Kritische Infrastrukturen: Wo die KRITIS-Umsetzung schwierig wird

Nach dem ersten Teil der BSI-Ver­ordnung für kri­tische Infra­strukturen ist am 30. Juni 2017 der zweite Teil für die Sektoren Finanzen, Trans­port, Verkehr und Gesund­heit in Kraft getreten. Wie die ersten Berichte zeigen, geht die Um­setzung kleinen wie großen Be­trieben jedoch nicht leicht von der Hand.

IT-Manager trifft Facility-Manager

Von Marc Wilkens, SECUrisk

Eine zentrale KRITIS-Forderung ist es, ein ISMS (Informationssicherheitsmanagementsystem) umzusetzen und nachzuweisen. Über alle Sicherheitsbereiche hinweg wird dabei eines deutlich: Die Sicherheit in der Gebäudetechnik, also den Teil des Anforderungskatalogs, der sowohl vergleichsweise klein in der ISO 27001 als auch ausgiebig in der EN 50600 behandelt wird, hatten die meisten RZ-Betreiber unterschätzt. Spätestens bei der Zertifizierung durch den TÜV oder andere Prüfinstitute spielt dieser Teil dann eine wichtige Rolle. Zusätzlich wird die ISMS-Umsetzung durch eine verbesserungsfähige Kommunikation zwischen Facility-Managern und IT-Managern erschwert. Insgesamt ergeben sich in der Praxis daher Herausforderungen, bei denen Unternehmen auf Unterstützung angewiesen sind.

Standzeitkosten in grober Schätzung

So ist für KRITIS die RZ-Gesamtrisikoanalyse eine ernst zu nehmende Aufgabe. Sie gliedert sich in die Ereignisrisikoanalyse und die Geschäftsrisikoanalyse. Erstere deckt Themen wie externe Bedrohungen durch beispielsweise Brand, Flugzeugabsturz, Bombenanschlag oder Einbruch ab und zählt heute eigentlich zum Standard. Oft fällt RZ-Betreibern bei der Geschäftsrisikoanalyse allerdings zum ersten Mal auf, dass sie sich zu wenige Gedanken über die wirtschaftlichen Folgen eines IT-Ausfalls gemacht haben. Bei einem Stromausfall schalten auch die Server ab. Hier entsteht bei der Geschäftsrisikoanalyse die erste Schnittstelle zwischen IT-Hardware, IT-Software, der Gebäudetechnik und dem Umsatz. Schließlich müssen Datacenter-Verantwortliche bei der Zertifizierung nach ISO 27001 auch die Standzeitkosten zumindest ansatzweise definieren können.

Relativ einfach ist das, wenn die gesamte IT ausfällt: Dann sind alle Geschäftsprozesse nicht mehr verfügbar, und Unternehmen können gut sagen, wann sie zahlungsunfähig sind bzw. wann es zu ernsthaften Konsequenzen für die Gesellschaft kommt. Für den Ausfall von einzelnen IT-Systemen, wenn etwa die Stromverteilung für nur zehn Server unterbrochen ist, wird diese Analyse schon schwieriger. Aber die Norm fordert genau das: Unternehmen müssen die Standzeitkosten ursachengerecht berechnen: Welcher Schaden entsteht für das Geschäft bei einem Einzelausfall? Diese Kalkulation erweist sich in der Praxis als nahezu unmöglich. In einer virtualisierten Umgebung wissen die wenigsten, welcher virtuelle IT-Dienst auf welchem physischen Server läuft, geschweige denn, wie sie die Standzeitkosten ermitteln könnten. Um die Zertifizierung nach ISO 27001 zu erhalten, wird daher die Eurozahl zum Geschäftsrisiko grob geschätzt.

Marc-Wilkens.jpg

Marc Wilkens ist Senior Consultant bei der SECUrisk, einem Unternehmen der Data Center Group. Als Auditor für ISMS nach ISO 27001 und Experte im Normungskomitee der EN 50600 hält er Vorträge zu Sicherheit, Verfügbarkeit und Energieeffizienz in Rechenzentren. Zudem berät er Rechenzentrumsbetreiber für einen ganzheitlich optimierten Betrieb von Rechenzentren insbesondere für die Schnittstellen zwischen IT und Gebäudetechnik.


DC-Datacenter-Group GmbH, In der Aue 2, 57584 Wallmenroth, Tel.: 02741-9321-0, info@datacenter-group.de, datacenter-group.com, www.securisk.de

Seit der EN 50600 existiert eine einheitliche Kategorisierung für die Verfügbarkeits- und Schutzklassen von Datacentern, die so gesehen auch für den Ausfall des RZ respektive dessen Schutz vor externer Bedrohung gilt. Von daher regelt sie die Gebäudetechnik inklusive der Stromversorgung. Diese Teile sind gemäß Norm ebenfalls einer Risikoanalyse zu unterziehen. RZ-Betreiber nehmen dies jedoch selten zum Anlass, die Analyse mit der für die ISO 27001 zusammenzulegen. Zudem sind sie hier nicht selten durch die Schnittstellen zwischen Facility-Technik und IT überfordert. Organisatorisch sind diese beiden Welten seit jeher getrennt. Zu einer Kernaufgabe bei der Umsetzung der KRITIS-Verordnung kristallisiert sich daher heraus, einen „Dolmetscher“ zu finden. Dabei bilden gerade die ISO 27001 aus dem IT-Bereich und die EN 50600 aus dem Gebäudetechnikbereich sehr gute Möglichkeiten, die beiden Organisationseinheiten strukturiert zueinanderzuführen.

Stromversorgung und Notfallplan

Allgemein wird in der Praxis die potenzielle Nichtverfügbarkeit von Strom sträflich vernachlässigt. Zwar stellen sich professionelle Betreiber gerade in diesem Bereich überdimensioniert auf. Allerdings sind viele Bestandsrechenzentren mit dem eigentlichen Betrieb der redundanten Stromversorgung überfordert. Zudem sehen sie sich auch mit anderen Herausforderungen konfrontiert. So hadern viele beispielsweise mit der Umsetzung des Sicherheitszonenkonzepts, das ebenfalls durch die Norm EN 50600 definiert ist. Während ein neues Rechenzentrum entsprechend geplant werden kann, ist es denkbar schwierig, im bestehenden Gebäude eine Wand zu versetzen oder sie hinsichtlich der Brandschutzwerte aufzurüsten.

Im besonderen Fall der Pflegeeinrichtungen entstehen noch ganz eigene Probleme. So ist auch die Infrastruktur außerhalb des Datacenters mit allen Knotenpunkten und Verteilern Teil der KRITIS-Verordnung. Gerade diese Netzverteilerpunkte sind aber in Form von einzelnen kleinen Racks auf nicht selten 40 bis 50 verschiedene kleine Räume verteilt. Sie sind wichtige Knotenpunkte für viele Endgeräte, zum Beispiel in OP-Sälen. Allerdings sind sie meist weder gesichert noch gekühlt oder mit einer USV-Anlage versehen. Fremdzugriffen sind diese Räume oft schutzlos ausgeliefert.

Rechenzentren 2017-03.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe „Rechen­zentren und Infra­struktur“. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Die größten Unsicherheiten gibt es jedoch beim Notfall- respektive Betriebsmanagement. Vor allem mittelständische Betriebe, die ihre RZ noch selber betreiben, haben selten einen konkreten Plan. Die KRITIS-Verordnung wurde jedoch gerade für den Ausnahmefall geschaffen. Hier suchen Unternehmen derzeit sehr häufig die Hilfe von Beratern. Nicht umsonst werden jetzt Notfallhandbücher für die Gebäudestruktur von Rechenzentren beauftragt. Solche Handbücher sind keine Standards, sondern werden individuell erstellt. Denn noch zu selten sind die Abhängigkeiten der Gerätschaften beziehungsweise der gebäudetechnischen Anlagen im Datacenter dokumentiert. So müssen die Unternehmen beispielsweise Alarme definieren, Kommunikationswege detailliert aufschreiben und konkrete Maßnahmen festhalten. In einem nächsten großen Schritt folgen Workshops mit den Angestellten, in denen auch herausgefunden werden soll, wer für welche Aufgaben zuständig ist.

Nützliche Links