Zugangskontrolle im Rechenzentrum: Tier-Normen

Deutsche Rahmenbedingungen

Deutschland ist einer der größten Rechenzentrumsstandorte Europas, mit Schwerpunkten in Frankfurt, Berlin, Hamburg und München. Die DIN EN 50600-Reihe (Informationstechnik – Einrichtungen und Infrastrukturen von Rechenzentren) ist die maßgebliche europäische Norm; Teil 2-5 behandelt physische Sicherheit. Das BSI IT-Grundschutz-Kompendium (Baustein INF.2 Rechenzentrum sowie Serverraum) beschreibt detaillierte physische Sicherheitsanforderungen. Das KRITIS-Dachgesetz und das BSI-Gesetz (BSIG) verpflichten Betreiber kritischer Infrastrukturen zu nachweisbaren physischen Sicherheitsmaßnahmen. ISO 27001 Annex A.7 ist Mindeststandard für ISO-zertifizierte Rechenzentren.

Schlüsselbegriffe

Uptime Institute Tier

Klassifizierungssystem für Rechenzentren von Tier I (Basis) bis Tier IV (fehlertolerant). Höhere Tiers erfordern strengere physische Sicherheit.

DIN EN 50600-2-5

Europäische Norm, die Sicherheitsklassen für Rechenzentren von Klasse 1 (geringes Risiko) bis Klasse 4 (sehr hohes Risiko) definiert.

Personenschleuse (Mantrap)

Schleuse mit zwei Türen, die nicht gleichzeitig geöffnet sein können. Standard ab Sicherheitsklasse 3 in Rechenzentren.

Zwei-Faktor-Authentisierung

Zutritt erfordert zwei unabhängige Identifikationsmittel, z. B. Ausweis plus Fingerabdruck oder Ausweis plus PIN.

Escort Policy

Pflicht, dass Besucher und Dienstleister im Rechenzentrum stets von einem autorisierten Mitarbeitenden begleitet werden.

Was das Gesetz fordert

Die DIN EN 50600-2-5 definiert vier Sicherheitsklassen. Klasse 1 genügt ein Standardzutrittskontrollsystem. Klasse 2 erfordert zusätzlich Videoüberwachung und Besucherregistrierung. Klasse 3 schreibt eine Personenschleuse, Zwei-Faktor-Authentisierung und ständige Besetzung vor. Klasse 4 ergänzt dies um biometrische Verifikation, bewaffnete Sicherheit und Kompartimentierung der Rechenzentrumsräume.

Das Uptime Institute stellt keine expliziten Sicherheitsanforderungen je Tier, jedoch erwarten Kunden von Tier-III- und IV-Rechenzentren in der Praxis Sicherheitsklasse 3 oder 4. Bei Zertifizierungsaudits wird physische Sicherheit als Bestandteil der betrieblichen Robustheit bewertet. ISO 27001-Zertifizierung – Standard in der Rechenzentrumsbranche – verlangt nachweisbare physische Zugangskontrolle gemäß Annex A.7.

Für den Facility Manager eines Rechenzentrums bedeutet das: ein striktes Zonenmodell (Perimeter, Gebäude, Rechenzentrumsraum, Rack-Reihe), kontrollierter und protokollierter Zutritt an jeder Zonengrenze, permanente Überwachung durch Kameras und Personal sowie eine Escort Policy für alle Nicht-Mitarbeitenden. Alle Zutrittsprotokolle müssen mindestens zwölf Monate aufbewahrt werden. Testen Sie das Gesamtsystem quartalsweise einschließlich des Failover-Verhaltens bei Stromausfall – Türen müssen bei Spannungsausfall in den sicheren Zustand übergehen, d. h. verriegeln, nicht öffnen.