NET 03/2023

30 www.net-im-web.de 3/23 Steigende Ansprüche für Rechenzentren Unternehmen in ihrer eigenen Klimabilanz auch Zulieferer und Dienstleister berück- sichtigen. Im Rahmen der Taxonomie wird die Frage der Klimafreundlichkeit eines Unternehmens auf die Finanzierungskosten durchschlagen und damit ebenfalls aufWirt- schaftlichkeit und Wettbewerbsfähigkeit. Datensicherheit und Resilienz Angesichts der steigenden Abhängigkeit von Wirtschaft und Gesellschaft von IT-Infra- strukturen sind allerdings Sicherheit und Zuverlässigkeit mit Abstand die wichtigsten Anforderungen. Traditionell steht Cyberse- curity im Licht der Aufmerksamkeit. Doch für Rechenzentrumsbetreiber kommen noch eine ganze Reihe weiterer Aspekte hinzu, die ebenfalls auf einen sicheren Betrieb und eine verlässliche Bereitstellung der Dienstleistun- gen einzahlen. Das haben auch Politik und Auf- sichtsbehörden erkannt, die mit gesetzlichen Auflagen und strengeren Vorschriften die Anforderungen an IT-Infrastrukturen ver- schärfen. Besonders betrifft dies Unternehmen der kritischen Infrastruktur, kurz Kritis. Dabei handelt es sich umOrganisationen oder Ein- richtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dra- matische Folgen eintreten würden. Definition Kritis Der Kreis der Betroffenen umfasst inzwi- schen rund 1.850 Unternehmen, die sich auf zehn Wirtschaftssektoren und eine Sonderkategorie verteilen: • Informationstechnik und Telekom- munikation; • Gesundheit; • Energie; • Wasser; • Ernährung; • Finanz- und Versicherungswesen; • Transport und Verkehr; • Siedlungsabfallentsorgung; • Staat und Verwaltung; • Medien und Kultur; • Unternehmen im besonderen öffent- lichen Interesse. Wichtig ist, dass nicht nur die Kunden von Rechenzentren unter die Kritis-Definition fallen, sondern auch Provider und Datacenter selbst zur kritischen Infrastruktur zählen, wenn sie gewisse Schwellwerte überschreiten. So sind Zugangs- und Übertragungs-Provider betroffen, die mindestens 100.000 Teilneh- mer versorgen. Damit liegt beispielsweise die Grenze für DNS-Server und Top-Level-Do- main-Registrare (TLD-Registry) bei 250.000 Domänen. Ferner gelten DNS-Resolver als kritisch, die mehr als 100.000Vertragspartner haben. Internetaustauschknoten zählen ab hundert angeschlossenen autonomen Syste- men in den Betroffenenkreis. Was viele nicht wissen ist, dass am1. Januar 2022 die Regularien verschärft wurden. Um zwei Beispiele zu nennen: Ab diesem Zeitpunkt gelten Rechenzentren bereits ab 3,5 MW als kritische Infrastruktur; davor lag die Grenze bei 5MW. Auch bei Serverfarmen wurde der Schwellenwert von bisher 25.000 auf 10.000 physische bzw. 15.000 virtuelle Instanzen herabgesetzt. Gesetzliche Grundlagen In Deutschland sind zentrale Anforderun- gen in der Kritis-Verordnung (KritisV) 1.5 niedergelegt. Weitere Vorgaben finden sich beispielsweise im BSI-Gesetz (BSIG), das Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) enthält. So verpflichtet beispielsweise § 8a di e Unternehmen dazu, „angemessene organisatorische und technische Vorkeh- rungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind“. Kurz gesagt: Alle Betreiber von IT-Infrastruk- tur müssen diese auf dem „Stand derTechnik“ halten. ImFall der Kritis-Anforderungen stellt das BSI darüber hinaus auf branchenspezi- fische Sicherheitsstandards (B3S) ab, die in der Regel von Branchenverbänden definiert werden. Kritis-Unternehmen müssen sich alle zwei Jahre nach diesen Standards zerti- fizieren lassen. Wie die Technik selbst ist auch der gesetzliche Rahmen im steten Wandel begriffen – weitere Verschärfungen sind be- reits in Arbeit. In Deutschland wird gerade an der Kritis-Verordnung 2.0 gefeilt, auf EU-Ebene stehen die Direktiven RCE und NIS2 in den Startlöchern. Mit der Direktive „Resilience of Critical Entities“ (RCE) sollen Organisationen, die kritische Dienste in der Europäischen Union erbringen, imHinblick auf ihreWiderstandsfähigkeit und die mögli- chen Risiken reguliert und von den nationalen Regierungen beaufsichtigt werden. Ähnlich wie mit der deutschen Kritis-Verordnung soll mit RCE die Ausfallsicherheit von kritischen Diensten in der gesamten EUgestärkt werden. Die „Directive on Security of Net- work and Information Systems“ (EU NIS2) zielt auf die Regulierung der Informations- sicherheit von kritischen Betreibern ab, um die Auswirkungen von Cyberangriffen und Störungen auf IT-Systeme und Netze zu minimieren. Sie verlangt von den Betreibern dazu eine Reihe von Maßnahmen, wie die Festlegung von Policies und Governance, Einführung von Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests sowie die Nut- zung von Kryptographie. Für eine nahtlose Integration der Sicherheitsmaßnahmen, in diesem Fall die Anforderungen der Kritis-Verordnung, müssen die Anforderungen bereits im Pla- nungsprozess berücksichtigt werden. Denn nur so können von Anfang an alle Parameter bedacht werden und die getroffenen Maß- nahmen schließlich ihre volle Wirkung entfalten.