NEWS

Die Schönheit der Norm

Alle reden über Digitalisierung. Ohne die entsprechende IT-Infrastruktur wird sie nicht gelingen. Barbara Sawka, Chefredakteurin des Magazins IoT4industry&business hat mit Georg Meixner, Experte bei Frauscher Consulting, über die Herausforderungen und Wünsche beim Rechenzentrumsbau gesprochen. Bei der EN 50600 kam er dann fast ins Schwärmen.

 

IoT4industry&business: Damit Digitalisierung gelingen kann, braucht es auch Rechenzentren. Was sind die größten Herausforderungen bei der Adaptierung bzw. Neuerrichtung?

Georg Meixner: Speziell die Neuerrichtung eines Rechenzentrums ist die einmalige Chance für ein Gebäude, in dem für 20+ Jahre kritische Anwendungen betrieben werden, die richtige Balance zwischen Sicherheit, Verfügbarkeit und Nachhaltigkeit zu schaffen. Dabei ist es auch wichtig – und das wird es in zunehmendem Maße – geeignete Liegenschaften zu finden und idealerweise auch eine gute städtebauliche Einbindung zu berücksichtigen. Das ist ein Punkt, den man bei Adaptierungsprojekten nicht mehr verbessern kann. Dafür geht es hier darum, das Beste aus einer Liegenschaft herauszuholen, die in der Regel nicht für die heute anstehenden Anforderungen gewählt wurde. Ich denke da an ursprünglich gewählte Sicherheitsstandards zu Einbruch- oder Brandschutz, die aus einer anderen Zeit stammen. Für beide Projekte, also sowohl für Adaptierung als auch bei der Neuerrichtung eines Rechenzentrums sind gesetzliche Rahmenbedingungen sowie die neuen Regulative zur EU-Taxonomie und den ESG-Vorgaben wichtig. Und auch das NISG leitet aus dem Bereich der Cybersecurity spezielle Vorgaben ab, die man beachten muss.

IoT: Was sind die größten Fehler, die man beim Neubau eines Rechenzentrums machen kann?

Meixner: Auf der einen Seite zu groß zu denken. Denn das produziert riesige Leerflächen und damit ungedeckte Kosten. Auf der anderen Seite darf man aber auch nicht zu klein zu planen. Denn dann können Ausbauten notwendig werden, noch bevor sich der laufende Betrieb amortisiert hat. Im ungünstigsten Fall sind weitere Ausbauschritte nicht oder nur unter großem Aufwand möglich. Und man darf die Herausforderungen an Energie, Nachhaltigkeit, Verfügbarkeit plus die gesetzlichen Nachweise nicht unterschätzen. Gerade wenn wir Verpflichtungen rund um die EU-Taxonomie oder das NISG heranziehen, wird es handfeste negative Auswirkungen haben diese Themen zu spät ernst zu nehmen.

 

IoT: Was ist Ihr größter Wunsch bei der Planung eines Rechenzentrums?

Meixner: Es wäre oft schön frühzeitiger in die Entwicklung fundierter Konzepte eingebunden zu werden. Um so wesentliche Stakeholder ausreichend miteinbeziehen zu können. Mehr Zeit in der Vorbereitung erlaubt reifere und nachhaltigere Lösungen die letztendlich die Projektziele besser erfüllen. Es wäre eher möglich das Wissen um die langfristigen Auswirkungen heutiger Entscheidungen für den Betrieb des Rechenzentrums zu erzeugen und so noch bessere Entscheidungen zu treffen. Klar, das ist Wunschdenken, denn fehlende Zeit – auch für wesentliche Arbeiten – zeigt sich in ja praktisch jedem Bereich unserer Gesellschaft.

  

IoT: Müssen Sie viel Aufklärungsarbeit bei den Kunden machen oder können Sie Gespräche auf Augenhöhe führen?

Meixner: Die Augenhöhe zwischen Kunden und uns besteht darin, dass wir rechenzentrumsbezogene Expertise an den Tisch bringen, die der Kunde entweder nicht, nicht mehr, oder noch nicht hat und er uns einlädt diese Lücke zu füllen. Wir sind in der privilegierten Lage, dass wir einen hohen Anteil Stammkunden haben, mit denen wir in der Regel über viele Jahre zusammenarbeiten dürfen. Wir führen konstruktive und fruchtbare Gespräche über die Projekte und wie wir unterstützen können. Bei Neukunden, egal ob Unternehmen oder Institutionen, gilt es das Vertrauen in die Sache, die handelnden Personen und damit ein positives Arbeitsklima erst aufzubauen. Was bei spannenden Inhalten in der Regel rasch gelingt. Immer aber wird konzipiert, erklärt, vertieft, manchmal auch heftig diskutiert, unbedingt aber auch gelacht und gefeiert. Das ist die Augenhöhe die wir erleben.

IoT: Alle reden von Cyberangriffen und den Schutz davor. Die physikalische Sicherheit wird nur selten genannt. Ist sie tatsächlich ins Hintertreffen geraten?

Meixner: Das Gegenteil ist der Fall. Gerade die letzten drei Jahre, inklusive den Erfahrungen durch Covid, haben gezeigt, dass das Sichern aller Bereiche von Betrieben wichtig ist, wenn Sicherheit ganzheitlich gedacht sein soll. Einschließlich Logistik, Lager, Betriebsführung, Versorgung, aber auch das unmittelbare physische Umfeld. Das gilt umso mehr für IT und das Rechenzentrum als unterstem Layer der IT. Und das sehen wir auch täglich in der Praxis und in den Gesprächen mit unseren Kunden. Risikoanalysen und Sicherheitskonzepte sind gefragt. Aber tatsächlich gibt es eine allgemein große mediale Aufmerksamkeit und Konzentration auf sämtliche Ressourcen zur Cybersecurity.

IoT: Hat die NIS2 für die physikalische Sicherheit des Rechenzentrums eine Bedeutung?

Meixner: Cybersecurity betrifft genauso die physische wie die virtuelle Umgebung. Daher ist es wichtig sämtliche Einfallstore für Angreifer zu schließen – und wenn es die Türe zum Rechenzentrum ist. Das NISG 2 hat speziell den Punkt 7 der physikalischen Sicherheit gewidmet. Drei von elf geforderten Maßnahmenkatagorien verweisen auf die etablierte EU-Rechenzentrums-Norm als empfohlene Grundlage, die klar auf die Absicherung und Verfügbarkeit der Physis abzielen.

IoT: Warum sollte man sein Rechenzentrum nach EN 50600 zertifizieren lassen?

Meixner: Die EN 50600 ist eine gute europäische Grundlage. Auch etablierte privatwirtschaftliche Normierungs-Standards beschäftigen sich eingehend damit und orientieren ihre Service-Portfolios daran. Und so wie Bundespräsident Van der Bellen einmal die Eleganz der österreichischen Bundesverfassung gelobt hat, so möchte ich die Schönheit der EN 50600 hervorheben. Sie ist umfassend, in sich weitgehend konsistent, aus einer Pluralität heraus geschrieben und für Weiterentwicklung offen. Und weil das so ist, hat sie auch den Weg in das NIS-Gesetz gefunden. Die Zertifizierung ist zwar nicht obligatorisch vorgeschrieben, aber durchaus empfohlen.

IoT: Seit kurzem gibt es die Austrian Data Center Association kurz ADCA und die Frauscher Consulting Group ist Mitglied. Was bringt die Vereinigung?

Meixner: Die ADCA ist ein sehr junges Sprachrohr für die österreichische Rechenzentrums-Branche. In dieser Gesellschaft ist es möglich sich untereinander auszutauschen. Hier finden sich Marktbegleiter für Diskussionen zusammen, um über die Erwartungen an die Branche, etwa zu Wärme-Rückgewinnung, mehr Leistung und den steigenden Energieverbrauch zu sprechen und zu schauen wie  Lösungen umsetzbar und auch sozial verträglich sein können. Mindestens so wichtig ist der ADCA aber sich nach außen zu richten: Es geht darum das Image und die Entwicklung der österreichischen Rechenzentrums-Branche aktiv mitzugestalten in dem wichtige, gemeinsame Anliegen bei den zuständigen Stellen deponiert werden – etwa bei der Bundesregierung, der Wirtschaftskammer oder bei Ausbildungseinrichtungen.

www.frauscher.consulting

Georg Meixner.jpg:  „Ich möchte die Schönheit der EN 50600 hervorheben. Sie ist umfassend, in sich weitgehend konsistent, aus einer Pluralität heraus geschrieben und für Weiterentwicklung offen.“ Georg Meixner, Experte bei Frauscher Consulting

© Wolfgang R. Fürst

IKT Sicherheitskonferenz 2023 Linz Review

03. und 04.Oktober 2023 Linz

Die 11. IKT-Sicherheitskonferenz fand heuer im Linzer Design Center statt und FCG war heuer erstmals auf der Messe vertreten. 

„Die IKT-Sicherheitskonferenz, durchgeführt vom Österreichischen Bundesheer, ist schon länger als 2-tägige Konferenz ausgelegt für den Austausch von Firmen und Institutionen die IKT sicherer machen – in Österreich, aber auch darüber hinaus. Die Veranstaltung wird alljährlich in einem anderen Bundesland ausgerichtet. Heuer ist es die Oberösterreichische Bundeshauptstadt Linz gewesen die das Designcenter Linz als modernen und großzügigen Veranstaltungsort gestellt hat. Die Bedeutung der Konferenz zeichnet sich ab an den Eröffnungsreden von Verteidigungsministerin Mag. Klaudia Tanner, Landeshauptmann Mag. Thomas Stelzer und Nobelpreisträger, Quantenphysiker Prof. Anton Zeilinger. Sie lebt darüber hinaus vom Angebot vieler einschlägiger Aussteller, dem Rahmenprogramm und fachbezogenen begleitenden Vorträgen. Diese deckten ein breites Spektrum an IT-Security ab, z.B.: Aspekte des zu erwartenden NIS2.0-Gesetzes, der Live-Hack eines Tesla Model 3, Realitätsbezug von Krisenplänen, oder den Zusammenhang von Rechenzentren und moderner Kriegsführung von Holger Zultner, MD von Leadership Datacenter.

Übergeordnet geht es auf der Konferenz dem Namen nach um IT-Security. Naturgemäß finden sich unter den dutzenden von Ausstellern alle möglichen Ausprägungen dieses Themas, beispielsweise:

  • Telekommunikationsanbieter die ihren Business Kunden ein breitgefächertes Angebot machen
  • hochspezialisierte Firmen mit Fokus auf z.B. gesicherte Kommunikationswege, Kryptografie, hochsichere Datenspeichersysteme oder Ausrüstung von Sicherheitspersonal
  • Unternehmensberatungs-Dienstleister die ihr Kunden dabei unterstützen ihre IKT-Sicherheit zu testen, verbessern und ggf. zertifizieren zu lassen
  • Institutionen die in der Aus- und Weiterbildung von IT-Security tätig sind, wie etwa der FH-Campus Hagenberg oder die Militärakademie
  • Institutionen für Forschung, Förderungs- und Berichtswesen, sowie
  • IKT-bezogene Abteilungen des Österreichischen Bundesheeres selbst

FCG war heuer erstmals auf der Messe vertreten. Die Gründe liegen auf der Hand: das Zusammenwachsen von physischer- und Cybersicherheit, die Abhängigkeit von IT und OT, sowie den fixen Anteil die das Datacenter (als physische Facility) in einem vollständigen IT-Sicherheitskonzept hat. Ganz im Sinn des Sicherheits-Maßnahmenkataloges der NIS2-Direktive der EU festgeschrieben, deren nationale Umsetzung in Folge von NIS1 ab Oktober 2024 beginnt. Denn auch Cybersicherheit beruht letzten Endes auf der physischen Absicherung der eingebundenen Systeme, um nicht – bei Einhaltung höchster Sicherheitsstandards auf der logischen Seite - diese Einfallstore angelweit offen zu halten. Das bestätigen auch Aussagen meherer Beratungsfirmen die sich mit Penetration-Testing beschäftigen. Diese haben in ihrem Portfolios typischerweise nicht nur die Simulation von Malware-, Hacking-, Phishing- u.ä. Angriffen anbieten, sondern eben auch das Überwinden von Perimeter, Zutrittskontrollen, Portiers- und Wachpersonal, sowie innerster physischer Sicherheitszonen mit dem Ziel kritische IT-Infrastruktur zu entwenden oder sabotieren. In diesem Sinn ist es FCG auch wichtig unseren Kunden gegenüber das Bewusstsein zu schärfen, dass der Cyberschutz der versorgenden Infrastruktur dieselben hohen Schutzanforderungen genießen muss wie die Unternehmens-IT selbst. Und so eine „feindliche Übernahme“ von Datacenter-Kühlung, Elektroversorgung oder Sicherheitssystemen zumindest genauso schwierig ist.

Für FCG war die IKT-Sicherheitskonferenz äußerst erfolgreich, weil wir die Gelegenheit hatten uns mit zahlreichen unserer geschätzten Kunden in diesem Rahmen auszutauschen und neue Kontakte im Spannungsfeld der IT-Security knüpfen konnten.