Rechenzentren in Zeiten der Pandemie

Die Pandemie hat Auswirkungen auf alle Lebens- und Wirtschaftsbereiche, auch auf Rechenzentren (RZ). Wie sich die Situation für diese darstellt, wollte PROTECTOR von Michael Emmer, Präsidenten des Premium-Arbeitskreises „Sicherheit für Rechenzentren“, wissen.

Hat die Pandemie die Rechenzentren – was Notfallkonzepte angeht – ebenso „kalt erwischt“ wie viele andere Bereiche?

Michael Emmer: Ich denke, professionelle Rechenzentrumsanbieter sind sehr gut auf viele Risiken vorbereitet. Die Pandemie hat allerdings eine Dimension erreicht, die für die meisten nicht vorhersehbar war. Die grundlegenden Prozesse haben aber meiner Einschätzung nach so gut wie überall funktioniert.

Dennoch gab es einige Unklarheiten. So gab es kurzzeitig die Befürchtung, dass Rechenzentren auch vom Lockdown betroffen sein könnten. So haben wir und andere Datacenter-Betreiber uns darauf vorbereitet, einen Mitarbeiterstamm im Rechenzentrum vorzuhalten, der dort sozusagen fest wohnt. Dies war eines der etwas ungewöhnlicheren Notfallszenarien, um Versorgung und reduzierte Ansteckungsgefahr zu gewährleisten. Ein Problem war, dass – natürlich auch aufgrund der für alle Beteiligten neuen Situation – auch die Behörden keine verlässlichen Informationen herausgegeben haben. Insofern sind wir einige Tage „auf Sicht“ gefahren. Am Ende ging alles gut, und die Versorgung durch Rechenzentren war zu jeder Zeit sichergestellt.

Anders hat es sich bei Rechenzentren oder Rechnerräumen in Unternehmen dargestellt. Dort gibt es häufig nur begrenzte Notfall- und Business-Continuity-Planungen. Darüber hinaus war häufig die Anbindung zur Außenwelt das Problem, nachdem der größte Teil der Belegschaft plötzlich aus dem Homeoffice auf die Systeme zugreifen wollte.

Professionelle Rechenzentren sind insgesamt auf allerlei Risiken vorbereitet: Einbruch, Brandvermeidung, netzwerktechnische Erreichbarkeit, Stromversorgung usw. Hierfür gibt es jede Menge technische Maßnahmen, die selbstverständlich auch während der Pandemie funktioniert haben.

Zwei Kernthemen standen während der Situation mit Covid-19 im Fokus: Zunächst die Versorgungssicherheit: Es musste sichergestellt sein, dass während der Lockdown-Phase die Versorgung der Rechenzentren gesichert ist. Hierzu zählen vor allem der Strom und die netzwerktechnische Erreichbarkeit. In Bezug auf die Stromversorgung gibt es auch indirekte Faktoren, beispielsweise die Zulieferung von Diesel für die Notstrom-Anlagen. Zum Zweiten die Verfügbarkeit des Betriebspersonals: Es war – insbesondere am Anfang – nicht klar, wie schnell sich das Virus ausbreiten würde. Damit gab es das Risiko, dass ein – möglicherweise zu großer – Teil der Belegschaft ausfallen könnte. Maßnahme war hier die Verlagerung der administrativen Arbeiten auf „remote working“ (meist Homeoffice). Bei den Aufgaben, die nicht aus der Ferne erledigt werden konnten, wurden die Teams getrennt, und wir haben dafür gesorgt, dass sich diese Teams niemals begegneten, um eine Ansteckung zu vermeiden. Das war eine vergleichsweise große Herausforderung, weil die Personen generell weitgehend „von der Außenwelt“ separiert werden mussten. Meines Wissens hat dies jedoch bei den meisten Rechenzentrumsbetreibern gut funktioniert.

Sie geben gerade das Stichwort Homeoffice: Viele Unternehmen wollten sich Investitionen in die eigene Infrastruktur eher sparen und haben deshalb Kapazitäten bei externen Hochleistungsrechenzentren angemietet. Wird dieser Trend anhalten?

Es gab tatsächlich eine erhöhte Nachfrage durch die vermehrte Nutzung von Homeoffice. Auch haben Unternehmen erkannt, dass das Thema Business Continuity, also die Sicherung des Fortbestands des Unternehmens in – nennen wir es – außergewöhnlichen Fällen, inzwischen ein sehr kritischer Faktor für Unternehmen ist.

Die Pandemie hat die Arbeitsmodelle nachhaltig verändert. Unternehmen, für die es vor einem halben Jahr noch ein absolutes No-Go war, Mitarbeiter im Homeoffice arbeiten zu lassen, haben quasi über Nacht ihre Mitarbeiter von zuhause arbeiten lassen. Vieles davon wird auch in der Zukunft Bestand haben. Ich gehe davon aus, dass dies nachhaltige Auswirkungen auf die gesamte Arbeitswelt haben wird; Mitarbeiter werden dies künftig einfordern. Darüber hinaus lässt die aktuelle Nachrichtenlage die Vermutung zu, dass uns das Virus und damit die erforderliche Kontaktvermeidung noch eine Zeit lang begleiten werden.

Insofern würde ich hier nicht von einem Trend sprechen. Sondern eher davon, dass aus der Not eine Tugend wurde: Verbindung von Familie und Beruf, Einsparung von Fahrtzeit, Entlastung des Straßenverkehrs und nicht zuletzt auch Einsparpotenzial für die Unternehmen aufgrund des geringeren Bedarfs an Bürofläche.

Viele Unternehmen haben ihre Prozesse und auch Firmendaten jetzt in die Cloud verlegt. Ist es nicht problematisch, dass man das umgesetzt hat, ohne vorab Sicherheitsstandards zu definieren?

Nicht unbedingt. Das Problem war vor der Pandemie teilweise deutlich größer. Gerade bei den Unternehmen, die Cloud-Dienste eher vermieden haben, gab es häufig das Problem der „Schatten-IT“. Das sind Dienste, die Mitarbeiter auf eigene Faust eingesetzt haben, weil sie die Services von der zentralen IT nicht bekommen haben. Nachdem viele IT-Abteilungen jetzt zu dieser Form der Digitalisierung gezwungen wurden, werden die Dienste wesentlich bewusster und meist auch im Rahmen eines Gesamtkonzepts eingeführt, das auch über Sicherheitsstandards verfügt. In der Anfangszeit der Pandemie wurde hier sicher mit weniger Bedacht gehandelt und schnell nach pragmatischen Lösungen gesucht. Hier gab es mit hoher Wahrscheinlichkeit häufige Datenschutzverletzungen. Ich meine aber, dass sich das inzwischen normalisiert.

Es gibt zwei große Themenkomplexe beim Thema Sicherheit: Einmal der rechtliche Datenschutz, also beispielsweise wie die Cloud-Anbieter mit den Daten umgehen oder gar umgehen müssen (siehe Patriot Act, der vorschreibt, dass der amerikanische Staat Zugriff auf die Daten erhält, die ein Unternehmen mit amerikanischer Beteiligung verarbeitet). Es ist entscheidend, dass der ausgewählte Diensteanbieter konform zur Datenschutz-Grundverordnung (DSGVO) arbeitet. Zum Zweiten das Bewusstsein der Mitarbeiter: Datenschutz hat viel mit gesundem Menschenverstand zu tun. Es ist deshalb wichtig, Mitarbeitern das Bewusstsein und die Sicherheit im Umgang mit Daten zu geben. So ist beispielsweise die Zahl der Angriffe per Social-Engineering, also der Datenklau durch Beziehungsaufbau, während der Corona-Zeit drastisch angestiegen. Hier helfen technische Mittel nur bedingt, denn die Mitarbeiter müssen einfach entsprechend geschult werden.

In den letzten Jahren ist eine Verdichtung der IT auf zentrale RZ zu registrieren. Gleichzeitig steigt das Datenvolumen, Stichwort Digitalisierung, rasant. Wie ist das zu bewältigen?

Dieses Thema ist sehr wichtig. Zwar sind die Rechenzentren in der Lage, die Datenflut zu bewältigen. Wesentlich spannender ist das Thema Datenvolumen allerdings in Bezug auf den Zugriff. In Deutschland haben wir nach wie vor ein Problem mit dem Breitbandausbau. Während es in den Ballungsgebieten problemlos möglich ist, auch als Privatanwender 200 MBit/s Bandbreite und mehr zu bekommen, so ist es in den Randgebieten selbst für Unternehmen schwierig, ausreichende Zugriffsgeschwindigkeiten zu erreichen.

Hier muss noch einiges getan werden. Der Mobilfunkstandard 5G wird hierzu sicher seinen Beitrag leisten, allerdings wird es noch Jahre dauern, bis dieser auch in den weniger dicht besiedelten Gebieten angekommen ist.

Wenn es dann aber zum Ausfall eines RZ kommen sollte, sind die Auswirkungen umso gravierender …

Richtig, die Abhängigkeit von den Rechenzentren steigt natürlich. Umgekehrt ist der Betrieb in Rechenzentren – zumindest in Bezug auf Sicherheit und Infrastruktur – weitaus höher, als es ein Rechenzentrum im Unternehmen eines Mittelständlers leisten kann.

Es ist wichtig, dass sich Geschäftsführer und Unternehmensverantwortliche Gedanken darüber machen, wie geschäftskritisch welche Daten und welche Dienste sind. Es gibt viele Möglichkeiten, Daten zu schützen und auch die Verfügbarkeit von Diensten zu erhöhen. Angefangen von ausgeklügelter Datensicherung bis hin zum georedundanten Betrieb über mehrere Rechenzentren hinweg. All diese Maßnahmen sind kostenintensiv, sodass jeweils eine Abwägung sinnvoll ist, welcher Sicherheits- beziehungsweise Verfügbarkeitsstandard für welchen Anwendungsfall erforderlich ist.

Die Krise zeigt auch, dass Kriminelle ihre (Online)-Aktivitäten anpassen beziehungsweise neue Deliktformen entstehen. Mit welchen Bedrohungen rechnen Sie künftig besonders?

Während der Coronazeit haben wir viele gezielte Attacken gesehen. Dazu zählen beispielsweise kriminelle E-Mails, in denen Mitarbeiter im Namen des Geschäftsführers dazu aufgefordert werden, sehr kurzfristig einen hohen Geldbetrag zu überweisen. Generell beobachten wir einen Anstieg der Phishing Attacken, bei denen Angreifer versuchen, an vertrauliche Daten wie PINs, Passwörter oder ähnliches zu kommen.

Auffällig ist auch die Häufigkeit von Denial-of-Service-Angriffen (DDoS), bei denen Angreifer ganze IT-Landschaften oder Unternehmensnetzwerke einfach durch eine unglaublich hohe Zahl von unsinnigen Anfragen oder Zugriffen lahmlegen. Diese Angriffe richten keinen direkten Schaden auf der IT-Plattform an. Aber sie schaden dem Unternehmen, weil Mitarbeiter oder Kunden in dieser Zeit keinen Zugriff haben und damit Produktivität und Umsätze verloren gehen. Dies entwickelt sich gerade zu einem beliebten Geschäftsmodell für Erpresser.

Welchen Stellenwert räumen Unternehmen inzwischen der Cyber Security ein? Lange Zeit wurde sie ja besonders auch von KMU eher als Kostenfaktor gesehen.

Bei größeren Unternehmen gehören Maßnahmen zur Cyber Security inzwischen zum Standard. Der Mittelstand ist nach wie vor zögerlich. Einerseits aus Budgetgründen. Und andererseits, weil viele Geschäftsführer noch immer die Haltung vertreten, sie seien für Angreifer kein attraktives Ziel. Dabei wird häufig übersehen, dass Angriffe heute weitgehend automatisiert ablaufen und damit auch breit gestreut werden können. Hier ist es die Aufgabe der Rechenzentrumsbetreiber und Managed-Service-Anbieter, die KMU aufzuklären und für Mittelständler erschwingliche Lösungen anzubieten.

Auch unser Premium Arbeitskreis Sicherheit für Rechenzentren hat das Thema Cyber Security für die Zukunft auf der Agenda.

Sie sprachen gerade den „Faktor Mensch“ an – damit kommen wir zum Thema Ausbildung: Die Zusatzqualifikation „Schutz- und Sicherheitskraft RZ“ wurde ja aus dem AK heraus konzipiert. Im Sommer sollte der erste berufsbegleitenden Kurs starten. Was ist daraus geworden?

Für das Frühjahr war ein Kurs als Pilotprojekt geplant. Dieser konnte aufgrund der Entwicklungen in Bezug auf Corona nicht durchgeführt werden. Das Projekt ist aktuell zurückgestellt und wir warten, bis sich die Lage normalisiert hat.

Ist das entsprechende Interesse seitens der Sicherheitsdienstleister denn vorhanden?

Wir haben vor allem seitens der Rechenzentrumsbetreiber Interesse erfahren, die ihren Sicherheitsdienstleistern und natürlich auch eigenen Sicherheitskräften dieses Know-how vermitteln wollen. Hoffen wir, dass wir in dieser Sache bald wieder Fahrt aufnehmen und Erfahrungen sammeln können, wie sich das Weiterbildungskonzept in der Praxis bewährt.

Welche weiteren Themen sind dem AK aktuell besonders wichtig?

Die Pandemie hat den Arbeitskreis selbst jetzt auch etwas ausgebremst. Die meisten Mitglieder waren mit dem Handling der Auswirkungen von Corona beschäftigt. Zwar haben sich einzelne Mitglieder untereinander kollegial beraten, die geplanten Arbeitsgruppen mussten in den letzten Monaten jedoch aussetzen.

Nicht zuletzt die Ablenkung durch das Virus hat uns gezeigt, dass es gut ist, die Führung des Arbeitskreises auf mehrere Schultern zu verteilen. Dadurch sind wir auch dann handlungsfähig, wenn einzelne Führungskräfte in ihrer beruflichen Situation gebunden sind. Dies ist uns mit unserem heute sechsköpfigen Führungsteam gut gelungen.

Wir wollen künftig den Austausch der Mitglieder auch online ermöglichen. Das ist insofern eine Herausforderung, weil eines der Prinzipien unseres Zusammenschlusses ja der vertrauliche Austausch ist. Wir sind hier in einem Lernprozess und testen gerade einige Formate.

Thematisch wird sich der Arbeitskreis neben den bisherigen Themen vor allem auch den Aufgaben in Bezug auf virtuelle Sicherheit stellen. Es werden also die Themen Cyber-Security, Datenschutz und nicht zuletzt auch Versorgungssicherheit auf dem Plan stehen. Mit unserem neuen Beauftragten für Arbeitsgruppen, Marcel Kempe, haben wir einen hervorragenden Koordinator und Wissensträger gefunden, der sich um die künftige Themenstruktur kümmern wird.

Michael Emmer, Präsident des Premium-Arbeitskreises „Sicherheit für Rechenzentren“,