M 1.49 Technische und organisatorische Vorgaben für das Rechenzentrum
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Planer
Ein Rechenzentrum sollte als geschlossener Sicherheitsbereich konzipiert sein. Dieser sollte möglichst nur eine Zugangstür und keine Fenster haben, da alle Zutrittsmöglichkeiten überwacht werden müssen (siehe auch M 1.10 Verwendung von Sicherheitstüren und -fenstern). Der Zutritt sollte durch hochwertige Zutrittskontrollmechanismen geschützt werden. Bei der Planung eines Rechenzentrums bzw. der Auswahl geeigneter Räumlichkeiten sollten potentielle Gefährdungen durch Umgebungseinflüsse möglichst minimiert werden. So ist Gefahrenpotentialen wie Wassereinbrüchen bei Flachdächern oder in Kellerräumen genauso zu begegnen wie EMV-Störquellen, z. B. Mobilfunk-Sendeeinrichtungen oder Drehstromaggregaten.
Ein angemessener baulicher und technischer Einbruchsschutz ist für ein Rechenzentrum unabdingbar. Empfehlungen hierzu sind in Maßnahme M 1.19 Einbruchsschutz und in der BSI-Publikation "IT-Sicherheit durch infrastrukturelle Maßnahmen" (siehe Anhang) aufgeführt.
Für die in Rechenzentren betriebenen IT-Komponenten wird in vielen Fällen ein hohes Maß an Verfügbarkeit gefordert. Diesen Anforderungen kann durch redundante Auslegung der infrastrukturellen und technischen Einrichtungen Rechnung getragen werden (siehe Maßnahme M 1.52 Redundanzen in der technischen Infrastruktur).
Um eine Mischung zwischen der Grobtechnik (Energieversorgung, Klimatechnik) und der Feintechnik (Rechner) im Rechenzentrum zu vermeiden, sollten getrennte Raumeinheiten geplant werden. Die technische Infrastruktur des Rechenzentrums ist in separaten Räumen zu installieren. In Rechenzentren hoher Verfügbarkeit dürfen bei der Schutzkonzeption die kommunikations- bzw. nachrichtentechnischen Komponenten "nach draußen" nicht außer acht gelassen werden. Ist ihr Schutz nicht im gleichen Maß, wie der der technischen Kernkomponenten sichergestellt, ist die Verfügbarkeit nicht gewährleistet. Beispielweise ist zu beachten, dass der Schutzbedarf der aktiven Netzkomponenten, die an der Außenkommunikation beteiligt sind (wie Router und Switches), dem Schutzbedarf der Kernbereiche des Rechenzentrums entspricht. Dies betrifft sowohl den materiellen Schutz, als auch Detektion, Meldung und Alarmierung.
Wünschenswert wäre es, wenn die Gewerke für
- Nachrichtentechnik,
- Klimatisierung und Lüftung
- Energieversorgung,
- Lager usw.
jeweils in einem eigenen Raum (optional auch eigenen Brandabschnitt) untergebracht werden.
Bei der Planung sollte auch darauf geachtet werden, dass die Trassen der Versorgungsleitungen des Gebäudes, z. B. für Wasser oder Gas, (siehe M 1.24 Vermeidung von wasserführenden Leitungen) nicht in unmittelbarer Nähe oder gar durch sensible Bereiche des Rechenzentrums verlaufen.
Ein Rechenzentrum ist ein sicherheitsrelevanter Bereich, daher sollten dort nur die Administratoren der dort aufgestellten IT-Systeme Zutritt haben. Durch eine darauf abgestimmte Zutrittsregelung muss für eigene Mitarbeiter und wichtiger noch für nur zeitweilig Beschäftigte, z. B. zu Wartungsarbeiten im Rechenzentrum tätige, sichergestellt werden, dass sie keinen Zugriff auf Systeme außerhalb ihres Tätigkeitsbereiches erhalten.
Es sollte verboten werden, in ein Rechenzentrum tragbare IT-Systeme, Mobiltelefone oder Kameras mitzubringen, wenn diese nicht unter der Kontrolle der jeweiligen Institution stehen. Generell sollte der Betrieb von Mobiltelefonen in Rechenzentren untersagt werden, da diese den Betrieb der IT-Systeme erheblich stören können. Ausnahmen hiervon müssen abgestimmt sein (siehe M 2.188 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung).
Bei der Planung von Umbau- oder Neubaumaßnahmen eines Rechenzentrums sollten die im folgenden beschriebenen Parameter berücksichtigt werden.
In der Praxis hat sich für einen Rechnersaal ein Seitenverhältnis von 1:1 bis maximal 2:3 als günstig erwiesen. Diese Aufteilung erleichtert die strukturierte Anordnung von IT-Komponenten und deren Verkabelung im Rechenzentrum.
Sofern die baulichen Gegebenheiten es zulassen, ist die Installation eines Doppelbodens empfehlenswert. Seine Höhe ist abhängig von der technischen Ausstattung und Nutzung. Wenn der Doppelboden zur Klimatisierung genutzt wird, sollte er ca. 50 cm Höhe haben.
Bei der Bemaßung von IT-Räumen sind mindestens folgende Rahmenmaße empfehlenswert:
Lichte Raumhöhe ab Doppelboden: |
3,00 m |
Stützenabstände |
6,00 m |
Rohbaumaß Türenbreite |
1,10 m |
Rohbaumaß Türenhöhe |
2,10 m |
Decken und Doppelböden sollten auf eine Traglast von mindestens 1000 kg/m2 ausgelegt sein.
Der Doppelboden muss eine hohe Passgenauigkeit und ab einer Höhe von 20 cm eine Brandschutzqualität von F30 in geschlossenem Zustand aufweisen. Generell sollten die Sicherheitsrichtlinien für Doppelböden vom Bundesverband Systemböden e. V., Düsseldorf beachtet werden.
Hinweis: Die Doppelböden und abgehängten Decken müssen mit dem IT-Raum abschließen. Es dürfen durch solche Konstruktionen keine ungesicherten Zugänge geschaffen werden.
Flure sollten mindestens eine Breite von 1,80 m aufweisen und mit rutschfesten, glatten Bodenbelägen, die höheren Transportlasten widerstehen, ausgelegt sein.
Aufzüge als vertikale Transportwege innerhalb des Rechenzentrums sollten eine Tragkraft von mindestens 1500 kg haben. Die lichten Kabineninnenmaße sollten mindestens 2,80 m in der Tiefe, 1,50 m in der Breite und 2,20 m in der Höhe betragen.
Ergänzende Kontrollfragen:
- Gibt es technische und organisatorische Vorgaben für das Rechenzentrum?
- Ist das Rechenzentrum als geschlossener Sicherheitsbereich konzipiert worden?
- Ist der Zutritt zum Serverraum geregelt?
- Wurde bei der Planung auf eine ausreichende Trennung der Grob- und Feintechnik geachtet?