Als die Prüfer durch den Doppelboden eines der drei Rechenzentren auf dem Bayer-Werksgelände krochen, staunten sie nicht schlecht: Zwei Primärversorgungskabel lagen zu dicht beieinander. Wäre an dieser Stelle etwas passiert, hätten beide Energienetze zugleich gelitten. Mit fatalen Folgen: "Mit den drei Rechenzentren in Leverkusen unterstützen wir im Geschäftsfeld IT-Operations rund 70 Prozent des weltweiten Konzernumsatzes", erklärt Rolf-Reiner Firl, Leiter Global Data Center. Zwei Jahre lang arbeitete die Bayer-IT an der physischen Sicherheit der Rechenzentrumsgebäude, um bauliche Schwachstellen auszuschalten. Die Nutzfläche der Rechenzentren beläuft sich auf rund 6000 Quadratmeter. Mit Fluren, Lagern und Klimaräumen bringt es das Areal auf 13000 Quadratmeter, wobei die Rechenzentren zwischen 800 und 1500 Meter weit auseinander auf dem Werksgelände stehen.
Am Ende der Arbeiten stand die Zertifizierung der physischen Sicherheit der Rechenzentren durch die zur TÜV-Nord-Gruppe gehörende TÜV Informationstechnik (TÜViT). "Gleich drei Rechenzentren zertifizieren zu lassen ist eine einzigartige Konstruktion", ist sich Firl sicher. Andere Unternehmen würden meist nur ein Rechenzentrum zertifizieren lassen, gelegentlich auch mal zwei. "Es ist jedoch nicht sinnvoll, ein Rechenzentrum zu zertifizieren und bei den anderen beiden zu hoffen, dass nichts passiert", begründet er.
Hinter dem Aufwand stecken triftige Gründe. Die in der Bayer Business Services GmbH gebündelte IT steht im Wettbewerb mit externen Dienstleistern. "Die Teilkonzerne erwarten von uns, dass wir marktkonforme oder sogar bessere Leistungen als der Markt erbringen, und diese natürlich günstiger", sagt Firl.
Zwar hätte Bayer die Audits selbst durchführen können, doch nur ein externer Dienstleister bürgt für Neutralität. "Letztlich belegt das Zertifikat, dass wir alle Sicherheitsstandards auch umgesetzt haben", begründet Firl und verweist auf einen weiteren Vorteil: "Das Management sieht, dass sich das Rechenzentrum mit den anderen Marktspielern vergleicht." Das sei wichtig, weil Rechenzentren lange als Closed Shops galten und sich den üblichen Vorwürfen ausgesetzt sahen: nicht flexibel, zu teuer, das können andere besser.
Vor der neuen Offenheit lag ein arbeitsreicher Weg, denn die IT musste einen Katalog mit Hunderten von Sicherheitsnormen umsetzen. So schauten die Prüfer unter anderem vor Ort nach, ob etwa Türen und Fenster ausreichende Festigkeit besaßen. "Eine der größten Maßnahmen war es, die Öffnungen in den Gebäuden stärker zu sichern", sagt Peter Beck, Global Data Center Facilities. "Wir mussten rund 200 Türen und Fenster prüfen und zum Teil ertüchtigen und erneuern."
Insgesamt überprüfte der TÜV sieben Bereiche (siehe Grafik). Um die höchste der drei Zertifikatsstufen zu erreichen, musste die IT nachweisen, den Betrieb auch in kritischen Situationen aufrechtzuerhalten. So umfasst der höchste Level die Redundanz für Stromund Klimaversorgung. „Wir haben an den Standorten redundante unterbrechungsfreie Stromversorgungen geschaffen, Dieselaggregate installiert und Öltanks in die Erde gegraben", sagt Ralf Wirowski, Leiter Technical Product Management. "Mit dem Ölvorrat können wir das Rechenzentrum jetzt 96 Stunden autark betreiben." Die Tanks werden noch größer werden, denn der Energiehunger der Rechenzentren steigt. So erhöht sich allein der Stromverbrauch, um die Rechner zu kühlen. "Früher entwickelten Mainframes 500 Watt Wärme pro Quadratmeter. Heute erzeugen Server 2200 Watt pro Quadratmeter“, sagt Firl. "Ein Rechenzentrum lebt von der Redundanz der Strom- und Klimaversorgung."
Die Fülle der baulichen Maßnahmen begründete nicht allein die Projektzeit von zwei Jahren. Als großer Zeitfresser erwies sich, dass die Arbeiten den laufenden IT-Betrieb nicht unterbrechen durften. "Änderungen kann man aber nicht während des Betriebs machen. Deswegen mussten wir auf mit den Kunden vereinbarte Wartungsfenster warten", erklärt Wirowski. Aufgrund höherer Verfügbarkeitsanforderungen der Kunden gibt es jedoch immer weniger solcher Phasen. "Wir mussten teilweise bis zu sechs Monate darauf warten, bis wir was ändern konnten." Und die Zahl der Zeitfenster werde künftig noch weiter abnehmen, sagt er voraus.
Sparen durch Zertifizierung
Auf rund zehn Prozent taxiert Firl den Mehraufwand für das kleine Team während der Zertifizierung. Dabei schlugen Personal- und Zweitaufwand am stärksten zu Buche. Wichtig sei aber gewesen, dass von Beginn an das Konzern-Management hinter den Maßnahmen gestanden habe.
Künftig will Bayer durch die Zertifizierung auch sparen. In Zeiten von SOX schauen Wirtschaftsprüfer nach der Buchhaltung als Zweites in das Rechenzentrum, ob die IT nach den Vorschriften arbeitet. "Diese Regeln einzuhalten bedeutet einen sehr hohen Aufwand, den wir mit einer Zertifizierung senken können", erklärt Firl. Die Zertifizierung gebe den Prüfern eine ganz andere Qualität an die Hand. "Sie wird sich in Zukunft noch viel stärker für uns auszahlen, wenn viele der Regularien den Kinderschuhen entwachsen sind."