In den letzten Jahrzehnten haben sich Aufbau, Struktur und technische Ausstattung von Rechenzentren umfassend verändert. Für das BSI war es deswegen an der Zeit, die aus der Mitte der 1990er Jahre stammenden Definitionen der Begriffe "Rechenzentrum" und "Serverraum" neu zu fassen. So können Empfehlungen und Vorgaben – beispielsweise im IT-Grundschutz oder in den Mindeststandards nach § 8 Abs. 1 BSIG – praxisnäher formuliert werden.

Eine klare und zeitgemäße Festlegung, welche Infrastrukturbereiche als Rechenzentrum zu gelten haben, ist für Unternehmen und Behörden gleichermaßen von Bedeutung. Denn sowohl Management-Entscheidungen (z. B. bei IT-Investitionen) als auch die Interpretation normativer Vorgaben werden oft davon beeinflusst. Hierfür werden praxisorientierte Kriterien benötigt, mit denen sich relevante Infrastrukturbereiche nachvollziehbar und zuverlässig als Rechenzentrum identifizieren und klassifizieren lassen.

Die aus den Anfangsjahren des IT-Grundschutzes stammenden Definitionen zum Rechenzentrum (RZ) und Serverraum (SR) waren angesichts der sich veränderten IT-Landschaft nicht mehr zeitgemäß und verloren zunehmend ihre praktische Anwendbarkeit. Zudem hat die seit 2014 schrittweise in Kraft gesetzte DIN EN 50600 als "RZ-Norm" einen neuen Rahmen gesetzt, mit dem die alte Definition aus dem IT-Grundschutz nicht mehr in Einklang stand. Eine ganz wesentliche Eigenschaft der neuen RZ-Norm ist es, (in DIN EN 50600-1 unter Nummer 3.1.9) den Begriff des Rechenzentrums sehr weit zu fassen und bewusst an Funktionalitäten statt an der Ausführungsform oder Größe auszurichten. Damit enthebt sich die Norm der Notwendigkeit, zwischen Rechenzentrum und Serverraum zu unterscheiden.

Eine weitere Motivation, die Definition eines Rechenzentrums zu überarbeiten, ergab sich aus dem Projekt "IT-Konsolidierung Bund". Darin wurde das BSI vom Haushaltsausschuss des Deutschen Bundestags zum einen mit der Sicherheitsanalyse der bestehenden Rechenzentren in der Bundesverwaltung beauftragt. Zum anderen erging der Auftrag – basierend auf dem HV-Benchmark kompakt – einen Mindeststandard nach § 8 Abs. 1 BSIG für die Sicherheit der Rechenzentren des Bundes festzulegen. Der Mindeststandard wurde erstmalig im Mai 2017 vom BSI veröffentlicht und ist im Juni 2018 an die neue Version des HV-Benchmark kompakt (4.0) angepasst worden.

Beide Aufträge machten es erforderlich, die aus der Mitte der 1990er Jahre stammenden Definitionen für Rechenzentrum und Serverraum zu überarbeiten und neu zu fassen. Dabei wird der bisherige Ansatz, die Unterscheidung zwischen RZ und SR über getroffene Maßnahmen, Organisationsformen oder Betriebsgrößen zu definieren, fallen gelassen. Die neue Definition orientiert sich ausschließlich an der Bedeutung der IT-Struktur für die Aufgabenerfüllung der nutzenden Organisation und steht damit im methodischen Einklang mit der DIN EN 50600.

RZ-Definition

1. Hat eine IT-nutzende Organisation nur einen zentralen IT-Betriebsbereich, ist dieser gemeinsam mit den erforderlichen Supportbereichen grundsätzlich immer wie ein RZ entsprechend dem Schutzbedarf zu behandeln.
   Unter "IT-Betriebsbereich" sind Räume zu verstehen, in denen die Hardware aufgebaut ist und betrieben wird, die der Bereitstellung von Diensten und Daten dient. Das RZ umfasst neben dem IT-Betriebsbereich alle weiteren technischen Supportbereiche (Stromversorgung, Kälteversorgung, Löschtechnik, Sicherheitstechnik etc.), die dem bestimmungsgemäßen Betrieb und der Sicherheit des IT-Betriebsbereichs dienen.
2. Wird die IT der Organisation innerhalb eines Gebäudes/einer Liegenschaft verteilt in mehreren Bereichen betrieben und sind diese Bereiche untereinander und zu den IT-Nutzern hin durch hauseigene LAN-Verbindungen angeschlossen, ist mindestens der funktional bedeutendste dieser Bereiche als RZ zu behandeln. Des Weiteren sind Bereiche, von deren ordnungsgemäßem Betrieb 50% und mehr Nutzer abhängig sind oder aus denen heraus 50 % und mehr an Diensten und Daten (gemessen an der Gesamtheit der Bereiche) bereitgestellt werden, als RZ zu behandeln.
3. Ist die IT-nutzende Organisation an mehreren, räumlich voneinander getrennten Standorten angesiedelt und sind diese Standorte durch andere als hauseigene LAN-Verbindungen miteinander gekoppelt, so ist jeder der Standorte entsprechend Nummer 1 separat zu betrachten und zu behandeln.
4. Ein IT-Betriebsbereich, in dem für kritische Geschäftsprozesse (Prozesse, deren Störung oder Ausfall zu wesentlichen Beeinträchtigungen der Erledigung primärer Aufgaben einer Organisation führen) erforderliche IT angesiedelt ist, ist immer als RZ zu behandeln, unabhängig von Größe oder Anteilsregeln aus Nummer 2.
5. IT-Betriebsbereiche, aus denen heraus Dienste/Dienstleistungen für Dritte erbracht werden, sind immer als RZ zu betrachten. Dabei ist es unerheblich, ob diese Erbringung gegen Entgelt erfolgt oder nicht.
6. Besteht ein begründetes Interesse, einen IT-Betriebsbereich gemeinsam mit seinem Supportbereich abweichend von den vorgenannten Regelungen als Serverraum zu behandeln, ist dies samt der sich daraus ergebenden Reduzierungen von Maßnahmen der IT-Sicherheit anhand einer Risikoanalyse zu begründen.

Der schon angesprochene Mindeststandard nutzt diese neue Definition. Somit können Bundesbehörden bei der Umsetzung des Mindeststandards bereits den neuen Ansatz nutzen.