KRITIS-Umsetzung: Noch ausbaufähig

03.05.2017

Erste praktische Erfahrungen aus der Umsetzung der KRITIS-Verordnung zeigen, wo Unternehmen auf Herausforderungen stoßen.

Das IT-SiG (IT-Sicherheitsgesetz) ist weitestgehend definiert. Am 03. Mai 2016 ist der erste Teil der Verordnung für KRITIS (kritische Infrastrukturen) in Kraft getreten. Betroffen sind Unternehmen aus Energie, Informationstechnik, Telekommunikation, Wasser sowie Ernährung. Der zweite Teil, für die Sektoren Finanzen, Transport, Verkehr und Gesundheit, wird in Kürze erwartet. Mit der Realisierung wurde indes bereits begonnen. Wie die ersten Praxisberichte zeigen, geht das kleinen wie großen Betrieben jedoch nicht allzu leicht von der Hand.

Denn eine zentrale Forderung ist es, ein ISMS (Informationssicherheitsmanagementsystem) umzusetzen und nachzuweisen. Über alle Sicherheitsbereiche hinweg wird dabei eines deutlich: Die Sicherheit in der Gebäudetechnik, also der Teil des Anforderungskatalogs, der sowohl vergleichsweise klein in der ISO 27001 als auch ausgiebig in der EN 50600 behandelt wird, wurde von den meisten RZ-Betreibern unterschätzt. Spätestens bei der Zertifizierung durch den TÜV oder andere Prüfinstitute nimmt dieser Teil dann eine wichtige Rolle ein. Ganz nach dem Motto „die beste Sicherung nützt nichts, wenn die Türe offen steht“. Zusätzlich wird die Umsetzung der ISMS durch eine verbesserungsfähige Kommunikation zwischen Facility-Managern und IT-Managern erschwert. Insgesamt ergeben sich in der Praxis daher Herausforderungen, bei denen Unternehmen auf Unterstützung angewiesen sind.

Sicherheit

Die Standzeitkosten sind nur eine grobe Schätzung

So ist für KRITIS die Gesamtrisikoanalyse für Rechenzentren eine ernstzunehmende Aufgabe. Sie gliedert sich in die Ereignisrisikoanalyse und die Geschäftsrisikoanalyse. Erstere deckt Themen wie externe Bedrohungen durch beispielsweise Brand, Flugzeugabsturz, Bombenanschlag oder Einbruch ab und zählt heute eigentlich zum Standard in der Umsetzung. Oft fällt RZ-Betreibern bei der Geschäftsrisikoanalyse allerdings zum ersten Mal auf, dass sie sich zu wenige Gedanken über die wirtschaftlichen Folgen eines IT-Ausfalls gemacht haben. Bei einem Stromausfall schalten auch die Server ab. Hier entsteht im Rahmen der Geschäftsrisikoanalyse die erste Schnittstelle zwischen IT-Hardware, IT-Software, der Gebäudetechnik und dem Umsatz. Schließlich müssen Datacenter-Verantwortliche bei der Zertifizierung nach ISO 27001 auch die Standzeitkosten zumindest ansatzweise definieren können.

Relativ einfach ist das, wenn die gesamte IT ausfällt: Dann sind entsprechend alle Geschäftsprozesse nicht mehr verfügbar und Unternehmen können gut abschätzen, wann sie zahlungsunfähig sind beziehungsweise wann es zu ernsthaften Konsequenzen für die Gesellschaft kommt. Für den Ausfall von einzelnen IT-Systemen, beispielsweise wenn die Stromverteilung für nur zehn Server unterbrochen ist, ist diese Analyse dann schon deutlich schwieriger. Aber die Norm fordert genau das: Unternehmen müssen die Standzeitkosten ursachengerecht berechnen. Mit anderen Worten, welcher Schaden entsteht für das Geschäft im Falle eines Einzelausfalls. Diese Kalkulation erweist sich in der Praxis als nahezu unmöglich. In einer virtualisierten Umgebung wissen die Wenigsten, welcher virtuelle IT-Dienst auf welchem physischen Server läuft, geschweige denn, können sie die Standzeitkosten ermitteln. Um die Zertifizierung nach ISO 27001 zu erhalten, wird daher die €-Zahl zum Geschäftsrisiko grob geschätzt.

Seit der EN 50600 existiert eine einheitliche Kategorisierung für die Verfügbarkeits- und Schutzklassen von Datacentern, so gesehen für den Ausfall des RZ respektive dessen Schutz vor externer Bedrohung. Sie regelt damit auch die Gebäudetechnik, inklusive der Stromversorgung. Diese Teile sind gemäß Norm ebenfalls einer Risikoanalyse zu unterziehen. RZ-Betreiber nehmen dies jedoch selten zum Anlass, um die Analyse mit der für die ISO 27001 zusammenzulegen. Zudem sind sie hier nicht selten durch die Schnittstellen zwischen Facility-Technik und IT überfordert. Organisatorisch sind diese beiden Welten seit jeher getrennt. Zu einer Kernaufgabe für die Umsetzung der KRITIS-Verordnung kristallisiert sich daher heraus, „einen Dolmetscher zu finden“. Dabei bilden gerade die ISO 27001 aus dem IT-Bereich und die EN 50600 aus dem Gebäudetechnikbereich sehr gute Möglichkeiten, die beiden Organisationseinheiten strukturiert aneinander zu führen.

Zwischen Praxis und Theorie

Allgemein wird in der Praxis die potenzielle Nichtverfügbarkeit von Strom sträflich vernachlässigt. Zwar stellen sich professionelle Betreiber gerade in diesem Bereich überdimensioniert auf. Allerdings sind viele Bestands-RZ mit dem eigentlichen Betrieb der redundanten Stromversorgung überfordert. Zudem sehen sich bestehende Rechenzentren auch mit anderen Herausforderungen konfrontiert. So hadern viele beispielsweise bei der Umsetzung des Sicherheitszonenkonzepts, das ebenfalls durch die Norm EN 50600 definiert ist. Während ein neues Rechenzentrum entsprechend geplant werden kann, ist es denkbar schwierig im bestehenden Gebäude eine Wand zu versetzen, oder sie hinsichtlich der Brandschutzwerte aufzurüsten.

Im Besonderen Fall der Pflegeeinrichtungen entstehen dagegen eigene Probleme. So ist auch die Infrastruktur außerhalb des Datacenters, mit allen Knotenpunkten und Verteilern, Teil der KRITIS-Verordnung. Gerade aber diese Netzverteilerpunkte sind in Form von einzelnen kleinen Racks auf nicht selten 40 bis 50 verschiedene, kleine Räume verteilt. Sie sind wichtige Knotenpunkte für viele Endgeräte zum Beispiel auch in OP-Sälen. Allerdings sind sie meist weder gesichert, gekühlt oder mit einer USV-Anlage versehen. Fremdzugriffen sind diese Räume oft schutzlos ausgeliefert. Das öffnet Tür und Tor für Datendiebstahl, Datenmanipulation oder einfach nur Datenbeschädigung.

Die größten Unsicherheiten bestehen jedoch im Notfall- respektive Betriebsmanagement. Vor allem mittelständische Betriebe, die ihre RZ noch selber betreiben, haben selten einen konkreten Plan für Notfälle. Die KRITIS-Verordnung wurde jedoch gerade für den Ausnahmefall geschaffen. Hier suchen Unternehmen derzeit sehr häufig die Hilfe von Beratern. Nicht umsonst werden als Hilfsmittel Notfall-Handbücher für die Gebäudestruktur von Rechenzentren beauftragt. Solche Handbücher sind keine Standards, sondern werden individuell erstellt. Denn: Noch zu selten sind die die Abhängigkeiten der Gerätschaften beziehungsweise der gebäudetechnischen Anlagen im Datacenter dokumentiert. So müssen beispielsweise Alarme definiert, Kommunikationswege detailliert aufgeschrieben und konkrete Maßnahmen festgehalten werden. In einem nächsten, großen Schritt folgen Workshops mit den Angestellten, in denen auch herausgefunden werden soll, wer für welche Aufgaben zuständig ist. Neukunden, die ein Rechenzentrum bauen lassen, bestellen dieses Notfall-Handbuch daher oft mit. Sie nutzen die Tatsache, dass die Arbeitsschritte und der Aufbau dem Dienstleister im Detail bekannt sind und die Erstellung der Handbücher entsprechen leichter und schneller geht.

Über den Autor

Marc Wilkens ist Senior Consultant bei der SECUrisk, einem Unternehmen der DATA CENTER GROUP. Als Auditor für ISMS nach ISO 27001 und Experte im Normungskomitee der EN 50600 hält er Vorträge zu Sicherheit, Verfügbarkeit und Energieeffizienz in Rechenzentren. Zudem berät er Rechenzentrumsbetreiber für einen ganzheitlich optimierten Betrieb von Rechenzentren insbesondere für die Schnittstellen zwischen IT und Gebäudetechnik.

 
Data Center Group

Töchter der Firma

Data Center Group

Töchter der Firma

Data Center Group
proRZ
RZingcon
SECUrisk
RZservice
RZproducts