Die neuen Hochburgen von Datensicherheit: So funktioniert ein deutsches Tier-3-Data-Center in Zeiten von EU-DSGVO und US-CLOUD ACT

Die neuen Hochburgen von Datensicherheit: So funktioniert ein deutsches Tier-3-Data-Center in Zeiten von EU-DSGVO und US-CLOUD ACT

Daten sind im Zeitalter der Digitalisierung ein kostbarer Rohstoff für alle Unternehmen. Entsprechend empfindlich hat die DSGVO auch deutsche Unternehmen getroffen. Bei ihren Prozessen hängen oftmals externe Datenzentren mit in der Verarbeitungskette. Insider-Einblicke legen offen, wie und wo Daten in einem Data Center der neuen Generation verarbeitet werden und wie die Sicherheit vor Datenverlust oder -diebstahl gewährleistet wird. Denn auch aus den USA droht mit dem US CLOUD Act neuer Ungemach.

Ein Fachartikel von Jędrzej Jastrzębowski, Dipl.-Ing. und Data Center Manager, Comarch

 

Data Center sind moderne Anlagen für die Datenverarbeitung und -speicherung, die Unternehmen eine Alternative zum Ausbau eigener IT-Infrastruktur bieten. Planung und Bau von Rechenzentren sind komplexe, langwierige Prozesse mit hohem Investitionsbedarf. Für zahlreiche Unternehmen ist es kostengünstiger, auf die Dienstleistungen eines professionellen Rechenzentrumsbetreibers zurückzugreifen. In Dresden betreibt Comarch ein eigenes Data Center, das 2013 gemäß TIA-942 Rated-3-/Tier-3-Standard aufgebaut wurde.

Übersicht über die Tier-Standards*

Tier I

  • Begrenzter Schutz gegen physikalische Ereignisse
  • Keine Redundanzen
  • 99.671% Verfügbarkeit
  • 1.729 Minuten maximale Downtime im Jahr

 

Tier II

  • Verbesserter Schutz gegen physikalische Ereignisse
  • Redundante Kapazitätskomponenten und ein einzelner, nicht redundanten Verteilungspfad
  • Teilweise Redundanzen bei Stromversorgung und Kühlung
  • 99.741% Verfügbarkeit
  • 1.361 Minuten maximale Downtime im Jahr

 

Tier III

  • Schutz gegen die meisten physikalischen Ereignisse
  • Redundante Kapazitätskomponenten und mehrere unabhängige Verteilungspfade
  • N+1 Fehlertoleranz 
  • 72 Stunden Schutz vor Stromausfall
  • 99.982% Verfügbarkeit
  • 95 Minuten maximale Downtime im Jahr

 

Tier IV

  • Schutz gegen fast alle physikalischen Ereignisse
  • Redundante Kapazitätskomponenten und mehrere unabhängige Verteilungspfade, die alle aktiv sind
  • 2N+1 komplett redundant 
  • 96 Stunden Schutz vor Stromausfall
  • 99.995% Verfügbarkeit
  • 26 Minuten maximale Downtime im Jahr

 


Die Datenverarbeitung erfolgt hier in Deutschland gemäß strengsten europäischen Datenschutzrichtlinien. Um Datenverluste auszuschließen, wird eine regelmäßige Datensicherung unter Berücksichtigung aller rechtlichen Vorgaben und Best Practices sowie strengsten Vorgaben von Kunden durchgeführt. Hier werden so namhafte Comarch-ICT-Kunden aus Deutschland wie Idealo, Metro, Esselte, E-Plus, Schnellecke, Silkes Weinkeller von Burda Direct betreut und alle Daten gehostet.

Seit 2013 können aus dem neu gebauten Comarch Rechenzentrum in Dresden die Comarch Cloud Produkte ebenso wie IT-Services von Comarch mit hohen Ansprüchen an Verfügbarkeit, Sicherheit, Performance und Skalierbarkeit bezogen werden.

Auf zwei Stockwerken und ca. 320 m² Nutzungsfläche verteilt, bietet jedes der beiden Comarch Data Center Platz für ca. 60 Serverschränke und kann damit etwa 2.500 Höheneinheiten für physische Serversysteme fassen. Das Rechenzentrum in Dresden entspricht dem Tier-3-Standard und ist eines der sichersten Rechenzentren der Region Dresden und Mitteldeutschland. Das neue Comarch Data Center ist bereits das zweite Rechenzentrum, aus welchem heraus Comarch in Deutschland Services anbietet (Berlin und Dresden). Insgesamt verfügt Comarch über 15 Rechenzentren weltweit. Das neueste Rechenzentrum in Frankreich befindet sich in Lille.

 


Um die hohen Sicherheitsstandards zu gewährleisten, wurden zwei Trafostationen und Verteilereinheiten für einen ausfallsicheren Betrieb installiert. Sollte das öffentliche Stromnetz einmal ausfallen, stehen Batterien (sogenannte USVs) für 15 Minuten (unter voller RZ-Last) zur Aufrechterhaltung der Versorgungssicherheit zur Verfügung. Dies ist eine sichere Zeitspanne für den Stromgenerator, um automatisch zu starten. Ein neun Tonnen schweres Dieselaggregat, welches auf dem Dach des Neubaus installiert ist, stellt sicher, dass die Server auch längere Stromausfälle unbeschadet überstehen. Mit einem 20.000 Liter umfassenden Dieseltank und einem externen Tankanschluss werden sogar Tier-4-Anforderungen hinsichtlich Notstrom erfüllt. Um die Rechenzentren, trotz hoher Wärmeabgabe der Serversysteme, auf einer gleichmäßig niedrigen Temperatur zu halten, wurden ebenfalls zwei Kaltwassersätze mit einer Kühlleistung von je 550 kW installiert, die vier Kaltwasserspeicher mit insgesamt 24.000 Liter Wasservolumen kühlen. Beim unwahrscheinlichen Fall einer Rauchentwicklung innerhalb eines Rechenzentrums detektieren Rauchmelder die Gefahrenstellen und fluten den Rechenraum mit einem ungiftigen Löschgas (Inergen), das eine mögliche Brandentwicklung verhindert.

 

Sechs Stufen Sicherheit

Das Data Center in Dresden verfügt über ein mehrstufige Sicherheit nach internationalen Standards: Erster Punkt ist die physische Sicherheit. Wirklich sichere Rechenzentrumsgebäude werden 24/7/365 überwacht und verfügen über eine ausgewiesene Sicherheitszone inklusive Kontrolle des Mitarbeiterzutritts zu jeder Zone sowie eine ICT-Sicherheitsschicht und eine Umgebungssicherheit.

An zweiter Stelle steht eine redundante Stromversorgung. Das Data Center wird durch Mehrfach-Stromversorgung abgesichert, zum Beispiel -N +1-Generatoren und ein USV-System.

Hinzu kommt die Umgebungssicherheit. Das vollklimatisierte Rechenzentrum ist in mehrere Brandzonen eingeteilt. Umfangreiche Schutzfunktionen sichern das Data Center gegenüber Feuer und eindringendem Wasser. Das Brandschutzsystem basiert auf Inergen und FM200.

Daneben besteht eine Sicherung durch Backup und Archivierung. Die Rechenzentren von Comarch bieten modernste Schutzeinrichtungen gegen virtuelle Zutritte. Daten werden über verschlüsselte Kanäle versandt und sind innerhalb des Rechenzentrums durch eine mehrfach redundant ausgelegte Infrastruktur gesichert, wie z.B. durch Shared Storages oder Shared Backup Systeme.

Abschließend spielt das Monitoring eine wichtige Rolle, im Falle vom Data Center Dresden erfolgt die technische Überwachung per Comarch Network Operations Center sowie Security Operations Center (NOC und SOC). Ein Team aus Ingenieuren und Spezialisten aus unterschiedlichen IT-Fachgebieten überwacht den Betrieb der ihnen übertragenen Systeme und Geräte, bearbeitet Vorfälle entsprechend den ITIL-Best-Practice-Regeln und ist auch für die Termintreue der zu erbringenden Leistungen und deren Koordinierung sowie das Berichtswesen verantwortlich.

Als zugeschaltete Ebenen kann nun noch eine Absicherung über Disaster Recovery Service hinzugeschaltet werden.

 

Für den Fall der Fälle: Disaster Recovery Service

So gibt es die Möglichkeit, durch Rückgriff auf Disaster Recovery Service höchstmöglichen Schutz gegen Datenverlust sicherzustellen. In einem aktuellen Projekt entschied sich ein großes Unternehmen aus Deutschland für die moderne Warenwirtschaftslösung Comarch ERP Enterprise und führte diese 2018 deutschlandweit an. Die Lösung wird im Comarch Data Center Dresden gehostet. Zudem wurde ein Disaster Recovery Service im Comarch Data Center Berlin eingerichtet. Comarchs Leistungen umfassen auch den Mailserver und das Backup. Diesen Disaster Recovery Service stellt Comarch im Comarch Data Center Berlin bereit. Für den unwahrscheinlichen Fall, dass die Verbindung, die Infrastruktur oder die Software im Comarch Data Center Dresden aufgrund unvorhersehbarer Ereignisse ausfallen sollten, wird manuell nach Berlin umgeschaltet, so dass das Unternehmen absolut unterbrechungsfrei von dort weiterarbeiten kann. So ist sichergestellt, dass keinerlei Datenverlust in der Datenbank entsteht.

 


Data Center sind darauf ausgelegt, den hohen Anforderungen an Informationszugang und -sicherheit zu genügen und werden entsprechend überprüft. Regelmäßige Checks, durch unabhängige Prüfgesellschaften und die Kunden der Data-Center-Dienstleistungen selbst, bestätigen in regelmäßigen Abständen, dass rechtliche und branchenspezifische Standards für Rechenzentren eingehalten werden (d.h. Tier3 TIA -942, ISO 27000, ISAE3402, ITIL v3). Darunter fallen etwa physische Sicherheit (Umgebungssicherheit, ICT-Sicherheitsschicht) und garantierte Servicequalität (SLA).

 

DSGVO & Co: Physischer und ideeller Schutz müssen Hand in Hand gehen

Der physische Schutz der Daten ist die eine Seite der Medaille, die andere ist die Einhaltung aller wichtigen Regularien, darunter aller Datenschutzrichtlinien. Die Neuerungen der EU-Datenschutzgrundverordnung (DSGVO) betreffen u. a. den Umfang von Verpflichtungen und Verantwortlichkeiten hinsichtlich des Schutzes personenbezogener Daten. Verbindlich ist die neue Verordnung für Unternehmen sowie für Daten-Controller (auch Datenverantwortliche genannt) und jene, die ihren Anweisungen unterstehen – wie z. B. Anbieter für Cloud-Computing-Dienste.


Insofern ist es für Nutzer eines Data Centers essentiell, absolute Transparenz im Unternehmen herzustellen und auch mit den Cloud-Dienstleisters entsprechende Verträge zu unterzeichnen: Welche Daten sind an welchen Stellen gespeichert, wie lässt sich dies nachweisen und auf Wunsch die Datenlöschung umsetzen?

  • Personenbezogene Daten nur zweckgebunden verwalten und auf diese Daten nur denjenigen Personen Zugriff gestatten, die für die Durchführung des Zweckes verantwortlich sind Änderung von personenbezogenen Daten protokollieren
  • Weitergabe von personenbezogenen Daten beschränken
  • Weitergabe (Exporte aus dem ERP-System) von personenbezogenen Daten protokollieren
  • Zugriff auf personenbezogene Daten beschränken
  • Nachweis über gespeicherte Daten einer Person erbringen
  • Löschen von personenbezogenen Daten ermöglichen

 

Dabei sind personenbezogene Daten alle Information, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Davon sind alle Unternehmen im Rechtsraum der EU betroffen, selbst wenn sie weniger als 250 Mitarbeiter beschäftigen.

 

Andere Länder, andere Sitten und Verordnungen?

Mit dem Standort in Deutschland ist das Comarch Data Center den strengen rechtlichen Anforderungen von Bundes- und EU-Recht unterworfen. Europäische Datenschutzrichtlinien und nationale Gesetze stellen weltweit eines der höchsten Schutzniveaus für private Daten sicher. Zurecht verlangen die Endverbraucher die Sicherstellung dieses Niveaus. Speicherorte von Vertragspartnern außerhalb der Europäischen Union, etwa in den Vereinigten Staaten, können diese Richtlinien und Gesetze verletzen, da sie von den gesetzlichen Vorschriften her nicht verpflichtet sind, diese einzuhalten. Umgekehrt bieten durchaus Europäische Konzerne in den Vereinigten Staaten Speicherorte für private Daten nach Europäischen Datenschutzgesetzen und Richtlinien an. Laut DSGVO sind zwar alle Anbieter von Dienstleistungen dieser EU-Regelung unterworfen, jedoch ist eine Sicherstellung vor Ort auf der anderen Seite des Kontinents nicht ohne weiteres möglich. Daher ist es immer empfehlenswert, einen europäischen Konzern bei der Auswahl des Cloud Anbieters in Betracht zu ziehen, idealerweise, wenn er einen Speicherort innerhalb der EU anbietet. Darüber hinaus sollte der Anbieter vertraglich darauf verpflichtet werden, die EU-Richtlinien anzuwenden, insbesondere dann, wenn der Speicherort außerhalb des EU-Gebiets liegt. Gerade bei US-amerikanischen Anbietern müssen deren Kunden eine wichtige Sache beachten: Der US CLOUD Act steht der EU-DSGVO gegensätzlich gegenüber. CLOUD steht bei diesem Gesetz als Abkürzung für „Clarifying Lawful Overseas Use of Data“. Betreiben US-Firmen eigene Rechenzentren in Deutschland oder im Rechtsraum der EU, so sind sie seit März 2018 durch dieses Gesetz zur Kooperation mit US-Ermittlungsbehörden verpflichtet. Auf Nummer sicher können deutsche Unternehmen also nur gehen, wählen sie einen deutschen oder europäischen Data-Center-Anbieter.

 

Gibt es generell eine DSGVO-Zertifizierung?

Obwohl das Data Center also alle rechtlichen Anforderungen erfüllt, kann es sich dennoch nicht mit einer DSGVO-Zertifizierung schmücken. Aber dies kann kein Anbieter. Insofern sollte man Versprechungen wie „DSGVO-zertifiziertes Data Center“ äußerst skeptisch gegenüberstehen. Es gab eine solche Zertifizierung bei Inkrafttreten der DSGVO noch nicht, da den Zertifizierungsstellen bzw. zuständigen Aufsichtsbehörde noch keine Kriterien vorlagen. Der Europäische Datenschutzausschuss und die nationalen Aufsichtsbehörden arbeiten derzeit an diesen Kriterien.

* Quelle: http://www.tia-942.org/content/162/289/About_Data_Centers

Über Comarch Data Center

Comarch verfügt weltweit über 15 Data Center, davon 6 in der EU. In Deutschland betreibt Comarch ein hochmodernes Data Center in Dresden, ein weiteres wird unter Einhaltung strengster Qualitätskriterien von einem Partner in Berlin angemietet. Seit mehr als 10 Jahren nutzen Kunden aus den Branchen Logistik, Handel, Konsumgüter, Automotive und Produktion die professionellen Leistungen unserer Data Center.

Das Comarch Rechenzentrum Dresden entspricht dem Tier-3-Standard und ist eines der sichersten in ganz Mitteldeutschland. Aus dem Comarch Data Center Dresden können die Comarch-Cloud-Produkte ebenso wie IT-Services bezogen werden.

Die Comarch Group betreibt eigene Rechenzentren in Dresden, Luxemburg, Lille, Warschau und Krakau. Gemeinsam mit unseren exklusiven Data-Center-Partnern verfügen wir außerdem über weitere hochmoderne Rechenzentren in zwölf Städten weltweit, wie beispielsweise Berlin, Luxemburg, Singapur, Chicago und Shanghai.
Jedes Rechenzentrum erfüllt strengste Sicherheitsauflagen und höchste technische Ansprüche, um für unseren Kunden einen störungsfreien Betrieb von geschäftskritischen Anwendungen sicherzustellen. Mit unseren Rechenzentren bieten wir Ihnen maximale Verfügbarkeiten, umfassende redundante Konnektivitätsstufen sowie 24x7 Kunden-Support bei unterbrechungsfreier Stromversorgung und höchsten Sicherheitsstandards.

Die Data Center Services / Rechenzentrumsleistungen von Comarch sind die ideale Alternative zu eigenen Ressourcen. Unser Ziel ist, mit zuverlässigen und leistungsfähigen Lösungen eine unterbrechungsfreie Geschäftstätigkeit sicherzustellen, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

 

Über Comarch ICT

Comarch ICT verbindet qualifizierte IT-Fachleute mit langjähriger Erfahrung im ICT-Bereich und geeigneten technologischen Ressourcen. Darüber hinaus pflegt die Comarch Group weltweit Partnerschaften zu verschieden Hardware- und Softwareherstellern und hält entsprechend hohe Zertifizierungs- und Spezialisierungsgrade. Als IT-Komplettdienstleister bietet Comarch ICT IT-Infrastrukturlösungen, Cloud Services, Hosting- und Outsourcing-Services sowie ein breites Portfolio an Dienstleistungen zur Einführung und Integration der Softwarelösungen. Umfassende Managed Services für IBM iPower Systems runden den Service ab. Kunden wie Valeo, Thomas Cook oder ESO vertrauen auf Comarch ICT.
Weitere Informationen unter: www.comarch.de/produkte/ict

 

Über Comarch

Comarch ist ein weltweiter Anbieter von IT-Lösungen (ERP, CRM & Marketing, BI, EDI, ECM, ICT, Financials, Cloud-Lösungen u.v.a.) für den Mittelstand, größere Unternehmen, kleine Betriebe, Banken & Versicherungen, Telekommunikation sowie Healthcare. Über 5.600 Mitarbeiter sind rund um den Globus in zahlreichen Ländern im Einsatz. Dank hoher Investitionen in Forschung und Entwicklung bietet Comarch ein umfassendes Spektrum innovativer IT-Lösungen, welche bei Kunden und Analysten einen hohen Stellenwert genießen.

Weitere Informationen unter: www.comarch.de

Ihr Ansprechpartner

Klaus Lechner
PR Manager
Riesstraße 16
80992 München

Tel.: +49 (89) 14329-1229
Klaus.lechner@comarch.de