Welche Rechenzentren sind Kritische Infrastrukturen und was hat es mit gemeinsamen Anlagen auf sich?

Aufgrund der mittlerweile enormen Bedeutung von Rechenzentren für unsere Wirtschaft und Gesellschaft, wo sie zum Beispiel maßgeblich an der Steuerung von Telekommunikation, Energieversorgung, Verkehr und Sicherheitssystemen beteiligt sind, werden größere Rechenzentren in Deutschland als Kritische Infrastrukturen (kurz: KRITIS) eingestuft. Sie unterliegen damit besonderen Anforderungen an die Sicherheit und es bestehen spezielle Meldepflichten, so wie dies beispielsweise auch bei der Wasser- und Stromversorgung der Fall ist.

Immer wieder gibt es jedoch Verwirrung darüber, ab wann ein Rechenzentrum als Kritische Infrastruktur eingestuft wird und damit unter diese Regelungen fällt. In der BSI-Kritisverordnung sind in Anhang 4 klare Schwellwerte benannt – konkret ist das für Rechenzentren, die eine Housing-Dienstleistung erbringen, eine vertraglich vereinbarte IT-Leistung von 5 MW. Wichtig ist zu beachten, dass auch „mehrere Anlagen derselben Art in einem engen betrieblichen Zusammenhang“ gemeinsam eine Kritische Infrastruktur bilden können. Das gilt auch für räumlich getrennte Anlagen, wenn sie gemeinsam den Schwellwert überschreiten. Die BSI-Kritisverordnung macht dazu folgende Aussage: „Ein enger betrieblicher Zusammenhang ist unabhängig von der räumlichen Distanz der Anlagen gegeben, wenn die Anlagen

  1. mit gemeinsamen Betriebseinrichtungen oder untereinander verbunden sind,
  2. einem vergleichbaren technischen Zweck dienen und
  3. unter gemeinsamer Leitung oder Steuerung stehen.“

Doch was genau sind gemeinsame Betriebseinrichtungen und was genau ist mit „untereinander verbunden“ gemeint? Für oft diskutierte Fragen wie diese sorgt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun mit einem detaillierten FAQ für Abhilfe.

So wird beispielsweise klargestellt, dass nicht das bloße Vorhandensein einer Telefon- oder Stromleitung zu einer gemeinsamen Anlage führt, sondern dass zum Beispiel betreibereigene Telekommunikationsverbindungen sowie technische oder administrative Schnittstellen gemeint sind. In jedem Fall sollten sich auch Rechenzentrumsbetreiber mittlerer Größe mit der BSI-Kritisverordnung befassen. Vermutlich werden bei den meisten Betreibern alle in Deutschland betriebenen Rechenzentren gemäß BSI-Kritisverordnung zu einer gemeinsamen Anlage zusammengefasst. In diesem Fall gilt dann der entsprechende Schwellwert für die Summe aller Rechenzentren. Die oben genannten FAQs sowie die weiteren Links beim BSI können bei der Bewertung eine gute Hilfestellung leisten.

Themen