Die neuen Hochburgen von Datensicherheit: So funktioniert ein deutsches Tier-3-Data-Center in Zeiten von EU-DSGVO und US-CLOUD ACT
Daten sind im Zeitalter der Digitalisierung ein kostbarer Rohstoff für alle Unternehmen. Entsprechend empfindlich hat die DSGVO auch deutsche Unternehmen getroffen. Bei ihren Prozessen hängen oftmals externe Datenzentren mit in der Verarbeitungskette. Insider-Einblicke legen offen, wie und wo Daten in einem Data Center der neuen Generation verarbeitet werden und wie die Sicherheit vor Datenverlust oder -diebstahl gewährleistet wird. Denn auch aus den USA droht mit dem US CLOUD Act neuer Ungemach.
Ein Fachartikel von Jędrzej Jastrzębowski, Dipl.-Ing. und Data Center Manager, Comarch.
Data Center sind moderne Anlagen für die Datenverarbeitung und -speicherung, die Unternehmen eine Alternative zum Ausbau eigener IT-Infrastruktur bieten. Planung und Bau von Rechenzentren sind komplexe, langwierige Prozesse mit hohem Investitionsbedarf. Für zahlreiche Unternehmen ist es kostengünstiger, auf die Dienstleistungen eines professionellen Rechenzentrumsbetreibers zurückzugreifen. In Dresden betreibt Comarch ein eigenes Data Center, das 2013 gemäß TIA-942 Rated-3-/Tier-3-Standard aufgebaut wurde.
Übersicht über die Tier-Standards*
Tier I
Begrenzter Schutz gegen physikalische Ereignisse
Keine Redundanzen
99.671% Verfügbarkeit
1.729 Minuten maximale Downtime im Jahr
Tier II
Verbesserter Schutz gegen physikalische Ereignisse
Redundante Kapazitätskomponenten und ein einzelner, nicht redundanten Verteilungspfad
Teilweise Redundanzen bei Stromversorgung und Kühlung
99.741% Verfügbarkeit
1.361 Minuten maximale Downtime im Jahr
Tier III
Schutz gegen die meisten physikalischen Ereignisse
Redundante Kapazitätskomponenten und mehrere unabhängige Verteilungspfade
N+1 Fehlertoleranz
72 Stunden Schutz vor Stromausfall
99.982% Verfügbarkeit
95 Minuten maximale Downtime im Jahr
Tier IV
Schutz gegen fast alle physikalischen Ereignisse
Redundante Kapazitätskomponenten und mehrere unabhängige Verteilungspfade, die alle aktiv sind
2N+1 komplett redundant
96 Stunden Schutz vor Stromausfall
99.995% Verfügbarkeit
26 Minuten maximale Downtime im Jahr
Die Datenverarbeitung erfolgt hier in Deutschland gemäß strengsten europäischen Datenschutzrichtlinien. Um Datenverluste auszuschließen, wird eine regelmäßige Datensicherung unter Berücksichtigung aller rechtlichen Vorgaben und Best Practices sowie strengsten Vorgaben von Kunden durchgeführt. Hier werden so namhafte Comarch-ICT-Kunden aus Deutschland wie Idealo, Metro, Esselte, E-Plus, Schnellecke, Silkes Weinkeller von Burda Direct betreut und alle Daten gehostet.
Seit 2013 können aus dem neu gebauten Comarch Rechenzentrum in Dresden die Comarch Cloud Produkte ebenso wie IT-Services von Comarch mit hohen Ansprüchen an Verfügbarkeit, Sicherheit, Performance und Skalierbarkeit bezogen werden.
Auf zwei Stockwerken und ca. 320 m² Nutzungsfläche verteilt, bietet jedes der beiden Comarch Data Center Platz für ca. 60 Serverschränke und kann damit etwa 2.500 Höheneinheiten für physische Serversysteme fassen. Das Rechenzentrum in Dresden entspricht dem Tier-3-Standard und ist eines der sichersten Rechenzentren der Region Dresden und Mitteldeutschland. Das neue Comarch Data Center ist bereits das zweite Rechenzentrum, aus welchem heraus Comarch in Deutschland Services anbietet (Berlin und Dresden). Insgesamt verfügt Comarch über 15 Rechenzentren weltweit. Das neueste Rechenzentrum in Frankreich befindet sich in Lille.
Um die hohen Sicherheitsstandards zu gewährleisten, wurden zwei Trafostationen und Verteilereinheiten für einen ausfallsicheren Betrieb installiert. Sollte das öffentliche Stromnetz einmal ausfallen, stehen Batterien (sogenannte USVs) für 15 Minuten (unter voller RZ-Last) zur Aufrechterhaltung der Versorgungssicherheit zur Verfügung. Dies ist eine sichere Zeitspanne für den Stromgenerator, um automatisch zu starten. Ein neun Tonnen schweres Dieselaggregat, welches auf dem Dach des Neubaus installiert ist, stellt sicher, dass die Server auch längere Stromausfälle unbeschadet überstehen. Mit einem 20.000 Liter umfassenden Dieseltank und einem externen Tankanschluss werden sogar Tier-4-Anforderungen hinsichtlich Notstrom erfüllt. Um die Rechenzentren, trotz hoher Wärmeabgabe der Serversysteme, auf einer gleichmäßig niedrigen Temperatur zu halten, wurden ebenfalls zwei Kaltwassersätze mit einer Kühlleistung von je 550 kW installiert, die vier Kaltwasserspeicher mit insgesamt 24.000 Liter Wasservolumen kühlen. Beim unwahrscheinlichen Fall einer Rauchentwicklung innerhalb eines Rechenzentrums detektieren Rauchmelder die Gefahrenstellen und fluten den Rechenraum mit einem ungiftigen Löschgas (Inergen), das eine mögliche Brandentwicklung verhindert.
Sechs Stufen Sicherheit
Das Data Center in Dresden verfügt über ein mehrstufige Sicherheit nach internationalen Standards: Erster Punkt ist die physische Sicherheit. Wirklich sichere Rechenzentrumsgebäude werden 24/7/365 überwacht und verfügen über eine ausgewiesene Sicherheitszone inklusive Kontrolle des Mitarbeiterzutritts zu jeder Zone sowie eine ICT-Sicherheitsschicht und eine Umgebungssicherheit.
An zweiter Stelle steht eine redundante Stromversorgung. Das Data Center wird durch Mehrfach-Stromversorgung abgesichert, zum Beispiel -N +1-Generatoren und ein USV-System.
Hinzu kommt die Umgebungssicherheit. Das vollklimatisierte Rechenzentrum ist in mehrere Brandzonen eingeteilt. Umfangreiche Schutzfunktionen sichern das Data Center gegenüber Feuer und eindringendem Wasser. Das Brandschutzsystem basiert auf Inergen und FM200.
Daneben besteht eine Sicherung durch Backup und Archivierung. Die Rechenzentren von Comarch bieten modernste Schutzeinrichtungen gegen virtuelle Zutritte. Daten werden über verschlüsselte Kanäle versandt und sind innerhalb des Rechenzentrums durch eine mehrfach redundant ausgelegte Infrastruktur gesichert, wie z.B. durch Shared Storages oder Shared Backup Systeme.
Abschließend spielt das Monitoring eine wichtige Rolle, im Falle vom Data Center Dresden erfolgt die technische Überwachung per Comarch Network Operations Center sowie Security Operations Center (NOC und SOC). Ein Team aus Ingenieuren und Spezialisten aus unterschiedlichen IT-Fachgebieten überwacht den Betrieb der ihnen übertragenen Systeme und Geräte, bearbeitet Vorfälle entsprechend den ITIL-Best-Practice-Regeln und ist auch für die Termintreue der zu erbringenden Leistungen und deren Koordinierung sowie das Berichtswesen verantwortlich.
Als zugeschaltete Ebenen kann nun noch eine Absicherung über Disaster Recovery Service hinzugeschaltet werden.
Für den Fall der Fälle: Disaster Recovery Service
So gibt es die Möglichkeit, durch Rückgriff auf Disaster Recovery Service höchstmöglichen Schutz gegen Datenverlust sicherzustellen. In einem aktuellen Projekt entschied sich ein großes Unternehmen aus Deutschland für die moderne Warenwirtschaftslösung Comarch ERP Enterprise und führte diese 2018 deutschlandweit an. Die Lösung wird im Comarch Data Center Dresden gehostet. Zudem wurde ein Disaster Recovery Service im Comarch Data Center Berlin eingerichtet. Comarchs Leistungen umfassen auch den Mailserver und das Backup. Diesen Disaster Recovery Service stellt Comarch im Comarch Data Center Berlin bereit. Für den unwahrscheinlichen Fall, dass die Verbindung, die Infrastruktur oder die Software im Comarch Data Center Dresden aufgrund unvorhersehbarer Ereignisse ausfallen sollten, wird manuell nach Berlin umgeschaltet, so dass das Unternehmen absolut unterbrechungsfrei von dort weiterarbeiten kann. So ist sichergestellt, dass keinerlei Datenverlust in der Datenbank entsteht.
Data Center sind darauf ausgelegt, den hohen Anforderungen an Informationszugang und -sicherheit zu genügen und werden entsprechend überprüft. Regelmäßige Checks, durch unabhängige Prüfgesellschaften und die Kunden der Data-Center-Dienstleistungen selbst, bestätigen in regelmäßigen Abständen, dass rechtliche und branchenspezifische Standards für Rechenzentren eingehalten werden (d.h. Tier3 TIA -942, ISO 27000, ISAE3402, ITIL v3). Darunter fallen etwa physische Sicherheit (Umgebungssicherheit, ICT-Sicherheitsschicht) und garantierte Servicequalität (SLA).
DSGVO & Co: Physischer und ideeller Schutz müssen Hand in Hand gehen
Der physische Schutz der Daten ist die eine Seite der Medaille, die andere ist die Einhaltung aller wichtigen Regularien, darunter aller Datenschutzrichtlinien. Die Neuerungen der EU-Datenschutzgrundverordnung (DSGVO) betreffen u. a. den Umfang von Verpflichtungen und Verantwortlichkeiten hinsichtlich des Schutzes personenbezogener Daten. Verbindlich ist die neue Verordnung für Unternehmen sowie für Daten-Controller (auch Datenverantwortliche genannt) und jene, die ihren Anweisungen unterstehen – wie z. B. Anbieter für Cloud-Computing-Dienste.
Insofern ist es für Nutzer eines Data Centers essentiell, absolute Transparenz im Unternehmen herzustellen und auch mit den Cloud-Dienstleisters entsprechende Verträge zu unterzeichnen: Welche Daten sind an welchen Stellen gespeichert, wie lässt sich dies nachweisen und auf Wunsch die Datenlöschung umsetzen?
- Personenbezogene Daten nur zweckgebunden verwalten und auf diese Daten nur denjenigen Personen Zugriff gestatten, die für die Durchführung des Zweckes verantwortlich sind Änderung von personenbezogenen Daten protokollieren
- Weitergabe von personenbezogenen Daten beschränken
- Weitergabe (Exporte aus dem ERP-System) von personenbezogenen Daten protokollieren
- Zugriff auf personenbezogene Daten beschränken
- Nachweis über gespeicherte Daten einer Person erbringen
- Löschen von personenbezogenen Daten ermöglichen
Dabei sind personenbezogene Daten alle Information, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Davon sind alle Unternehmen im Rechtsraum der EU betroffen, selbst wenn sie weniger als 250 Mitarbeiter beschäftigen.
Andere Länder, andere Sitten und Verordnungen?
Mit dem Standort in Deutschland ist das Comarch Data Center den strengen rechtlichen Anforderungen von Bundes- und EU-Recht unterworfen. Europäische Datenschutzrichtlinien und nationale Gesetze stellen weltweit eines der höchsten Schutzniveaus für private Daten sicher. Zurecht verlangen die Endverbraucher die Sicherstellung dieses Niveaus. Speicherorte von Vertragspartnern außerhalb der Europäischen Union, etwa in den Vereinigten Staaten, können diese Richtlinien und Gesetze verletzen, da sie von den gesetzlichen Vorschriften her nicht verpflichtet sind, diese einzuhalten. Umgekehrt bieten durchaus Europäische Konzerne in den Vereinigten Staaten Speicherorte für private Daten nach Europäischen Datenschutzgesetzen und Richtlinien an. Laut DSGVO sind zwar alle Anbieter von Dienstleistungen dieser EU-Regelung unterworfen, jedoch ist eine Sicherstellung vor Ort auf der anderen Seite des Kontinents nicht ohne weiteres möglich. Daher ist es immer empfehlenswert, einen europäischen Konzern bei der Auswahl des Cloud Anbieters in Betracht zu ziehen, idealerweise, wenn er einen Speicherort innerhalb der EU anbietet. Darüber hinaus sollte der Anbieter vertraglich darauf verpflichtet werden, die EU-Richtlinien anzuwenden, insbesondere dann, wenn der Speicherort außerhalb des EU-Gebiets liegt. Gerade bei US-amerikanischen Anbietern müssen deren Kunden eine wichtige Sache beachten: Der US CLOUD Act steht der EU-DSGVO gegensätzlich gegenüber. CLOUD steht bei diesem Gesetz als Abkürzung für „Clarifying Lawful Overseas Use of Data“. Betreiben US-Firmen eigene Rechenzentren in Deutschland oder im Rechtsraum der EU, so sind sie seit März 2018 durch dieses Gesetz zur Kooperation mit US-Ermittlungsbehörden verpflichtet. Auf Nummer sicher können deutsche Unternehmen also nur gehen, wählen sie einen deutschen oder europäischen Data-Center-Anbieter.
Gibt es generell eine DSGVO-Zertifizierung?
Obwohl das Data Center also alle rechtlichen Anforderungen erfüllt, kann es sich dennoch nicht mit einer DSGVO-Zertifizierung schmücken. Aber dies kann kein Anbieter. Insofern sollte man Versprechungen wie „DSGVO-zertifiziertes Data Center“ äußerst skeptisch gegenüberstehen. Es gab eine solche Zertifizierung bei Inkrafttreten der DSGVO noch nicht, da den Zertifizierungsstellen bzw. zuständigen Aufsichtsbehörde noch keine Kriterien vorlagen. Der Europäische Datenschutzausschuss und die nationalen Aufsichtsbehörden arbeiten derzeit an diesen Kriterien.
Weitere Informationen zu Comarch
Artikel vom 12.11.2018
Schlagwörter: ERP
- Business Software
- Softwareauswahl
- Softwareanbieter
- ERP-Software
- BI-Software
- HR-Software
- DMS/ECM-Software
- CRM-Software
- Neutrale Beratung
- Softwareberatung
- Philosophie
- Projektbegleitung
- Expertentag
- Systemintegration
- Vertragsprüfung
- Warum Beratung?
- Referenzen
- News & Studien
- SoftTrend IT Studien
- Software Guides
- SoftTrend IT News / Artikel
- Marktforschung
- Marktforschungsbereiche
- Auftragsstudien
- Partnerrecherche
- Anwenderbefragungen
- Benchmark Tests
- Events & Stellenangebote
- IT-Veranstaltungen
- IT-Stellenangebote
- Software Know-how
- Wissenspool
- Anwenderberichte
- Whitepapers
- Webcasts / Videos
- Glossar / Lexikon
Seiteninterne Suche auf SoftSelect.de
Aktuelle Business IT News
Pressemeldungen kommen mit dem SoftSelect Newsletter direkt in den Posteingang von über 7000 IT-Entscheidern. Wollen Sie nicht auch die Bekanntheit Ihrer Firma steigern?
IFS: So wird KI die Fertigungsbranche im Jahr 2025 verändern
Uwe Meiselbach erhält Prokura für die Comarch AG
Time for new beginnings: Zukunft Personal feiert 25 Jahre mit konsequentem Blick nach vorn
Steuerberater sehen Notwendigkeit für Bürokratieabbau und steuerliche Entlastungen
Fragen zur Business-Software-Auswahl
Zufallsfrage rund um den ERP-, CRM-, Service Management- und Human Resources- Business-Software-Auswahlprozess, beantwortet von unseren Experten.
Die Zufriedenheit der Anwender mit dem ERP-/CRM-/HR-System ist gering – was kann man tun?
Diese und weitere Fragen werden von unseren Experten unter Expertenfragen beantwortet.