UCaaS – Zertifizierungen noch und noch

Hinter einem UCaaS-Dienst steckt immer ein Rechenzentrum. Dessen Sicherheit und professionelles Management sind die hardwareseitige Grundlage dafür, dass der Service funktioniert. Welcher Anbieter welche Features liefern kann und will lesen Sie in unserer Übersicht.

Safe Harbour ist nicht mehr – und das bedeutet für deutsche Anwender, dass für viele Aufgaben im Grunde kein Rechenzentrum außerhalb des EU-Raumes mehr genehmigt ist. Zudem ist manchen Kunden auch wichtig, dass der Provider ein Rechenzentrum selbst betreibt und seine RZ-Leistung nicht über einen Dienstleister bezieht. Dann ist schließlich eine Instanz weniger in die Lieferung der Gesamt-Dienstleistung involviert.

Zertifizierungen geben einen Anhaltspunkt für die Qualität der Infrastruktur und ihres Betreibers. Der Standort ist für die Compliance wichtig.

Längst nicht jeder Anbieter von UCaaS hat ein eigenes Rechenzentrum in Deutschland. Das mag sich ändern, was Microsofts Pläne, hierzulande eigene Infrastruktur zu bauen, belegen, ist aber der Stand der Ermittlungen. Auch ein Kollokationsstandort auf heimischem Territorium ist nicht selbstverständlich. Er bildet allerdings bei zwei kleineren Anbietern mit vorwiegend deutschen Kunden die gesamte infrastrukturelle Grundlage des Angebots.

ucaas_rz-Sicherheit

Zweite Wahl sind aus Sicherheits- und Compliance-Gesichtspunkten europäische eigene oder Kollokationsinfrastrukturen, auf denen der Service läuft. Ob man als deutscher Kunde Anbieter, die weder in der EU noch in Deutschland Infrastruktur nutzen oder selbst betreiben, überhaupt in Erwägung ziehen sollte, ist zumindest aus rechtlicher Sicht höchst zweifelhaft. Allerdings kommt dieser Fall unter den in der Marktübersicht vertretenen Playern auch nicht vor.

Ein wichtiger Anhaltspunkt für die Anforderungen, denen ein Rechenzentrum  genügt, sind seine Zertifizierungen. Beliebt sind hier insbesondere ISO 9001 und ISO 27001. ISO 9001 beschreibt Mindestanforderungen an das Qualitätsmanagementsystem des Rechenzentrums. Zertifizierte Unternehmen müssen beispielsweise gehobenen Dokumentationspflichten zum Beispiel hinsichtlich ihrer Geschäftsprozesse genügen.

ISO 27001 beschäftigt sich mit dem Aufbau eines professionellen Informationssicherheitsmanagementsystems, die relativ neue Norm ISO 27028 mit dem Datenschutz in Cloud-Umgebungen.

Weitere verbreitete Zertifizierungsnormen sind SSAE16 (Statement on Standards for Attestation Engagements (SSAE) No. 16, US-amerikanischer Auditierungsstandard für Dienstleister), ISAE 3402 (US-Sicherheitsstandard für die Steuerungsprozesse in  Serviceorganisationen), PCI-DSS (Payment Card Industry – Data Security Standard), ein Sicherheitsstandard der Zahlungsdienstleister.

Umfrage

Safe Harbor: Wirkt sich die Aufkündigung durch den EuGH auf Ihre Datenhaltung aus?

Ergebnisse

Loading ... Loading ...

In Zukunft dürfte die Koformität mit dem IT-Sicherheitsgesetzt schnell an Bedeutung gewinnen. Gerade Unternehmen oder Organisationen, die für das Funktionieren des Gemeinwesens relevante Dienstleistungen erbringen, dürfen keine Dienstleister mehr beauftragen, die nicht Konformität mit diesem Gesetz nachweisen können.

Nach RECS zertifizierte Rechenzentren kompensieren ihren Elektrizitätsverbrauch aus nicht erneuerbaren Quellen durch den Kauf von Zertifikaten, ein umstrittenes Verfahren, da Kohlendioxid-Zertifikate bei weitem zu billig gehandelt werden, um irgendeine Steuerungsfunktion ausüben zu können.

ITIL (IT Information Library) ist ein Best-Practise-Standard für die Prozesse innerhalb eines Rechenzentrums und mittlerweile in Version 3 im Einsatz.Sie befasst sich auch mit der Kommissionierung und Dekommissionierung von Services. Ecostar ist eine vom eco-Verband verliehene Zertifizierung.

Tier-Klassifikation beschreibt Redundanzgrad

Relevante Aussagen über Verfügbarkeit und Sicherheit des Rechenzentrums verspricht auch die Tier-Einordnung. Entwickelt vom US-amerikanischen Uptime-Institut, hat sich die Tier-Klassifizierung inzwischen international verbreitet. Es gibt vier Tiers, wobei kommerzielle Rechenzentren in aller Regel mindestens die Tier-Klasse 3 erreichen sollten. Klasse 4 ist die höchste, sie setzt zwei komplette redundante Rechenzentren mit in sich komplett redundanter Ausrüstung, also im Grunde Vierfach-Sicherheit, voraus und ist daher für viele Anwendungen zu teuer.

Wichtig ist natürlich auch, dass Rechenzentren möglichst nicht nur über eine Leitung mit dem Stromnetz verbunden sind. Zwei sollten es mindestens sein, idealerweise auch von unterschiedlichen Stromprovidern. Dies lässt sich jedoch nicht überall einfach realisieren.

Schließlich entscheidet über die Qualität von Daten- und Kommunikationsdiensten natürlich, wie sie mit den Datennetzen, insbesondere dem Internet verbunden sind. Redundanz ist hier Mindestvoraussetzung, grundsätzlich gilt vom Traffic-Standpunkt aus: je mehr Verbindungen desto besser. Vorteile haben hier Anbieter, die auch selbst Infrastruktur betreiben.