Ein Rechenzentrum sollte eine Festung sein

Rechenzentren sind weder nur ein Bauwerk noch lediglich ein Konstrukt aus Servern, Datennetzen und Speichern, also „IT“. Rechenzentren oder Datacenter sind beides: Einerseits Heimat von Clouds, Backend von Handys, Streaming-Diensten, Banken, Transportsystemen, Warenhäusern … Und andererseits sind sie Bauwerke und voll von technischen Anlagen, die den IT-Betrieb ermöglichen, also im Wesentlichen für Stromzufuhr und Kühlung sorgen.

Das alles gehört geschützt: Der dazugehörige Cyberspace mit Malware-Abwehr, mit mehrstufigen Security-Maßnahmen gegen Spionage, Ransomware- und Phishing-Attacken, letztere inzwischen vermehrt mittels Deep Fakes. Und die Gebäude und Anlagen mit physischem sowie organisatorischem Schutz und einer Wachmannschaft. So lange ist es noch nicht her, dass Rechenzentrumsbetreiber nicht einmal den Standort ihres, ihrer Datacenter veröffentlichen wollten oder gar durften. Wer eines aufsuchte, musste eine Verschwiegenheitserklärung unterzeichnen.

Verkannte Zukunftsbranche

Der Nachteil? Die Rechenzentrumsbetreiber konnten keine Werbung für ihre Einrichtungen machen. Die Geheimniskrämerei hat sicher dazu beigetragen, dass diese Zukunftsbranche, die jetzt schon etwa 230.000 Menschen beschäftigt (zum Vergleich: In der Luft- und Raumfahrt, sollen rund 80.000 Menschen arbeiten), von der Politik hierzulande sehr spät als solche erkannt wurde. In den nordischen Ländern war das sehr viel früher der Fall, sodass dort aktiv um die Ansiedlung geworben wurde.

Doch inzwischen boomt der Rechenzentrumsmarkt auch hierzulande. Gerade ist die Strategie des Bundes veröffentlicht worden, nach der sich bis 2030 die Rechenkapazitäten in Deutschland mindestens verdoppeln sollen. Dafür verantwortlich sind im Wesentlichen die Cloud-Angebote und in jüngster Zeit die Künstliche Intelligenz (KI). Jede „ChatGPT“-Anfrage benötigt schon jetzt Pi mal Daumen zehnmal mehr Daten, Rechen-Power und Strom als eine „Google“-Recherche ohne KI.

Kritische Infrastruktur

Die größeren Rechenzentren (in der Planung sollen nun Datacenter mit mehreren Hundert Megawatt sein) beziehungsweise solche, die kritische Cloud- oder Plattformdienste bereitstellen, zentrale Netzbetriebs- oder Leitstellenfunktionen erfüllen, Telekommunikationsnetze oder zentrale Vermittlungs- oder Routing-Infrastruktur betreiben, gehören längst zu den „KRITIS“-Unternehmen. Das sind nach Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) solche Firmen und Organisationen, die kritische Infrastrukturen bereitstellen, Energie- und Wasserversorger sowie Transport/Logistik – die Bahn beispielsweise. Damit unterliegen sie den entsprechenden Berichts- und Sorgfaltspflichten.

Regulierung

Es gibt insbesondere zwei gesetzliche Regelungen, denen Rechenzentren bezüglich Sicherheit aktuell genügen müssen: NIS-2 und KRITIS DACH (vergleiche auch die Infokästen).

• Die NIS2 Directive (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cyber-Sicherheit von kritischen und wichtigen Einrichtungen in Europa.
• KRITIS-Dachgesetz, basierend auf der EU-CER-Richtlinie, ist für Rechenzentren vor allem eines: eine neue, verbindliche Resilienz- und Sicherheitsregulierung auf Systemebene.

Neu ist die Aufmerksamkeit, die die Bedrohung aus der Luft, auch durch das KRITIS-DG, erfährt und sicherlich durch den Krieg in der Ukraine, die US-Avancen bezüglich Grönland sowie den Einfall in Venezuela befördert. Doch auch in Deutschland sollen Drohnen über Industrie-Arealen, Häfen, Energie-Anlagen und ehemaligen Atomkraftwerksstandorten wie Brunsbüttel mit Castor Zwischenlager gesichtet worden sein.

Zugleich ist bei vielen KRITIS-Standorten, darunter Rechenzentren, nach wie vor der untere Luftraum ein blinder Fleck: Unbemannte Systeme können ausspähen, Störsender tragen, Lasten abwerfen oder als Relais für Cyber-Angriffe dienen. Viele Rechenzentren haben Rückkühler, aber auch Solaranlagen auf dem Dach platziert. Schließlich braucht die IT Strom und Kühlung.

So bleibt für Betreiber offenbar nichts anderes übrig, als vor allem in frühe Erkennung, schnelle Lagebilder und passive Sofortmaßnahmen zu investieren: Einsatz von Drohnendetektionssystemen mit Radar, Kameras und Funkpeilern, die Frequenzbänder erkennen, Piloten lokalisieren und Flugspuren in Echtzeit überwachen (aber vgl. zur Drohnendetektion Sicherheits-Berater 3/2026, S. 3 ff.).

Schutzmaßnahmen für ein KRITIS-RZ

Zu der Abwehr von Bedrohungen aus der Luft müssen Rechenzentren noch viele weitere eher herkömmliche Schutzmaßnahmen ergreifen, zum Beispiel gegen Vandalismus und Raub: Für ein typisches deutsches 5 MW Rechenzentrum im KRITIS-Umfeld lassen sich die erforderlichen Schutzmaßnahmen grob wie folgt strukturieren:

• Perimeter und Zugang: Zwei Sicherheitszonen (Außenbereich, Hochsicherheitszone Gebäude/Serverflächen), voll eingehegter Perimeter mit Zaun, Toren, Videoüberwachung, Beleuchtung, gegebenenfalls Zaunsensorik und Intrusion Detection; mehrstufige Zutrittskontrolle: Vereinzelungsanlagen, Ausweise, Biometrie in Kernbereichen, Besuchermanagement mit Voranmeldung und Begleitung.
• Gebäude und Technikflächen: Bauliche Härtung der Hülle und Technikräume (massive Außenwände, gesicherte Türen, keine ungesicherten Fenster in Technikbereichen); räumliche Trennung von kritischen Versorgungssträngen (Strom, Kälte und Brandlasten), redundante Trassen und Brandabschnitte; automatische Brandfrüherkennung und geeignete Löschtechnik (Inertgas, Nebel) mit abgestimmten Notfallprozeduren.
• Energie, Kälte, Redundanz: „N+1 oder besser“ für USV, Generatoren, Kühlung; getrennte Einspeisungen und Strompfade zu den Racks; Diesel/Treibstoffvorräte für definierte Mindestlaufzeit, zum Beispiel 48 – 72 Stunden, plus Nachlieferkonzept mit priorisierten Lieferanten; Überwachung kritischer Parameter wie Temperatur, Feuchte, Last, Füllstände, Brennstoff) mit Alarmierung und 24/7 Leitwarte.
• Organisation, Personal, Dienstleister: Resilienz/Sicherheitskonzept nach All Gefahren Ansatz mit regelmäßiger Risikoanalyse und Managementfreigabe; Sicherheitsorganisation mit definierten Rollen (KRITIS Beauftragter, Krisenstab), Schulungen und mindestens jährlichen Übungen (Blackout, Brand, Zutrittsvorfall, Bombendrohung); geregelt eingebundene Dienstleister (Security, Technik, Reinigung) mit Zutrittsregelungen, NDAs und Sicherheitsunterweisungen.
• Detektion, Meldung, Dokumentation: Lückenlose Video-Überwachung in relevanten Zonen, Ereignisaufzeichnung, Protokollierung von Zutritten und sicherheitsrelevanten Vorgängen; Meldewege zu Polizei und Feuerwehr und zu zuständigen Behörden, zum Beispiel BSI und BBK, und Kunden, mit klaren Schwellwerten für Vorfallmeldungen; vollständige Dokumentation aller Schutzmaßnahmen in einem Resilienzplan inklusive Wartungs- und Testnachweisen, Audit Trails und kontinuierlicher Verbesserungsprozesse.

Dazu kommt das so genannte Zwiebelschalenprinzip – von der Außenkante bis zum Rack. Es basiert auf der Annahme, dass jede einzelne Sicherheitsmaßnahme im End-effekt überwindbar ist. Sicherheit entsteht somit erst durch die Kaskadierung unabhängiger Barrieren, die etwaige Eindringlinge zumindest bremst.

Die erste Schicht beginnt an der Grundstücksgrenze, nein, eigentlich schon vorher. Direkte Zufahrten sind zu vermeiden. Doch an der Grundstücksgrenze werden Zäune, Mauern, Poller und Zufahrtssperren errichtet. Bei manchen Rechenzentren werden gar Gullydeckel und Netzzugänge versiegelt. Zäune sollten nach außen gebogen sein und dürfen an der obersten Kante nicht nur Stacheldraht, sondern auch Strom führen – zur Detektion versteht sich.

Ergänzt wird der Perimeter durch Videoüberwachung mit intelligenter Analytik (CCTV). Moderne Systeme nutzen KI, um zwischen harmlosen Ereignissen und echten Bedrohungen zu unterscheiden. Radarsensoren oder Laser-Scanner (LIDAR) können zudem Bewegungen im Vorfeld detektieren, noch bevor eine Person den Zaun berührt.

Die zweite Schicht ist die physische Hülle des Rechenzentrums. Die Rechenzentrumsnorm DIN EN 50600-2-1 stellt hier detaillierte Anforderungen an die bauliche Substanz. Öffnungen werden gesondert überwacht, etwa durch stille Alarmierung der Polizei.

Danach sind das oder die Gebäude und ihre Flächen auch noch in verschiedene Sicherheitszonen unterteilt. Das Innere, Whitespace genannt, beherbergt die IT und selbst diese steht unter Verschluss. Dazu gibt es abschließbare Server-Schränke, und in Colocation-Rechenzentren sogenannte Cages, die häufig tatsächlich Käfigen gleichen.

An den Racks selbst werden zunehmend elektronische Schlösser eingesetzt, die per RFID oder Biometrie geöffnet werden können und jede Türöffnung zentral protokollieren. Intelligente Rack-Schlösser schlagen auch Alarm, wenn Türen zu lange offenstehen oder Erschütterungen detektiert werden.

Zu jedem Sicherheitsbereich gehören ferner Schleusen, häufig Vereinzelungsanlagen, die etwa mit Gewichtssensoren und 3-D-Kameras ausgestattet sind. Das soll verhindern, dass nichts, was nicht erlaubt ist, hinein- oder herausgelangt.

Dr. Béla Waldhauser, langjähriger Geschäftsführer des Co-Location-Betreibers von Telehouse Deutschland und verantwortlich für das operative Geschäft der KDDI (deutsche Tochter eines japanische Telekommunikationsunternehmens) hierzulande, Sprecher der Allianz zur Stärkung digitaler Infrastrukturen in Deutschland, unter dem Dach des Eco Verbands sowie im Vorstand des Climate Neutral Data Center Pact, pflegt zu sagen, dass niemand ohne Anmeldung sein Rechenzentrum betreten dürfe, nicht einmal der Bundeskanzler. Das will heißen: Zu all den Barrieren gehören ausgefeilte Rollenkonzepte.

So sollen die Kunden des Co-Location-Rechenzentrums, die dort ihre IT einstellen, zwar die Erlaubnis haben, auf die Toilette zu gehen und die Kaffeeküche zu benutzen, ihren Whitespace-Bereich betreten zu dürfen, um dort Equipment zu warten oder auszutauschen, doch nicht den Bereich des Datacenter-Kunden nebenan. Auch Mechaniker und Handwerker müssen Zutritt haben können, schließlich benötigen auch Stromleitungen, Wärmetauscher, Videoüberwachung, Rauchmelder, Wasserleitungen und Brandschutz-Wartung. Die Mechaniker dürfen aber zum Beispiel die IT-Racks nicht öffnen können.

Extrem gesichert sind die sogenannten Meet-me-Räume, in denen die Verbindungen des Rechenzentrums in die Welt, der Kunden zu Cloud-Anbietern, Telekommunikationsprovidern verschaltet werden. Hier hat oftmals nicht einmal der Rechenzentrumschef oder die -chefin Zutritt.

Noch ein wenig Zukunftsmusik, aber in Mega-Rechenzentren, die in den USA und China stehen, durchaus schon relevant, ist der Einsatz von Robotern. Sie können von der einfachen Sichtung bis zur Dokumentation Menschen bei der Sicherung unterstützen, wenn sie über Wärmebilderkennung verfügen oder Audio Anomalien detektieren, über Gefahrstoffsensorik verfügen und Messwerte protokollieren.

Es versteht sich von selbst, dass die Menschen, die ein Rechenzentrum „bewachen“ oder auch sauber halten, gesondert geschult gehören. Dafür gibt es keine Akademie. Die Ausbildung übernehmen die Rechenzentrumsbetreiber selbst, sonst könnte es ja sein, dass jemand im Serverraum einfach einmal einen Stecker zieht, um den Staubsauger zu starten oder um ein Käse-Sandwich zu toasten oder auch bei geöffnetem Gatter eine
e-Zigarette zu rauchen. Aber so etwas passiert doch nicht wirklich oder …?