Sicherheit und Zutrittskontrolle im Rechenzentrum

Deutsche Rahmenbedingungen

Die DSGVO verlangt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (Art. 32). Die deutschen Datenschutzbehörden können bei unzureichender physischer Sicherheit Bußgelder verhängen. DIN EN ISO 27001 (Informationssicherheit) und SOC 2-Prüfungen stellen explizite Anforderungen an die physische Zugangskontrolle von Rechenzentren. Das BSI-Grundschutz-Kompendium (Baustein INF.2) beschreibt konkrete Maßnahmen für physische Rechenzentren-Sicherheit und gilt als nationaler Referenzstandard.

Schlüsselbegriffe

Schleuse (Mantrap)

Doppelte Türkonstruktion, bei der die erste Tür geschlossen sein muss, bevor die zweite öffnet. Verhindert Tailgating (Mitlaufen) und ist Standard in gesicherten Zonen von Rechenzentren.

Mehr-Faktor-Authentifizierung

Zutritt erfordert mindestens zwei Verifikationsmethoden: etwas, das Sie haben (Ausweis/Badge), etwas, das Sie wissen (PIN), oder etwas, das Sie sind (Biometrie).

Zonenkonzept

Einteilung des Rechenzentrums in Sicherheitszonen mit aufsteigenden Restriktionsstufen: Gelände, Gebäude, Rechenzentrumsraum, Rackreihe, einzelnes Rack.

Besucherprotokoll

Verfahren zur Registrierung, Identifizierung, Begleitung und Protokollierung von Besuchern. Kunden und Lieferanten erhalten niemals unbegleiteten Zutritt zu Serverräumen.

Videoaufzeichnungsaufbewahrung

Aufbewahrungsdauer von Videoüberwachungsaufnahmen. Gemäß DSGVO maximal 72 Stunden bis 4 Wochen, sofern kein längeres Interesse nachweisbar; vertragliche Anforderungen (SOC 2) können 90 Tage fordern.

Was das Gesetz verlangt

Die DSGVO verpflichtet Verantwortliche zu geeigneten Sicherheitsmaßnahmen. Für Rechenzentren bedeutet dies physische Zugangskontrolle, Protokollierung aller Zutritte, Videoüberwachung und Notfallreaktionsverfahren. Die Aufsichtsbehörden beurteilen, ob Maßnahmen dem Risiko angemessen sind; für Rechenzentren mit personenbezogenen Daten liegt die Messlatte hoch.

ISO 27001 Anhang A enthält spezifische Maßnahmen für physische Sicherheit (A.7): gesicherte Bereiche, Zugangskontrolle, Schutz vor externen Bedrohungen und sichere Entsorgung von Geräten. Das BSI-Grundschutz-Baustein INF.2 beschreibt konkrete Maßnahmen für den Rechenzentrumsbetrieb und wird in deutschen Behörden und Unternehmen als Referenz eingesetzt. SOC 2 Trust Services Criteria verlangen die Protokollierung aller physischen Zutritte mit Aufbewahrungspflicht.

Sie sind als FM-Fachmann für die operative Umsetzung verantwortlich: das Funktionieren der Zugangssysteme, die Pflege von Berechtigungslisten, die regelmäßige Überprüfung von Zugriffsrechten und die Archivierung von Protokolldateien. Dokumentieren Sie Ihre Sicherheitsverfahren und testen Sie sie regelmäßig. Auditoren erwarten nachweisbare Einhaltung, nicht nur beschriebene Richtlinien.