Internet-Behördengänge und Mobile Banking, KI-basierte Produktionssteuerung und datenbasierende Geschäftsmodelle – die Digitalisierung hat sich auf breiter Front durchgesetzt und durchdringt immer neue Bereiche von Wirtschaft und Gesellschaft. Was in Großunternehmen mit Cloud Computing und Industrie 4.0 begann, zählt heute bereits bei vielen kleinen und mittleren Unternehmen zum Standard. Der verstärkte Einsatz von IT in immer mehr Bereichen und die wachsende Anzahl von Anwendungsfällen für IT in Alltag und Berufsleben, in Produktions- und Dienstleistungsbranchen, führt auch zu umfassenderen Anforderungen an die IT-Infrastruktur und deren Anbieter. Beim Entwerfen und Aufrüsten von Data Centern sollten daher verschieden Faktoren berücksichtigt werden.
Bandbreite im Terabit-Bereich
Eine Folge dieser Entwicklungen lässt sich am weltweit größten Internet-Austauschknoten DE-CIX in Frankfurt/Main ablesen: Dessen Peak-Traffic stieg im ersten Pandemie-Jahr von 6 auf 10 Terabit pro Sekunde, 2021 wurden sogar schon fast 11 Terabit pro Sekunde erreicht. Aber nicht nur die Spitzen erlangten Höchstwerte. Mit einem Gesamtdurchsatz von 38 Exabyte im Jahr 2021, nahm der Datenverkehr um rund 20 Prozent zum Vorjahr zu.
Für Rechenzentren heißt dies, die eigene Anbindung und die interne Bandbreite regelmäßig der Entwicklung anzupassen. So setzen hierzulande immer mehr Data Center auf Netzwerktechnik der 800G-Klasse, also für 800 Gigabit-Ethernet (GbE). Am Horizont scheint bereits der Wechsel zur nächsten Stufe 1600G (1,6 Tb/s) auf.
Zeitgemäße Technologien implementieren
Darüber hinaus muss die Infrastruktur im Rechenzentrum auch auf neue technologische Anforderungen der Kunden reagieren. Der Einsatz von Quanten-Computing, die verstärkte Nutzung von KI auf Basis neuronaler Netze, die Portabilität und Interoperabilität im Umfeld von Multi-Cloud-Konzepten, der zunehmende Einsatz von DevOps und Microservices, Trends wie Edge Computing oder die Zusammenlegung von Berechnung, Speicherung und Vernetzung in einem einzigen System (Hyperkonvergenz) verlangen nach geeigneten Strukturen und Architekturen in Rechenzentren. Hier gilt es, die aktuellen Trends im Auge zu behalten und rechtzeitig zu reagieren.
Energie- und Kosteneffizienz optimieren
Immer leistungsfähigere Hardware für größere Bandbreiten- und Datenspeicher-Kapazitäten sowie die Implementierung weiterer Anwendungen und Services werfen ein neues Problem auf: Wie können diese Ressourcen effizient gemanagt und betrieben werden?
Hier sind zum einen Managementkonzepte und -strategien gefragt. Hohe Flexibilität und eine enge Integration von Management-, Überwachungs- und Steuerungsfunktionen stehen dabei aktuell im Fokus. Virtualisierte bzw. software-basierte Strukturen haben sich dabei bewährt. So hat sich das Data Center Infrastructure Management (DCIM) zum Software Defined Data Center (SDDC) weiterentwickelt, begleitet von Software Defined Networks (SDN) bzw. Software Defined Wide Area Networks (SDWAN).
Auf diese Weise lassen sich Netzwerkstrukturen, -funktionen und -services per Software-Konfiguration schnell und mit überschaubarem Aufwand an neue Erfordernisse anpassen. Ebenso können Rechenzentren so zusätzliche Ressourcen sehr einfach hinzufügen und dem Nutzer bereitstellen. Die damit verbundenen Skaleneffekte ermöglichen es, die wachsende, komplexer werdende Infrastruktur zu beherrschen, ohne im gleichen Maße Fachpersonal aufstocken zu müssen.
Zum anderen spielt die Energie-Effizienz eine immer größere Rolle. Die schnell steigenden Energiepreise stellen einen erheblichen Kostenfaktor dar. Effiziente Hardware und energie-optimierte Steuerungsprozesse, ebenso intelligente Klimatisierungskonzepte, die Abwärme als Ressource und nicht als „Abfall“ behandeln, können sich schnell auszahlen. Die neugefassten Klimapläne der deutschen Bundesregierung zum früheren Erreichen der CO2-Neutralität und die kommende Taxonomie der EU sind zusätzliche Faktoren, die schnell an Bedeutung gewinnen.
Der CO2-Fußabdruck eines Rechenzentrums wird insbesondere im gewerblichen Umfeld als Entscheidungskriterium größeres Gewicht einnehmen, wenn Unternehmen in ihrer eigenen Klimabilanz auch Zulieferer und Dienstleister berücksichtigen. Im Rahmen der Taxonomie wird die Frage der Klimafreundlichkeit eines Unternehmens auf die Finanzierungskosten durchschlagen und damit ebenfalls auf Wirtschaftlichkeit und Wettbewerbsfähigkeit.
Datensicherheit und Resilienz von Rechenzentren erhöhen
Angesichts der steigenden Abhängigkeit von Wirtschaft und Gesellschaft von IT-Infrastrukturen sind allerdings Sicherheit und Zuverlässigkeit mit Abstand die wichtigsten Anforderungen. Traditionell steht Cybersecurity im Licht der Aufmerksamkeit. Doch für Rechenzentrumsbetreiber kommen noch eine ganze Reihe weiterer Aspekte hinzu, die ebenfalls auf einen sicheren Betrieb und eine verlässliche Bereitstellung der Dienstleistungen einzahlen.
Das haben auch Politik und Aufsichtsbehörden erkannt, die mit gesetzlichen Auflagen und strengeren Vorschriften die Anforderungen an IT-Infrastrukturen verschärfen. Besonders betrifft dies Unternehmen der kritischen Infrastruktur, kurz KRITIS. Dabei handelt es sich um Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Was ist KRITIS?
Der Kreis der Betroffenen umfasst inzwischen rund 1850 Unternehmen, die sich auf zehn Wirtschaftssektoren und eine Sonderkategorie verteilen:
- Informationstechnik & Telekommunikation,
- Gesundheit,
- Energie,
- Wasser,
- Ernährung,
- Finanz- & Versicherungswesen,
- Transport & Verkehr,
- Siedlungsabfall-Entsorgung,
- Staat & Verwaltung,
- Medien & Kultur, und
- Unternehmen im besonderen öffentlichen Interesse.
Wichtig ist, dass nicht nur die Kunden von Rechenzentren unter die KRITIS Definition fallen, sondern auch Provider und Data Center selbst zur kritischen Infrastruktur zählen, wenn sie gewisse Schwellwerte überschreiten. So sind beispielsweise Zugangs- und Übertragungsprovider betroffen, die mindestens 100.000 Teilnehmer versorgen.
Gesetzliche Grundlagen von KRITIS
In Deutschland sind zentrale Anforderungen in der KRITIS-Verordnung (KritisV) 1.5 niedergelegt. Weitere Vorgaben finden sich beispielsweise im BSI-Gesetz (BSIG), das Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) enthält. So verpflichtet beispielsweise § 8a die Unternehmen dazu, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“.
Kurz gesagt: Alle Betreiber von IT-Infrastruktur müssen diese auf dem „Stand der Technik“ halten. Im Fall der KRITIS-Anforderungen stellt das BSI darüber hinaus auf branchenspezifische Sicherheitsstandards (B3S) ab, die in der Regel von Branchenverbänden definiert werden. KRITIS-Unternehmen müssen sich alle zwei Jahre nach diesen Standards zertifizieren lassen.
Wie die Technik selbst ist auch der gesetzliche Rahmen im steten Wandel begriffen – weitere Verschärfungen sind bereits in Arbeit. In Deutschland wird gerade an der KRITIS-Verordnung 2.0 gefeilt, auf EU-Ebene stehen die Direktiven RCE und NIS2 in den Startlöchern. Mit der Direktive „Resilience of Critical Entities“ (RCE) sollen Organisationen, die kritische Dienste in der Europäischen Union erbringen, im Hinblick auf ihre Widerstandsfähigkeit und die möglichen Risiken reguliert und von den nationalen Regierungen beaufsichtigt werden. Ähnlich wie mit der deutschen KRITIS-Verordnung soll mit RCE die Ausfallsicherheit von kritischen Diensten in der gesamten EU gestärkt werden.
Die „Directive on Security of Network and Information Systems“ (EU NIS2) zielt auf die Regulierung der Informationssicherheit von kritischen Betreibern ab, um die Auswirkungen von Cyberangriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren. Sie verlangt von den Betreibern dazu eine Reihe von Maßnahmen, wie die Festlegung von Policies und Governance, Einführung von Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, sowie die Nutzung von Kryptographie.
Auswirkungen auf die kritische Infrastruktur
Die Anforderungen der KRITIS-Verordnung erstreckt sich auf unterschiedliche Bereiche. Dazu zählt unter anderem die bauliche und physische Sicherheit.
Elektrizitätsversorgung, Temperatur- und Feuchtigkeitskontrolle, Telekommunikation und Internetverbindung müssen abgesichert sein. Darüber hinaus sind die Betreiber verpflichtet, die entsprechenden Systeme nicht nur zu überwachen und regelmäßig zu warten, sondern auch zu testen, um die Funktionsfähigkeit jederzeit zu gewährleisten. Dazu sind auch automatische Ausfallsicherungen und anderen Redundanzen zu integrieren.
Um den Überblick zu bewahren und allen Anforderungen gerecht zu werden, helfen Anbieter wie Rosenberger OSI. Der Spezialist gleicht fachkundig die Passgenauigkeit der gültigen Anforderungskataloge mit der vorhandenen baulichen und physischen Sicherheit der IT-Infrastruktur ab und entwickelt daraus Maßnahmenlisten. Hierbei liegt der Fokus auf der Gewährleistung des geforderten Sicherheitsniveaus und dem zu erfüllenden Schutzbedarf der IT. Neben den technischen Rahmenbedingungen werden hierbei auch organisatorische Determinanten berücksichtig.
Lösungsmöglichkeiten für Rechenzentrum
Ein erheblicher Teil der Anforderungen lässt sich erfüllen, wenn von Anfang an grundsätzliche Designkonzepte eingehalten werden, insbesondere:
- Redundanz,
- Modularität und
- Skalierbarkeit.
Auch zu diesen Prinzipien stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine eigene Veröffentlichung bereit, die anschaulich die verschiedenen Aspekte und Ausprägungen darstellen. Ohne Redundanz, Modularität und Skalierbarkeit sind hoch- und höchstverfügbare Systeme nicht denkbar. Zugleich sind diese Prinzipien eng miteinander verknüpft.
Redundanz beschreibt das Vorhalten von zusätzlichen Systemen über den eigentlichen Bedarf hinaus, die bei Ausfall oder Störung als Ersatz dienen können. Im einfachsten Fall wird beispielsweise eine zweite USV (Unterbrechungsfreie Strom-Versorgung) installiert. Eine besondere Form ist Redundanz durch Diversität. Damit ist der Einsatz von Systemen gemeint, die funktional gleichwertig, aber in der Regel von unterschiedlichen Herstellern sind, zumindest aber Produkte unterschiedlicher Chargen oder verschiedener Modellserien. So lassen sich Serien- und Konstruktionsfehler vorbeugen.
Modularität bedeutet in diesem Kontext die Aufteilung von Leistung oder Kapazitäten auf mehrere, kleinere Einheiten. Also statt einer USV mit 100 kVA der Einsatz von vier USVs mit je 25 kVA. Kommt es zu einer Störung, fällt die Funktion nicht komplett aus, sondern nur in einem Teil der Anlage. Redundanz lässt sich in diesem Fall mit einem zusätzlichen 25-kVA-Modul herstellen, das wesentlich günstiger ist als eine weitere 100-kVA-Anlage. Ebenso ist eine Diversifikation über die vier Module einfacher zu bewerkstelligen. Auch der Ersatz defekter Systeme ist dann wesentlich flexibler zu realisieren.
Skalierbarkeit drückt die Fähigkeit aus, zusätzliche Einheiten hinzuzufügen, ohne Anlage grundsätzlich neu zu planen oder aufwändig umbauen zu müssen. Je höher die Skalierbarkeit, umso einfacher lassen sich zusätzliche Ressourcen, also Rechenpower und Speicherplatz, Bandbreite und alle weiteren Systeme wie USV, Klimatisierung und Management hinzufügen.
Mit neuen Rechenzentrum-Anforderungen umgehen
Das Spektrum an Beweggründen, ein Rechenzentrum zu erweitern, zu modernisieren oder zu optimieren, ist vielfältig. Angesichts des ständig wachsenden Kreises der IT-Anwender, die unter den KRITIS-Begriff fallen, und der ständig wachsenden Sicherheitsanforderungen, die jedes Unternehmen heute erfüllen muss, ist es für die Betreiber von Rechenzentren ein Muss, sich bei anstehenden Veränderungen auch mit den KRITIS-Anforderungen auseinanderzusetzen. Deren Umsetzung öffnet den Kundenkreis Richtung kritischer Infrastruktur und signalisiert allen anderen ein hohes Sicherheits- und Qualitätsniveau. Damit kann man sich von weniger leistungsfähigen Wettbewerbern differenzieren. Für eine nahtlose Integration der Sicherheitsmaßnahmen, in diesem Fall die Anforderungen der KRITIS-Verordnung, müssen die Anforderungen bereits im Planungsprozess berücksichtigt werden. Denn nur so lassen sich von Anfang an alle Parameter berücksichtigen und die getroffenen Maßnahmen schließlich ihre volle Wirkung entfalten.
Matthias Reidans
Senior Projektmanager Services bei Rosenberger OSI