Wenn ein Rechenzentrum ausfällt, fallen meist gleich mehrere Geschäftsmodelle aus. Banken-Backbones, E-Commerce-Plattformen, Cloud-Dienste, kommunale Verwaltung — ein paar Quadratmeter mit Server-Racks tragen heute unverhältnismäßig viel kritische Infrastruktur. Sicherheit im Rechenzentrum wird deshalb fast ausschließlich über IT diskutiert. Tatsächlich ist die physische Sicherheit der Server-Räume die Voraussetzung dafür, dass die IT-Konzepte überhaupt greifen.
Warum physische Sicherheit zuerst kommt
DORA, BSI-Gesetz und ISO 27001 setzen voraus, dass nur autorisierte Personen Zutritt zu kritischen Systemen haben. Genau dieser Anspruch lässt sich nicht mit Firewall-Regeln allein einlösen — er beginnt am Eingang des Gebäudes:
- Wer betritt das Gebäude? Hat er eine gültige Authorisierung?
- Wird der Besucher in den richtigen Bereich begleitet?
- Wie wird die Begleitung dokumentiert?
- Was passiert bei einem Alarm — Einbruch, Brand, Wassereinbruch, Stromausfall?
Diese Fragen sind nicht IT, sondern operativer Wachschutz mit erweiterten Hintergrund-Checks und sehr klarer Audit-Spur.
Drei Sicherheits-Zonen im Rechenzentrum
Praxistauglich teilen sich Rechenzentren in drei abgestufte Zonen:
Zone 1 — Empfang und Public Area. Reception, Anmeldung, Wartebereich. Sicherheits-Personal mit Service-Schulung, klarer Besucher-Anmeldung, Foto-ID-Verifikation und Übergabe an die Begleitperson der Zone 2.
Zone 2 — Office und Operations. Büros, Operations-Center, Konferenzräume. Strukturierte Zutrittskontrolle mit Zwei-Faktor-Authentifizierung, dokumentierte Schichtübergaben, Begleit-Service für Externe.
Zone 3 — White Space und Cages. Server-Räume, Cages, Speicher-Container. Erweiterte Hintergrund-Checks für Personal (BZR-Auskunft, ggf. SÜG bei KRITIS-Anlagen), Mehr-Augen-Prinzip für Zutritte, lückenlose Video- und Logbuch-Dokumentation.
Wie wir das umsetzen
Sekuris betreut Rechenzentren mit Personal, das speziell für diesen Einsatz qualifiziert ist:
- §34a-Sachkunde als Basis, ergänzt um BSI-konforme Hintergrund-Checks
- Mehr-Augen-Prinzip in Zone 3: kein einzelner Mitarbeiter alleine im White Space
- 24/7-Streifen auf großflächigen Campus-Anlagen
- Aufschaltung der Einbruch- und Brandmeldeanlage auf eine 24/7-Service-Leitstelle
- Audit-fähige Dokumentation für DORA-, BSI- und ISO-27001-Prüfungen
Wir arbeiten an der Schnittstelle zu Klimatechnik, USV, Brandfrüherkennung und Building-Management-System — bei Auffälligkeiten eskaliert das Wachschutz-Team direkt an Klima-Service, IT-Operations und Geschäftsführung.
Häufige Schwachstelle: die „mittlere Zone"
Auditoren finden Schwachstellen oft in Zone 2 — den Büros und Operations-Centern. Externe Dienstleister (Reinigung, Klima-Wartung, Lieferanten) bewegen sich hier mit zu viel Vertrauen, Begleitung wird nicht dokumentiert, Schlüssel oder Codes werden weitergegeben statt zurückgegeben. Ein guter Wachschutz fängt genau diese Routinen ab — strukturierte Anmeldung, formal dokumentierte Begleitung, kein Code-Weitergabe.
Was BaFin, BSI und DORA tatsächlich erwarten
Banken-Rechenzentren stehen unter BaFin-Aufsicht (MaRisk, BAIT/VAIT) und seit 2025 unter der DORA-Verordnung für operationelle Resilienz. Systemrelevante Banken fallen zusätzlich unter das BSI-Gesetz. Was geprüft wird, ist nicht nur IT-Konfiguration, sondern auch:
- Dokumentation der Sicherheitsdienst-Leistung über mindestens 12 Monate
- Regelmäßige Notfall-Übungen mit aktiven Schichten
- Schnittstellen zu Krisenmanagement und Polizei
- Rollen-Klarheit zwischen IT-Sicherheit, physischer Sicherheit und Compliance
Setup und Personal-Auswahl für ein KRITIS-konformes Rechenzentrums-Konzept brauchen 4–8 Wochen Vorlauf. Wenn Sie ein bestehendes Konzept auditieren oder neu aufsetzen, sprechen Sie uns an — wir liefern Beratung, Personalauswahl und Audit-Dokumentation aus einer Hand.