Zertifizierungen von Rechenzentrumsbetreibern sind nicht „nice to have“, sondern bieten Kunden ein echtes Unterscheidungskriterium. Kunden können sie nutzen, um gesetzliche Anforderungen zu erfüllen und den eigenen Qualitätsanspruch ihren Kunden und Partnern gegenüber zu unterstreichen.
Unverzichtbar sind die Zertifizierungen, die man als Kunde eines RZ-Betreibers für die eigenen Geschäftsprozesse benötigt. Wer etwa Kreditkartendaten verarbeitet und daher eine PCI-DSS-Zertifizierung braucht, sollte sich einen RZ-Betreiber suchen, der für den Bereich Housing und Colocation PCI-DSS-zertifiziert ist. So ist der Teil der Norm, der sich auf die Rechenzentrumsinfrastruktur bezieht, bereits über ein Zertifikat abgedeckt. Ein anderes Beispiel ist die ISAE 3402 Type 2 als internationale Norm für die Wirtschaftsprüfung ausgelagerter Prozesse: Kann der Dienstleister hier ein Testat seiner eigenen Wirtschaftsprüfer vorlegen, verringert das typischerweise den Prüfaufwand für die Wirtschaftsprüfer des Kunden deutlich.
EN 50600 schafft Vergleichbarkeit
Andere Zertifizierungen objektivieren den Qualitätsvergleich der Anbieter. Immer wichtiger wird hierbei die noch relativ junge Norm EN 50600. Sie berücksichtigt erstmalig ganzheitlich alle Aspekte für Rechenzentren und geht auf die Bereiche Konstruktion, Betrieb, Management und Kennzahlen ein. So ist das neue Rechenzentrum München Ost der noris network AG bereits durch die DQS gemäß EN 50600 mit den höchsten Kategorien der entsprechenden Verfügbarkeitsklassen VK4 (Verfügbarkeitsklasse 4 von 4), SK4 (Schutzklasse 4 von 4) und EK3 (Energieeffizienzklasse 3 von 3) ausgestattet und kann über diese Kennzahlen die Hochwertigkeit seiner Rechenzentrumsinfrastruktur und Serviceleistung transparent machen. Aus externer Sicht überprüft werden insbesondere die Anforderungen der EN 50600 in Bezug auf Gebäudekonstruktion, Stromversorgung, Regelung der Umgebungsbedingungen, Infrastruktur der Telekommunikationsverkabelung sowie das Sicherungssystem und die Maßgaben für Management und Betrieb des Rechenzentrums.
Zertifizierte Sicherheit
ISO/IEC 27001 bzw. ISO 27001 nach IT-Grundschutz (BSI) gehören mittlerweile zu den Standardzertifizierungen eines Rechenzentrums, um den Stellenwert der Informationssicherheit des Rechenzentrums transparent zu machen. Ganz aktuell hinzugekommen ist die neue Richtlinie VdS 3406 „Sicherheitsmanagement für bauliche Objekte“, die über alle Einzelaspekte der Gefahrenerkennung und -abwehr die Abrundung zwischen physikalischer Sicherheit, Betrieb bis hin zur Informationssicherheit und der Sicherheitsorganisation als solches herstellt. Sie ist geeignet, gewissermaßen eine ergänzende Klammer um EN 50600 und ISO 27001 zu bilden.
Fazit
Lässt sich ein Dienstleister nach mehreren dieser sich teilweise überschneidenden Normen auditieren, ist das ein Hinweis darauf, dass die von diesen Regelwerken geforderten Prozesse tatsächlich alltäglich gelebte Praxis sind. Gerade erst hat die DSGVO die Bedeutung der Auftragsverarbeitung in den Fokus gerückt. Man muss seine Dienstleister fordern – umgekehrt kann man sich aber die Vorbildlichkeit seines Dienstleisters auch auf die eigene Fahne schreiben. Wenn der IT-Dienstleister alle zentralen Normen erfüllt, so ist dies zugleich ein Beweis für den eigenen Qualitätsanspruch des Auftraggebers.
Autor: Joachim Astel, Vorstand der noris network AG