Standortwahl von Rechenzentren als Teil eines IT-Sicherheitskonzepts (Redeker, ITRB 2024, 16)

IT-Sicherheit ist für jeden von uns von großer Bedeutung. Sie wird daher in vielen Gesetzen gefordert. Die folgende Darstellung beschäftigt sich mit einer von zahlreichen Maßnahmen zur Gewährleistung von IT-Sicherheit: der Standortwahl von Rechenzentren. In einem ersten Teil wird das Konzept der IT-Sicherheit kurz vorgestellt, die Verfügbarkeit als wichtiges Sicherheitskriterium definiert und in den Gesamtkontext Sicherheit eingeordnet. In der Folge wird anhand von Vorgaben des BSI dargestellt, welche Bedeutung die Standortwahl von Rechenzentren für die Verfügbarkeit hat und welche Kriterien bei der Standortwahl zu berücksichtigen sind. Abschließenden werden die Begriffe Betriebsredundanz und Georedundanz erörtert.

1. Verfügbarkeit als Teil der IT-Sicherheit

2. Vorgaben des BSI

a) Kriterienkatalog Cloud Computing

b) Kriterien für die Standortwahl von Rechenzentren

c) Redundanz von Rechenzentren


1. Verfügbarkeit als Teil der IT-Sicherheit

Die Sicherheit von IT-Systemen wird im Alltag für alle Menschen immer wichtiger. Eine steigende Anzahl von Gesetzen gibt daher den Unternehmen vor, dafür zu sorgen. Am häufigsten wird Art. 32 DSGVO genannt, der Sicherheit für die Verarbeitung personenbezogener Daten verlangt. Sie wird aber auch im Rahmen der Anforderungen an kritische Infrastrukturen in § 8a Abs. 1 BSIG oder in den Regelungen zur IT-Sicherheit bei Unternehmen im öffentlichen Interesse in § 8f BSIG angeführt.

Unter dem Begriff IT-Sicherheit wird ein Bündel von Maßnahmen verstanden, das den störungsfreien Ablauf von IT-Verfahren gegen Gefahren aller Art sichert. Dabei geht es nicht nur um die Sicherheit vor unerlaubten Zugriffen, Verfälschungen oder dem nicht autorisierten Löschen von Daten, z.B. durch Hackerangriffe. Es geht auch darum, dafür zu sorgen, dass IT-Systeme den Nutzern zu jeder Zeit zur Verfügung stehen. Schon in Art. 32 Abs. 1 Halbs. 2 Buchst. b DSGVO wird die Verfügbarkeit der Systeme als wichtiges Ziel technisch-organisatorischer Maßnahmen genannt. Letztlich sollen IT- Systeme nach den o.g. Vorschriften immer verfügbar sein. Dazu dienen insb. Backup-Speicherungen und Backup-Systeme. Hinzu kommt das Ziel der Belastbarkeit. Darunter wird die Fähigkeit des Systems verstanden, auch bei unvorhersehbaren Störungen verfügbar zu bleiben und selbst bei Ausfall rasch wieder zur Verfügung zu stehen.

Unabhängig von den genannten gesetzlichen Regelungen dürften sich ähnliche Überlegungen auch aus der unternehmerischen Sorgfaltspflicht generell ergeben, die Maßnahmen mit dem Ziel erfordert, sicherzustellen, dass das Unternehmen kontinuierlich arbeiten kann. In der öffentlichen Verwaltung wird das Ziel angestrebt, dass „wichtige Geschäftsprozesse störungsfrei ablaufen.“ Gesetzlich wird die Verfügbarkeit auch in den Zielen für die IT-Sicherheit bei kritischen Infrastrukturen in § 8a Abs. 1 BSIG ebenso wie in den Regelungen zur IT-Sicherheit bei Unternehmen im besonderen öffentlichen Interesse in § 8f Abs. 7 Nr. 1 BSIG genannt.

Dabei verlangt die Verfügbarkeit nicht nur den Schutz gegen gezielte digitale Angriffe wie DoS-Attacken. Auch der Schutz gegen (...)