3dmentat - Fotolia
Checkliste: Rechenzentrums-Compliance für Administratoren
Compliance in Rechenzentren ist kompliziert. Die Fülle an Branchenstandards und gesetzlichen Auflagen können Sie nur bewältigen, wenn alle Mitarbeiter an einem Strang ziehen.
Rechenzentren müssen nachweisen, dass sie den branchenüblichen Standards entsprechen. Diese kurze Checkliste kann Rechenzentren dabei helfen, die Sicherheit von Daten und Infrastruktur zu gewährleisten.
Data Center handeln im Auftrag ihrer Kunden und sind für die Sicherheit bei der Verarbeitung ihrer Daten verantwortlich. Ein einziger Datenverlust oder Sicherheitsverstoß kann für diese Kunden verheerende Folgen haben, aber auch Ihr Rechenzentrum selbst ist davon betroffen.
Eine wirksame Strategie zur Einhaltung von Vorschriften hilft Rechenzentren dabei, sensible Daten zu schützen. Eine Compliance-Strategie bildet die Grundlage für hochverfügbare Services und fördert die Kundenzufriedenheit auf lange Sicht.
Einrichtungen, die sich daran machen möchten, eine ebensolche Strategie zu erarbeiten, erhalten mit unserer Checkliste einen Ausgangspunkt, um sich nach Mitteln und Wegen umzusehen, die zu ihrem Betrieb passen.
1. Administratoren und Kunden auf den gleichen Stand bringen
Datensicherheit betrifft oft einzelne, konkrete Gruppen innerhalb des Unternehmens besonders. Echte Compliance-Erfüllung im Rechenzentrum erfordert, dass alle Mitarbeiter des Unternehmens diese Anforderungen verstehen und sich der Sicherheit von Daten verpflichtet fühlen. Administratoren im Rechenzentrum müssen sich mit den Compliance-Teams der Kunden abstimmen, um eine vollständige Einhaltung und Abdeckung zu gewährleisten.
Sie sollten die Zustimmung der leitenden Angestellten der betreffenden Teams einholen und sich erklären lassen, wie die Beziehungen zwischen den Abteilungen funktionieren. Die Administratoren sollten außerdem festhalten, welche Rolle jedes Team und jedes Mitglied in der Strategie spielt. Diese Transparenz erhöht die Chancen auf Akzeptanz und sorgt dafür, dass die Prozesse und Verfahren eingehalten werden, weil die Mitarbeiter verstehen, warum sie diese einhalten müssen.
2. Die richtigen Compliance-Richtlinien anwenden
Für verschiedene Compliance-Standards gelten unterschiedliche Richtlinien. Jeder Betrieb unterliegt beispielsweise der DSGVO, wie sie im BDSG-neu (Bundesdatenschutzgesetz neu) festgelegt ist. Doch hinzukommen weitere, gesonderte gesetzliche Vorgaben für Kunden mit Berufsgeheimnissen (Ärzte, Juristen, Finanzsektor), für gesundheitsbezogene Daten, für Daten aus Kirchen, Behörden und der Telekommunikation, sowie andere Branchen mit kritischer Infrastruktur.
Sie können einige Beispiele auf der Seite des Bundesamts für Sicherheit in der Informationstechnik einsehen.
Außerdem haben Sie die Option, sich hinsichtlich der Erfüllung ausgewählter ISO- und EN-Normen – insbesondere die ISO 27001 und die EN 50600 – sowie branchenspezifischer Normen zertifizieren zu lassen.
3. Zeitpläne für Compliance-Audits lernen
Rechenzentren müssen lernen, ihren Betrieb und ihre Infrastruktur ständig zu überprüfen. Kleine Audits und Aktualisierungen laufender täglicher Prozesse halten die Betriebsbereitschaft aufrecht, und eingehende, intensive Audits überprüfen die Einhaltung der Daten. Externe Inspektoren, zum Beispiel der TÜV, führen Konformitätsprüfungen in festen Zyklen alle paar Jahre oder jährlich durch, das heißt, dass Sie mit mehreren Zertifikaten manchmal mehrere Prüfungen im Jahr durchführen müssen.
Sowohl die Mitarbeiter des Rechenzentrums als auch die Kunden müssen den Zeitplan für diese Audits kennen, da sie in manchen Fällen den regulären Betrieb der Einrichtung beeinflussen können. Sie sollten diese Informationen in alle Service Level Agreements in den Kundenverträgen aufnehmen, um die betriebliche Transparenz zu gewährleisten.
4. Compliance-Nachweise verstehen
Rechenzentren können ihre Konformität nachweisen, indem sie die Zertifikate und Bescheinigungen, die sie erhalten, veröffentlichen. Was Sie veröffentlichen sollten, hängt von der jeweiligen Audit-Richtlinie ab. Prüfdienste von Drittanbietern vergeben diese Zertifikate und bewerten regelmäßig den Betrieb sowie die Infrastruktur des Rechenzentrums.
Welche Zertifizierungen ein Rechenzentrum benötigt, hängt von seinen Kunden und deren spezifischen Gesetzes- und Normenlage ab. Stellen Sie also sicher, dass sie Ihr Wissen auch zu den branchenspezifischen Standards Ihrer Mandanten immer aktuell halten.
5. Entwickeln Sie einen Prozess, um normenkonform zu bleiben
Es ist wichtig, dass Ihre Mitarbeiter sich laufend an die Normen halten, gemäß derer Sie zertifiziert sind, auch, wenn gerade kein Audit stattfindet. Beispiele für Prozesse und Verfahren sind:
- Identifizieren von Sicherheitslücken. Lassen Sie Ihre Rechenzentrumsadministratoren regelmäßig eine Bestandsaufnahme des Netzwerks durchführen, um Sicherheitsrisiken, Schwachstellen und Gefährdungen aufzudecken.
- Überprüfung der physischen Sicherheit. Stellen Sie regelmäßig die Funktionalität von Sicherheitsschleusen, Perimeterschutz, Einbruchswarnsystemen und Brandschutz sicher. Vergessen Sie auch nicht die Wartung Ihrer unterbrechungsfreien Stromversorgung, Videoanlage und Klimatechnik.
- Management von Vorfällen. Jedes Rechenzentrum benötigt einen dokumentierten, jederzeit zugänglichen Notfallplan. Halten Sie darin fest, welche Rollen welchem Mitarbeiter im Notfall zukommen und welche ersten Schritte in welcher Situation erforderlich sind – zum Beispiel welche Stellen wer und auf welchem Weg informieren muss.
- Schulungen. Manager sollten festlegen, welche Schulungen neue Mitarbeiter besuchen müssen und regelmäßige Fortbildungen und Trainings für die Belegschaft durchführen. Besonderes Augenmerk sollten Sie darauf legen, dass Mitarbeiter die richtigen Anlaufstellen kennen, wenn sie einen Compliance-Verstöße zu melden haben.