Anforderungen und Sicherheitsmaßnahmen für Serverräume und Rechenzentren

Einleitung

Das BSI hat Anforderungen an die Sicherheit von Serverräumen und Rechenzentren definiert.

Serverräume und Rechenzentren sind essenziell für die IT-Infrastruktur von Unternehmen. Sie dienen zur Unterbringung zentraler IT-Komponenten wie Serversysteme, Switches und Datenspeicher. Der Schutz dieser Infrastruktur ist von höchster Bedeutung, um die Sicherheit und Verfügbarkeit der Daten zu gewährleisten. Unsichere Serverräume stellen ein erhebliches Risiko dar, da sie anfällig für physische Angriffe, Schwachstellen und Ausfälle sind. Daher sind sowohl organisatorische als auch infrastrukturelle Maßnahmen notwendig, um die Betriebssicherheit und IT-Sicherheit zu gewährleisten.

Physische Sicherheit und IT-Grundschutz

Bedeutung der physischen Sicherheit

Die physische Sicherheit umfasst Maßnahmen zur Vermeidung direkter physischer Auswirkungen auf Computersysteme. Dazu gehören das Verschließen von Computergehäusen und das Einschließen der IT-Systeme in sicheren Räumen. Der IT-Grundschutz soll sicherstellen, dass die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen gewahrt bleiben, um wirtschaftliche Verluste zu vermeiden und Risiken zu minimieren.

IT-Grundschutzkatalog und IT-Grundschutz-Kompendium

Bis 2017 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Grundschutz-Katalog, der Standardschutzmaßnahmen für typische IT-Systeme enthielt. Dieser wurde im Rahmen der Modernisierung auf das IT-Grundschutz-Kompendium umgestellt, das detaillierte Anforderungen an Serverräume und Rechenzentren beschreibt.

Sicherheitsmaßnahmen im Serverraum

Klimatisierung und Kühlung

Eine optimale Klimatisierung ist entscheidend, um die Wärmeentwicklung im Serverraum zu kontrollieren. IT-Komponenten benötigen spezifische Betriebsbedingungen, um zuverlässig zu funktionieren. Eine Klimaanlage hilft, die Temperatur und Luftfeuchtigkeit innerhalb der vom Hersteller festgelegten Grenzen zu halten. Rauchmelder und Brandmeldeanlagen tragen zusätzlich zur Sicherheit bei.

Zutrittskontrolle

Der Zutritt zum Serverraum sollte streng kontrolliert werden, um unbefugten Personen den Zugang zu verwehren. Zutrittsrechte müssen klar definiert und regelmäßig überprüft werden. Eine Dokumentation, wer wann Zugang zum Serverraum hatte, ist unerlässlich.

Brandschutz

Brandschutzmaßnahmen umfassen sowohl vorbeugende als auch bauliche Maßnahmen. Der Serverraum sollte mit Handfeuerlöschern und automatischen Löschanlagen ausgestattet sein. Regelmäßige Inspektionen und Wartungen der Brandschutzsysteme sind notwendig, um deren Funktionalität sicherzustellen.

Stromversorgung

Eine zuverlässige Stromversorgung ist für den Betrieb des Serverraums unerlässlich. USV-Anlagen (unterbrechungsfreie Stromversorgung) und Notstromgeneratoren gewährleisten, dass die IT-Systeme auch bei einem Stromausfall weiter betrieben werden können.

Kabelmanagement

Eine saubere und ordnungsgemäße Verkabelung verhindert Beschädigungen und erleichtert Wartungsarbeiten. Kabeltrassen sollten ausreichend dimensioniert sein, um eine Überfüllung zu vermeiden.

Überwachung und Monitoring

Eine kontinuierliche Überwachung der IT-Infrastruktur hilft, Ausfälle frühzeitig zu erkennen und zu beheben. Videoüberwachung kann zusätzlich zur Sicherheit beitragen, indem sie unbefugte Zugriffe dokumentiert.

Schutz vor Wasser und Feuchtigkeit

Serverräume müssen vor Wasser und Feuchtigkeit geschützt werden. Dies umfasst Maßnahmen wie das Abdichten von Fenstern und das Vermeiden von wasserführenden Leitungen im Serverraum.

Einbruchschutz

Ein effektiver Einbruchschutz ist unerlässlich, um Diebstahl und Vandalismus zu verhindern. Türen und Fenster sollten entsprechend der Widerstandsklasse RC2 oder höher gesichert sein.

Typische Gefährdungen und Bedrohungen

Zu den typischen Bedrohungen für die IT-Infrastruktur im Serverraum zählen:

  • Höhere Gewalt (z. B. Naturkatastrophen)
  • Feuer und Rauchentwicklung
  • Wasserschäden durch undichte Leitungen oder Überschwemmungen
  • Unzureichende Temperatur- und Luftfeuchtigkeitskontrolle
  • Stromausfälle und Spannungsschwankungen
  • Unbefugter Zutritt und Einbruch
  • Vandalismus und Sabotage
  • Technische Ausfälle und Hardwaredefekte

DSGVO und Datenschutz

Gemäß Artikel 32 der DSGVO müssen Unternehmen unter Berücksichtigung des aktuellen Stands der Technik, der Implementierungskosten und der spezifischen Bedingungen und Zwecke der Datenverarbeitung müssen Verantwortliche und Auftragsverarbeiter geeignete Maßnahmen ergreifen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diese Maßnahmen umfassen:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten.
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste.
  • Rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten bei Zwischenfällen.
  • Regelmäßige Überprüfung und Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.

Die Beurteilung des Schutzniveaus berücksichtigt insbesondere Risiken wie Vernichtung, Verlust, Veränderung oder unbefugten Zugang zu personenbezogenen Daten.

Genehmigte Verhaltensregeln oder Zertifizierungsverfahren können als Nachweis für die Erfüllung dieser Anforderungen dienen. Verantwortliche und Auftragsverarbeiter stellen sicher, dass Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, außer wenn sie gesetzlich zur Verarbeitung verpflichtet sind.

Anforderungen an Räume für technische Infrastruktur

Planung und Absicherung

Für Räume, die technische Infrastruktur beherbergen, sollten schon bei der Planung des Rechenzentrums oder des Serverraums angemessene technische und organisatorische Vorgaben definiert und umgesetzt werden. Dazu gehören die Berücksichtigung gesetzlicher Regelungen und potenzieller Gefährdungen durch Umwelteinflüsse, Einbruch und Sabotage.

Zutrittsregelung und -kontrolle

Der Raum, bzw. der Container für die technische Infrastruktur muss gegen unberechtigten Zutritt geschützt werden. Zutrittsrechte müssen klar geregelt und dokumentiert werden. Eine effektive Zutrittskontrolle ist unerlässlich.

Schutz vor Einbruch und Sabotage

Der Raum muss vor Einbruch geschützt werden. Dazu gehören raumbildende Teile wie Wände, Decken und Böden sowie Fenster und Türen, die den entsprechenden Widerstandsklassen nach DIN EN 1627 entsprechen.

Brandschutz

Brandlasten innerhalb und in der direkten Umgebung des Raumes müssen auf ein Minimum reduziert werden. Es sollte auf brennbare Materialien für raumbildende Teile verzichtet werden.

Elektromagnetische Störfelder

Elektromagnetische Felder in unmittelbarer Nähe zum Raum für technische Infrastruktur müssen vermieden werden. Ein ausreichender Abstand zu großen Maschinen wie Aufzugsmotoren ist erforderlich.

Stromversorgung und USV

Das Stromversorgungsnetz muss als TN-S-System errichtet sein. Es sollte geprüft werden, welche Geräte an eine USV angeschlossen werden sollen, um die Funktionsfähigkeit der IT-Infrastruktur auch bei Stromausfällen sicherzustellen.

Lüftung und Kühlung

Eine geeignete raumlufttechnische Anlage sollte eingesetzt werden, um die Temperatur und Luftfeuchtigkeit innerhalb der zulässigen Grenzen zu halten. Regelmäßige Wartung der Lüftungs- und Kühlanlagen ist erforderlich.

Empfehlungen und Checkliste

  • Regelmäßige Überprüfung und Wartung aller Sicherheitsmaßnahmen
  • Dokumentation der Zutrittskontrollen und Zugriffsrechte
  • Installation und Wartung von Klimaanlagen und Brandschutzsystemen
  • Sicherstellung einer unterbrechungsfreien Stromversorgung
  • Regelmäßige Wartung und Überprüfung von USV- und Netzersatzanlagen
  • Saubere und ordnungsgemäße Verkabelung
  • Kontinuierliche Überwachung und Videoüberwachung
  • Schutz vor Wasser, Feuchtigkeit und Einbruch

Erweiterte Anforderungen bei erhöhtem Schutzbedarf

Lage des Raumes

Der Raum für technische Infrastruktur sollte so im Gebäude angeordnet werden, dass er weder internen noch externen Gefährdungen wie Regen, Wasser oder Abwasser ausgesetzt ist. In oberirdischen Geschossen sollte darauf geachtet werden, dass der Raum nicht durch Sonneneinstrahlung erwärmt wird. Wird der Raum im obersten Geschoss des Gebäudes untergebracht, sollte sichergestellt werden, dass kein Wasser über das Dach eindringen kann.

Redundanz des Raumes

Der Raum sollte redundant ausgelegt werden. Beide Räume sollten eine eigene Elektrounterverteilung erhalten, die direkt von der Niederspannungshauptverteilung (NSHV) versorgt wird. Beide Räume sollten unterschiedlichen Brandabschnitten zugeordnet sein und, sofern erforderlich, jeweils über eine eigene raumlufttechnische Anlage verfügen.

Erweiterter Schutz vor Einbruch und Sabotage

Der Raum sollte fensterlos sein. Sind dennoch Fenster vorhanden, sollten sie je nach Geschosshöhe gegen Eindringen von außen angemessen gesichert sein. Gibt es neben Fenstern und Türen weitere betriebsnotwendige Öffnungen, wie Lüftungskanäle, sollten diese gleichwertig zur Raumhülle geschützt werden. Es sollten Einbruchmeldeanlagen nach VdS Klasse C eingesetzt werden.

Redundante Auslegung der Stromversorgung

Die Stromversorgung sollte durchgängig vom Niederspannungshauptverteiler bis zum Verbraucher im Raum für technische Infrastruktur zweizügig sein. Diese Stromversorgungen sollten sich in getrennten Brandabschnitten befinden. Der NSHV sollte betriebsredundant ausgelegt sein.

Netzersatzanlage

Die Energieversorgung der Institution sollte um eine Netzersatzanlage (NEA) ergänzt werden. Der Betriebsmittelvorrat einer NEA sollte regelmäßig kontrolliert werden. Die NEA sollte außerdem regelmäßig gewartet werden. Bei diesen Wartungen sollten auch Belastungs- und Funktionstests sowie Testläufe unter Last durchgeführt werden.

Lüftung und Kühlung

Die Lüftungs- und Kühltechnik sollte betriebsredundant ausgelegt werden. Es sollte sichergestellt werden, dass diese Anlagen regelmäßig gewartet werden. Bei sehr hohem Schutzbedarf sollte auch eine Wartungsredundanz vorhanden sein.

Erhöhter Schutz vor Schädigung durch Brand und Rauchgase

Raumbildende Teile sowie Türen, Fenster und Lüftungsklappen sollten Feuer und Rauch für mindestens 90 Minuten standhalten. Die Zuleitungen sollten einen Funktionserhalt von mindestens 90 Minuten gewährleisten. Bei sehr hohem Schutzbedarf sollte die Raumhülle wie ein eigener Brandabschnitt ausgebildet sein. In vorhandenen Lüftungskanälen sollten Brandschutzklappen eingebaut werden, die über Rauchmelder angesteuert werden.

Weiterführende Informationen

Normen und Richtlinien

  • DIN EN ISO 14644-1: Anforderungen an die Luftreinheit in Rechenzentren.
  • DIN EN 1627: Physische Sicherheit von Gebäuden und Räumen.
  • DIN EN 4102: Brandverhalten von Baustoffen und Bauteilen.
  • IEC 62305: Blitzschutznormen.
  • VdS 2311: Richtlinie zum Einsatz von Einbruchmeldeanlagen.

Unfallverhütungsvorschriften

Die Deutsche Gesetzliche Unfallversicherung (DGUV) macht in ihrer Vorschrift „DGUV Vorschrift 4 – Unfallverhütungsvorschrift, Elektrische Anlagen und Betriebsmittel“ Vorgaben zum richtigen Umgang mit Betriebsmitteln.

BSI-Richtlinien

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt umfassende Dokumente zu „Redundanz Modularität Skalierbarkeit“ und „Kriterien für die Standortwahl von Rechenzentren“ zur Verfügung.

Fazit

Ein sicherer Serverraum ist unverzichtbar für den Schutz der IT-Infrastruktur und der darauf gespeicherten Daten. Durch die Implementierung umfassender Sicherheitsmaßnahmen können Unternehmen die Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme gewährleisten und sich vor potenziellen Gefahren und Bedrohungen schützen.

Welche Bedeutung hat die physische Sicherheit für Serverräume und Rechenzentren?

Physische Sicherheit ist essenziell, um direkte physische Angriffe und Schäden an IT-Systemen zu verhindern. Dazu gehören Maßnahmen wie das Verschließen von Computergehäusen und das Einschließen der IT-Systeme in sicheren Räumen, um die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen zu gewährleisten.

Was beinhaltet der IT-Grundschutz für Serverräume und Rechenzentren?

Der IT-Grundschutz umfasst Standardschutzmaßnahmen, um typische IT-Systeme vor Bedrohungen zu schützen. Das IT-Grundschutz-Kompendium des BSI bietet detaillierte Anforderungen und Maßnahmen für die Sicherheit von Serverräumen und Rechenzentren, um wirtschaftliche Verluste und Risiken zu minimieren.

Welche Klimatisierungsmaßnahmen sind für Serverräume notwendig?

Eine optimale Klimatisierung ist entscheidend, um die Wärmeentwicklung im Serverraum zu kontrollieren. Dies umfasst Klimaanlagen zur Regelung der Temperatur und Luftfeuchtigkeit sowie Rauchmelder und Brandmeldeanlagen zur zusätzlichen Sicherheit.

Wie sollte die Zutrittskontrolle in Serverräumen gestaltet sein?

Der Zutritt zu Serverräumen sollte streng kontrolliert werden. Zutrittsrechte müssen klar definiert und regelmäßig überprüft werden. Eine lückenlose Dokumentation, wer wann Zugang hatte, ist unerlässlich, um die Sicherheit zu gewährleisten.

Welche Brandschutzmaßnahmen sind in Serverräumen erforderlich?

Brandschutzmaßnahmen umfassen Handfeuerlöscher, automatische Löschanlagen und regelmäßige Inspektionen und Wartungen. Diese Maßnahmen helfen, Brände zu verhindern und im Falle eines Brandes schnell reagieren zu können.

Warum ist eine zuverlässige Stromversorgung in Serverräumen wichtig?

Eine zuverlässige Stromversorgung ist unerlässlich für den kontinuierlichen Betrieb der IT-Systeme. USV-Anlagen (unterbrechungsfreie Stromversorgung) und Notstromgeneratoren stellen sicher, dass die Systeme auch bei Stromausfällen weiter betrieben werden können.

Welche Maßnahmen schützen Serverräume vor Wasser und Feuchtigkeit?

Serverräume müssen durch Abdichten von Fenstern und das Vermeiden von wasserführenden Leitungen im Raum vor Wasser und Feuchtigkeit geschützt werden. Diese Maßnahmen verhindern Wasserschäden und erhöhen die Sicherheit der IT-Infrastruktur.

Welche gesetzlichen Anforderungen müssen bei der Sicherheit von Serverräumen beachtet werden?

Gemäß Artikel 32 der DSGVO müssen Unternehmen geeignete Maßnahmen zum Schutz personenbezogener Daten ergreifen. Dies umfasst Pseudonymisierung, Verschlüsselung, Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit der Systeme sowie regelmäßige Überprüfung und Bewertung der Sicherheitsmaßnahmen.