Trusted Site Infrastructure: Was TÜV- und Uptime-Zertifikate wert sind

In Deutsch­land ist TÜViT einer der wichtigsten Anbieter von RZ-Über­prüfungen vor Ort. Neue Kon­kurrenz könnte dem eta­blierten Zerti­fizierer jetzt durch das US-amerika­nische Uptime Institute er­wachsen. Aller­dings startet der Wett­bewerber ausge­rechnet von Groß­britannien aus auf den euro­päischen Markt.

Dieser Beitrag ist mehr als 7 Jahre alt.
© atScene - Fotolia
Bild: © atScene - Fotolia

Bitte eine Build-Prüfung!

Von Ariane Rüdiger

Zertifizie­rungen werden dem­nächst wohl wichtiger. Das neue IT-Sicher­heits­gesetz bezieht sich explizit darauf: Wer in Zukunft als An­bieter von Rechen­zentrums­dienst­leistungen anerkannte Zerti­fizierungen vor­weisen kann, dessen Kunden können auch damit rechnen, dass ihnen, zum Bei­spiel bei Daten­verlusten beim Provider, zu­mindest nicht vor­geworfen wird, sie hätten ihren Dienst­leistungs­partner ohne die nötige Sorg­falt ausgewählt.

Glaub­würdigkeit und Sorg­falt einer Zerti­fizierungs­institution sind daher ein wichtiges Kriterium, während finanzielle Er­wägungen eher zurück­treten dürften. Denn nur Zerti­fikate, deren Quali­tät überzeugt, zum Bei­spiel weil sie gründ­lich nach einer um­fassenden Vor-Ort-Prüfung ver­geben werden, er­füllen unter Um­ständen die An­forderungen der euro­päischen Gesetzgeber.

TÜViT bis in die Umsetzung

Eine wichtige Institution in Deutschland, die vor Ort Rechenzentren überprüft, ist TÜViT. Das Tochterunternehmen des TÜV Nord prüft Rechenzentren schon seit dem Jahr 2001. Bisher hat es 350 Zertifizierungen durchgeführt, davon rund 110 Erstzertifizierungen (Stand Sommer 2016). „85 % unserer Zertifizierungskunden kommen wieder“, sagt Joachim Faulhaber, stellvertretender Bereichsleiter IT-Zertifizierung und Product Manager Data Center bei TÜViT. Zertifiziert wird nach der Spezifikation TSI (Trusted Site Infrastructure), und zwar immer bezogen auf den Gesamtprozess der RZ-Erstellung – von den Plänen über die Architektur bis hin zu den technischen Einrichtungen. Eine reine Design-Begutachtung bietet TÜViT nicht an.

Hier liegt einer der wesentlichen Unterschiede zum Konkurrenten The Uptime Institute, das just im Jahr des Brexit-Votums seine europäischen Aktivitäten mithilfe einer europäischen Zentrale, die gerade in London eingerichtet wurde, auszuweiten sucht. Kurz vor dem Votum stellten einige Vertreter des Uptime Institutes bei einer Veranstaltung in München das Angebot des Zertifizierungs-, Beratungs- und Schulungsunternehmens vor.

Uptime in drei Varianten

Uptime bietet mehrere Zertifizierungen an: eine Design-, eine Build- und eine Operate-Variante. Die Design-Zertifizierung wird separat und unabhängig von den anderen Typen vergeben, was schon Anlass für Kritik war. Des Weiteren berät Uptime RZ-Betreiber und hat ein Vorgehensmodell für die Entscheidung zwischen Public, Cloud, Outsourcing und Eigenbetrieb entwickelt, das Kunden ebenfalls gegen Honorar als Beratungsleistung in Anspruch nehmen können.

Zertifizierung-forcss.jpg
Die Lebenszyklusanalyse, die Uptime als Beratungsleistung neben den Zertifizierungen anbietet, hilft, eine fundierte Entscheidung zwischen Eigenbetrieb und verschiedenen Formen der Auslagerung zu treffen. (Bild: The Uptime Institute)

The Uptime Institute reklamiert annähernd 1000 Zertifizierungen in 80 Ländern für sich, darunter viele in den USA, aber auch in arabischen Ländern. Eine geografische Übersicht im Web zeigt, wo das Unternehmen bisher aktiv geworden ist. Die Karte hat freilich gerade in Deutschland und einigen anderen europäischen Ökonomien ein aus Sicht des Uptime-Institutes ärgerliches Loch.

Wie viele der 1000 Zertifizierungen genau zu welchem Typ gehören, war trotz schriftlicher Nachfrage beim Presseverantwortlichen des Unternehmens, Ali Moinuddin, nicht herauszubekommen. Er legte sich in der schriftlichen Antwort auf eine diesbezügliche E-Mail-Anfrage nur darauf fest, dass es immer mehr Design-Zertifizierungen als andere gebe. Man bewerbe diese Form inzwischen zurückhaltender, obwohl sie weltweit weiterhin möglich sei. Der Grund: Manche Kunden brüsten sich zwar mit der Design-Zertifizierung, erwerben aber niemals eine Build-Zertifizierung. Das sei unerwünscht, schreibt der Sprecher des Uptime Institutes, da das tatsächlich gebaute RZ oft in wichtigen Einzelheiten vom geplanten abweiche. Papier ist ja bekanntlich geduldig, und dieses Vorgehen wäre letztlich Betrug am Endkunden des RZ-Betreibers, der wahrscheinlich auch das Design-Zertifikat als Indiz für zielkonforme Ausführung ansieht. Insofern ist die Politik des Uptime Institutes sicher auf dem richtigen Weg. Es fragt sich aber, ob man überhaupt eine unabhängige Design-Zertifizierung vergeben sollte. Denn letztlich geht es für den Endkunden – und an den richten sich die Prüfnachweise ja schließlich – darum, RZ-Leistungen in Anspruch zu nehmen und nicht utopische Pläne zu bewundern.

Bleibt die Feststellung: Wie viele physisch existierende Rechenzentren tatsächlich von Uptime hinsichtlich Aufbau, Betrieb und Funktion zertifiziert wurden, lässt sich nicht genau sagen. Wahrscheinlich sind es einige mehr als die 110 Rechenzentren, die TÜViT für sich reklamiert, aber sicher längst nicht 1000, sondern eher einige Hundert. Das M&O-Siegel (Management and Operations), so weit legt sich das Management immerhin fest, wurde bisher rund 70 Mal vergeben.

Rechenzentren 2016-Q4.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­­reihe „Rechen­­zentren und Infra­struktur“. Einen Über­­blick mit freien Down­­load-Links zu sämt­­lichen Einzel­­heften bekommen Sie online im Presse­­zentrum des Mittel­standsWiki.

Kooperationen und Kontrolle

Weitere Daten zu Uptime: Das Unternehmen beschäftigt etwa 200 Mitarbeiter, hat rund 1800 RZ-Spezialisten ausgebildet und seine Gründer sind teils dieselben wie die von The Green Grid, einer Organisation, die sich bemüht, mehr Ökologie beim Bau und Betrieb von Rechenzentren zu erreichen, und bei der Erarbeitung entsprechender Kennziffern eine globale Vorreiterrolle einnimmt. Paradebeispiel ist der Wert PUE (Power Usage Effectiveness), der heute schon beinahe zu den Standardparametern bei der Bewertung von Rechenzentren gehört.

Rund 90 Mitgliedsunternehmen weltweit, davon 23 aus Europa, steht im Hintergrund des Uptime Institutes. Die Vertreter der Unternehmen treffen sich halbjährlich. Sie informieren einander über Verbesserungsmöglichkeiten und neue Technologien, wobei diese Auskünfte auch in die Zertifizierungsprüfungen von Uptime einfließen. Regelmäßig besichtigen die Mitglieder jeweils das Rechenzentrum eines anderen Mitgliedes und „sehen dort nach dem Rechten“, sprich: stellen fest und teilen dem Betreiber mit, ob es dort etwas zu verbessern gibt. Diese Treffen sind streng vertraulich.

Ein wichtiger Unterschied zwischen The Uptime Institute und TÜViT: Während TÜViT sich als reiner Zertifizierer versteht, ist Uptime wie schon erwähnt auch in der Beratung aktiv. Kritiker sehen darin eine unerwünschte Überschneidung zwischen Beratungs- und Prüfungsgeschäft. Andererseits gibt es Stimmen, die TÜViT mangelnde Praxisorientierung vorwerfen. Zudem werden Fehler an Rechenzentren mit Ursachenanalyse in einer öffentlich über das Web zugänglichen, recherchierbaren Datenbank gespeichert.

Prüfkriterien – offen oder nicht?

Eine kontroverse Diskussion dreht sich um die (kostenlose) Verfügbarkeit der Prüfkriterien im Vorfeld einer RZ-Überprüfung. Sortiert man das Wortgeklingel der beiden Prüfspezialisten, stellt sich heraus, dass die Situation letztlich nicht so unterschiedlich ist, wie man meinen könnte: TÜViT veröffentlicht einen Prüfleitfaden, der kostenlos erhältlich ist und aufführt, was geprüft wird, nicht jedoch die technischen Details und deren Realisierungsweisen, die vorliegen müssen, damit ein Kriterium als erfüllt gilt. Diese erfahren nur die Kunden, die sich auf einen Zertifizierungsprozess einlassen, in einem einleitenden Workshop. Zudem hören sie von TÜViT in den einleitenden Prüfschritten auch, an welchen Stellen ihr bisheriges Design, ihre Bau- und Betriebsweisen noch nicht den Regeln entsprechen. Wie sie das Problem lösen, darüber äußere sich TÜViT nicht, sagte Joachim Faulhaber anlässlich einer Präsentation in München. Den Kunden direkt und möglicherweise gegen zusätzliches Honorar Lösungsvorschläge zu unterbreiten, sei eine unzulässige Überschneidung zwischen Beratung und Prüfung, meint der Manager.

Auch bei Uptime gibt es die grundlegenden Zertifizierungsinformationen im Internet, Details dazu, was nun ein Kriterium erfüllt, aber erst im Prüfprozess. Die Begründung lautet hier: Die Zertifizierung sei an grundsätzlichen Zielen orientiert, nicht an bestimmten Implementierungsvarianten. Diese grundlegenden Ziele ließen sich nun einmal nicht in Form von Checklisten oder anderen formalisierten Vorgaben prüfen. Wie die Ziele, beispielsweise ein bestimmter Sicherheitsgrad bei der Stromversorgung, erreicht werden, bleibe grundsätzlich dem Kunden überlassen, weshalb es ohnehin sinnlos sei, detaillierte Erfüllungsmöglichkeiten vorzugeben. Uptime gibt den Kunden aber nach eigenen Angaben durchaus Ratschläge, wie sie ein bestimmtes Kriterium erfüllen können. Das dürfte dann gegebenenfalls durch Zeit- und Beratungsaufwand die Kosten nach oben treiben, erspart andererseits aber den Weg zu anderen Beratern und Partnern, die ja auch Geld kosten.

Aufwand, Kosten und Ergebnis

Eine weitere Gemeinsamkeit ist bei allen Zertifizierungen gebauter Rechenzentren und des RZ-Betriebs, dass sie grundsätzlich persönlich und vor Ort durchgeführt werden. Auch TÜViT sieht sich die Baupläne etc. im Zertifizierungsdurchlauf an, allerdings niemals unabhängig von der Bau-Zertifizierung. Die reine Design-Zertifizierung von Uptime dagegen ist – natürlich – eine reine Papierprüfung. TÜViT betont ferner die Interdisziplinarität seines Prüfungspersonals – niemand könne schließlich gleichermaßen Experte in IT-Sicherheit, Kühltechnik und effizienten Betrieb der Stromversorgungsanlagen sein. Oft werde daher, so Faulhaber, ein Antrag von mehreren Spezialisten durchgesehen, die, falls notwendig, auch vor Ort erscheinen. Für eine Prüfung veranschlagt der Manager zwischen 10 und 35 Manntage, verteilt nach Aufwand vor Ort und bei der vorherigen Dokumentenprüfung. Pro Manntag fallen branchenübliche Tagessätze an. Abweichungen im Zeitbedarf nach oben und unten sind selbstverständlich möglich.

Uptime betont die Praxiserfahrung seiner Prüfer im RZ-Bereich und die internationale Einheitlichkeit der Prüfungen, da die Prüfer weltweit eingesetzt werden. Fraglich ist aber, ob sich dieses Konzept auch dann durchziehen lässt, wenn Uptime tatsächlich in Europa stärker expandiert, oder ob man aus Effizienzgründen nicht am Ende doch eine europäische Prüfmannschaft aufbaut, die dann vielleicht auch einen explizit europäischen Blick auf die Rechenzentren entwickelt. Dazu wollte sich Uptime bei der Präsentation in München aber nicht äußern.

Was die Kosten angeht, bleibt Uptime eher kryptisch. Der Prüfungsaufwand sei schließlich nicht unerheblich. Bei einem Rechenzentrum für 20 Mio. US$ sollen die Kosten bei etwa 5 % liegen, mithin bei 100.000 US$ pro Zertifizierung. Für kleinere Rechenzentren gelte nicht in jedem Fall auch ein entsprechender Abschlag, schließlich gebe es Fixkosten, so Fullerton.

The Uptime Institute legt größten Wert darauf, dass nur es selbst die „echte“ (geschützte) Tier-Zertifizierung ausgebe, zu erkennen an der Angabe des Zertifizierungsniveaus in römischen Ziffern von I bis IV. Demgegenüber spricht TÜViT von Level 1 bis 4. Eine Eins in beiden Schreibweisen steht für das niedrigste, eine Vier für das höchste Schutzniveau.

TSI 4.0 nach EN 50600

Weitere Unterschiede ergeben sich durch die EN 50600. Aktuelle Prüfungen gibt es in drei Varianten: Für neue Datacenter empfiehlt TÜViT eine Prüfung nach TSI 4.0 (Trusted Site Infrastructure). Zudem ist die Zertifizierung nach der Vorversion 3.2 noch einige Jahre möglich, sie deckt bereits rund 90 % der EN-50600-Anforderungen ab. Diese empfiehlt Faulhaber beispielsweise Kunden, die eine Zertifizierung neu erwerben oder eine bestehende verlängern wollen, deren Anlagen aber nicht mehr allzu lange laufen sollen.

Zertifizierung-tuevit tsi 40.jpg
Schematische Darstellung der Erweiterungen und Veränderungen in TSI durch EN 50600. (Bild: TÜViT)

Die EN-50600-konforme Version bietet, wie auch die zugrunde liegende Norm, die Möglichkeit, für jeden Bereich ein bestimmtes Niveau anzustreben, das die Vorgaben erfüllt. So definiert sie für Kälteversorgung, Stromversorgung und Netzverkabelung vier Verfügbarkeitsklassen, weiter gibt es vier Schutzklassen und ein Schalenschutzkonzept, sodass der Schutz je nach RZ-Bereich unterschiedlich ausfallen kann, also zum Beispiel für den Rechnerbereich höher als für den öffentlich zugänglichen Sektor. Bei Management und Betrieb, beides ist in die Norm integriert, gibt es vier Realisierungsniveaus mit jeweils niveauangepassten Umsetzungsvorschlägen. Für das Gebäude dagegen sind keine unterschiedlichen Level vorgesehen. TÜViT prüft bei jeder Zertifizierung im Prinzip alle Kriterien, allerdings entfallen einzelne, sofern nur ein niedriges Level angestrebt wird.

Das heißt: Die akzeptablen Umsetzungsvarianten eines bestimmten Prüfkriteriums ändern sich also mit den Ansprüchen an die realisierte Lösung – je nachdem, welches Niveau das Rechenzentrum in dem betreffenden Bereich erreichen will. Praxisrelevant sind in erster Linie die Level 2 und 3.

Das Rechenzentrum insgesamt gilt am Ende auf der Stufe zertifiziert, die alle Bereiche erfüllen, wobei Abweichungen nach oben, zum Beispiel im Bereich Sicherheit, extra angegeben werden. Wann welcher Level erforderlich ist, ergibt sich aus der Risikoanalyse, die der erste Teil der Norm EN 50600 verpflichtend fordert. Wie diese aber abzulaufen hat, ist den Anwendern weitgehend freigestellt. Zudem gibt es Bereiche, in denen die Norm es einzelnen europäischen Ländern überlässt, beispielsweise strengere Regeln durchzusetzen. „EN 50600 ist eher Rezeptbuch als Checkliste“, betont Faulhaber, und entsprechend komplex sind die Vorüberlegungen der Kunden und die Zertifizierungen der Prüfer. Die voll zur EN 50600 kompatible TSI 4.0 prüft unterm Strich 166 bekannte Kriterien sowie 18 neue, die mit der Europanorm hinzugekommen sind. Die bisherigen Kriterien wurden im Vergleich zur Vorgängerversion teilweise umformuliert, was aber nicht immer auf eine Verschärfung hinausläuft. Dabei geht es oft sehr ins Detail.

Neue Kriterien der EN-50600-konformen TSI-4.0-Zertifizierung

  • Bau: Zugangswege und gesicherte Anlieferung, Umsetzung eines Schutzzonen-Schalenkonzepts.
  • Sicherheitssystem und -organisation: sichere Alarmübertragung.
  • Verkabelung: Struktur der Kommunikationsverkabelung, redundante, separierte Telekommunikationskabelführung, Ausführung von Kreuzungspunkten, Schutz der Datenleitungen vor Störquellen, Kabelführung bei Schränken und Gestellen, WAN-Versorgung über mindestens zwei Provider.
  • Organisation: Lifecycle Management, Kundenmanagement, Erfassung wichtiger Schlüsselindikatoren.
  • Dokumentation: Standortgutachten bei Neubauprojekten, Dokumentation der Telekommunikationsverkabelung, Leistungsbedarfsrechnung und Auslegungsvorgaben, Klimatisierungskonzept, Regelungen für RZ-Kunden bei Fremdvermietung.

Und schließlich kommt in EN 50600 das Thema IT-Sicherheit in Form von Einrichtungen und Prozessen vor – von der sicheren Beleuchtung des RZ-Umfelds bis zur Datenverschlüsselung. TÜViT hat Sicherheitsthemen allerdings schon in den Vor-Norm-Zeiten zum Prüfungsbestandteil gemacht.

Hier klafft, zumindest was die europäischen Rechenzentren angeht, eine Lücke im Prüfprogramm des Uptime Institutes. Pressesprecher Moinuddin schreibt in der erwähnten Anfrage:

„Sicherheit ist üblicherweise eine übergeordnete Unternehmensfunktion und wird determiniert durch den Standort, die Branche, die üblichen Vorgehensweisen im Unternehmen, seine Geschichte sowie andere Faktoren. Die Einordnung in einen Sicherheitsbereich des Unternehmens diktiert meist, wie Sicherheitsmaßnahmen gehandhabt werden. Wir glauben nicht, dass Sicherheit im RZ fehlt. Es wird viel Aufmerksamkeit auf das Thema gerichtet, aber es ist kein wichtiger Grund von Rechenzentrumszwischenfällen und Betriebsunterbrechungen. In unserer Datenbank [von RZ-Zwischenfällen] haben wir nicht einen einzigen Zwischenfall registriert, der auf eine Durchbrechung von Sicherheitsmaßnahmen zurückgeht.“ (Übersetzung aus dem Englischen: A. R.)

Es bleibt jedem Anwender selbst überlassen, ob ihm das ausreicht – der Europanorm jedenfalls reicht es nicht.

Strategien nach dem Brexit

Insofern wird es wohl stark von der weiteren Brexit-Entwicklung abhängen, wie Uptime auf den kontinentaleuropäischen Märkten agiert, wo in Zukunft die Norm gilt. Will Uptime dortige Kunden in nennenswertem Umfang überzeugen, könnte man spekulieren, dass über kurz oder lang eine Erweiterung der Prüfkriterien erfolgen dürfte. Auch die Einrichtung einer Niederlassung auf dem europäischen Festland dürfte sich dann empfehlen.

Sucht Uptime aber angesichts der politischen Entwicklung und der Eigenheit europäischer Normen doch lieber in den angestammten Märkten und Großbritannien nach neuen Kunden, dürfte sich die europäische Aufstellung mit London als Zentrale bewähren.

Nützliche Links