| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Anforderungen an Security und Verfügbarkeit sowie regulatorische Compliance sorgen heute für hohe Sicherheitsstandards beim Betrieb eines Rechenzentrums (RZ). Nicht jedes Unternehmen kann oder will eine solche IT-Umgebung selbst betreiben. Nicht zuletzt stellt sich die Frage nach der Wirtschaftlichkeit: Denn die Kosten für eine ununterbrochene Sicherheitsüberwachung und Zugangskontrolle sowie für die technische Rund-um-die-Uhr-Unterstützung vor Ort (24/7) sind enorm. Das rechnet sich häufig in einem professionell betriebenen Rechenzentrum auf großer Fläche und eventuell mit mehreren Kunden leichter als in einem internen RZ-Betrieb.
Grundsätzlich können Interessenten bei der RZ-Auslagerung zwischen zwei vorherrschenden Modellen wählen: Manche Angebote stellen ein Komplettpaket aller Dienstleistungen von einem einzigen Anbieter dar – Telekommunikationsanbindung, Infrastruktur für die IT und sämtliche weiteren Services kommen also aus einer Hand. Andere Dienstleister stellen ausschließlich die Gebäudeinfrastruktur bereit: Hier mietet der Kunde Rechenzentrumsfläche an, kann aber unabhängig vom Betreiber verschiedene Service-Partner und -Provider, etwa für die Telekommunikation, frei wählen. Während das erste Modell ein umfassenderes Outsourcing umsetzt, ermöglicht das zweite eine höhere Flexibilität, da ein Wechsel einzelner Partner jederzeit ohne weitreichende Konsequenzen möglich bleibt.
In der Praxis zeigen sich zudem bei Rechenzentrumsanbietern – so oder so – große Unterschiede hinsichtlich der Angebote und implementierten Sicherheitsvorkehrungen. Die folgenden Ausführungen geben hilfreiche Hinweise für die erfolgreiche Auswahl eines Partners.
Bei der Begehung eines Rechenzentrums sollte der potenzielle Kunde vor allem auf die Infrastruktur und die technische Ausstattung der Baulichkeiten achten. Handelt es sich um ein normales Bürogebäude, steht zu befürchten, dass die Anschlussleistung des Gebäudes ungenügend für den Betrieb von RZ-Flächen ist, für die mindestens 800 Watt pro Quadratmeter (W/qm) vorgesehen werden sollten. Für Büroflächen plant man in der Regel nur 90 W/qm.
Die Stromversorgung muss redundant, kreuzungsfrei und jeweils voll belastbar ausgelegt sein. Außerdem sollte der RZ-Betreiber dafür Sorge tragen, dass eventuelle Spannungsschwankungen aus dem allgemeinen Stromnetz aufgefangen und ausgeglichen werden, bevor der Strom die kundeneigene IT erreicht und eventuell beschädigen kann. Hierzu sollte eine entsprechend dimensionierte, dynamische unterbrechungsfreie Stromversorgung (USV) inklusive Notstromaggregaten vorgesehen sein.
USV-Anlagen und Dieselgeneratoren sind die Visitenkarte eines jeden Rechenzentrums! Sie müssen regelmäßig gewartet und auf ihre Funktionsfähigkeit hin getestet werden. Ein Indiz dafür kann unter anderem der Turbolader des Notstromaggregats sein: Ist auf ihm noch eine Lackierung zu erkennen, kann davon ausgegangen werden, dass er noch nie in Betrieb war – denn aufgrund der starken Wärmeentwicklung blättert die Farbe schon bei den ersten Testläufen ab.
Darüber hinaus dokumentieren seriöse Anbieter sämtliche Vorgänge im Rechenzentrum und führen lückenlose Wartungsprotokolle, Testberichte und Instandhaltungspläne über sämtliche Anlagen – diese Unterlagen sollten auf Nachfrage umgehend einzusehen sein.
Das Uptime Institute unterscheidet hinsichtlich der Ausfallsicherheit vier verschiedene Rechenzentrumskategorien: Ein Betreiber, der einen Stromausfall mit einer batteriebetriebenen, statischen USV lediglich 10–20 Minuten lang überbrücken kann, da keine Notstromversorgung vorhanden ist, kann nur die Klassen Tier I/II erreichen (Quelle: BITKOM); in dieser Kategorie sind Ausfallzeiten von 72 bis 24 Stunden pro Jahr zulässig. Die "Premiumklasse" Tier IV hält hingegen mehrere Dieselgeneratoren und Kühlsysteme redundant vor und darf keine einzige Minute ausfallen.
Auch die interne Verkabelung gibt einen Hinweis auf die Qualität des RZ: Kabel müssen entsprechend ihrer Funktion und Anbindung beschriftet sein, sodass jederzeit sofort ersichtlich ist, wozu sie dienen und wohin sie führen. Ein wichtiges Element ist darüber hinaus die redundante Auslegung sämtlicher ITK-Anbindungen. Und ebenso wie die Stromleitungen sollten sich Telekommunikationsleitungen nicht überkreuzen, da dies zu elektromagnetischen Störungen der Datenübertragung führen kann. Die gesamte strukturierte Verkabelung muss zudem einer genauen, revisionsfähigen Dokumentation unterliegen.
Das Kühlungssystem sollte in der Regel eine Leistung von mindestens 600–750 W/qm aufweisen. Außerdem sollte eine flexible Kühlwasserversorgung für direkt versorgte beziehungsweise für Vertikalstromklimaanlagen vorhanden sein. Bei alldem sollte man auf ein HVAC-System (Heating Ventilation & Air Conditioning) achten, das ohne umweltschädliche Kühlmittel auskommt. Ein von Fachleuten erstelltes Modell der dynamischen Wärmeabfuhr hilft dabei, die Server optimal anzuordnen; dabei sollte der Anbieter eng mit dem IT-Team des Kunden zusammenarbeiten. Auch Verfügbarkeitsvereinbarungen für Kühlleistungen müssen schriftlich fixiert werden, Temperatur und Luftfeuchtigkeit sollten rund um die Uhr überwacht werden.
Zu den Vorkehrungen gegen eventuelle Brände gehören Brandschutztüren nach DIN 4102-5 sowie Gaslöschanlagen, die idealerweise mit Argon oder Inergen arbeiten; diese Gase sind sowohl ungiftig als auch ungefährlich für empfindliche IT-Systeme. Darüber hinaus sollten im RZ Rauchansaugsysteme installiert sein, die bereits kleinste Rauchpartikel erkennen und Alarm auslösen, bevor ein nennenswerter Brand entsteht (Brandfrüherkennung). Auch hier gilt: Sämtliche Überwachungssysteme müssen in einer 24/7 besetzten Gebäudeleitzentrale abrufbar sein, damit die Reaktionszeit bei einem Störfall entsprechend gering ist.
An der Pforte des RZ-Gebäudes wird rund um die Uhr jeder Zugang kontrolliert und dokumentiert – dort sollte unbedingt eine kundenspezifische Liste dazu vorliegen, welche Personen welche Zutrittsrechte erhalten, um so Sabotageakte oder unsachgemäßen Zugriff auszuschließen. Idealerweise existieren Prozesse für die Einhaltung dieser Zugangsregelungen: Je nach Bedarf des Kunden können die Überwachungsmöglichkeiten vom Video-Monitoring über Vereinzelungssysteme bis hin zu biometrischen Erkennungsverfahren reichen. Auch das Vorgehen bei einem so genannten Eskalationsverfahren sollte festgelegt sein: Es regelt genau, wer berechtigt ist, im Einzelfall nicht-registrierten Personen Zutritt zu den RZ-Flächen zu erteilen, und in welcher Reihenfolge die Ansprechpartner im Bedarfsfall zu kontaktieren sind.
Unabhängige Zertifizierungen und Auszeichnungen sind ein weiteres Indiz für die Seriosität eines Anbieters. Da die Vielzahl existierender Zertifikate recht verwirrend sein kann, orientieren sich viele IT-Verantwortliche an den Vorgaben der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen IT-Grundschutz-Kataloge. Sie enthalten bezüglich der adäquaten Server-Unterbringung Aspekte zu allen bereits angesprochenen Themenfeldern. Die Zertifizierung eines Rechenzentrums gemäß ISO 27001, wie sie beispielsweise der TÜV-Rheinland vornimmt, umfasst auch die Einhaltung von Aspekten des IT-Grundschutzes. In jedem Fall sollte man auch auf eine Zertifizierung gemäß der Qualitätsmanagement-Norm ISO 9001 achten.
Vorsichtig sollte man jedoch werden, wenn ein RZ-Betreiber ohne jegliche Rückfragen einen Standardpreis nennt: Da jeder Kunde ganz unterschiedliche Anforderungen an die Unterbringung seiner IT hat, muss eigentlich immer ein individuelles Paket geschnürt werden – Festpreise sind fast unmöglich. Seriöse Anbieter überprüfen daher zunächst beispielsweise die maximale Leistungsaufnahme der Kundensysteme, um ein passendes Angebot erstellen zu können. Zu Gesprächen und Vor-Ort-Terminen sollte man unbedingt die so genannten Facility- und Operations-Manager hinzuziehen, da diese genaue Auskunft über die Vorgehensweisen im täglichen Betrieb geben können.
Auch ein Blick auf den bestehenden Kundenstamm kann bei der Einschätzung eines Angebots helfen: So unterliegen beispielsweise Banken, Versicherungen und Unternehmensberatungen strengen Vorschriften und gehen daher bei der Wahl ihrer Dienstleister besonders sorgfältig vor. Langjährige Kundenbeziehungen sind ebenfalls ein Indiz für die Qualität eines Anbieters.
Beim Vertragssschluss ist es sehr wichtig zu definieren, ab wann ein Vorfall als Störung gilt, und genau zu klären, ab wann der Betreiber in Haftung genommen werden kann beziehungsweise wofür Vertragsstrafen anfallen. Denn nur bei ausreichender Definition lassen sich im Schadensfall Ansprüche geltend machen! Hier gilt es genau hinzusehen und nachzurechnen: So suggeriert zum Beispiel eine Verfügbarkeit von 99,999 % dem Nichtfachmann eine hohe Sicherheit, bedeutet aber im Zweifel einen Ausfall von gut 5 Minuten pro Jahr – was bei einer TK-Leitung akzeptabel sein kann, hat bei einem Stromausfall meist schwerwiegendere Folgen...
Neben den üblichen Vertragsbedingungen (z. B. Laufzeit und Zahlungsmodalitäten) sollte auch die bereits angesprochene Definition der Zugangsberechtigungen sowie Wartungs- und Instandhaltungsintervalle nebst jederzeit einsehbarer Dokumentation festgelegt werrden. Auch eine klare Festlegung des Benachrichtigungsprozedere für Störfälle und Unregelmäßigkeiten ist empfehlenswert.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Viele Unternehmen haben Vorbehalte, ihre IT auszulagern, unter anderem weil sie Kontrollverluste befürchten oder sich als "zu klein" erachten. Dabei muss eine Auslagerung weder mit Kontrollverlust einhergehen, noch hängt sie von der Unternehmensgröße ab. Entsprechende Überlegungen lohnen sich für alle Unternehmen, deren IT für den Geschäftserfolg von maßgebender Bedeutung ist.
Um entscheiden zu können, ob ein externer Anbieter (und welcher) geeignet ist, muss man sich jedoch zunächst einen Überblick über die intern anfallenden Kosten verschaffen. Unternehmen wissen oft nicht, wieviel sie der Betrieb ihrer IT tatsächlich kostet, da Strom-, Miet- und Personalkosten häufig nur als Gesamtheit betrachtet werden. Eine entsprechende Analyse kann Einsparpotenzial durch RZ-Outsourcing zutage fördern – zumindest sorgt sie aber für eine bessere Kostentransparenz interner Dienstleistungen.
Ulrich Becker ist Sales Executive beim Großrechenzentrumsbetreiber Global Switch.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#2, Seite 67
tag:kes.info,2007:art:2007-2-067
|