Risiko erkannt, Risiko gebannt

Sicherheit und Hochverfügbarkeit in Data Centern

Risiko erkannt, Risiko gebannt

Fast alle Geschäftsprozesse hängen heute am Netz und verlangen immer mehr Rechenpower. Das gilt vor allem auch für die produzierende Industrie, bei der es am Vorabend bereits in Teilen um eine reibungslose Machine-2-Machine-Kommunikation geht. Ohne ein betriebssicheres und zukunftsfähiges Rechenzentrum riskieren diese Unternehmen nicht nur Produktionsstillstände, sondern möglicherweise laufen sie auch Gefahr, dass die Sicherheit beeinträchtigt ist. TÜV Rheinland begleitet Betreiber bei Konzept, Planung, Bau und Betrieb von Rechenzentren. Die Spezialisten prüfen bestehende IT-Strukturen auf ihre physikalische Ausfallsicherheit. Regelmäßige Kontrollen lohnen immer, denn auch vermeintlich kleine Schwächen können die physikalische Verfügbarkeit von Data Centern massiv beeinträchtigen.
TÜV Rheinland hat schon hunderte Rechenzentren besucht und auf ihre Defizite überprüft. Wo machen die Betreiber nach Ihrer Erfahrung die größten Fehler?

Manfred Thieben: Ein riesiges Problem besteht darin, dass viele Betreiber meinen, sie könnten das einmal aufgebaute Rechenzentrum jahrelang einfach so weiterlaufen lassen. Leider blenden viele aus, dass die Ansprüche an die IT ständig steigen. Mitunter kommt es vor, dass die ursprünglichen Anforderungen an das Rechenzentrum überhaupt nicht dokumentiert wurden. Manch ein Betreiber ist schon überfordert mit der Frage, auf welche Umgebungstemperatur die Klimaanlage ausgelegt ist.

Welchen Rat geben Sie Unternehmen, die ein neues Rechenzentrum aufbauen möchten?

Thieben: Entscheidend ist, sich über die Anforderungen des Rechenzentrums klar zu werden und einen Blick in die nächsten zehn Jahre zu werfen: Wo wollen wir hin? Denn später umzubauen, weil ganz am Anfang falsch geplant wurde, ist immer teuer. Wer flexibel bleiben möchte, kann seinen Serverraum in speziellen Containern einrichten anstatt in einem eigenen Gebäudetrakt. Immer mehr Unternehmen bieten solche Container an. Das hat mehrere Vorteile. Die Time-to-Market verkürzt sich, weil die Einrichtung schneller geht. Der Betreiber ist freier, was Umzüge oder Erweiterungen angeht. Außerdem zählt ein Container nicht als Immobilie, lässt sich also schneller abschreiben. Und die Container lassen sich meist leasen statt kaufen, binden also weniger Kapital.

Wann empfehlen Sie einem Betreiber, sein Rechenzentrum überprüfen zu lassen?

Thieben: Wenn eine Überprüfung bisher nicht stattgefunden hat, ist sie grundsätzlich immer sinnvoll. Die Alarmglocken müssen läuten, wenn es in der Vergangenheit Störfälle gab, deren Ursache sich nicht eindeutig klären ließ. Darüber hinaus sollte der Betreiber alle wichtigen Unterlagen sichten und beispielsweise prüfen, welche Laufzeit die eingesetzten Geräte haben. Sind sie wirklich für die derzeitige und künftige Belastung ausgelegt? Sind Wartungsverträge klar definiert? Gibt es festgelegte Notfallmaßnahmen und beherrschen die Mitarbeiter diese? Solche Fragen muss sich jeder Betreiber ehrlich beantworten und gegebenenfalls handeln.

Wenn die IT streikt, bedeutet das für die Industrie Alarmstufe Rot. Denn heute laufen alle Produktionsschritte digital im Rechenzentrum zusammen. Fällt das digitale Herz aus, stehen Fließband, CNC-Fräse und Roboter still – und dann kostet jeder verstrichene Augenblick viel Geld. Die Hochverfügbarkeit des Rechenzentrums ist einer der zentralen Grundvoraussetzungen des Unternehmenserfolgs. Es gibt zwar keinen hundertprozentigen Schutz vor Ausfällen, aber Unternehmen haben die Sicherheit ihres Rechenzentrums zum allergrößten Teil selbst in der Hand. Mit den richtigen Maßnahmen lässt sich das Risiko minimieren. Oftmals liegt die Ursache eines Ausfalls in der mangelhaften oder überalterten Konzeption des Rechenzentrums. Spätere Umbauten, um Planungsfehler wiedergutzumachen, sind meist aufwendig und teuer. Was das Rechenzentrum in den nächsten zehn Jahren leisten muss, gehört deshalb zu den grundlegenden Fragen an den Bauherrn. Denn während Unternehmen sich ständig dynamisch weiterentwickeln, werden IT-Kapazitäten und Sicherungsmaßnahmen im Rechenzentrum erfahrungsgemäß eher selten an die steigenden Ansprüche angepasst. Besonders für Unternehmen, die ihre Produktpalette häufig modifizieren oder dynamische Hightech-Produkte fertigen, ist ein ausbaufähiges Rechenzentrum Pflicht. Auch die Anforderungen für eine spätere Zertifizierung oder hinsichtlich Branchenauflagen und Compliance gilt es zu prüfen, bevor der erste Spatenstich getan ist.

Rechenzentrum nah an der Produktion

„Ein Rechenzentrum zu bauen und es zu betreiben, sind zwei Paar Schuhe“, sagt Manfred Thieben vom Team ‚Data Center Services‘ bei TÜV Rheinland „Für beides braucht man die entsprechende Expertise.“ Wer das Know-how intern nicht zur Verfügung hat, dem ist fachliche Unterstützung durch externe Dritte zu empfehlen. Vor und während der Bauphase kann ein Experte, der über die nötigen Kenntnisse in IT und Projektmanagement verfügt, eine wertvolle Hilfe sein, die bares Geld spart, nicht nur in Planung und Bau, sondern auch in der Anpassung des Data Centers an möglicherweise gestiegene Produktionskapazitäten. „Der Experte hält die Fäden in der Hand, kennt alle Anbieter und besitzt ein breites Wissen über Kosten, Laufzeiten und Verhandlungen“, erklärt Manfred Thieben. Die Definition der Anforderungen zählt zu den zentralen Aufgaben bei der Planung eines Rechenzentrums. Eine Bank funktioniert anders als ein Automobilhersteller, eine Behörde anders als ein Mittelständler. In einer Fabrik befindet sich das Rechenzentrum, das die Automatisierungstechnik am Laufen hält, meist nah an der Produktion. Der Schutz vor Umwelteinflüssen wie Staub, Hitze oder Erschütterungen stellt deshalb eine besonders große Herausforderung dar und muss bei der Planung des Rechenzentrums einkalkuliert werden. Immer mehr Unternehmen nutzen kompakte Container, die sich unkompliziert in räumlicher Nähe zur Produktion platzieren lassen. Sie bieten in der Regel genauso viel Schutz wie konventionelle Serverräume und ermöglichen mehr Flexibilität bei Veränderungen in der Architektur oder im Produktionsablauf (siehe Interview).

Know-how in allen Branchen

Das Team ‚Data Center Services‘ von TÜV Rheinland befasst sich seit Jahren mit der Betriebssicherheit von Rechenzentren. Die sechs Spezialisten verfügen über branchenübergreifende Erfahrung, die den produzierenden Mittelstand ebenso einschließt wie Fluglinien, Einzelhandelsketten und Geldinstitute. Sie decken alle Disziplinen ab, die für die physikalische Sicherheit und Hochverfügbarkeit eines Rechenzentrums entscheidend sind, darunter Elektro- und Klimatechnik, Brand- und Einbruchschutz, Architektur, Organisation und Prozessmanagement. Für eine objektive Beurteilung hat TÜV Rheinland den Kriterienkatalog ‚Betriebssicheres Rechenzentrum‘ erstellt. Dieser nützt nicht nur den Unternehmen, sondern auch Banken und Versicherungen, die Unternehmen etwa im Rahmen einer Kreditvergabe bewerten müssen und auf eine neutrale Einschätzung unabhängiger Dritter angewiesen sind. Der Katalog orientiert sich an internationalen Branchen-Normen wie der DIN EN ISO50600, Uptime und TIA 942. Zudem ließen die TÜV-Rheinland-Fachleute auch eigene Best-Practice-Erfahrungen einfließen. Der Standard enthält insgesamt 19 Anforderungen aus den Bereichen ‚Elektrische Versorgung‘, ‚Klimaversorgung‘, ‚Gebäudeleittechnik‘ und ‚Wartung‘. Die Spezialisten vom Team ‚Data Center Services‘ beraten beim Bau eines Rechenzentrums und begleiten den Betreiber bis zur Zertifizierung. Es gibt verschiedene Normen, die sich mitunter deutlich unterscheiden. Nach welcher Norm zertifiziert werden soll, gehört deshalb zu den grundlegenden Fragen an den Betreiber und zwar schon bei der Konzeption des Rechenzentrums. Die DIN EN ISO50600 stellt im Brandschutz ganz andere Ansprüche an ein Rechenzentrum als der vergleichbare Standard des BSI oder von Uptime. Während das eine Zertifikat automatische Ventilschließungen von Leitungen verbietet, fordert dies ein anderer Standard ausdrücklich.

Stresstest fördert Schwächen zutage

Um ein schon länger bestehendes Rechenzentrum auf seine Ausfallsicherheit zu überprüfen, empfiehlt sich ein Stresstest. TÜV Rheinland erfasst den Ist-Zustand mit Hilfe eines 30-seitigen Fragenkatalogs und erstellt eine GAP-Analyse. Während einer Begehung offenbart eine Wärmebildkamera mögliche Hotspots und die tatsächliche Auslastung. Dabei begegnen die Experten einem typischen Problem immer wieder: der mangelnden Pufferung von Kälteenergie bzw. der nicht unterbrechungsfreien Kälteversorgung. Dabei bildet diese zusammen mit der schwankungsfreien Stromversorgung die Grundlage für einen fehlerlosen Server-Betrieb. Auch der Brandschutz zählt zu den Schwachstellen: Oft fehlen Einzäunungen für Außeneinheiten wie den Rückkühler oder die Absicherung per Schloss für das Notstromaggregat. Saboteure haben hier leichtes Spiel. Der Stresstest beinhaltet auch eine Analyse grundlegender Maßnahmen zur IT-Sicherheit. Die Experten überprüfen u.a. den Einsatz von Virenscannern und Passwörtern und die Gestaltung des Notfallmanagements. Ein weiterer wichtiger Punkt: Gibt es so genannte Co-Locations? Dabei handelt es sich um Ausweichrechenzentren, in denen die wichtigsten Software-Anwendungen eines Unternehmens gespiegelt werden, um im Katastrophenfall den Betrieb fortsetzen zu können. Im Rahmen des Stresstests wird die tatsächliche Erreichbarkeit und Nutzbarkeit der Applikationen der Co-Location direkt überprüft. Auch Fragen des Personalmanagements – Anzahl der Administratoren, Vertretungsregelungen etc. – stehen im Fragenkatalog. Aus den umfangreichen Ergebnissen des Stresstests leitet das ‚Data Center Services‘-Team Empfehlungen ab, um die Betriebssicherheit zu steigern. Auf Wunsch begleiten die Spezialisten den Auftraggeber auch darin, konkrete Schwächen im Data Center abzustellen. Das kann beispielsweise die Aus- und Weiterbildung des Personals im Bereich Notfallmanagement beinhalten. Das gemeinsame Ziel dabei lautet stets: minimale Störanfälligkeit des Rechenzentrums und maximale Verfügbarkeit.

TÜV Rheinland AG
www.tuv.com/de

Das könnte Sie auch Interessieren