Risiken einschätzen und bewerten ist gerade für Rechenzentren elementar wichtig, bilden sie doch als kritische Infrastrukturen das Rückgrat vieler Unternehmen. Ein häufiger Stolperstein sind dabei die Schnittstellen zwischen verschiedenen Bereichen, etwa dem IT- und Facility-Management. Marc Wilkens, Leiter der eco Kompetenzgruppe Datacenter Efficiency, erläutert das Thema Risikobewertung näher.
Herr Wilkens, was sind neben Cybergefahren typische Risiken für den Betrieb eines Rechenzentrums?
Typische Risiken sind eine zu späte und schlechte Planung bei der Ertüchtigung von RZ-Infrastrukturen und eine fehlende ganzheitliche, regelmäßige Risikoanalyse und -bewertung für den RZ-Betrieb. Außerdem sind fehlende Organisation und Dokumentation der Prozesse im Facility-Management ein oft unerkanntes Risiko für den RZ-Betrieb.
Was ist Ihrer Ansicht nach das am häufigsten unterschätzte Risiko – und warum?
Die fehlende Abstimmung zwischen IT- und Facility-Management führt immer wieder zu Risiken wie beispielsweise fehlende Redundanzen in der RZ-Infrastruktur. In den meisten Fällen sind gerade in größeren Unternehmen die Bereiche IT- und Facility-Management organisatorisch getrennt; die Schnittstellen sind in der Regel nicht definiert. Ein sogenannter „Change“ – beispielsweise das Einbringen neuer IT-Geräte in den Serverraum – erfolgt oft ohne die notwendige Abstimmung zwischen IT und Facility-Management.
Welche Folgen haben Sie in der Praxis bei falsch eingeschätzten Risiken schon beobachtet?
Im täglichen IT- und RZ-Betrieb sind dem Facility-Management beispielsweise die tatsächlichen IT-Leistungen und -Verbräuche (Strom) oft gar nicht bekannt. Dementsprechend werden Risiken durch fehlende Redundanz wie die N+1-Absicherung der IT-Geräte nicht erkannt. Auch die fehlerhafte Nutzung von Stromanbindungen der IT-Geräte im Serverschrank (redundante A-/B-Versorgung) führt immer wieder zu Ausfällen von IT-Geräten.
Wie lassen sich diese Risiken im Vorhinein gleichzeitig theoretisch und realistisch bewerten?
Im Rahmen einer regelmäßigen RZ-Risikoanalyse für die Prozesse im IT- und Facility-Management können die Schnittstellen definiert und bewertet werden. Im täglichen RZ-Betrieb stehen hier viele Unternehmen aber noch ganz am Anfang dieses kontinuierlichen Verbesserungsprozesses. Hier wäre im ersten Schritt mindestens die Bewertung von tatsächlich eingetretenen Sicherheitsvorfällen in Zusammenhang von IT- und Facility-Management möglich.
Ein Lösungsansatz wäre die Einführung von definierten Prozessen für das Facility-Management (beispielsweise nach EN 50600 Teil 3) und das IT-Sicherheitsmanagement (beispielsweise nach ISO 27001). So können die Schnittstellen eindeutig definiert und bewertet werden.
Die eco Kompetenzgruppe Datacenter Efficiency diskutiert am 31. Januar 2019 in Frankfurt über die Bewertung und Darstellung von Risiken in Rechenzentren.
