Machen Sie sich bereit für eine neue britische Sicherheitsverordnung für Rechenzentren ISMS.online

Machen Sie sich bereit für eine neue britische Sicherheitsverordnung für Rechenzentren

Von Phil Muncaster • 8 Februar 2024

Die Wirtschaft des Vereinigten Königreichs ist zunehmend digitalzentriert. Entsprechend der RegierungDaten trugen im Jahr 7 fast 2022 % zum BIP bei, und drei Viertel aller Dienstleistungsexporte des Landes waren auf Daten angewiesen. Dies stellt eine fantastische Wachstumschance dar, setzt Unternehmen und die Kunden, die sich darauf verlassen, jedoch auch neuen Risiken aus. Aus diesem Grund hat die Regierung neue Vorschläge zur Regulierung der Rechenzentren Dritter veröffentlicht, die einen Großteil der digitalen Wirtschaft antreiben.

In ihrer aktuellen Form würden die Regeln einen neuen gesetzlichen Rahmen und eine neue Regulierungsfunktion einführen und grundlegende Mindestsicherheitsanforderungen für Rechenzentrumseigentümer vorschreiben. Experten glauben, dass Best-Practice-Sicherheitsrahmen wie ISO 27001 für solche Organisationen eine nützliche Möglichkeit sein könnten, Compliance sicherzustellen.

Warum brauchen wir sicherere Rechenzentren?

Rechenzentren sind das Herzstück der digitalen Wirtschaft und ermöglichen es Unternehmen jeder Größe aus allen Branchen, nahtlose Online-Dienste bereitzustellen und effizienter zu arbeiten. Die Regierung schätzt, dass 28 % aller britischen Unternehmen in Rechenzentren gehostete Dienste nutzen, bei großen Unternehmen sind es sogar 62 %. Doch sowohl extreme Wetterereignisse als auch Cyber-Bedrohungen wie Datenschutzverletzungen und Ransomware stellen eine wachsende Herausforderung dar. Ein parlamentarischer Ausschuss vor kurzem gewarnt dass das Vereinigte Königreich einem „hohen Risiko“ eines „katastrophalen“ Ransomware-Angriffs ausgesetzt ist.

Unabhängig von der Ursache eines Vorfalls können schwerwiegende Ausfälle erhebliche finanzielle und rufschädigende Folgen für die Eigentümer von Rechenzentren sowie für die Unternehmen und Endkunden haben, die auf diese Einrichtungen angewiesen sind. Nach Angaben des Uptime Institute Zahlen Für das Jahr 2022 haben 80 % der Rechenzentrumsmanager und -betreiber in den letzten drei Jahren einen Ausfall erlebt. Über 60 % der Ausfälle im Jahr 2022 führten zu Gesamtverlusten von mindestens 100,000 US-Dollar, gegenüber 39 % im Jahr 2019. Der Anteil, der mehr als 1 Mio. US-Dollar kostete, stieg im gleichen Zeitraum von 11 % auf 15 %.

Doch während die Einrichtungen von Cloud Service Providern (CSP) und Managed Service Providern (MSP) bereits durch die Network and Information Systems Regulations (NIS) 2018 des Vereinigten Königreichs reguliert werden, gilt dies nicht für andere Rechenzentren von Drittanbietern. Damit ist das Vereinigte Königreich ein Ausreißer unter den großen Volkswirtschaften. Und deshalb hat die Regierung ein neues öffentliches Konsultationsdokument herausgegeben: Schutz und Verbesserung der Sicherheit und Widerstandsfähigkeit der britischen Dateninfrastruktur.

Was beinhalten die Vorschläge?

Die vorgeschlagenen Regeln würden insbesondere Anbieter von Colocation- und Co-Hosting-Rechenzentrumsdiensten abdecken. Eigentümer von Einrichtungen müssten sich bei einer zuständigen Aufsichtsbehörde registrieren und „relevante Informationen“ über ihre Geschäftstätigkeit im Vereinigten Königreich bereitstellen. Diese Regulierungsbehörde hätte die Befugnis, den neuen Rahmen zu verwalten und durchzusetzen und dabei Wachstum und Innovation bei allen Entscheidungen zu berücksichtigen.

Eigentümer von Rechenzentren müssten außerdem eine Reihe von Sicherheits- und Ausfallsicherheitsmaßnahmen einhalten, die sich auf Folgendes beziehen:
⦁ Risikomanagement
⦁ Physische und Cybersicherheit von Einrichtungen, Netzwerken und Systemen
⦁ Vorfallmanagement – mit erheblichen Vorfällen, die der Regulierungsbehörde gemeldet und möglicherweise an Kunden/betroffene Parteien weitergegeben werden müssen
⦁ Belastbarkeit und Servicekontinuität
⦁ Überwachung, Erkennung, Prüfung und Prüfung
⦁ Governance und Personal
⦁ Lieferkettenmanagement

„Daten sind ein immer wichtigerer Treiber unseres Wirtschaftswachstums und spielen in allen unseren öffentlichen Diensten eine zentrale Rolle. Wenn wir also sicherstellen, dass Unternehmen, die sie speichern, über die richtigen Schutzmaßnahmen verfügen, um Risiken durch Bedrohungen wie Cyber-Angriffe und extreme Wetterbedingungen zu begrenzen, können wir die Vorteile nutzen und den Unternehmen Sicherheit geben“, argumentierte John Whittingdale, Minister für Daten und digitale Infrastruktur ein Statement.

„Der Regierung ist der Schutz der Daten sehr wichtig. Deshalb fordern wir diese Unternehmen auf, ihre Erkenntnisse und ihr Fachwissen aktiv weiterzugeben und gleichzeitig sicherzustellen, dass wir über die richtigen Vorschriften verfügen. Indem wir Sicherheit bei unserem Umgang mit Daten zur obersten Priorität machen, stellen wir uns nicht nur neuen Herausforderungen, sondern machen Großbritannien auch zu einem weltweit führenden Unternehmen bei der Förderung sicherer und verantwortungsvoller Technologie.“

Standards und Frameworks können helfen

Allerdings gibt es wie bei jedem neuen Regulierungsvorschlag potenzielle Herausforderungen, so James McQuiggan, Befürworter des Sicherheitsbewusstseins bei KnowBe4.
„Erstens ist der Einheitsansatz möglicherweise nur für einige Rechenzentrumsbetreiber geeignet, insbesondere für kleinere, die möglicherweise mit den Kosten und der Komplexität der Compliance zu kämpfen haben“, sagt er gegenüber ISMS.online.

„Zweitens besteht die Gefahr einer Überregulierung, die Innovationen ersticken oder zu einer eher auf Compliance als auf Sicherheit ausgerichteten Denkweise führen könnte. Und schließlich besteht die Herausforderung darin, mit den sich schnell entwickelnden Cyber-Bedrohungen Schritt zu halten, bei denen Vorschriften schnell veraltet sein könnten.“

Rechenzentrumsbetreiber müssen die neuesten Datensicherheits- und Ausfallsicherheitstechnologien einsetzen und gleichzeitig Kompatibilität und minimale Ausfallzeiten gewährleisten, während sie gleichzeitig die technische Verschuldung minimieren, fügt McQuiggan hinzu.

„Die Einhaltung einer ständig wachsenden Liste von Vorschriften und Industriestandards kann Zeit und Mühe kosten, insbesondere für kleinere Betreiber. Die Balance zwischen Compliance und betrieblicher Effizienz ist eine große Herausforderung“, argumentiert er.

Allerdings könnten Best-Practice-Standards hilfreich sein. Entscheidend ist, dass im Konsultationsdokument der Regierung darauf hingewiesen wird, dass „Standards, Bewertungsrahmen und andere Instrumente zur Verbesserung und Gewährleistung von Sicherheits- und Resilienzminderungen eingesetzt werden können“. Dies öffnet die Tür zur Verwendung internationaler Standards wie ISO 27001, Es bietet einen Rahmen für die Einrichtung, Implementierung und Verwaltung eines Informationssicherheits-Managementsystems (ISMS).

„Das Rahmenwerk legt Wert auf kontinuierliche Verbesserung, was gut zur dynamischen Natur von Cybersicherheitsbedrohungen und technologischen Fortschritten passt. Es kann Rechenzentrumsbesitzern dabei helfen, sensible Unternehmensinformationen systematisch zu verwalten und die Datensicherheit zu gewährleisten“, sagt McQuiggan.

„Darüber hinaus können Organisationen, die über die ISO 2700x-Zertifizierung verfügen, Anbietern, Kunden und Aufsichtsbehörden zeigen, dass es dem Rechenzentrum ernst ist, Informationssicherheitsrisiken effektiv zu verwalten.“

Die Konsultation zum neuen Gesetz läuft bis zum 22. Februar, wobei verschiedene Interessengruppen, darunter Rechenzentrumsbetreiber, Cloud-Anbieter und Branchenexperten, aufgefordert werden, ihr Feedback zu den Vorschlägen abzugeben. Die Regierung ist davon überzeugt, dass dies, das neue Gesetz zum Datenschutz und zur digitalen Information und das Produktsicherheits- und Telekommunikationsinfrastrukturgesetz (PSTI) 2022 werden gemeinsam dazu beitragen, die Cyber-Resilienz der digitalen Wirtschaft des Vereinigten Königreichs in einer Zeit eskalierender Bedrohungen und einer wachsenden Angriffsfläche für Unternehmen zu stärken. Wir werden sehen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 November 2025

Die NCSC sagt: „Es ist Zeit zu handeln“, aber wie soll das Banner aussehen?

Das NCSC sagt: „Es ist Zeit zu handeln“, aber wie?

Es ist ungewöhnlich, einen offenen Brief eines Wirtschaftsführers am Anfang eines Regierungsberichts zur Cybersicherheit zu sehen. Vor allem von jemandem, dessen Unternehmen j...

Phil Muncaster

Internet-Sicherheit 16 October 2025

Was ein npm-Angriff über die Risiken von Open-Source-Software aussagt

Die Geschichte der Open-Source-Sicherheit ist voll von Beispielen katastrophaler Fehler und Beinaheunfälle. Eine Anfang des Jahres entdeckte Krypto-Malware-Kampagne...

Phil Muncaster

Internet-Sicherheit 9 October 2025

Kann Großbritannien einen Multimilliarden-Pfund-KI-Versicherungssektor aufbauen? Banner

Kann Großbritannien einen Multimilliarden-Pfund-Sektor für KI-Versicherungen aufbauen?

Die Regierung setzt voll auf KI. Der im Januar angekündigte Aktionsplan „KI-Chancen“ zielt darauf ab, das Wirtschaftswachstum anzukurbeln, die Qualität der Arbeit zu verbessern...

Phil Muncaster