Normgerechte Planung der Sicherheitssysteme im Rechenzentrum

Rechenzentren kommen mitunter sehr spektakulär und augenscheinlich daher, viel öfter sind sie aber irgendwo verborgen und für die Öffentlichkeit nicht so leicht wahrnehmbar. Wie auch immer, all diese Infrastrukturen brauchen ein ganzheitliches Sicherheits- und Verfügbarkeitskonzept. Während man bis vor etwa 15 Jahren meist mit Best-Practice-Lösungen agierte, hat sich seither eine Normenreihe zum Stand der Technik entwickelt, die unter anderem auch das Thema Zutrittskontrolle ganzheitlich und risikobezogen regelt. Die Rede ist von der Reihe EN 50600, die mittlerweile auch als weltweit gültige Normenreihe ISO 22237 immer populärer wird.

Mehr als nur Einzelnorm kennen

Um den Bereich der Zutrittskontroll­konzepte für Rechenzentren ganzheitlich zu betrachten, reicht es nicht aus, nur die eine Einzelnorm zu kennen, die sich mit Sicherungssystemen beschäftigt. Die Normenreihe berücksichtigt vielmehr in mehreren Dokumenten die baulichen, technischen und organisatorischen Facetten der Thematik. So werden bereits in Teil 1 der Normenreihe, in dem allgemeine Konzepte beschrieben werden, wichtige Festlegungen zum Aufbau der Schutzzonen und zur Gestaltung der Sicherheitsarchitektur getroffen. Im Weiteren beschäftigt sich Teil 2-1 der Normenreihe mit der Gebäudekonstruktion und hat konsequenterweise ebenfalls bereits das Thema Zutrittskontrolle im Fokus. Und schliesslich werden die technischen Aspekte in Teil 2–5 behandelt.

Diese Heterogenität mag auf den ersten Blick verwirren, erklärt sich aber im ganzheitlichen Charakter eines Themas wie Zutrittskontrolle. Wer nicht ganz am Anfang klare Festlegungen zum Zonenkonzept macht und Zonenübergänge nicht angemessen mit baulichen Massnahmen ausführt, kann mit einem technischen Zutrittskontrollsystem nur noch Löcher stopfen und somit nur zu uneinheitlichen und unbefriedigenden Ergebnissen kommen. Insofern ist die beschriebene Methodik nur konsequent, da so dafür gesorgt wird, dass unterschiedlichste bauliche und technische Systeme homogen und aufeinander abgestimmt angemessene Sicherheitsprozesse abbilden können. Im Übrigen gilt dies nicht nur für Zutrittskontrollsysteme, sondern auch für viele andere sicherheits- und verfügbarkeitsrelevante Themen.

Risikoorientierter Ansatz

Konkret beschreibt EN 50600-1 die Ermittlung der Grundlagen für alle weiteren Sicherheitsmassnahmen. Die Norm geht ganz konsequent vom risikoorientierten Ansatz aus. Das bedeutet, dass eine Risikobetrachtung, die einerseits die Auswirkungen eines potenziell schädigenden Ereignisses und andererseits die Eintrittswahrscheinlichkeit betrachtet, die Basis für eine Einteilung des entsprechenden Standorts darstellt:

• für technische Verfügbarkeitsklassen sowie
• für ein sicherungstechnisches Schutzklassenkonzept

Alle Bereiche eines Rechenzentrums werden unabhängig von ihrer Grösse bestimmten Schutzklassen zugewiesen, es ergeben sich in der Folge Schutz­zonen. Die Schutzklasseneinteilung hat dann wiederum Konsequenzen auf Anforderungen zu:

• Schutz vor nicht autorisiertem Zugang
• Einbruchschutz
• Schutz vor internen und externen umgebungsbedingten Ereignissen

So erhält man bereits zu Beginn eines Planungsprozesses Vorgaben für das Errichten von Grenzen zwischen den Schutzzonen sowie Anforderungen an aktive und passive Massnahmen zur Unterstützung der Schutzklassen in baulicher und technischer Hinsicht.

Die EN 50600-2-1 quantifiziert und beschreibt dann die Thematik, indem sie Festlegungen trifft für die Ausgestaltung der identifizierbaren physischen Barrieren jeweils für die Schutzklassen 1 bis 4. Jeder Schutzklasse werden hier entsprechende Qualitäten, die sich aus der EN 1627 und den hier bekannten Widerstandsqualitäten (RC Klassen) ableiten, als Mindestanforderungen zugeordnet.

Die Beschreibung ist gegliedert in die beiden grossen Rubriken Aussenbereiche und Gebäudekonstruktion. Die Unterscheidung ist wichtig, da die Referenzierung von Zäunen und dergleichen auf die EN 1627 methodisch nicht so ganz korrekt ist, EN 1627 gilt eigentlich für Elemente, die in Wände eingebaut werden. Die Methodik der Widerstandszeiten wird hier aber bewusst auf Zäune und dergleichen hin projiziert, was eine durchaus legitime und nachvollziehbare Vorgehensweise darstellt.

In den Aussagen für beide Bereiche sind die Anforderungen dann in etwa deckungsgleich: Für die von aussen gesehen ersten beiden Schutzzonen, in denen die Schutzklassen 1 und 2 zutreffen, wird der Einsatz von Elementen in der Widerstandsklasse RC 2 beziehungsweise deren Äquivalent wie beschrieben empfohlen. Für höhere Zonen der Schutzklassen 3 und 4 wird ein Schutz nach Widerstandsklasse RC 2 beziehungsweise Äquivalent gefordert und ein Schutz nach Widerstandsklasse RC 3 beziehungsweise Äquivalent empfohlen.

Vier Zuko-Ebenen

EN 50600-2-5 geht noch etwas genauer auf die Schutzzonen ein, konkret weist sie den Schutzklassen typische Flächen zu:

• Klasse 1 entspricht demnach öffentlichen oder halböffentlichen Flächen.
• Klasse 2 entspricht einer Fläche, die nur befugten Personen zugänglich ist.
• Für Klasse 3 gilt das ebenso, wobei der Kreis der befugten Personen ­verringert wird.
• Dies setzt sich in Klasse 4 fort.

Mit den ansteigenden Schutzklassen sind ansteigende Massnahmen zur Zutrittskontrolle verbunden. Flächen, die den höchsten Schutz vor unbefugten Zugang erfordern, werden in der höchsten Schutzklasse untergebracht. Diese entspricht dem altbekannten Konzept des Zwiebelschalenprinzips.

In konkreten Zutrittskontrollmassnahmen gedacht, ergeben sich vier Ebenen der Zugangskontrolle:

1. die Identifizierung
2. die Ein-Faktor-Authentifizierung
3. die Zwei-Faktor-Authentifizierung
4. das Verhindern des Eintretens Unbefugter durch Vereinzelungsanlagen

Im Weiteren werden verschiedene räumliche Situationen behandelt, die im Zutrittskonzept eine Rolle spielen. Hierzu zählen:

• Zufahrtswege
• Parkplätze
• Zugangsbereiche getrennt für Mitarbeitende und Besuchende
• Serverschränke und Racks

Ferner wird die konkrete Ausführung von Schutzmassnahmen innerhalb der einzelnen Schutzklassen näher spezifiziert. Während in Schutzklasse 1 das Ganze noch etwas unspezifisch daherkommt, werden spätestens ab Schutzklasse 2 konkrete Massnahmen der technischen Zutrittskontrolle gefordert. Naturgemäss werden die Massnahmen in den höheren Schutzklassen immer spezifischer.

Technische Anforderungen

In einem weiteren Kapitel der Norm werden Anforderungen an die technischen Systeme gestellt. Neben Videoüberwachungssystem, Einbruchmelde- und Überfallmeldeanlagen wird auch die Zutrittskontrollanlage als technisches System behandelt, dies allerdings nur auf einer halben Seite. Sinnigerweise wurde hier ein Verweis zu anderen einschlägigen EN-Normen, insbesondere der EN 60839-11, hergestellt, leider jedoch ohne den direkten Bezug zu unterschiedlichen Klassen und Rubriken, die in der genannten Normenreihe reichlich zu finden sind. Wer die Reihe EN 60839 kennt, weiss, wie spezifisch Anlagen geplant werden können. Letztlich fehlt es hier noch deutlich an Substanz, zum Beispiel durch eine Korrelation der Schutzklassen zu verschiedenen Ausprägungen aus der genannten Norm.

Eine Aufzählung schliesst das Thema ab, welche Anforderungen zu berücksichtigen sind, nämlich:

• Art der Kontrolle
• Richtungsabhängigkeit
• Vermeiden von Zutrittswiederholungen und wiederholte Nutzung
• Alarmabgabe bei unbefugten Zugangsversuch
• Anwendung von zeitgesteuerten Zugangskontrollen

Letztlich wird hier deutlich, dass ein Planer nicht einfach aus einer Norm sein individuelles Vorgehen herauslesen kann, sondern vielmehr zahlreiche Anhaltspunkte erhält, mit welchen Themen er sich zu beschäftigen hat.

EN 50600-3-1 beschreibt dazu Prozesse und Abläufe für den Betrieb und die Instandhaltung der Anlagen. Weil diese Themen in der Verantwortlichkeit des Betreibers liegen, ist es umso wertvoller, dass mit Erfassung der Thematik in der Normenreihe sichergestellt ist, dass die Konzepte und Ansätze auch nach den abgeschlossenen Planungs- und Realisierungsprozessen weitergelebt werden. Auch für die zahlreichen späteren Audits und Zertifizierungen ist es immer hilfreich, sich am Stand der Technik zu orientieren, dieser Stand wird definitiv durch die Normenreihe repräsentiert.

Als Quintessenz kann ausgesagt werden, dass die Planung von Zutrittskontrollsystemen in Rechenzentren nach den genannten Normen im Wesentlichen dem gesunden Menschenverstand folgt. Alle Massnahmen, seien sie baulicher, technischer oder organisatorischer Natur, finden ihre Rechtfertigung in einer initialen Risiko­analyse, bei der Eintrittswahrscheinlichkeit und potenzielle Schadenhöhe betrachtet werden. Aus dieser Betrachtung heraus ist ein Konzept zu entwickeln, das ganzheitlich für alle Sicherheitsmassnahmen gilt. Insbesondere die Grenzen zwischen den einzelnen Zonen sind, dem Zwiebelschalenprinzip folgend, mit spezifischen baulichen und technologischen Systemen auszurüsten, sodass dem kritischsten Bereich noch mehrere andere Schutzzonen vorgelagert sind.

Für den erfahrenen Planer ist diese Methodik keine grosse Neuigkeit, jedoch repräsentiert die genannte Normenreihe nun klar den Stand der Technik. Insofern stellt sie ein weiteres wichtiges Werkzeug für Berater und Planer von Sicherheitssystemen dar und wird künftig einen immer grösseren Stellenwert im Bereich der hochverfügbaren IT-Infrastruktur erlangen.

Zum Autor: Jörg Schulz ist Sicherheitsberater bei der VZM GmbH. Er ist langjähriges Mitglied in verschiedenen Normengremien zur Normreihe EN 50600; unter anderem im Bereich Elektrotechnik und im Bereich Sicherungssysteme.