Serverraum Zertifzierung nach EN50600
Mario Lukas, verantwortlich für den Vertrieb des Data Center Portfolio bei TÜV Informationstechnik GmbH, sprach mit unserer Kollegin Irene über die Prüfung und Zertifizierung von hochverfügbaren Rechenzentren auf Grundlage des TSI.STANDARDS.
TÜV Informationstechnik GmbH, ein Tochterunternehmen der TÜV NORD GROUP, ist die Nummer eins in Sachen Qualität und IT-Sicherheit. Warum sich eine Zertifizierung nach DIN EN 50600 Rechenzentrumsnorm für RZ-Betreiber lohnt und worauf man dabei achten sollte, lesen Sie im folgenden Interview.
Können Sie sich bitte zu Beginn für unsere Leser vorstellen?
Mario Lukas: Klar! Mein Name ist Mario Lukas und ich bin seit über 3,5 Jahren verantwortlich für den Vertrieb unseres Data Center Portfolios. Unsere Leistungen sind im Grunde überwachender, prüfender und qualitätssichernder Natur. Wir bieten seit über 17 Jahren Prüfungen und Zertifizierungen von physisch sicheren und hochverfügbaren Rechenzentren auf Grundlage unseres TSI.STANDARDS an. Im deutschsprachigen Raum ist dieser als de-facto-Standard etabliert und dominiert den RZ-Markt. TSI.STANDARD (Trusted Site Infrastructure) deckt seit 2016 auch nachweisbar die Anforderungen der EN 50600 ab und macht diese Norm damit auch zertifizierbar. TÜVIT ist im Prinzip eine IT-Spezialeinheit, wenn es um IT-Sicherheit geht. Das Thema Rechenzentrum ist ein Spezialgebiet. Weitere Themen sind z. B. Informationssicherheitsmanagement, Cyber Security und auch Datenschutz.
Was ist das Besondere an der Rechenzentrums-Norm DIN EN 50600?
Mario Lukas: Die EN 50600 stellt die erste europaweit länderübergreifende Norm dar, die mit einem ganzheitlichen Ansatz umfassende Vorgaben für die Planung, den Neubau und den Betrieb eines Rechenzentrums macht. Sie definiert Anforderungen für die Planung der Gewerke Baukonstruktion, Elektroversorgung, Klimatisierung, Verkabelung, Sicherheitssysteme und legt Kriterien für den Betrieb von Rechenzentren fest. Die von der europäischen Normungsgesellschaft CENELEC (Europäisches Komitee für elektrotechnische Normung) geschaffene EN50600 bietet dabei diverse Freiheitsgrade und versteht sich bis zu einem gewissen Punkt als Baukastensystem. In erster Linie stellt die EN50600 eine Norm dar, die bei Neubauten von Rechenzentren zur Anwendung kommt. Sie definiert dabei Notwendigkeiten von Gutachten und Analysen im Vorfeld der Planungs- und Bauarbeiten.
Die Norm selbst enthält allerdings keine detaillierten Prüfanforderungen. Diese zu ergänzen obliegt den Prüfinstitutionen. So hat TÜViT z.B. die beiden Prüfkataloge TSI.EN50600 und TSI.STANDARD entwickelt, um den Anwendern größtmögliche Sicherheit im Prüfprozess zu geben.
Während die im Rechenzentrumsumfeld ebenso relevanten ISO-Management-Normen, z. B. ISO/IEC 27001, ihren Schwerpunkt auf der organisatorischen und prozessualen Ebene haben, fokussieren die Anforderungen der DIN EN 50600 auf die physische Sicherheit. Die europaweit gültige Norm ist unter einer Vielzahl von Leitfäden und Best-Practices insoweit etwas Besonderes, als dass die Resultate in einem europaweiten Normierungs- und Abstimmungsprozess entstanden sind.
Verfügbarkeit und Schutzklassen
Die Verfügbarkeitsklassen der EN 50600 werden auf die Energieversorgung, die Kälteversorgung und die Verkabelung angewandt. Die Klassen unterscheiden sich nach EN 50600-1 wie:
Verfügbarkeitsklasse 1: Geringe Verfügbarkeit.
Auslegung ohne Redundanzen auf Basis eines Versorgungspfades
Verfügbarkeitsklasse 2: Mittlere Verfügbarkeit.
Auslegung mit Teilredundanzen auf Basis eines Versorgungspfades
Verfügbarkeitsklasse 3: Hohe Verfügbarkeit.
Auslegung mit redundanten Komponenten auf Basis von zwei Versorgungspfaden (aber nur ein Kälteversorgungpfad)
Verfügbarkeitsklasse 4: Sehr hohe Verfügbarkeit.
Auslegung mit Systemredundanzen auf Basis von zwei Versorgungspfaden (aber nur ein Kälteversorgungpfad)
Die Schutzklassen beschreiben Eigenschaften von Räumen hinsichtlich
- physischen Zutrittsschutz
- Brandschutz
- Abwehr von Gefährdungen von innen und
- Abwehr von Gefährdungen von außen.
Welche Aspekte werden dabei beachtet – Sicherheit, Baufragen, Verfügbarkeit, GREEN IT?
Mario Lukas: Die EN 50600 liefert umfassende Vorgaben im Hinblick auf die Planung, den Neubau sowie den Betrieb von Rechenzentren und definiert Anforderungen an die Gewerke wie Baukonstruktion, Elektroversorgung, Klimatisierung, Verkabelung sowie Sicherheitssysteme.
Die Norm ist in vier Teilbereiche gegliedert:
- Teil 1: Allgemeines Konzept
- Teil 2: Physische Aspekte von baulichen Fragen des Gebäudes bis hin zu Energie-, Verkabelungs- und Sicherheitsaspekten
- Teil 3: Management
- Teil 4: Effizienzaspekte wie KPIs, Energieverbrauch und erneuerbare Energien.Veröffentlicht wurde die DIN EN 50600 schrittweise seit 2012 und stellt eine Normenreihe mit folgenden Einzelnormen dar:
- EN 50600-1: Allgemeine Aspekte für die Konstruktion und Spezifikation
- EN 50600-2-1: Gebäudekonstruktion
- EN 50600-2-2: Stromversorgung
- EN 50600-2-3: Regelung der Umgebungsbedingungen
- EN 50600-2-4: Infrastruktur der Telekommunikationsverkabelung
- EN 50600-2-5: Sicherungssysteme
- EN 50600-3-1: Informationen für das Management und den Betrieb
- EN 50600-4-1: Überblick/allgemeine Anforderungen an Leistungskennzahlen
- EN 50600-4-2: Kennzahl zur eingesetzten Energie
- EN 50600-4-3: Anteil erneuerbarer Energien
Mario Lukas, Vertrieb bei TÜV Informationstechnik GmbH
Mit einer Zertifizierung nach der EN 50600 können die Betreiber ggü. Dritten nachweisen, dass ihr RZ dem Stand der Technik entspricht, eine bestimmte Verfügbarkeit aufweist und physisch sicher ist. Mit einer Zertifizierung schaffen Sie Vertrauen ggü. Überwachenden Instititutionen und Versicherungen. Betreiber minimieren Risiken und Ausfallzeiten durch Identifizierung von Schwachstellen. Sie erhalten Sicherheit bei der Planungsvorgabe eines neuen Rechenzentrums.
Was sind die Vorteile der RZ-Norm EN 50600?
Mario Lukas:
- Mithilfe der DIN EN 50600 verfügen die Betreiber von Rechenzentren erstmals über eine länderübergreifende und umfassende Norm.
- Sie befähigt RZ-Betreiber ihre Rechenzentren nach dem aktuellen Stand der Technik zukunftssicher zu planen, zu betreiben und zu erweitern.
- Sie erhalten Sicherheit bei der Planungsvergabe neuer Rechenzentren, vor allem wenn eine Zertifizierung zum Ausschreibungsbestandteil wird.
- Intern wird die Qualität der eigenen Projektsteuerung gesichert und verbessert
Was ist für eine EN 50600 – Zertifizierung für Rechenzentren wichtig?
Mario Lukas: Die EN 50600 definiert neben festen Vorgaben u. a. auch Anforderungen im Kontext der Gegebenheiten vor Ort und im Kontext von geschäftlichen Risikobetrachtungen. Damit sind die Ausprägungen und der Wirkumfang von einzelnen Kriterien abhängig von der Risikoanalyse des Rechenzentrumbetreibers/-nutzers. Sie wird somit zum Bestandteil der Prüfung.
Grundsätzlich ist die EN 50600 (noch) nicht per Gesetz verpflichtend.
Sie stellt vielmehr einen Leitfaden dar und Betreibern als auch
Herstellern von EDGE-DC ist es freigestellt, sich hieran zu orientieren.
Oftmals ist es aber mittlerweile eine Kundenforderung und somit
anzuraten.
Wie wird die Energieeffizienz des Rechenzentrums in dieser Norm konkret gemessen?
Mario Lukas: Die Norm macht lediglich Vorgaben zum Messumfang, um hierdurch einen Beitrag zur Befähigung eines energieeffizienten Betriebs zu leisten. Drei Granularitätsstufen für die Energieversorgung und die Raumlufttechnischen Anlagen definieren Messqualitäten und -umfang.
Auf welche Art von USV-Anlagen bezieht sich die EN 50600? Welche Rolle spielt dabei die Verfügbarkeit?
Mario Lukas: Die Norm legt sich nicht auf eine Systemart fest. Sie macht in Abhängigkeit der Verfügbarkeitsklasse Vorgaben hinsichtlich der Redundanzkonzepte. Dies stellt sich für die Verfügbarkeitsklassen VK III und VK IV z. B. wie folgt dar:
- VK III: Mindestens einer der Versorgungspfade wird mit einer USV gestützt. Ist ein Versorgungspfad ohne USV, ist die USV in dem anderen Versorgungspfad komponentenredundant ausgeführt (n+1).
- VK IV: Es existieren redundante Versorgungspfade mit jeweils eigener USV (2n). Die redundanten USV-Anlagen sind physisch getrennt und befinden sich in getrennten Brandabschnitten.
- Außerdem müssen die USV-Anlagen die erwarteten Leistungsfaktoren berücksichtigen und besitzen ausreichende Leistungsreserven.
Wie sieht es mit Edge-Rechenzentrum aus? Gilt die EN 50600 hier ebenso?
Mario Lukas: Grundsätzlich ist die EN 50600 (noch) nicht per Gesetz verpflichtend. Sie stellt vielmehr einen Leitfaden dar und Betreibern als auch Herstellern von EDGE-DC ist es freigestellt, sich hieran zu orientieren. Oftmals ist es aber mittlerweile eine Kundenforderung und somit anzuraten.
EN 50600 zertifiziert – was nun?
Mario Lukas: Wie auch bei anderen Zertifizierungen, muss diese ja auch „gelebt“ werden. Über 90 % der durch TÜViT zertifizierten Rechenzentren lassen sich im Abstand von zwei Jahren regelmäßig rezertifizieren, um weiterhin den Nachweis zu erbringen, dass sie dem Stand der Technik entsprechen.
Welche Tipps geben Sie unseren Lesern noch mit auf den Weg?
Mario Lukas: Wenn eine Zertifizierung nach EN 50600 angestrebt wird, dann sollte die Zertifizierungsinstitution frühzeitig eingebunden werden. Bei der Wahl des Zertifizierers ist darauf zu achten, dass er über ausreichend Erfahrungen und Kompetenzen auf den jeweiligen Fachgebieten mitbringt, dass Prozesse nach ISO 17065 eingehalten werden und eine fundierte transparente Prüfgrundlage vorhanden ist.
Am Ende geht es doch weniger darum ein Zertifikat an der Wand hängen zu haben, als vielmehr um einen sicheren Rechenzentrumsbetrieb zu gewährleisten. Und hierzu bedarf es Spezialisten, die in der Lage sind die komplexen technischen Systeme zu bewerten, um ggf. auch Schwachstellen zu identifizieren, die zu Verfügbarkeitseinschränkungen führen könnten.
Vielen Dank für das ausführliche Gespräch.
