Bundesamt für Sicherheit in der Informationstechnik

Rechenzentrums-Definition

Eine klare und zeitgemäße Festlegung, welche Infrastrukturbereiche als Rechenzentrum zu gelten haben, ist für Unternehmen und Behörden gleichermaßen von Bedeutung. Denn sowohl Management-Entscheidungen (z. B. bei IT-Investitionen) als auch die Interpretation normativer Vorgaben werden oft davon beeinflusst. Hierfür werden praxisorientierte Kriterien benötigt, mit denen sich relevante Infrastrukturbereiche nachvollziehbar und zuverlässig als Rechenzentrum identifizieren und klassifizieren lassen.

Die aus den Anfangsjahren des IT-Grundschutzes stammenden Definitionen zum Rechenzentrum (RZ) und Serverraum (SR) sind angesichts der sich veränderten IT-Landschaft nicht mehr zeitgemäß und verlieren zunehmend ihre praktische Anwendbarkeit. Zudem setzt die seit 2014 schrittweise in Kraft gesetzte DIN EN 50600 als "RZ-Norm" einen neuen Rahmen, mit dem die alte Definition aus dem IT-Grundschutz nicht mehr in Einklang steht. Eine ganz wesentliche Eigenschaft der neuen RZ-Norm ist es, (in DIN EN 50600-1 unter Nummer 3.1.9) den Begriff des Rechenzentrums sehr weit zu fassen und bewusst an Funktionalitäten statt an der Ausführungsform oder Größe auszurichten. Damit enthebt sich die Norm der Notwendigkeit, zwischen Rechenzentrum und Serverraum zu unterscheiden.
Eine weitere Motivation, die Definition eines Rechenzentrums zu überarbeiten, ergab sich aus dem Projekt "IT-Konsolidierung Bund". Darin wurde das BSI vom Haushalts-Ausschuss des Deutschen Bundestages zum einen mit der Analyse der bestehenden Rechenzentren in der Bundesverwaltung beauftragt. Zum anderen erging der Auftrag einen Mindeststandard nach § 8 Abs. 1 BSIG zu erarbeiten, der die Anwendung des HV-Benchmark kompakt 3.0 für die Stellen des Bundes“ regelt. Der Mindeststandard wurde am 26.05.2017 vom BSI veröffentlicht.

Beide Aufträge machten es erforderlich, die aus der Mitte der 1990er Jahre stammenden Definitionen für Rechenzentrum und Serverraum zu überarbeiten und neu zu fassen. Dabei wird der bisherige Ansatz, die Unterscheidung zwischen RZ und SR über getroffenen Maßnahmen, Organisationsformen oder Betriebsgrößen zu definieren, fallen gelassen. Die neue Definition orientiert sich ausschließlich an der Bedeutung der IT-Struktur für die Aufgabenerfüllung der nutzenden Organisation und steht damit im methodischen Einklang mit der DIN EN 50600.

RZ-Definition

  1. Hat eine IT-nutzende Organisation nur einen zentralen IT-Betriebs-Bereich, ist dieser gemeinsam mit den erforderlichen Supportbereichen grundsätzlich immer wie ein RZ entsprechend dem Schutzbedarf zu behandeln.
    Unter "IT-Betriebs-Bereich" sind Räume zu verstehen in denen die Hardware aufgebaut ist und betrieben wird, die der Bereitstellung von Diensten und Daten dient. Das RZ umfasst neben dem IT-Betriebs-Bereich alle weiteren technischen Supportbereiche (Stromversorgung, Kälteversorgung, Löschtechnik, Sicherheitstechnik etc.), die dem bestimmungsgemäßen Betrieb und der Sicherheit des IT-Betriebsbereichs dienen.
  2. Wird die IT der Organisation innerhalb eines Gebäudes / einer Liegenschaft verteilt in mehreren Bereichen betrieben und sind diese Bereiche untereinander und zu den IT-Nutzern hin durch hauseigene LAN-Verbindungen angeschlossen, ist mindestens der funktional bedeutendste dieser Bereiche als RZ zu behandeln. Des weiteren sind Bereiche, von deren ordnungsgemäßem Betrieb 50 % und mehr Nutzer abhängig sind oder aus denen heraus 50 % und mehr an Diensten und Daten (gemessen an der Gesamtheit der Bereiche) bereitgestellt werden, als RZ zu behandeln.
  3. Ist die IT-nutzende Organisation an mehreren, räumlich voneinander getrennten Standorten angesiedelt, und sind diese durch andere als hauseigene LAN-Verbindungen miteinander gekoppelt, ist jeder der Standorte entsprechend 1) separat zu betrachten und zu behandeln.
  4. Ein IT-Betriebsbereich, in dem für kritische Geschäftsprozesse (Prozesse, deren Störung oder Ausfall zu wesentlichen Beeinträchtigungen der Erledigung primärer Aufgaben einer Organisation führen) erforderliche IT angesiedelt ist, ist immer als RZ zu behandeln, unabhängig von Größe oder Anteilsregeln aus Nummer 2).
  5. IT-Betriebsbereiche, aus denen heraus Dienste/Dienstleistungen für Dritte erbracht werden, sind immer als RZ zu betrachten. Dabei ist es unerheblich, ob dieses gegen Entgelt erfolgt oder nicht.
  6. Besteht ein begründetes Interesse, einen IT-Betriebs-Bereich gemeinsam mit seinem Supportbereich abweichend von den vorgenannten Regelungen als Serverraum zu behandeln, ist dies samt der sich daraus ergebenden Reduzierungen von Maßnahmen der IT-Sicherheit anhand einer Risikoanalyse zu begründen.

Der schon angesprochene Mindeststandard nutzt bereits diese neue Definition in einer vereinfachten Form. Somit können Bundesbehörden bei der Umsetzung des Mindeststandards bereits den neuen Ansatz nutzen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK