Wie sieht es in deutschen Unternehmen mit der physikalischen Datensicherheit aus?
Nicht besonders gut. Nach meiner Einschätzung sind nur etwa 30 Prozent der deutschen Unternehmen wirklich auf der sicheren Seite – aber das hängt natürlich auch davon ab, welche Maßstäbe man anlegt. Grundsätzlich gibt es jedoch einen Investitionsstau und erheblichen Nachholbedarf im Bereich der physikalischen Sicherheit.
Was sind die Gründe dafür?
Die Verantwortlichen machen sich noch zu wenig Gedanken. Die Investitionen in die IT waren in den letzten Jahren ohnehin eher zurückhaltend. Physikalische Datensicherheit wird meist gar nicht oder an allerletzter Stelle bedacht. Denn schließlich müssen Unternehmen ja in eine Infrastruktur investieren, von der sie hoffen, dass sie möglichst nicht zum Einsatz kommt. Es ist aber äußerst leichtfertig, in diesem Bereich zu sparen – denn davon kann die Existenz des Unternehmens abhängen.
Gibt es denn Anzeichen für ein Umdenken?
Ja, eindeutig. Es sind vor allem gesetzliche Regelungen wie Sarbanes-Oxley, KonTraG oder auch Basel II, die dazu führen, dass die Verantwortlichen über die Verfügbarkeit und Ausfallsicherheit ihrer Systeme nachdenken. Denn zunehmend fließt die IT-Sicherheit auch in die Unternehmensbewertung ein. Spätestens wenn Unternehmen anfangen, sich Gedanken um die IT-Sicherheit zu machen und Policies dafür zu formulieren, gerät die physikalische Datensicherheit in den Fokus – und vielen wird plötzlich bewusst, dass hier ein riesiger Nachholbedarf besteht. Dazu kommt, dass unternehmensübergreifende Lieferketten, also die Verlängerung der Supply Chains über das eigene Unternehmen hinaus, von allen Beteiligten Verlässlichkeit und hohe Ausfallsicherheit verlangen. Vorreiter ist hier der Bereich Automotive: Um Just-in-Sequence liefern zu können, müssen die Zulieferer der Automobilbauer hochverfügbare und ausfallsichere IT-Anlagen betreiben. Sonst kann es dazu kommen, dass bei einem großen Automobilbauer das Band still steht, weil bei einem Zulieferer von Plastikteilen die IT ausgefallen ist. In diesen Branchen gehört ein verlässlicher IT-Betrieb und zertifizierte Sicherheit häufig zu den Vertragsbestandteilen.
Welche Unternehmen brauchen in diesem Bereich besonderen Schutz?
Das hängt von vielen verschiedenen Faktoren ab. Aber die wenigsten Unternehmen können sich heute den Ausfall ihrer IT erlauben. Es mag noch Handwerksbetriebe geben, wo der Ausfall der Fakturierung oder der Gehaltsbuchhaltung für einige Stunden oder gar Tage verkraftbar ist – aber das sind Ausnahmen. Je mehr das eigentliche Kerngeschäft von der IT abhängig ist, desto wichtiger und dringender sind angemessene Schutzmaßnahmen. Der Handel etwa, dessen Logistik oder Online-Bestellgeschäft ausschließlich auf IT basiert oder der auf ständige IT-Verfügbarkeit angewiesen ist, genauso wie Banken und Versicherungen. In Krankenhäusern, Behörden und öffentlicher Verwaltung gibt es neben der ununterbrochenen Verfügbarkeit weitere besondere Anforderungen an den Datenschutz, der sich auch nur mit entsprechenden physikalischen Schultzmaßnahmen erreichen lässt.
Was genau versteht man unter physikalischem Datenschutz?
Auf der einen Seite geht es um Vorkehrungen gegen meist unplanbare Gefahren wie Brände, Hochwasser oder Rauchschäden. Dabei spielen Brandmeldeanlagen, Frühestwarnsysteme, Klima- und Löschanlagen, Notstromversorgung und entsprechende Bauelemente wie Spezialwände oder Brandschutztüren eine Rolle. Auf der anderen Seite geht es um die Zugangskontrollen, etwa durch Zugangssysteme, gesicherte Türen mit Schließsystemen, Wandstärken und Überwachungssysteme. Wichtig dabei ist es, dass alle Systeme möglichst zertifiziert aufeinander abgestimmt und auf die spezifischen Bedingungen und Anforderungen des Kunden in seinem individuellen Rechenzentrum zugeschnitten sind.
Brandschutz und Zugangssicherheit spielen doch auch in vielen anderen Bereichen eine Rolle. Was ist das Besondere am Rechenzentrum?
Da gibt es eine Vielzahl von Besonderheiten. Betonwände zum Beispiel, die in vielen Fällen nur als reine Brandschutzmauer dienen, sind unserer Ansicht nach vollkommen ungeeignet für ein wirklich hochverfügbares Rechenzentrum. Der Hitze- und Feuchtigkeitsschutz ist noch nicht einmal annähernd ausreichend für die sensiblen IT-Anlagen. Wir entwickeln, bauen und montieren Spezialwände aus fünf Schichten unterschiedlicher Materialien, die einen nachweisbar besseren Hitzeschutz bieten. Zudem verursacht die Lampertz-Methode nur sehr wenig Bautätigkeit auf der geplanten RZ-Fläche. Ein weiteres Beispiel sind Brandmeldesysteme und Löschanlagen: Wenn die Temperatur steigt und sich eine Sprinkleranlage in Betrieb setzt, ist das im Hotelzimmer eine recht gute Lösung. Im Rechenzentrum hat sie dann zwar das Feuer gelöscht – aber damit auch alle IT-Anlagen unbrauchbar gemacht und zerstört. Um die Betriebsfähigkeit zu erhalten, muss man eigene Wege gehen und zur Brandbekämpfung spezielle Gase einsetzen, die einerseits den Menschen nicht schädigen, wie CO2, aber auch schnell und effektiv genug löschen wie das neuartige, von uns eingesetzte Novec 1230.
Sie liefern Komplettlösungen für alle denkbaren Gefahren?
Wir sind auf diesen Bereich spezialisiert und Marktführer in Deutschland und Europa. Unser „Raum im Raum“-Konzept bietet die größtmögliche Sicherheit. Vor allem können wir dem Kunden als Generalunternehmer umfassende Sicherheitslösungen anbieten, bei denen alle Komponenten aufeinander abgestimmt und speziell für den RZ-Betrieb konzipiert sind. Das geht von der Gefahrenanalyse und von Wirtschaftlichkeitsberechnungen bis hin zur schlüsselfertigen, zertifizierten Gesamtlösung.
Fertigen Sie alle Komponenten selbst?
Nein, nicht alle. Aber wir haben eine eigene Forschungs- und Entwicklungsabteilung und auch eine eigene Produktion für die Kernkomponenten. Zudem arbeiten wir in den Bereichen Entwicklung, Fertigung und Qualitätssicherung sehr eng mit Rittal zusammen. Diese Zusammenarbeit ergibt starke Alleinstellungsmerkmale zum Vorteil und Nutzen unserer Kunden. So kann der Kunde von der Sicherheitsanalyse über das IT-Rechenzentrum bis zu den Racks und deren feuerfester Absicherung alles aus einer Hand bekommen. Aber auch für die zugekauften Komponenten, wie etwa Notstromaggregate, Überwachungssysteme oder Brandlöschanlagen, stehen wir gerade. Hier arbeiten wir nur mit Marktführern zusammen, die langjährige Entwicklungs- und Umsetzungserfahrung haben. Voraussetzung ist, dass die Zulieferer die gleiche Servicequalität und die gleichen Reaktionszeiten im Alarmfall – übrigens auch im Ausland – bieten wie wir.
Welche Rolle spielt eine Zertifizierung für den Kunden?
Eine ziemlich wichtige. Denn meistens wird die physikalische Sicherheit im Rahmen eines umfassenden Sicherheitskonzepts in Angriff genommen, welches der Kunde in der Regel im Hinblick auf eine Zertifizierung des Unternehmens umsetzt. Deshalb spielt für ihn die Zertifizierung eine entscheidende Rolle, weil er damit die Sicherheit seines Unternehmens gegenüber Dritten nachweisen kann. Sei es gegenüber Auftraggebern, Kunden, Behörden oder auch Banken und Versicherungen, die ein Rating nach Basel II oder Solvency II vornehmen. Dabei gibt es allerdings unterschiedliche Normen und Zertifikate. Bei den komplexen Zusammenhängen im Rechenzentrum reicht es nicht aus, wenn die einzelnen Bauteile wie Wände oder Löschanlage grundsätzlich geprüft sind – etwa nach der Bauteilprüfung DIN 4102 –, sondern erst das Zusammenspiel der einzelnen Komponenten und die Abstimmung aufeinander sowie deren Zertifizierung sorgen für eine umfassende Sicherheit. Wir bieten diese Gesamtlösungen an, die nach dem europäischen Standard ECB-S zertifiziert sind.