Physische Sicherheit in Rechenzentren: Anforderungen, Risiken und Lösungen für den Schutz kritischer Infrastruktur
Es ist 3:47 Uhr morgens, als in einem Rechenzentrum im Frankfurter Westen der Alarm ausgelöst wird. Eine Tür im Technikbereich steht länger offen, als erlaubt. Was nach einem harmlosen technischen Defekt aussieht, entpuppt sich als gezielter Einbruchsversuch, der dank moderner Sicherheitstechnik vereitelt werden konnte. Auch wenn der geschilderte Vorfall hier nur als Beispiel dienen soll: das Risiko physischer Angriffe in einer Branche, die das Rückgrat unserer digitalen Gesellschaft bildet, ist höchst real.
Zumindest im europäischen Vergleich ist Deutschland Rechenzentrumsstandort Nummer eins: Über 2.000 Data Center mit mehr als 100 kW IT-Anschlussleistung, darunter rund 100 mit über 5 MW, sorgen hierzulande dafür, dass unsere digitale Welt funktioniert. In den nächsten fünf Jahren soll die IT-Anschlussleistung weiter stark steigen: von derzeit 2.730 MW auf 4.850 MW – ein Plus von 77 Prozent. Der volkswirtschaftliche Beitrag von Digitalwirtschaft und IT-Dienstleistungen wächst mit: Bereits heute arbeiten fast 6 Millionen Erwerbstätige in Geschäftsmodellen, die ohne Cloud- und Rechenzentrumsdienste nicht existieren könnten – Tendenz stark steigend.
Mit der zunehmenden Verflechtung der Data Center mit Gesellschaft und Unternehmen nimmt auch die Verwundbarkeit der bereitgestellten Services gegenüber Datendiebstahl, Spionage oder Sabotage zu. Auswertungen des Digitalverbands Bitkom zufolge waren 2024 rund 81 Prozent der deutschen Unternehmen von solchen böswilligen Attacken betroffen. Kritisch wird es spätestens dort, wo bislang analoge Informations- und Versorgungsinfrastrukturen in die Cloud ausgelagert werden: virtuell vernetzte Kraftwerke, Verwaltungsvorgänge von Behörden oder hochsensible medizinische Daten. Erhalten Unberechtigte Zugriff auf Datenbestände, führt dies zu weitreichenden Konsequenzen, welche die finanziellen Schäden gewöhnlicher Ausfallszenarien um ein Vielfaches übersteigen. Auswertungen von IBM zufolge lagen 2024 die durchschnittlichen Kosten für Sicherheitsvorfälle bei 4,88 Mio. USD – ein Plus gegenüber dem Vorjahr von 10 Prozent.
Der übersehene Schutzschild: Physische Sicherheit
Während Millionen in digitale Firewalls, Verschlüsselungstechnologien und Cybersecurity-Maßnahmen fließen, gerät ein entscheidender Baustein der Datensicherheit oft aus dem Blick: die physische Sicherheit der Rechenzentren selbst. Diese Nachlässigkeit wird besonders in der Colocation-Ära problematisch. Etwa 10.000 Unternehmen in Deutschland nutzen inzwischen die Vorzüge des Serverhousing und teilen sich Serverräume mit anderen Organisationen. Im Gegensatz zu dedizierten Einrichtungen ist es hier aufgrund der exponierten Lage und des erhöhten Besucheraufkommens deutlich aufwendiger, Risikofaktoren voneinander getrennt zu halten.
Dabei steigt nicht nur die Gefahr versehentlicher Beschädigungen, sondern auch von bewusst verübten physischen Attacken – vor allem, wenn im selben Marktsegment angesiedelte Organisationen im gleichen Serverhaus untergebracht sind: Ein Szenario, das angesichts des sich derzeit zuspitzenden Konkurrenzkampfs beim Hosting generativer KI-Applikationen zusätzlich an Brisanz gewinnt. Der amerikanischen Thinktank „Uptime Institute“ (UI) plädiert daher für wirkungsvolle Maßnahmen zur standortbasierten physischen Sicherheit in Rechenzentren.
Regulatorischer Wandel verschärft Anforderungen
Dieser „All-Gefahren-Ansatz“, bei dem neben der IT-Security auch die Relevanz der physischen Sicherheit betont wird, ist mittlerweile auch fester Bestandteil unterschiedlicher Normen und Gesetze. So müssen etwa Anbieter von Cloud-Computing-Diensten und Rechenzentren im Finanzsektor gemäß dem Digital Operational Resilience Act (DORA) seit Januar 2025 umfassende Schutzmaßnahmen gegen physische Schäden implementieren.
Noch weitreichender ist die geplante Umsetzung der NIS2-Richtlinie, die bereits ab 50 Mitarbeitenden oder einem Jahresumsatz von 10 Millionen Euro greifen kann. Relevant für die Betreiber kritischer Infrastrukturen wird zudem die Umsetzung der CER-Richtlinie, die in das – ebenfalls noch nicht verabschiedete – KRITIS-Dachgesetz einfließen wird. Auch hier ist mit erweiterten technischen und baulichen Sicherheitsmaßnahmen zu rechnen.
Das Zonenkonzept
Konkreter, aber nicht verpflichtend, sind normative Vorgaben wie DIN EN 50600 oder die Hilfestellungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) rund um die Themen IT-Grundschutz bis hin zur Hochverfügbarkeit. Diese empfehlen ein Zonenkonzept nach dem „Schalenmodell“. Die sensibelsten Bereiche befinden sich im Zentrum und werden von Räumen mit schrittweise abnehmendem Schutzbedarf umgeben. Den Kern bilden die Server- und IT-Bereiche mit am strengsten reglementiertem Zugang. Ihr Schutz ist bei Colocation- oder Edge-Einrichtungen besonders wichtig, da diese sich meist in Ballungsgebieten befinden, wo nicht dieselben baulichen Maßnahmen beim Perimeterschutz möglich sind wie in entlegeneren Einrichtungen.
Spätestens hier trennt sich die Spreu vom Weizen, sollen doch Wände, Decken, Böden und Türen der höchsten Schutzzone der Widerstandsklasse RC4 gemäß DIN EN 1627 entsprechen. Da bereits ab RC3 nur wenige Türhersteller existieren, die Lösungen im Einklang mit Brandschutz liefern können, empfiehlt sich die frühe Kontaktaufnahme mit spezialisierten Anbietern. Über die Widerstandsklassen hinaus gilt es bei der Wahl der Schließtechnik auch den Trend zu immer höheren Server-Racks einzukalkulieren. Moderne Sicherheitslösungen müssen daher auch für Sonderhöhen bis 3,50 Meter ausgelegt sein und dabei Mehrfachverriegelungen mit bis zu vier Verriegelungspunkten bieten. Die „Solution Locks” von Assa Abloy bieten hierfür ein umfangreiches Lösungsportfolio.
Ganzheitliche Sicherheitsarchitektur
Doch mechanischer Schutz als solcher reicht noch nicht aus, selbst wenn er die genannten Spezifikationen aufweist. Entscheidend ist vielmehr die intelligente Vernetzung aller Sicherheitskomponenten. Elektronische Schließsysteme wie eCliq bieten besonderen Schutz gegen Manipulation und intelligente Angriffe. Ebenso lässt sich sicherstellen, dass Personen nur mit den individuellen Rechten ausgestattet werden, die sie zur Erfüllung ihrer Aufgaben benötigen. Dabei ist die Löschbarkeit nicht mehr gültiger Zutrittsrechte ebenso wichtig wie die personenindividuelle Protokollierung aller Zutrittsereignisse. Gerade in Colocation-Umgebungen ist diese Vergabemöglichkeit granularer Zugangsrechte entscheidend, damit beispielsweise Techniker Zugang zu ihren spezifischen Racks haben, ohne Bereiche anderer Kunden betreten zu können.
Zusätzliche Sicherheit bietet das Monitoring von Zutrittsereignissen in Echtzeit durch Zutrittskontrollsysteme wie Scala von Assa Abloy mit den drahtlosen Aperio-Komponenten. Durch Anti-Pass-Back-Funktionen lassen sich so etwa erneute Zutritte ohne ordnungsgemäßes Verlassen der Sicherheitszone verhindern. In Kombination mit Personenschleusen wird damit auch Praktiken wie „Tailgating“ oder „Piggybacking“ ein Riegel vorgeschoben, bei denen sich Unbefugte an die Fersen von Mitarbeitenden mit Zutrittserlaubnis heften. Eine besondere Herausforderung stellt darüber hinaus die Balance zwischen sicheren Fluchtwegen und hohem Einbruchschutz dar. Moderne Rettungswegtechnik löst diesen Zielkonflikt durch intelligente Steuerungssysteme, die automatisch zwischen Normal- und Notfallbetrieb unterscheiden.
Investition in die digitale Zukunft
Die physische Sicherheit von Rechenzentren ist kein Kostenfaktor, sondern eine strategische Investition in die digitale Infrastruktur Deutschlands. Angesichts steigender Bedrohungen, verschärfter Regulierung und enormer finanzieller Risiken können sich Betreiber Sicherheitslücken schlicht nicht leisten. Moderne Sicherheitslösungen bieten dabei nicht nur Schutz, sondern auch operative Vorteile durch verbesserte Transparenz und Automatisierung. Bei der Entscheidung für die vorgestellten Lösungen sind Sicherheitsverantwortliche und Betreiber nicht auf sich allein gestellt. Spezialisierte Hersteller wie Assa Abloy unterstützen dabei nicht nur durch praxiserprobte Lösungen, sondern auch durch hohe Beratungskompetenz.
