Bedrohung

Brandschutz

Feuersicherheitsanforderungen der IT

Von Stefan Maier, Köln

Informationstechnik hat ganz spezielle Bedürfnisse, was den Brandschutz angeht. Computer und Datenträger tolerieren Rauch, Hitze und Löschmittel nur in geringem Maße. Feuersicherheit für Rechenzentren überschreitet daher DIN-Maßstäbe und erfordert Zusatzüberlegungen, die oft nicht hinreichend bekannt sind.

Häufig sind Informationstechnik und wertvolle Daten ihrer direkten räumlichen Umgebung absolut ungeschützt ausgesetzt. Oft sind dies Umgebungen, die von Gefahrenpotenzialen wie Zündquellen und Brandlasten überfrachtet sind. Noch immer arbeiten Rechner, Plattensysteme oder wichtige Netzwerkkomponenten neben Kopierern, Klimaanlagen oder direkt im Papierlager... Im umgekehrten Extremfall wiederum trifft man auf IT-Einrichtungen mit einem Sicherheitstand, der in keinem Verhältnis zur Wirtschaftlichkeit und Sinnhaftigkeit steht. So findet man immer wieder teure Brandschutzwände oder Raum-in-Raum-Lösungen an Stellen vor, wo von außen keinerlei erhöhte Brandgefahr besteht.

Auch bei der Planung eines sicheren Rechenzentrums sollte nicht der Grundsatz "So gut wie möglich", sondern "So gut wie nötig" im Vordergrund stehen. Es ist ein Gesamtkonzept anzustreben, das am Ende die "benötigte" Sicherheit gewährleistet. Denn der Schutz der unternehmenseigenen IT ist schließlich kein Selbstzweck, sondern ein existenzieller Beitrag zum Schutz des gesamten Unternehmens. Im Grunde stellt sich gar nicht die Frage, wie die IT-Systeme geschützt werden können, sondern wie die Unternehmenstätigkeit auch nach einem Elementarereignis (wie z. B. Feuer) sichergestellt und weiter fortgeführt werden kann.

----------Anfang Textkasten----------

Planungsgrundlagen

Die Neugestaltung oder sicherheitstechnische Aufrüstung eines IT-Bereichs ist eine ganz spezielle Herausforderung. Die meisten IT-Manager oder Sicherheitsbeauftragten bauen in ihrer beruflichen Laufbahn nur wenige Rechenzentren. Zudem ist jedes RZ einzigartig. Somit ist jede Neuplanung oder Veränderung individuell auf die jeweilige Situation anzupassen. Vor der Errichtung sind folgende sechs Fragen zu stellen:

  1. Schutzziel: Wie hoch ist der Verfügbarkeitsanspruch an die IT?
  2. Wie ist die Gebäudestruktur beschaffen?
  3. Welches Gefahrenpotenzial ist zu beachten? Hierbei ist auch das benachbarte Umfeld in die Betrachtungen mit einzubeziehen.
  4. Gibt es bereits vorhandene Sicherheitsmaßnahmen, die in das neue Konzept zu integrieren wären?
  5. Wie sehen die sicherheitsrelevanten Organisationsmaßnahem aus und inwieweit beeinflussen sie die Sicherheitskonzeption?
  6. Welcher finanzielle Rahmen ist verfügbar?

Nur wenn diese Fragen im Vorfeld beantwortet sind, lässt sich ein auf die spezielle Situation angepasstes Konzept erstellen und umsetzen, Fehler können vermieden werden. Auf Lösungen von der Stange sollte man verzichten.

----------Ende Textkasten----------

Folglich ist jegliches Sicherheitskonzept, ist jede physische und physikalische Absicherung von der exakten Schutzzieldefinition abhängig. Möglichst zu Beginn der Planung eines Rechenzentrums hat eine Grundsatzentscheidung vorzuliegen, welcher Sicherheitslevel schlussendlich vorherrschen soll und wie er zu erreichen ist.

Schutzziel

Macht man sich Gedanken zum Thema Katastrophenschutz, ist zunächst zu definieren, ab wann überhaupt von einem Katastrophenfall im Unternehmen auszugehen ist. Es gibt Unternehmen, für die bereits ein IT-Ausfall von wenigen Minuten eine Katastrophe bedeuten würde. Andere wiederum verkraften durchaus Zeiträume von mehreren Stunden oder gar Tagen. Um nicht unnötiges Geld in Sicherheitsstrategien zu investieren, sollte man zunächst überlegen, wie viel Sicherheit benötigt wird.

Es ist bedauerlich, wie wenigen Entscheidungsträgern bewusst ist, welche wirtschaftlichen Folgen ein IT-Ausfall nach sich zieht. Die wenigsten IT-Manager sind in der Lage, einen Ausfall von unterschiedlich langen Zeiträumen zu quantifizieren. Schlimmer noch: Kaum jemand kann den exakten Zeitpunkt definieren, ab dem die Existenz des Unternehmens gefährdet ist.

Auf der anderen Seite werden häufig unrealistische Kennzahlen in den Raum gestellt. So wird oft die bekannte Formel 5X9, also 99,999 % Verfügbarkeit, gefordert, ohne zu bedenken, was das in letzter Konsequenz bedeutet. Da ein zu niedrig angesetzter Sicherheitslevel unkalkulierbare Gefahren und ein zu hoch angesetzter Level Geldvernichtung bedeutet, sollte man für jede Maßnahme das Schutzziel möglichst exakt und in Ruhe definieren.

[99,999% Verfügbarkeit = max. 5 Min. Ausfall/Jahr, 
99,99% = max. 53 Min., 
99,9% = max. 526 Min., 
99,0% = max. 5256 Min.]
Abbildung 1: Verfügbarkeitsansprüche und maximale Ausfallzeiten pro Jahr

Prävention

Parallel kann man bereits mit der effektivsten und gleichzeitig kostengünstigsten Maßnahme zur Katastrophenvorbeugung beginnen: Dem konsequenten Aufräumen in allen, das Rechenzentrum tangierenden Bereichen.

Der Prävention sollte ein besonders hoher Stellenwert eingeräumt werden. Denn Brände oder sonstige Katastrophen zu verhindern, anstatt sie zu bekämpfen, ist noch immer die beste Sicherungsstrategie. 80 Prozent aller Brände wären zu vermeiden, wenn man nur unnötige Brandlasten und Zündquellen aus dem IT-Umfeld entfernen oder brandschutztechnisch absondern würde. Oftmals bleiben jedoch Verpackungsmaterialien (Kartons, PVC, Polyurethan-Folien, Styropor usw.) in sensitiven Bereichen liegen oder werden dort zwischengelagert.

Installation der Infrastruktur

Zu empfehlen ist in jedem Unternehmen ein "Brand- und Katastrophenschutzbeauftragter IT". Dieser sollte dafür verantwortlich zeichnen, dass sich keine unnötigen Brandlasten in der Nähe der IT wiederfinden. Ebenso ist dafür zu sorgen, dass die Umgebungswände nach jeder neuen zuführenden Installation (z. B. Strom- oder Datenkabel) brandschutztechnisch wieder verschlossen werden.

Bei der Errichtung neuer Rechenzentren oder Serverräume sollte man Gefahrenquellen im unmittelbaren Systemumfeld vermeiden. Stromverteilung und Klimaanlagen sind außerhalb des Rechenzentrums in einem separaten, abgesicherten Technikraum zu platzieren. Dieser Bereich dient ferner der Unterbringung von Sicherheitstechnik und Löschanlagen. Somit ist einerseits ausgeschlossen, dass Gefahren von elektronischen Fremdgeräten auf die IT übergreifen und man vergeudet gleichzeitig keine wertvolle Fläche innerhalb des Hochverfügbarkeitsbereichs. Zum anderen arbeiten Haustechniker und Wartungspersonal automatisch separiert von den schutzbedürftigen IT-Systemen.

Grenzwerte

Bei der Planung von katastrophensicheren IT-Bereichen stellen die niedrigen Grenzwerte von IT und Datenträgern die Bauherren und Planer vor besondere Herausforderungen. Baut man in Deutschland schon nach einer der sichersten Bauverordnungen weltweit, so reicht diese streng genommen immer noch nicht aus, um die IT-Strukturen in ausreichendem Maße zu schützen.

In aller Regel werden neue Rechenzentren nach DIN 4102 T2 in der Brandschutzklasse F90 errichtet. Doch was sagt F90 aus? Kann damit die empfindliche IT-Landschaft geschützt werden? Nein!

Eine F90-Wand stellt zwar sicher, dass es in einem Zeitraum von 90 Minuten zu keinem Brandüberschlag kommt und somit Flucht- und Rettungswege für diesen Zeitraum frei bleiben. Unabhängig davon sind aber auf der feuerabgewandten Seite Temperaturerhöhungen von durchschnittlich 140 Kelvin und punktuell 180 Kelvin zulässig. Bei 20 °C Grundtemperatur ist also punktuell mit Wand-Temperaturen bis 200 °C zu rechnen. Betrachtet man die maximalen Temperaturgrenzwerte von IT-Systemen und Datenträgern, zeigt sich, dass eine klassische Brandschutzwand nach DIN 4102 T2 keinen ausreichenden Schutz bietet (vgl. Abb. 2).

[Temperaturanstieg nach DIN 4102/F90: 195 °C, 
Belastungsgrenzwert für Datenträger: 50 °C, 
Belastungsgrenzwert für IT-Systeme: 70 °C]
Abbildung 2: Feuerschutzwände nach DIN 4102 T2 mit Brandschutzklasse F90 gewähren IT-Systemen und Datenträgern im Brandfall keinen ausreichenden Schutz.

Die Entwicklung der Luftfeuchte im Brandfalle berücksichtigt die DIN sogar überhaupt nicht. Datenträger und IT-Systeme werden aber ab einer Luftfeuchte von über 85 % in Mitleidenschaft gezogen und können dadurch auch zerstört werden. In den meisten Brandschutzwänden befindet sich ein hohes Maß an kristallin-gebundener Restfeuchte, die im Brandfalle zur brandabgekehrten Seite hin freigesetzt wird. So erreicht die Luftfeuchte im "geschützten" Raum schnell auch 100 % .

Branderkennung

Kommt es im IT-Umfeld zu schwerwiegenden Brandereignissen, liegen die Ursachen überwiegend außerhalb des eigentlichen Rechnerraums. Beschädigungen an der EDV werden größtenteils durch Brandfolgeschäden wie Temperaturdurchschlag, Wassereintritt (Lösch- und Diffusionswasser) sowie Brandgase verursacht. Aus diesem Grund ist das Umfeld der sensitiven Bereiche unbedingt mit in das Brandüberwachungskonzept einzubeziehen.

Die Wahl der passenden Brandmeldetechnik hat somit auch in Abhängigkeit von der Nutzung der umliegenden Räume zu erfolgen. Dabei ist besonders darauf zu achten, welche Art von Brandmeldern zum Einsatz kommen (Rauch-, Temperatur-, Flammenmelder, Rauchansaugsystem usw.). Innerhalb des Rechenzentrums besteht die höchste Priorität darin, einen Brand bereits in der Entstehungsphase zu erkennen und zu bekämpfen. Eine starke Verbreitung von korrosiven Brandgasen und eine offene Brandsituation muss ausgeschlossen werden. Unbedingt empfehlenswert ist daher der Einsatz von Rauchansaugsystemen (RAS), auch bekannt als Brandfrühesterkennungssysteme. Derartige Systeme ermöglichen frühzeitige Reaktionen bereits in der Entstehungs-/Pyrolysephase.

Sollten nach den ersten Alarmstufen des RAS trotzdem keine Aktionen durch Fachpersonal stattfinden, kann ein installiertes Power-Management-Konzept (PMK) dem Entstehungsbrand die Stützenergie entziehen. In den meisten Fällen verhindert das bereits eine Brandentstehung oder -ausdehnung.

Brandbekämpfung

Im engen Zusammenspiel mit der Branddetektion ist für ein Brandbekämpfungskonzept zu sorgen. Da klassische Löschverfahren mit Wasser oder Löschpulver aufgrund der Empfindlichkeit von IT-Systemen naturgemäß ausscheiden, müssen spezielle Konzepte erarbeitet werden.

Mit der Durchsetzung des Montrealer Protokolls aus dem Jahr 1987 und der Folge des Verbotes von ozonabbauenden Stoffen, wurde Halon 1301 im Jahre 1993 vom Markt genommen. Seitdem haben sich verschiedene Löschgase auf dem Markt etabliert: zum einen die Gruppe von Inertgasen wie Argon, Stickstoff und Kohlendioxid, zum anderen chemische Löschmittel wie FM 200.

Inertgase erzielen eine Löschwirkung in erster Linie durch Reduktion des Sauerstoffanteils in der Luft. Je nach Brandstoff setzt bei einem Sauerstoffanteil von weniger als 15 % die Löschwirkung ein, bei unter 10 % werden alle gängigen Brände gelöscht. Umgekehrt proportional zur erforderlichen Löschmittelkonzentration steigt aber auch die Gefährdung für Personen, die sich in einem gefluteten Bereich aufhalten (vgl. Abb. 3).

[Zusammenhang von Brandschutz und Gefahr für Menschen: 
21 Vol.-% Sauerstoffgehalt = keine Brandminderung / keine Beeinträchtigung, 
15% = schwer entflammbar / Atmung beeinträchtigt, 
12% = schwer brennbar / Atmung schwer beeinträchtigt, 
unter 10% = nicht brennbar / Lebensgefahr]
Abbildung 3: Wirkung von Sauerstoff-(O2)-Reduktion

Die Löschwirkung von FM 200 (Heptafluorpropan) beruht hingegen auf einem physikalisch-chemischen Prozess. Dabei handelt es sich in erster Linie um eine physikalische Löschwirkung: FM 200 ist ein äußerst wirksames Wärmeübertragungsmedium, welches dem Feuer buchstäblich die Wärmeenergie entzieht und einem Brand die Möglichkeit zur Weiterentwicklung nimmt. Ergänzend kommt die chemische Löschwirkung hinzu. Bei der Berührung mit Flammen werden kleine Mengen freier Radikale an das Feuer abgegeben, was die für die Verbrennung verantwortlichen Kettenreaktionen eindämmt.

FM 200 benötigt im Vergleich zu anderen Löschgasen nur geringe Mengen an Löschmittel. Die minimale Löschgaskonzentration von FM 200 liegt zwischen 6 und 6,8 Vol. %, was im Vergleich zu Inertgasen (21–40,8 Vol. %) einen sehr geringen Wert darstellt. Das bedeutet einen niedrigen Flächenbedarf zur Löschmittelbevorratung, zudem innerhalb des Löschbereiches nur einen vergleichbar geringen Druckaufbau. FM 200 hat überdies den Vorteil, für Menschen absolut unbedenklich zu sein, und sorgt mit seiner schnellen Ausbringung und Löschwirkung für Brandbekämpfung im frühen Stadium.

Die Planung und Entscheidungsvorbereitung im Hinblick auf das schlussendlich zum Einsatz kommende Melde- und Löschsystem sollte übrigens durch einen Fachmann unter Berücksichtigung konkreter Anforderungen des eigenen Unternehmens erfolgen. Seien Sie skeptisch, wenn Ihnen eine Firma sofort fertige Lösungen vorlegt – achten Sie darauf, inwieweit man auf Ihre individuellen Ansprüche eingeht!

Gesetze und Verordnungen

Bei der Überlegung, ein neues oder sicheres RZ zu errichten, kommt oftmals die Frage nach Vorgaben des Gesetzgebers auf. Dieser stellt konkrete Forderungen an Aufbewahrungsfristen von Unterlagen und Dokumenten und damit auch an elektronische Datenträger. So sind in manchen Bereichen Aufbewahrungsfristen von 30 Jahren notwendig. Dabei wird erwartet, dass diese Informationen – zumindest nach dem Stand der Technik– auch vor eventuellen Katastrophen geschützt werden.

Oftmals wird eine Brandkatastrophe als höhere Gewalt und damit als nicht einschätzbares Risiko gewertet. Das sieht der Gesetzgeber anders. Dr. Joachim Schrey schrieb hierzu bereits vor etlichen Jahren (vgl. KES 1996/3): "Jedes Unternehmen ist vor die Aufgabe gestellt, sich im Bereich der Datensicherheit und Katastrophenvorsorge nicht nur Gedanken zu machen, sondern auch konkrete Maßnahmen zu ergreifen. Die verantwortlichen Mitarbeiter sind sich dabei allerdings nur in den seltensten Fällen darüber bewusst, dass entsprechende Maßnahmen nicht nut im Interesse ihres Unternehmens stehen, sondern dass sie auch im eigenen Interesse handeln sollten." Denn je nach dem Grad seiner Verantwortlichkeit und Mitschuld kann ein Mitarbeiter auch mit seinem Privatvermögen für Unterlassungen haftbar sein.

Wie Rechnerbereiche zu errichten und zu schützen sind, gibt der Gesetzgeber nicht konkret vor. Dennoch ist aus einer Reihe verschiedener Gesetze zu ersehen, welche Anforderungen an ein Rechenzentrum gestellt werden. Etliche Bestimmungen und eine unüberschaubare Rechtsprechung haben somit möglichen Einfluss auf die Beurteilung der Rechtslage im Katastrophenfall. Dann ist die verantwortliche Person verpflichtet, nachzuweisen, dass sie ein durchgängiges Sicherheitskonzept umgesetzt hat. Dieses Konzept sollte in einem Risiko-Management berücksichtigt und dokumentiert sein.

Zertifiziertes RZ

Um nach außen zu dokumentieren, dass die Infrastruktur eines Rechenzentrums konzeptionell geplant und aufgebaut wurde, kann eine Überprüfung durch unabhängige Sachverständige erfolgen. So bietet beispielsweise die Essener TÜVIT GmbH die Zertifizierung der Infrastruktur eines Rechenzentrums als "Trusted Site Infrastructure" an. Dabei werden, abhängig von einem zuvor definierten Verfügbarkeitsanspruch und der sich daraus ableitenden Konzeption, alle baulichen und technischen Infrastrukturthemen und die darauf abzustimmende Organisation geprüft. Je nachdem, ob ein hoher oder sehr hoher Schutzbedarf besteht, kann das Rechenzentrum in zwei Wertigkeitsstufen geprüft und zertifiziert werden. Da ein solches Zertifikat die gesamte RZ-Infrakstruktur erfasst, bietet es dem Anwender eine ganzheitliche Überprüfung und Absicherung im Sinne einer "Third Party Inspection". Wenig sinnvoll erscheinen hingegen Prüfzeugnisse einzelner Komponenten, die nicht im Gesamtzusammenhang betrachtet werden.

Stefan Maier (stefan.maier@abacus-secure-it.com) ist Geschäftsführer der abacus Secure-IT GmbH, Köln.

Literatur

[1]
BSI-Grundschutzhandbuch, Bundesanzeiger Verlag, ISBN 3-88784-915-9 bzw. [externer Link] www.bsi.bund.de/gshb/
[2]
H.-P. Wollner, Schadenminimierung durch Prävention, RKH-Verlag Tondrock, 2000, München, ISBN 3-921838-97-5
[3]
Fraunhofer Institut Umwelt-, Sicherheits-, Energietechnik UMSICHT, System Teiresias (Technisches Informationssystem zum Regelwerk für die Sicherheit von Anlagen und Stoffen), Leitfaden Brandschutz, [externer Link] http://teiresias.umsicht.fhg.de/WebTeiresias/leitfaden/brschutz/br_start.htm

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 37