzfristiger Temperaturanstieg würde Hardware und Datenträger unter Wasser setzen und größten Schaden anrichten. Zur Brandbekämpfung eignen sich in Rechenzentren nur Löschgasanlagen, die mit einer Überflutung der Raumluft mit speziellen Löschgasen den Sauerstoffgehalt der Luft reduzieren.
Weitere Aspekte spielen bei der Planung eine Rolle: Der Schutz vor korrosiven Rauchgasen muss ebenso bedacht werden wie die elektromagnetische Verträglichkeit, die Notstromversorgung und Klimatisierung. "Fünf bis sechs Racks und zwei Storage-Systeme können schon ein Zweifamilienhaus heizen", sagt Axel Janssen, Geschäftsführer der auf Sicherheitslösungen spezialisierten Lampertz GmbH in Betzdorf bei Köln und Marktführer auf diesem Gebiet.
Zertifikat für Kunden und für die Bank
IT-Leiter Kunz hat bei der Erweiterung des Rechenzentrums gleich Nägel mit Köpfen gemacht: "Wir wollten nicht nur hohe Sicherheit, sondern haben auch großen Wert auf eine Zertifizierung gelegt." Zuerst hatte er ein örtliches Ingenieurbüro mit der Planung beauftragt. "Mündlich wurden uns alle Anforderungen versprochen - aber eine Zertifizierung konnte das Ingenieurbüro nicht zusagen." Zwar waren alle Wand-, Decken- und Bodenelemente einzeln zertifiziert. "Aber das Problem waren die Übergänge, sodass ein Zertifikat für die Gesamtkonstruktion nicht möglich war." Kunz hat sich daraufhin für das "Raum-im-Raum-Konzept" von Lampertz entschieden. Das war zwar teurer als die ursprünglich geplante Lösung; dafür attestiert ihm ein Zertifikat nach der Euronorm EN 1047-2 /ECB S jetzt die größtmögliche Sicherheit seines Rechenzentrums nach europäischen Standards.
"Die Initiative für die Sicherheits-Investitionen ist von uns ausgegangen", sagt der IT-Leiter. Er ist selbst etwas erstaunt, dass sich seine Auftraggeber zwar für die eingesetzten Produktionsmaschinen und CAD-Systeme interessieren, aber er bisher nicht mit bohrenden Fragen zur IT-Sicherheit konfrontiert wurde. Ebenso setzt sich nach seiner Erfahrung auch bei Banken und Versicherungen erst langsam die Erkenntnis durch, das die Ausfallsicherheit der Enterprise-IT direkten Einfluss auf Wettbewerbsfähigkeit und wirtschaftlichen Erfolg des Unternehmens hat. Der IT-Leiter ist sicher, dass sich das in Zukunft ändern wird und die Investitionen sich auszahlen werden: "Wir legen sozusagen den Sicherheitsgurt an, bevor etwas passiert ist", sagt Kunz. "Ich bin überzeugt, dass wir damit langfristig unsere Wettbewerbsposition verbessern."