Was TÜV- und Uptime-Zertifikate wert sind

Von Snowden haben deutsche Cloud-Anbieter nur profitiert. Ähnlich dürften sich die diensteifrigen Mail-Filter von Yahoo auswirken. Microsoft hat sein europäisches Cloud-Geschäft bereits nach Frankfurt und Magdeburg umgezogen, worauf Telekom-Geschäftsführer Dr. Ferri Abolhassan nicht wenig stolz ist. „Sicherheit made in Germany“, sagt er, „entwickelt sich zum Gütesiegel“ (Seite 4).

Und Gütesiegel werden für das RZ-Geschäft demnächst kritisch; sowohl im IT-Sicherheitsgesetz als auch in der neuen europäischen Datenschutz-Grundverordnung sind Zertifizierungen ausdrücklich vorgesehen. Bislang kommen die Prüfer meist von TÜV IT, doch das könnte sich ändern, wenn The Uptime Institute auf den Europamarkt startet. Dabei spielt auch die Wahl von London als Sprungbrett eine entscheidende Rolle. Ariane Rüdiger hat bei den Anbietern nachgehakt und erklärt die Unterschiede der Prüfkriterien und -konzepte ab Seite 12: „Bitte eine Build-Prüfung!“

Die wichtigsten Neuerungen, die sich aus der EU-DSGV ergeben, hat sie außerdem ab Seite 22zusammengestellt. Für Anbieter, die bereits dem Bundesdatenschutzgesetz unterliegen, wird sich zwar auch ab dem 25. Mai 2018 nicht viel ändern, aber einiges doch. Unklar ist vor allem die Situation mit Großbritannien, da der Brexit erst nach Wirksamkeit der EU-DSGV vollzogen wird.

Auch sonst wird der internationale Handel mit Daten inklusive Analytics ein paar Schrauben kräftig anziehen müssen, denn die Verordnung verlangt künftig gewissermaßen einen lückenlosen Herkunftsnachweis inklusive Einwilligung der Betroffenen, ähnlich wie im Lebensmittelrecht. Wie das rechtskonform in der Praxis umzusetzen ist, wird sich vermutlich erst nach ein paar Gerichtsurteilen sagen lassen.

Die Landesdatenschutzbeauftragten haben bereits bewiesen, dass sie auch gegen höhere Gewichtsklassen klagelustig sind. Wer in dieser Situation ein Information Security Management System erwägt, findet grundlegende Auskünfte zur Einführung ab Seite 7. Zuvor erklärt Patrick Schraut außerdem die Varianten eines Security Operation Centers (Seite 6).

Damit haben die Anwälte in diesem Heft genug Lektüre bekommen. Wenden wir uns lieber der Technik zu. Ein Schwerpunkt ist hier die Infrastruktur von Cloud-Rechenzentren. Für die Planer bedeutet das immer eine gute Strecke Blindflug. Flexibel skalierbare Ressourcen erfordern im RZ einen hohen Grad an Virtualisierung und starke Layer-2-Umgebungen.

Neben TRILL und Fabrics kann man ein hochskalierbares Design auch mit MLAGs und Stacks aus mehreren ToR-Switches bauen. Dass so etwas gut funktioniert, zeigt Olaf Hagemann an einem Realbeispiel (Seite 16). Handfest argumentiert auch Gordon Haff: Hinter der Cloud, sagt er, „steckt immer reale Hardware, die an physikalische Gesetze gebunden ist.“ Sein Beitrag auf Seite 18beschäftigt sich konkret mit Latenzen.

Die Performance der passiven Netzkomponenten hat unterdessen André Engel untersucht (Seite 20), der gleichfalls auf ein Praxisbeispiel verweisen kann: Der Max-Planck-Campus Tübingen hat sein Data Center mit einem modularen, extrem packungseffizienten Verkabelungssystem umgebaut, das obendrein die Integration von Glasfaser- und Kupferkabeln vereinfacht. Wenn das Ganze dann auch noch in sauber standardisierten Racks steckt (Seite 10), sparen sich Admins eine Menge Ärger bei Wartung und Erweiterung. Andererseits können sie das Infrastrukturmanagement auch gleich auslagern; was es mit Data Center as a Service auf sich hat, erklärt Frank Neubauer auf Seite 19.

Oder es wird alles ganz anders. In der Data-Center-2025-Studie rechnet die Mehrheit der Fachleute damit, dass Infrastruktur-Equipment und IT-Ausstattung deutlich an Effizienz zulegen (Seite 25). Dann müssen die Kühlkonzepte noch näher an die Komponenten rücken. Nicht nur die großen Hyperscale-Rechenzentren dürften von Anfang an eigene Anlagen zur Energieerzeugung mit einplanen. Und vermutlich bequeme Unterkünfte, damit die Reisegruppe der Zertifizierer dort ein paar Wochen Station machen kann.