01760 Physische Sicherheit von Rechenzentren – Analyse, Bewertung und Upgrade
|
Rechenzentren zählen zur kritischen Infrastruktur moderner Volks-wirtschaften und rücken zunehmend in den Fokus physischer Bedrohungen – von unbefugtem Zutritt über Fahrzeugrammen bis hin zu Drohnenangriffen. Die physische Sicherheit von Rechenzentren ist damit nicht nur ein Faktor für Business Continuity, sondern durch ein dichtes Regelwerk aus NIS2-Umsetzungsgesetz, KRITIS-Dachgesetz, DORA sowie das BSI IT-Grundschutz-Kompendium 2023 rechtlich verbindlich vorgegeben.
Der Beitrag beschreibt einen strukturierten Ansatz zur Analyse, Bewertung und zum gezielten Upgrade der physischen Sicherheit von Bestandsrechenzentren entlang der Projektphasen Analyse, Grob- und Feinplanung, Umsetzung und Qualitätssicherung. Im Mittelpunkt stehen die Definition abgestufter Sicherheitszonen, ein mehrschichtiger Perimeterschutz – von zertifiziertem Durchfahrtschutz über Zaundetektion bis zu biometrischen Zutrittskontrollsystemen – sowie die frühzeitige Einbindung aller relevanten Stakeholder von Feuerwehr und Betriebsrat bis zum Alarm Control Center. Ziel ist ein ganzheitliches, normenkonformes Sicherheitskonzept für Rechenzentren, das bauliche, elektronische und organisatorische Maßnahmen zu einem wirksamen Schutzprofil integriert. Arbeitshilfen: von: |
1 Einleitung
Kritische Infrastruktur
Rechenzentren gehören zur kritischsten Infrastruktur moderner Volkswirtschaften. Die Investitionen in die RZ-Infrastruktur steigen kontinuierlich; für 2024 wird in Deutschland ein Marktvolumen von über 2 Milliarden Euro erwartet. Mit rund 55.000 Rechenzentren und einer Gesamtfläche von ca. 2,1 Mio. m² ist Deutschland der drittgrößte Rechenzentrumsmarkt der Welt. Allein in Frankfurt am Main befinden sich Anlagen mit über 70.000 m² Stellfläche – damit zählt der Standort zu den fünf größten weltweit.
Rechenzentren gehören zur kritischsten Infrastruktur moderner Volkswirtschaften. Die Investitionen in die RZ-Infrastruktur steigen kontinuierlich; für 2024 wird in Deutschland ein Marktvolumen von über 2 Milliarden Euro erwartet. Mit rund 55.000 Rechenzentren und einer Gesamtfläche von ca. 2,1 Mio. m² ist Deutschland der drittgrößte Rechenzentrumsmarkt der Welt. Allein in Frankfurt am Main befinden sich Anlagen mit über 70.000 m² Stellfläche – damit zählt der Standort zu den fünf größten weltweit.
Ausgangslage Deutschland
96 % der deutschen Rechenzentren sind kleiner als 100 m², und für 93 % der mittelständischen IT-Verantwortlichen ist der Eigenbetrieb nach wie vor strategisch wichtig. Schätzungsweise 250.000 Arbeitsplätze hängen direkt vom Betrieb dieser Anlagen ab – Tendenz steigend.
96 % der deutschen Rechenzentren sind kleiner als 100 m², und für 93 % der mittelständischen IT-Verantwortlichen ist der Eigenbetrieb nach wie vor strategisch wichtig. Schätzungsweise 250.000 Arbeitsplätze hängen direkt vom Betrieb dieser Anlagen ab – Tendenz steigend.
Vor diesem Hintergrund gewinnt der physische Schutz von Rechenzentren erheblich an Bedeutung. Business Continuity Management (BCM), IT Service Continuity Management (ITSCM) und Disaster Recovery Management (DRM) adressieren primär logische Schutzmaßnahmen – sie greifen jedoch zu kurz, wenn unbefugte Personen physisch Zugang zu Serverräumen erlangen, Fahrzeuge gezielt als Waffe eingesetzt werden oder Naturereignisse die Gebäudehülle beschädigen.
Regulatorischer Druck
Gleichzeitig verschärft der europäische und deutsche Gesetzgeber die regulatorischen Anforderungen erheblich: NIS2-Richtlinie, KRITIS-Dachgesetz, DORA und das aktualisierte BSI IT-Grundschutz-Kompendium 2023 definieren verbindliche Mindestanforderungen, bei deren Nichterfüllung empfindliche Bußgelder drohen. Dieser Beitrag beschreibt einen strukturierten Ansatz zur Analyse, Bewertung und zum Upgrade der physischen Sicherheit von Bestandsrechenzentren.
Gleichzeitig verschärft der europäische und deutsche Gesetzgeber die regulatorischen Anforderungen erheblich: NIS2-Richtlinie, KRITIS-Dachgesetz, DORA und das aktualisierte BSI IT-Grundschutz-Kompendium 2023 definieren verbindliche Mindestanforderungen, bei deren Nichterfüllung empfindliche Bußgelder drohen. Dieser Beitrag beschreibt einen strukturierten Ansatz zur Analyse, Bewertung und zum Upgrade der physischen Sicherheit von Bestandsrechenzentren.
2 Normative und regulatorische Grundlagen
Regelwerke
Rechenzentrumsbetreiber in Deutschland unterliegen einem dichten Geflecht aus europäischen Verordnungen, nationalen Gesetzen und technischen Normen, s. Tabelle 1.
Rechenzentrumsbetreiber in Deutschland unterliegen einem dichten Geflecht aus europäischen Verordnungen, nationalen Gesetzen und technischen Normen, s. Tabelle 1.
Tabelle 1: Die wichtigsten Verordnungen, Gesetze und Normen
Regelwerk | Relevanz für physische RZ-Sicherheit |
DIN EN 50600 (aktuell 2022) | Europäische Rechenzentrumsnorm; Teil 2-3 (Umgebungsbedingungen) und 2-5 (Sicherungssysteme) definieren physische Schutzanforderungen. Basis für TÜV-IT-Zertifizierung. |
BSI IT-Grundschutz-Kompendium 2023 | Bausteine INF.1 (Allgemeines Gebäude), INF.2 (Rechenzentrum/Serverraum) und INF.14 (Gebäudeautomation) ersetzen die früheren M1-Maßnahmenkataloge vollständig. |
NIS2 / NIS2UmsuCG (2024) | RZ ab definierten Schwellenwerten gelten als 'wichtige' oder 'wesentliche' Einrichtung. Physische Sicherheit ist Pflichtbestandteil; Meldepflicht bei Vorfällen binnen 24 Stunden. |
KRITIS-Dachgesetz (2024) | Erstmals sektorübergreifende gesetzliche Mindestanforderungen an physische Resilienz für KRITIS-Betreiber; Nachweis gegenüber BSI verpflichtend. |
DORA (EU) 2022/2554 (ab Jan. 2025) | Für RZ als IKT-Dienstleister von Finanzunternehmen: physische Sicherheit als Teil der operationalen Resilienz; DORA erweitert und konkretisiert die MaRisk-Anforderungen. |
MaRisk 05/2023 (BaFin) | Mindestanforderungen Risikomanagement für Kreditinstitute (§ 25a KWG); physische Schutzmaßnahmen für IT-Systeme explizit gefordert. |
ISO/IEC 27001:2022 | Annex A, Abschnitt 7: Physische und umgebungsbezogene Sicherheit. International anerkannter Zertifizierungsrahmen, häufig als Kundenanforderung gefordert. |
VdS 2311/2366 | VdS-Richtlinien für Videoüberwachung und mechanische Sicherung; Einhaltung häufig Versicherungsvoraussetzung. |
2.1 Zertifizierungsniveaus
Die Wahl eines Zertifizierungsniveaus sollte frühzeitig getroffen werden, da sie Planungs- und Investitionsentscheidungen maßgeblich beeinflusst. Insbesondere bei Bestandsrechenzentren kann der Weg zu Tier 4 mit erheblichem Aufwand verbunden sein, s. Tabelle 2.
Tabelle 2: Auflistung von Zertifizierungsniveaus
Zertifizierung | Tier-/Level-Stufen | Physische Sicherheit |
TÜV IT TSI | Tier 1-4 (4 = max.) | Ab Tier 3: redundante Zutrittssysteme, 24/7-Überwachung, Perimeterschutz Pflicht |
DIN EN 50600 | Availability Class 1-4 | Normative Grundlage für TÜV-IT-Zertifizierung; klare Anforderungsmatrix |
ISO/IEC 27001:2022 | Certified/Not certified | Annex A Kap. 7: physische Sicherheitsmaßnahmen als Pflichtkontrollen |
SOC 2 Type II | Pass/Fail | Physische Zugangskontrollen als Trust Service Criterion; relevant für Cloud-RZ |
PCI DSS v4.0 | Level 1-4 | Req. 9: strenge physische Zugangskontrolle für Karteninhaberumgebungen |
BSI C5 Prüfung/Testat | Testat auch unabhängig von ISO/IEC 27001:2022 Zertifizierung möglich | Inhaltich analog zu ISO/IEC 27001:2022 |
3 Schutzzieldefinition
Physische Sicherheit
Die physische Sicherheit verfolgt drei übergeordnete Schutzziele:
Die physische Sicherheit verfolgt drei übergeordnete Schutzziele:
| 1. | Schutz vor unberechtigtem Zutritt: Gelände und Gebäude dürfen ausschließlich durch autorisierte Personen betreten werden. |
| 2. | Schutz vor Fahrzeugaufprall und mutwilliger Beschädigung: Sabotage durch Fahrzeuge – vom PKW bis zum Schwerlasttransporter – ist wirksam zu verhindern. |
| 3. | Schutz vor Schadenereignissen aus der unmittelbaren Umgebung:Risiken aus Nachbargebäuden, Verkehr, Industrie und Naturgewalten sind systematisch zu erfassen und zu minimieren. |
Unauffälligkeit
Darüber hinaus gilt das Prinzip der Unauffälligkeit: Das Rechenzentrum sollte weder ausgeschildert noch in öffentlich zugänglichen Karten auffindbar sein. Weithin sichtbare Sicherheitsmerkmale wie Stacheldrahtrollen wirken eher als Angriffsmotivator, denn als Abschreckung.
Darüber hinaus gilt das Prinzip der Unauffälligkeit: Das Rechenzentrum sollte weder ausgeschildert noch in öffentlich zugänglichen Karten auffindbar sein. Weithin sichtbare Sicherheitsmerkmale wie Stacheldrahtrollen wirken eher als Angriffsmotivator, denn als Abschreckung.