IT-Technikräume

IT-Technikräume werden je nach Kritikalität der dort betriebenen Systeme in drei Stufen eingeteilt, um angemessene Schutzmaßnahmen zu definieren. Level A (Mission Critical) steht für höchst kritische Räume, deren Ausfall unmittelbare und gravierende Auswirkungen auf den Geschäfts- oder Produktionsbetrieb hätte. Hier ist die höchste Verfügbarkeit gefordert (keine ungeplanten Ausfallzeiten tolerierbar). Level B (Business Critical) bezeichnet geschäftskritische Räume mit mittlerer Kritikalität – Ausfälle beeinträchtigen den Betrieb spürbar, sind aber begrenzt tolerierbar (z.B. in geplanten Wartungsfenstern). Level C (Standard) umfasst weniger kritische Räume, bei denen kurze Ausfallzeiten geringe Auswirkungen haben und daher ein einfacherer Schutzstandard ausreicht. Die Einstufung erfolgt anhand einer Risiko- und Geschäftsimpact-Analyse. Kriterien sind insbesondere die tolerierbare Downtime, die Redundanzanforderungen, die Anzahl der versorgten Nutzer/Anwendungen und regulatorische Vorgaben. Einstufungshilfe: Wenn ein IT-Raum überhaupt keinen ungeplanten Ausfall verkraftet (0 Toleranz) und z.B. 24/7-Prozesse oder sicherheitsrelevante Anwendungen beherbergt, muss Level A zugewiesen werden. Ist ein kurzer Ausfall (z.B. < 2 Stunden) verkraftbar, aber es bestehen erhebliche betriebliche Auswirkungen, wird i.d.R. Level B vergeben. Bei rein internen Systemen mit geringer Auswirkung oder Test-/Entwicklungsumgebungen kann Level C ausreichen. Diese Einstufung ist vom Informationssicherheitsbeauftragten (ISB) in Abstimmung mit Fachbereichen und IT zu bestätigen. Die gewählte Schutzklasse bestimmt die Mindeststandards für Infrastruktur und Betrieb und wird im Raumsteckbrief dokumentiert.

• Standortwahl und bauliche Gestaltung: IT-Technikräume sind frühzeitig unter Beteiligung aller relevanten Rollen (IT, Facility, Brandschutz, Arbeitssicherheit, ISB) zu planen. Sie müssen als eigene brandgeschützte Bereiche ausgeführt werden. Der Raum sollte in einem sicheren, wenig gefährdeten Gebäudeteil liegen – besonders gefährdete Lagen wie Keller (Überschwemmungsrisiko) oder Erdgeschoss (Einbruch, Vandalismus) sind zu vermeiden. Wände, Decken und Türen des Raums müssen feuerhemmend (min. F90) ausgeführt sein. Gemäß DIN 4102 ist sicherzustellen, dass raumabschließende Bauteile im Brandfall 90 Minuten standhalten (Feuerwiderstandsklasse F 90). Türen zum Technikraum müssen selbstschließend, feuerhemmend und rauchdicht sein (nach DIN 18095/DIN EN 1634). Alle Durchbrüche für Kabel- und Rohrtrassen müssen mittels zugelassener Brandschutzabschottungen (nach MLAR) verschlossen werden, um Brand- und Rauchabschnitte nicht zu kompromittieren. Die Brandschutzabschnitte sollen über baurechtliche Mindestanforderungen hinaus Schutz bieten – z.B. können zertifizierte IT-Sicherheitsräume nach DIN EN 1047-2 erwogen werden, die im Brandfall innenliegende IT-Geräte für definierte Zeit vor Hitze und Rauch schützen. Der Technikraum sollte im Gebäude eine ausreichende Traglastreserve haben: Böden müssen nach DIN 1055 für eine Nutzlast von mindestens 5,0 kN/m² ausgelegt sein, da IT-Racks und USV-Anlagen hohe Punktlasten erzeugen. Bei der Planung der Raumgröße ist neben aktueller Ausstattung auch Reserveflächen (ca. 20–30 % für künftige Erweiterungen) einzukalkulieren.

• Infrastruktur und Versorgungswege: Level A-Räume müssen hochverfügbar mit redundanter Versorgung geplant werden, um Single Points of Failure auszuschließen. So sind beispielsweise zwei unabhängige Stromzuführungen (primär/sekundär) mit jeweils eigener USV vorzusehen, die jeweils den gesamten Lastbedarf allein tragen könnten. Idealerweise werden 2N-Architekturen umgesetzt, d.h. vollständig doppelte Versorgungswege (getrennte Netzteile in Servern, zwei Verteilungen und USVen etc.), um auch Wartungen ohne Downtime zu ermöglichen. Für Level B genügt i.d.R. ein N+1-Konzept (z.B. eine USV mit einem redundanten Modul) – es muss zumindest sichergestellt sein, dass der Ausfall einer Komponente nicht zum sofortigen Stillstand führt. Bei Level C kann eine einfachere Versorgung (ein Pfad, ggf. ohne Generator) akzeptabel sein, sofern ein geordneter Shutdown bei Stromausfall möglich ist. Eine Netzersatzanlage (Notstromgenerator) wird für Level A zwingend gefordert; für Level B sollte sie erwogen werden. Generatoren müssen ausreichend Treibstoff für mindestens 24 Stunden Volllast vorhalten (bzw. entsprechend kritischer Laufzeitanforderung, oft 72+ Stunden bei Level A) und vollautomatisch innerhalb weniger Sekunden nach Netzausfall zuschalten. USV-Anlagen müssen alle kritischen Komponenten des Raums abdecken – neben den IT-Systemen insbesondere auch die Steuerungen der Klimaanlagen, Türschließanlagen, Brandmelder etc., damit im Notfall weiterhin Kühlung und Sicherheitssysteme funktionieren. Die Auslegung der USV-Batterien muss die Überbrückungszeit bis zum Generatorstart sicher abdecken (i.d.R. ~10–15 Minuten Reserve).

• Klimatisierung und Raumlayout: Der IT-Raum muss über eine angemessene Klimatisierung verfügen, um definierte Temperatur- und Luftfeuchtigkeitsgrenzwerte dauerhaft einzuhalten. Bereits in der Planung sind Kühlkapazitäten mit Redundanzen vorzusehen (Level A: N+1 oder 2N Kälteanlagen, z.B. redundante Klimageräte oder Kaltwassersätze). Möglicher Standard ist eine Kalt-/Warmgang-Anordnung der Racks mit Klimakaltluftzufuhr über Doppelboden und Warmluftrückführung unter der Decke.

• Kalte Luft wird im Doppelboden in die geschlossenen Kaltgänge eingeblasen, strömt durch die Racks und tritt auf der Rückseite als warme Abluft in den Warmgang. Die warme Luft wird oben angesaugt, gekühlt und im Kreislauf wieder als Kaltluft zugeführt. Dieses Layout verbessert die Kühlleistung erheblich und erhöht die Energieeffizienz. Für höhere Rack-Leistungsdichten (> 5–10 kW/Rack) sind Kühlmaßnahmen wie Kaltgangeinhausung zwingend oder der Einsatz von Flüssigkühlung zu prüfen. Die Raumaufteilung sollte außerdem ausreichend Platz für Wartungswege (min. 1 m vor und hinter jedem Rack) und für Batterien, Löschanlage etc. bieten. Ein Doppelboden sollte installiert werden, um Kabeltrassen und Kaltluftführung aufzunehmen – dies erhöht die Sicherheit (weniger Stolperfallen durch Kabel) und erleichtert eine flexible Verkabelung. Alle verbauten Materialien (Bodenbelag, Wandverkleidungen, Kabelkanäle usw.) müssen nicht-brennbar oder schwer entflammbar nach Baustoffklasse (B1 nach DIN 4102 bzw. A2,s1,d0 nach EN 13501) sein.

• Physische Sicherheit: Technikräume müssen gegen unbefugten Zutritt gesichert sein. Es ist mindestens ein elektronisches Zutrittskontrollsystem mit personalisierten Ausweisen oder Schlüsseln einzurichten; Zutrittsanfragen sind zu protokollieren. Der Zugang darf ausschließlich autorisierten Personen gemäß definiertem Berechtigungs- und Identitätsmanagement gewährt werden. Außentüren und -fenster des Serverraums müssen mechanisch gegen Einbruch geschützt sein und dem Schutzniveau (Level A/B/C) entsprechend verstärkte Konstruktionen aufweisen (z.B. Widerstandsklasse RC 2–RC 4 nach DIN EN 1627). Fensterflächen sind nach Möglichkeit zu vermeiden; falls vorhanden, müssen sie mit blickdichten Folien oder Blenden versehen werden (kein Einblick von außen). Für Level A-Räume wird zusätzlich eine Einbruchmeldeanlage (Alarm bei unbefugtem Zutritt) und ggf. videoüberwachte Zugänge gefordert.

• Brandschutz und Löschanlagen: Neben der baulichen Feuerwiderstandsfähigkeit (s.o.) ist ein umfassendes Brandschutzkonzept vorzusehen. In jedem IT-Raum muss eine automatische Brandfrüherkennung installiert sein, z.B. Rauchmelder, idealerweise als Teil einer automatischen Brandmeldeanlage (BMA), die Alarme an eine ständig besetzte Stelle weiterleitet. Für Level A ist eine Brandmeldeanlage mit direkter Aufschaltung zur Feuerwehr vorgeschrieben. Zudem muss eine geeignete Löschmöglichkeit vorhanden sein: Entweder eine feste Löschanlage (insbesondere für Level A/B zu empfehlen, z.B. Wassernebel), oder – falls eine feste Anlage nicht installiert ist – ausreichend Handfeuerlöscher in angemessener Zahl und Eignung. Handfeuerlöscher müssen mindestens der Brandklasse C entsprechen (geeignet für elektrische Anlagen). Alle berechtigten Personen müssen in der Handhabung der Feuerlöscher unterwiesen sein. Des Weiteren muss ein Not-Aus-Schalter für die Stromzufuhr eingerichtet werden, um im Brandfall alle Anlagen spannungsfrei schalten zu können – möglichst segmentiert nach Bereichen, um nicht betroffene Infrastruktur weiter betreiben zu können. Die Not-Aus-Schalter sind gegen Fehlbedienung (Abdeckung oder Schutzhaube) zu sichern. Schließlich ist organisatorisch sicherzustellen, dass Technikräume keinesfalls zur Lagerung von brennbaren Materialien missbraucht werden: Es darf kein Fremdmaterial im Serverraum gelagert werden (Papier, Kartons, Reinigungsmittel etc. sind konsequent fernzuhalten).

Der Betreiber eines IT-Technikraums (in der Regel vertreten durch Facility Management und IT-Verantwortliche) muss alle gesetzlichen Betreiberpflichten für sichere Bereitstellung und Betrieb von Arbeitsmitteln erfüllen.

• Betriebssicherheitsverordnung (BetrSichV): Sie regelt die Sicherheit und Gesundheitsschutz bei Benutzung von Arbeitsmitteln. IT-Technikräume fallen unter „überwachungsbedürftige Anlagen“ im weiteren Sinne – d.h. das Unternehmen hat die Pflicht, alle eingesetzten Betriebsmittel (z.B. Serverracks, USV-Batterien, Klimageräte) regelmäßig auf ihr Gefährdungspotential zu beurteilen und sicher zu betreiben. Konkret sind Gefährdungsbeurteilungen nach ArbSchG/BetrSichV zu erstellen, Prüffristen festzulegen und Prüfungen durch befähigte Personen durchzuführen. Alle sicherheitsrelevanten Dokumente (z.B. Prüfprotokolle, Betriebsanweisungen) müssen geführt und auf aktuellem Stand gehalten werden. Mängel sind unverzüglich zu beseitigen.

• DGUV Vorschrift 3: Diese Unfallverhütungsvorschrift schreibt die Prüfung elektrischer Anlagen und Betriebsmittel in regelmäßigen Abständen vor, um Arbeitsunfälle durch Elektrizität zu verhindern. Konkret bedeutet dies: Ortsfeste elektrische Anlagen (die Elektroinstallation des Serverraums inkl. Verteilungen) müssen nach Inbetriebnahme und wiederkehrend geprüft werden. Die DGUV V3 verweist dabei auf DIN VDE 0105-100 als Norm für die Durchführung. Übliche Intervalle sind – sofern die Gefährdungsbeurteilung nichts anderes ergibt – maximal 4 Jahre für ortsfeste Anlagen in Büroumgebung. Bei höherer Gefährdung (z.B. staubige oder vibrationsträchtige Umgebung) sind entsprechend kürzere Intervalle festzulegen. Ortsveränderliche elektrische Betriebsmittel (alles mit Stecker, z.B. Monitore, Laptops, Werkzeug im Technikraum) müssen alle 6 bis 24 Monate geprüft werden, je nach Einsatzbedingungen. In Büroumgebungen sind 24 Monate üblich; bei häufiger Nutzung oder hoher Fehlerquote (< 2 % der Geräte) wird auf jährliche Prüfung verkürzt. Diese Prüfungen sind von einer Elektrofachkraft durchzuführen und zu dokumentieren. Die DGUV 3-konforme Prüfung erhöht nicht nur die Personensicherheit, sondern reduziert auch Brandrisiken im Serverraum durch defekte E-Geräte.

• Arbeitsstättenverordnung (ArbStättV) und ASR A2.2: Die ArbStättV fordert vom Arbeitgeber, Arbeitsstätten – wozu auch Technikräume zählen, sofern Beschäftigte dort arbeiten oder Zugang haben – sicher zu gestalten. Dazu gehören gemäß ASR A2.2 „Maßnahmen gegen Brände“ insbesondere eine angemessene Ausstattung mit Feuerlöschern und Brandmeldeeinrichtungen sowie Unterweisungen der Mitarbeiter in Brandschutzmaßnahmen. In IT-Räumen sind z.B. CO₂-Löscher in ausreichender Zahl bereitzustellen. Flucht- und Rettungswege sind deutlich zu kennzeichnen; der Raum ist nach ArbStättV mit geeigneter Sicherheitsbeleuchtung auszustatten, falls bei Stromausfall Personen anwesend sein können. Außerdem müssen regelmäßige Räumungsübungen oder Löschtrainings angeboten werden (in Abstimmung mit dem Brandschutzbeauftragten).

• Weitere einschlägige Normen: Die elektrische Installation muss DIN VDE 0100 konform geplant und errichtet sein (inkl. Überspannungsschutz, Erdung/Potentialausgleich für Racks etc.). Der Betrieb elektrischer Anlagen hat gemäß DIN VDE 0105-100 zu erfolgen – d.h. es müssen Schaltpläne vorhanden sein, es darf nur elektrotechnisch befugtes Personal Zugang zu gefährlichen Spannungen erhalten, und es sind Schalt- und Arbeitsfreigaben bei Arbeiten an der E-Anlage umzusetzen. Werden Änderungen oder Instandsetzungen an elektrischen Geräten durchgeführt, sind diese nach DIN VDE 0701-0702 zu prüfen (dies betrifft z.B. Reparaturen an USV-Systemen oder Klimageräten). Falls der IT-Raum stationäre Bleibatterien (Akkumulatoren der USV) enthält, gelten außerdem die Technischen Regeln für Gefahrstoffe (TRGS *) für Säure und Knallgas – insbesondere ist für ausreichende Lüftung in Batterieräumen zu sorgen (Knallgas-Detektion oder Zwangsbelüftung bei Ladung). Kältetechnische Anlagen müssen die Vorgaben der F-Gase-Verordnung einhalten (regelmäßige Dichtigkeitsprüfungen von Klimaanlagen je nach Füllmenge). Bauordnungsrechtlich sind die Landesbauordnung und ggf. Sonderbauvorschriften relevant: größere Rechenzentren können als Sonderbauten genehmigungspflichtig sein, wofür Brandschutzkonzepte vorzulegen sind. Die Muster-Leitungsanlagen-Richtlinie (MLAR) ist zu beachten, damit Kabelwege sicher abgeschottet und brandschutztechnisch korrekt verlegt sind. Abschließend sei erwähnt, dass auch versicherungstechnische Richtlinien (VdS) herangezogen werden können – z.B. VdS 2000 (Baulicher Brandschutz) oder VdS 3406 (Brandschutz in EDV-Anlagen) – besonders wenn Gebäudeversicherer bestimmte Auflagen für den Serverraum machen.

Alle genannten Betreiberpflichten sind integraler Bestandteil des Betriebs und müssen in der Dokumentation des Raumes nachgewiesen werden. Verstöße gegen Prüfpflichten können zu Haftung des Unternehmens führen. Daher ist im Zweifelsfall eher eine strengere Maßnahme umzusetzen (z.B. kürzere Prüfzyklen, zusätzliche Schutzsysteme). Die Einhaltung der Vorschriften stellt nicht nur Rechtssicherheit her, sondern erhöht auch die Ausfallsicherheit und schützt Leib, Leben und Werte im Unternehmen.

Für jeden IT-Technikraum ist ein aktueller Raumsteckbrief zu führen, der Einstufung, Infrastruktur und alle Verantwortlichen ausweist. Es muss ein Betriebshandbuch existieren, das alle relevanten Prozesse beschreibt: Zutrittskonzept, Notfallprozeduren (z.B. Verhalten bei Feuer, Klimaanlagenausfall, USV-Alarm), Wartungspläne, Prüfprotokolle und Change-Management für Änderungen im Raum. Die Verantwortlichkeiten im Betrieb sind klar gemäß RACI-Matrix zuzuordnen und allen Beteiligten zu kommunizieren. Zutrittsregelung: Der physische Zugang zum Technikraum muss strikt kontrolliert werden. Zugangsberechtigungen sind auf das nötigste Personal zu beschränken, und es muss eine Liste berechtigter Personen geführt werden (mindestens vierteljährlich zu überprüfen). Jeder Zutritt sollte im Zutrittsprotokoll aufgezeichnet werden (durch elektronische Zutrittskontrolle automatisch oder manuell im Wachbuch). Unbegleiteter Besuch von Fremdpersonal ist unzulässig – externe Techniker dürfen den Raum nur in Begleitung oder nach Anmeldung beim Verantwortlichen betreten. Der Raum ist außerhalb von Wartungs-/Arbeitszeiten stets verschlossen zu halten.

IT-Technikräume müssen kontinuierlich überwacht werden, um Abweichungen frühzeitig zu erkennen. Mindestens sind Temperatur und Luftfeuchtigkeit elektronisch zu messen und an ein zentrales Monitoring-System zu melden. Alarmgrenzen sollen gemäß den Herstellervorgaben der IT-Geräte gesetzt werden (z.B. Voralarm bei > 30 °C oder < 40 % r.F.). Die Umgebungswerte müssen aufgezeichnet werden, um Trends zu verfolgen und im Störfall Ursachenanalyse betreiben zu können. Ebenso sollen die USV-Statusdaten (Ladezustand, Netzversorgung, Batterietests) und Klimaanlagen-Meldungen (Betriebsstatus, Störmeldungen) fernüberwacht werden. Eine Gebäudeleittechnik oder ein zentrales Monitoring-System der IT sollte kritische Alarme (Strom, Klima, Brand) rund um die Uhr an eine Leitstelle oder Rufbereitschaft melden. Für Level A empfiehlt sich redundantes Monitoring (z.B. parallele Meldung an Gebäudeleitstelle und an Netzwerk-Monitoring) sowie evtl. Brandfrüherkennungssysteme (Ansaugrauchmelder, die schon kleinste Partikel detektieren).