Thought Leadership
4.2 Gesetzliche Grundlagen
In Deutschland sind zentrale Anforderungen in der KRITIS-Verordnung (KritisV) 1.5 niedergelegt. Weitere Vorgaben finden sich beispielsweise im BSI-Gesetz (BSIG), das Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) enthält. So verpflichtet beispielsweise § 8a die Unternehmen dazu, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“.
Kurz gesagt: Alle Betreiber von IT-Infrastruktur müssen diese auf dem „Stand der Technik“ halten. Im Fall der KRITIS-Anforderungen stellt das BSI darüber hinaus auf branchenspezifische Sicherheitsstandards (B3S) ab, die in der Regel von Branchenverbänden definiert werden. KRITIS-Unternehmen müssen sich alle zwei Jahre nach diesen Standards zertifizieren lassen.
Wie die Technik selbst ist auch der gesetzliche Rahmen im steten Wandel begriffen – weitere Verschärfungen sind bereits in Arbeit. In Deutschland wird gerade an der KRITIS-Verordnung 2.0 gefeilt, auf EU-Ebene stehen die Direktiven RCE und NIS2 in den Startlöchern. Mit der Direktive „Resilience of Critical Entities“ (RCE) sollen Organisationen, die kritische Dienste in der Europäischen Union erbringen, im Hinblick auf ihre Widerstandsfähigkeit und die möglichen Risiken reguliert und von den nationalen Regierungen beaufsichtigt werden. Ähnlich wie mit der deutschen KRITIS-Verordnung soll mit RCE die Ausfallsicherheit von kritischen Diensten in der gesamten EU gestärkt werden.
Die „Directive on Security of Network and Information Systems“ (EU NIS2) zielt auf die Regulierung der Informationssicherheit von kritischen Betreibern ab, um die Auswirkungen von Cyberangriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren. Sie verlangt von den Betreibern dazu eine Reihe von Maßnahmen, wie die Festlegung von Policies und Governance, Einführung von Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, sowie die Nutzung von Kryptographie.
4.3 Auswirkungen
Die Anforderungen der KRITIS-Verordnung erstreckt sich auf unterschiedliche Bereiche. Dazu zählt unter anderem die bauliche und physische Sicherheit.
Elektrizitätsversorgung, Temperatur- und Feuchtigkeitskontrolle, Telekommunikation und Internetverbindung müssen abgesichert sein. Darüber hinaus sind die Betreiber verpflichtet, die entsprechenden Systeme nicht nur zu überwachen und regelmäßig zu warten, sondern auch zu testen, um die Funktionsfähigkeit jederzeit zu gewährleisten. Dazu sind auch automatische Ausfallsicherungen und anderen Redundanzen zu integrieren.
Gebäude und Räumlichkeiten, in denen sensible oder kritische Informationen gelagert, verarbeitet oder durchgeleitet werden, müssen physisch solide gebaut und mit angemessenen Sicherheitsmaßnahmen, beispielsweise einer Zutrittskontrolle, versehen sein. Aber auch Risiken aus Naturereignissen und menschengemachten Gefahren sind zu beachten: Feuer, Wasser, Erdbeben, Explosionen und zivile Unruhen sind nur einige Beispiele. Nicht zuletzt sind hier auch Konsequenzen aus dem Klimawandel zu ziehen: Mangel an Löschwasser und erhöhte Waldbrandgefahr wegen Trockenheit, Überflutungen wie im Ahrtal sowie ein stärkeres Risiko von Erdrutschen bei Starkregen.
Deshalb wurden zuletzt auch die Anforderungen an die Standortwahl verschärft, auch in Hinblick auf redundante Anlagen, die im Fall des Falles den Betrieb übernehmen sollen oder dem Disaster Recovery dienen. Der Anforderungskatalog ist höchst komplex. Um den Überblick zu bewahren und allen Anforderungen gerecht zu werden, empfiehlt es sich, Experten wie Rosenberger OSI hinzuzuziehen. Der Spezialist gleicht fachkundig die Passgenauigkeit der gültigen Anforderungskataloge mit der vorhandenen baulichen und physischen Sicherheit der IT-Infrastruktur ab und entwickelt daraus Maßnahmenlisten. Hierbei liegt der Fokus auf der Gewährleistung des geforderten Sicherheitsniveaus und dem zu erfüllenden Schutzbedarf der IT. Neben den technischen Rahmenbedingungen werden hierbei auch organisatorische Determinanten berücksichtig.
4.4 Lösungsmöglichkeiten
Ein erheblicher Teil der Anforderungen lässt sich erfüllen, wenn von Anfang an grundsätzliche Designkonzepte eingehalten werden, insbesondere:
- Redundanz,
- Modularität und
- Skalierbarkeit.
Auch zu diesen Prinzipien stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine eigene Veröffentlichung bereit, die anschaulich die verschiedenen Aspekte und Ausprägungen darstellen. Ohne Redundanz, Modularität und Skalierbarkeit sind hoch- und höchstverfügbare Systeme nicht denkbar. Zugleich sind diese Prinzipien eng miteinander verknüpft.
Redundanz beschreibt das Vorhalten von zusätzlichen Systemen über den eigentlichen Bedarf hinaus, die bei Ausfall oder Störung als Ersatz dienen können. Im einfachsten Fall wird beispielsweise eine zweite USV (Unterbrechungsfreie Strom-Versorgung) installiert. Eine besondere Form ist Redundanz durch Diversität. Damit ist der Einsatz von Systemen gemeint, die funktional gleichwertig, aber in der Regel von unterschiedlichen Herstellern sind, zumindest aber Produkte unterschiedlicher Chargen oder verschiedener Modellserien. So lassen sich Serien- und Konstruktionsfehler vorbeugen.
Modularität bedeutet in diesem Kontext die Aufteilung von Leistung oder Kapazitäten auf mehrere, kleinere Einheiten. Also statt einer USV mit 100 kVA der Einsatz von vier USVs mit je 25 kVA. Kommt es zu einer Störung, fällt die Funktion nicht komplett aus, sondern nur in einem Teil der Anlage. Redundanz lässt sich in diesem Fall mit einem zusätzlichen 25-kVA-Modul herstellen, das wesentlich günstiger ist als eine weitere 100-kVA-Anlage. Ebenso ist eine Diversifikation über die vier Module einfacher zu bewerkstelligen. Auch der Ersatz defekter Systeme ist dann wesentlich flexibler zu realisieren.
Skalierbarkeit drückt die Fähigkeit aus, zusätzliche Einheiten hinzuzufügen, ohne Anlage grundsätzlich neu zu planen oder aufwändig umbauen zu müssen. Je höher die Skalierbarkeit, umso einfacher lassen sich zusätzliche Ressourcen, also Rechenpower und Speicherplatz, Bandbreite und alle weiteren Systeme wie USV, Klimatisierung und Management hinzufügen.
Fazit
Das Spektrum an Beweggründen, ein Rechenzentrum zu erweitern, zu modernisieren oder zu optimieren, ist vielfältig. Angesichts des ständig wachsenden Kreises der IT-Anwender, die unter den KRITIS-Begriff fallen, und der ständig wachsenden Sicherheitsanforderungen, die jedes Unternehmen heute erfüllen muss, ist es für die Betreiber von Rechenzentren ein Muss, sich bei anstehenden Veränderungen auch mit den KRITIS-Anforderungen auseinanderzusetzen. Deren Umsetzung öffnet den Kundenkreis Richtung kritischer Infrastruktur und signalisiert allen anderen ein hohes Sicherheits- und Qualitätsniveau.
Damit kann man sich von weniger leistungsfähigen Wettbewerbern differenzieren. Für die erfolgreiche Umsetzung des Transformationsprojekts gilt jedoch: Für eine nahtlose Integration der Sicherheitsmaßnahmen, in diesem Fall die Anforderungen der KRITIS-Verordnung, müssen die Anforderungen bereits im Planungsprozess berücksichtigt werden. Denn nur so können von Anfang an alle Parameter bedacht werden und die getroffenen Maßnahmen schließlich ihre volle Wirkung entfalten.
