Im Jahr 2011 wurde mit der Entwicklung der DIN EN 50600 der Grundstein für eine europäische Normung zur Planung und zum Betrieb von Rechenzentren gelegt. Bereits 2012 kamen erste Teile der Norm, die sich in verschiedene Einzelnormen und Themen gliedert, zur Veröffentlichung. 2014 und schließlich 2016 wurden nahezu alle Themenbereiche erfasst und in 2019 erfuhr die Norm eine deutliche Überarbeitung und Anpassung an den Stand der Technik.

 

Die DIN EN 50600 ist aus der Sicht von Zertifizierungsstellen und Auditoren eine echte Bereicherung, da in der Vergangenheit vielfältige nationale oder internationale Systematiken zur Beurteilung von Rechenzentren bestanden – und auch teilweise noch bestehen – welche im Detail nicht immer vergleichbar waren. Durch die DIN EN 50600 wurde nun ein vergleichbarer Standard geschaffen. Dabei steht der holistische Ansatz im Vordergrund. Dies macht die Zertifizierung und Integration in vorhandene Managementsysteme wie die DIN ISO/IEC 27001 deutlich einfacher.

 

Die Norm gliedert sich aktuelle wie folgt:

• DIN EN 50600-1: Allgemeine Konzepte
• DIN EN 50600-2-1: Gebäudekonstruktion
• DIN EN 50600-2-2: Stromversorgung und Stromverteilung
• DIN EN 50600-2-3: Regelung der Umgebungsbedingungen
• DIN EN 50600-2-4: Infrastruktur der Telekommunikationsverkabelung
• DIN EN 50600-2-5: Sicherungssysteme - 2016 (08.2020 überarbeiteter Entwurf)
• DIN EN 50600-3-1: Informationen für das Management und den Betrieb
• DIN EN 50600-4-1: Überblick über und allgemeine Anforderungen an Leistungskennzahlen (Key Performance Indicators, KPI)
• DIN EN 50600-4-2: Kennzahl zur eingesetzten Energie (Power Usage Effectiveness, PUE)
• DIN EN 50600-4-3: Anteil erneuerbarer Energien (Renewable Energy Factor, REF)
• DIN EN 50600-4-6: Faktor der Energiewiederverwendung (Energy Reuse Factor, ERF)
• DIN EN 50600-4-7: Wirkungsgrad der Kühlung (Cooling Efficiency Ratio, CER)
• DIN CLC/TR 50600-99-1: Empfohlene Praktiken für das Energiemanagement
• DIN CLC/TR 50600-99-2: Empfohlene Praktiken für die Umweltverträglichkeit
• DIN CLC/TR 50600-99-3: Anwendungsleitfaden für die Normenreihe

 

Bereits 2015 berichtete ich u.a. in einer RZ-Fibel der Prior 1 GmbH über die Entwicklung der Norm, deren Nutzung bei der Planung und die Möglichkeiten der Konformitätsbewertung und Zertifizierung auf Basis eines Anforderungskataloges der DIN EN 50600 mit ihren Risikoklassen, Schutzklassen und Energie- und Ressourceneffizienz. Seitdem gab es in diesem Bereich viele Weiterentwicklungen. Nicht nur die Norm wurde überarbeitet und an den aktuellen Stand der Technik angepasst, auch die Akzeptanz hat sich enorm ausgebreitet. Noch vor wenigen Jahren wurden Aussagen, dass Zertifizierungen durch den Gesetzgeber gefordert werden könnten, belächelt. Mit der Einführung der gesetzlichen und regulatorischen Anforderungen  aus der Datenschutzgrundverordnung (DSGVO), dem IT-Sicherheitsgesetz  oder dem EnWG , sind solche gesetzlichen Forderungen real geworden. Unternehmen müssen sich solchen Zertifizierungen stellen und weiten diese auch durch Verpflichtung auf ihre Lieferanten aus. Denn nur, wenn die Lieferantenkette ebenfalls den gleichen normativen Anforderungen unterworfen ist, ist die Wirksamkeit für das verpflichtete Unternehmen sichergestellt.

 

Die DIN EN 50600 verfolgt einen prozessorientierten Designansatz, der die Geschäftsprozesse sicherstellen und Kernprozesse absichern soll. In der Risikoanalyse erfolgt zu Beginn eine ganzheitliche Betrachtung des Rechenzentrums auf Basis dieser Geschäftsprozesse. In der Folge wird ein umfassendes Sicherheitskonzept erarbeitet. Dabei ist zu beachten, dass die DIN EN 50600 die ganzheitliche Betrachtung des Rechenzentrums zum Kern hat. Dies ist kein holistischer Ansatz für den IT-Betrieb oder das Unternehmen. Hier kommen andere Normen und Zertifizierungen zum Einsatz, die Managementsysteme im Unternehmen zertifizieren, allen voran Informationssicherheit mit der DIN ISO/IEC 27001.

 

Eine Zertifizierung nach der DIN EN 50600 ist freiwillig, d.h. es gibt aktuell keine gesetzliche oder regulatorische Anforderung zur Zertifizierung. Jedoch kann sich in verschiedenen Branchen oder Wirtschaftszweigen durch regulatorische Maßnahmen des Gesetzgebers (z.B. KRITIS) indirekt oder auch direkt der Bedarf eines Nachweises zur Einhaltung bestimmter Anforderungen ergeben, der durch die Zertifizierung des Rechenzentrums unterstützt wird.

 

Bei einem verheerenden Großbrand am 10. März 2021 brach in einem Rechenzentrum in Straßburg ein Feuer aus. Dieses konnte nicht mehr unter Kontrolle gebracht werden und führte dazu, dass das fünfstöckige Datacenter mit über 10.000 Servern völlig ausbrannte. Benachbarte Rechenzentren wurden teilweise zerstört oder mussten zunächst zwangsweise isoliert werden und waren temporär nicht einsatzfähig . Die Ausfälle betrafen mehr als 3,5 Millionen Webseiten und fast einer halben Million Domains. Angesichts dieses Großbrandes in mehreren Rechenzentren bei einem der größten europäischen Internet-Dienstleister , bei dem es zu erheblichem Datenverlust (teilweise Totalverlust, da auch die Backups betroffen waren) und massiven Ausfällen kam, nimmt die Nachfrage nach Sicherheiten im Rechenzentrumsbetrieb und damit nach geeigneten Zertifizierungen deutlich zu.

 

Bei der Durchführung der Zertifizierung ist auch auf die branchenspezifische Qualifikation der Zertifizierungsstelle und die Erfahrung der eingesetzten Auditoren zu achten, denn jede Branche hat unterschiedliche Anforderungen und Prioritäten bei der Bewertung von Risiken und Sicherheitsszenarien, was sich besonders stark bei KRITIS-Unternehmen zeigt. Dies ist auch bei der Auswahl eines geeigneten Rechenzentrums von immanenter Bedeutung, da sich Anforderungen in den Details unterscheiden können. Bei gewerblich betriebenen Rechenzentren und deren Dienstangeboten sollte auch stets auf die andere Kundschaft geachtet werden, die dort ihre Dienste betreibt oder Daten speichert. Nach Angaben der IT-Sicherheitsfirma Kaspersky Lab nutzten Hacker und kriminelle Gruppen 140 Server in dem abgebrannten Rechenzentrum .

 

Basierend auf der DIN EN 50600 wurden von den Experten der Zertifizierungsstellen Anforderungskataloge erstellt, die die Anforderungen aus der Norm DIN EN 50600 abbilden. Bereits bestehende Anforderungskataloge, welche bereits langjährige Erfahrungen, Best Practices und weitere relevante Kriterien berücksichtigen wurden entsprechend erweitert und mit der DIN EN 50600 abgeglichen. Dabei wurden die Geschäfts- und Risikoanalyse, die Schutzklassen und die Verfügbarkeitsklassen entsprechend der Kriterien der Norm berücksichtigt. INTERCERT GmbH - Group of MTIC - zertifiziert seit annähernd zehn Jahren Rechenzentren auf Basis nachhaltig belastbarer Anforderungskataloge und bietet eine Zertifizierung der Kriterien der DIN EN 50600  entsprechend den Regularien der INTERCERT GmbH auf Basis des eigenen Anforderungskataloges an.

 

Im Vorfeld der Zertifizierung sollte bereits zu einem frühzeitigen Zeitpunkt, idealerweise bei Planungsbeginn, eine begleitende Prüfung, durch den Zertifizierungsdienstleister erfolgen. Dies hat sich in der Vergangenheit immer wieder als vorteilhaft für die Sicherstellung der Erfüllung der zuvor ausgewählten Anforderungen aus der DIN EN 50600 im Rahmen der Umsetzung von Rechenzentrumsprojekten herausgestellt und vermeidet nachträgliche, meist kostenintensive, Nachbesserungen zur Erreichung der Konformität. Das Zertifizierungsaudit stellt dann den logischen Abschluss der Realisierungsphase dar. Durch einen optimalen Betrieb und regelmäßige Rezertifizierungsaudits ist die dauerhafte Aufrechterhaltung des Qualitäts- und Sicherheits-Niveaus sichergestellt.

 

Der Nachweis der Konformität zur DIN EN 50600 über eine anerkannte Zertifizierung, schafft Vertrauen der Kunden in die Sicherstellung ihrer Anforderungen, insbesondere im gesetzlich regulierten Bereich und stellt damit einen deutlichen Wettbewerbsvorteil dar. Der verdeutlicht eine entsprechende Qualität und ist ein Nachweis für die Sicherheit des Rechenzentrums gegenüber Kunden und Partnern. Der Nachweis einer Zertifizierung nach DIN EN 50600 ist dabei sowohl für professionelle RZ-Betreiber, Cloudanbieter und Internetdienstleister ein wesentliches Merkmal, als auch in der Lieferketten-Zertifizierung insbesondere in den KRITIS-Branchen  zunehmend gefordert. 

Die hohe Zufriedenheit und langjährige Zusammenarbeit der Kunden, die ihre Rechenzentren durch die INTERCERT GmbH - Group of MTIC - haben zertifizieren lassen, spricht für sich.

 

 

Dr. Joachim Müller

INTERCERT GmbH - Group of MTIC -

Quality Lead Auditor Data Center

 

 

¹ Koreng/Lachenmann, Kap. E I, in: Formularhandbuch Datenschutzrecht, C.H. Beck, 2018

² ebd.

³ ebd.

⁴ https://www.storage-insider.de/ovh-grossbrand-hat-gravierende-folgen-a-1008399/

⁵https://www.heise.de/news/OVH-Feuer-zerstoert-Rechenzentrum-in-Strassburg-ein-weiteres-beschaedigt-5076320.html

⁶ https://www.faz.net/aktuell/wirtschaft/digitec/brand-bei-cloud-betreiber-millionen-von-webseiten-betroffen-17238989.html

⁷ Weiterführend/ Further: https://intercertgmbh.mtic-group.org/de/zertifizierung/sektoral/rechenzentrumszertifizierung

⁸ Energie, Pharmazie, Medizin-Technik und -Produkte, Lebensmittel, Automotive, Aviation, u.a.