Rechenzentren weltweit unter Druck: verborgene Schwachstellen und Risiken

Dieser Artikel erschien ursprünglich auf Strategic Risk.

Rechenzentren bilden das Rückgrat der digitalen Wirtschaft. Doch ihr rasantes Wachstum, die Stromknappheit und neue Risiken stellen ihre Resilienz auf die Probe. Bei einer SR:500-Veranstaltung in Partnerschaft mit FM sprachen Fachleute über die aktuellen Herausforderungen der Branche und wie Risikomanager*innen darauf reagieren.

TEILNEHMENDE DER SR:500-GESPRÄCHSRUNDE

MODERATORIN: Sara Benwell, Editor, StrategicRISK

REFERENT*INNEN:

• Simon Allen, Global Strategic Advisor, Data Center Nation
• Simon Baker-Chambers, Staff SVP Global Sales, EMEA, FM
• Ester Calavia Garsaball, Senior Director | Head of Nat Cat & Risk Financing, Climate Practice, WTW
• Sarah Draper, Chief Risk Officer, Telehouse
• Kate Fairhead, Senior Vice-President, Marsh
• Jason Payne, Vice President, Real Estate Practice, Marsh
• Jason Rowan, Manager Hazards, Specialty Industries Engineering, FM
• Karl Sawyer, Director-Industries (Technologie, Medien und Telekommunikation), WTW

Rechenzentren – einst die unsichtbare Infrastruktur der Digitalisierung – stehen heute aus mehreren Gründen im Fokus der Politik: Regierungen fördern das KI-Wachstum, Aufsichtsbehörden schreiben strengere Regularien vor und Investierende achten immer mehr auf ESG-Compliance. Gleichzeitig ist die Branche mit neuen Herausforderungen konfrontiert, darunter Engpässe beim Bau, zunehmende Risiken für Betrieb und Reputation sowie Herausforderungen bei der Stromversorgung.

Risikomanager*innen, Versicherer und Makler*innen müssen nicht nur die aktuelle Lage umfassend verstehen, sondern auch antizipieren, wie sich diese Risiken in den kommenden Jahren entwickeln werden.

Zunehmende Risiken: Bauverzögerungen und Lieferkettenengpässe

Die akuteste Schwachstelle betrifft den Bau von Rechenzentren. Obgleich die Nachfrage nach neuen Anlagen noch nie höher war, kommt es aufgrund von Lieferkettenproblemen häufig zu Budgetüberschreitungen oder Verzögerungen. Sobald etwas schiefgeht, schnellen die Kosten in die Höhe.

Eine der beitragenden Personen erklärte: „Neun von zehn Bauprojekten für Rechenzentren verzögern sich um durchschnittlich 34 %. Bei einem Rechenzentrum mit einer Kapazität von 64 Megawatt kann jeder Monat Verspätung einen Umsatzverlust von 10 Mio. USD bedeuten. Strafen für SLA-Verletzungen belaufen sich auf 1 Mio. USD pro Woche. Zudem können bereits beauftragte Fachfirmen, Lieferunternehmen und Mitarbeitende 2 Mio. USD pro Tag kosten. Das sind immense Belastungen.“

Doch nicht nur der finanzielle Aspekt gibt Anlass zur Sorge. Teilnehmende berichteten auch von subtileren Auswirkungen: Wenn Termine nach hinten verschoben werden, gerät das gesamte Projekt aus dem Takt, die Motivation des Teams sinkt und die Glaubwürdigkeit des Betriebs nimmt Schaden. Darüber hinaus können sogar Auswirkungen auf die Marktkapitalisierung feststellbar sein.

Erschwerend hinzu kommt der Fachkräftemangel. Mehrere Referierende wiesen darauf hin, dass die Zahl der Baufirmen und Ingenieur*innen – und mit ihnen auch die Zahl der Ausweichmöglichkeiten – zurückgeht. Treten zusätzlich Probleme im fortgeschrittenen Stadium eines Bauprojekts auf, gerät das Unternehmen in eine schlechte Verhandlungsposition.

Mit Verzögerungen, die inzwischen an der Tagesordnung sind, bleibt am Ende kaum noch Zeit für die Qualitätssicherung, wie eine Fachkraft bemerkte. Diese Entwicklung hat zur Folge, dass Mängel oft erst während der Inbetriebnahme oder in der frühen Betriebsphase zum Vorschein kommen.

Umso wichtiger ist es, Qualitätsstandards für Installationen zu definieren – sei es an abgelegenen Standorten, in städtischen Großräumen oder in Regionen mit erhöhtem Naturkatastrophenrisiko. Zu diesem Zweck arbeiten Stakeholder in den Bereichen Engineering und Inbetriebnahme mit Erstausrüstungsunternehmen (OEMs) zusammen. Das Ziel dabei ist die Entwicklung eines gemeinsamen Risikorahmenwerks für eine systematische Identifizierung und Behebung von Fehlerquellen, bevor die Anlage in Betrieb genommen wird. Hierbei sollen sämtliche Projektphasen abgedeckt werden.

Herausforderungen rund um Energie und Klimawandel

Noch brisanter als die anfällige Bauphase ist das Thema Energie. Eine zuverlässige Stromversorgung ist die Grundvoraussetzung für die Resilienz von Rechenzentren. Allerdings werden die Netzkapazitäten in wichtigen Märkten knapper, die Beschaffung erneuerbarer Energien ist komplex und alternative Technologien wie Wasserstoff oder Solarparks sind im großen Umfang noch nicht erprobt.

Dem Ganzen stehen politische Ambitionen gegenüber. „Die britische Regierung hat klare Ziele für den Ausbau von KI festgelegt. Gleichzeitig jedoch sollen bis 2050 alle CO2-neutral sein“, so eine teilnehmende Person in der Gesprächsrunde.

Rechenzentrumsbetreibende experimentieren mit Stromkaufvereinbarungen (Power Purchase Agreements) und erneuerbaren Energien. Doch ohne direkte Anbindung an die Erzeugungsquelle fließt ein Großteil dieser Energie weiterhin in ein überlastetes Stromnetz.

Dort, wo Stromverfügbarkeit nicht garantiert werden kann, ziehen Unternehmen die Erzeugung und Speicherung von Strom direkt vor Ort in Erwägung. Viele setzen daher auf Reservestromquellen. Dieses Vorgehen ist jedoch mit eigenen Herausforderungen verbunden. Lithiumbatterien können zwar nicht wie Diesel auslaufen, jedoch bergen sie neue Sicherheitsrisiken und erschweren die Auslegung von Sprinkleranlagen.

In der Praxis ist die Resilienzplanung daher oft ein herausfordernder Balanceakt zwischen drei Faktoren: ESG-Vorgaben, regulatorische Anforderungen und garantierte Verfügbarkeit.

Regulierung und Betriebsrisiken

Auch die Komplexität der rechtlichen Rahmenbedingungen verzeichnet einen Aufwärtstrend. Aufgrund neuer Vorschriften für den Finanzsektor, etwa dem Digital Operational Resilience Act (DORA), verlangen Investierende hohe Transparenz. Zudem verschärfen sich die Berichtspflichten in Sachen Umweltschutz.

Unterdessen haben bereits einige nationale Behörden Rechenzentren als kritische Infrastruktur anerkannt. Dadurch rücken Rechenzentren stärker in den öffentlichen Fokus – und die Erwartungen steigen, dass Resilienzpläne sowohl politischem und medialem Druck als auch technischen Risiken standhalten.

Multinationale Unternehmen müssen die komplexen Anforderungen verschiedener Rahmenbedingungen erfüllen, die einander manchmal widersprechen. Betreibende in Großbritannien, der EU und den USA berichten von einer Governance-Umstrukturierung: Um ISO- und SOC‑2-Audits mit abweichenden Umweltvorschriften und branchenspezifischen Anforderungen in Einklang zu bringen, arbeiten Compliance- und Rechtsprofis mit dem Risikomanagement zusammen.

Aufsichtsrechtliche Vorschriften können die Betriebsrisiken zusätzlich verstärken. Aktivist*innen nutzen zunehmend Plattformen wie TikTok, um ein möglichst großes Publikum zu erreichen. Dies kann zu einer schnellen Rufschädigung führen, die sich nur schwer rückgängig machen lässt. Proteste mit einstmals lokaler Reichweite können damit heute weltweites Aufsehen erzeugen.

Ein weiteres strukturelles Risiko ergibt sich aus dem vertraglichen Ungleichgewicht mit Hyperscalern. Vortragende berichteten von Verträgen mit unbegrenzter Haftung und „Fate-Sharing“-Modellen, die zunächst gut klingen, sich jedoch aufgrund unterschiedlicher Kapazitäten für Kunden als nachteilig erweisen können. Werden die Vertragsbedingungen nicht hinterfragt, können technologische Ausfälle für Betreibende zu existenziellen Bilanzrisiken eskalieren.

Risikomanager*innen plädierten für die frühzeitige juristische Prüfung von Verträgen, die Festlegung klarer Haftungsobergrenzen und die Formulierung von Klauseln, die KI-gestützte Risikoprofile abbilden und nicht auf veralteten Vorlagen basieren.

Auf dem Vormarsch: die ungewollten Auswirkungen von KI und neuen Technologien

KI ist ein zweischneidiges Schwert. Sie steigert die Nachfrage nach Rechenzentren, verändert aber auch deren Risikoprofil. Die Leistungsdichte steigt rasant, die Anforderungen an die Kühlung nehmen zu – für Fehler gibt es immer weniger Spielraum.

Eine referierende Person beschrieb die neue Realität so: „Mit einem KI-Chip ist ein SLA-Verstoß eine Sache von zehn Sekunden. Bis ein thermisches Durchgehen ausgelöst wird, dauert es vielleicht eine Minute. Verträge und Versicherungen sind schlichtweg nicht darauf ausgelegt.“

Einige Large Language Models (LLMs) lassen sich im Notfall nicht schnell genug herunterfahren. Die Auslagerung laufender Prozesse zur Vermeidung von Datenverlust kann rund 15 Minuten dauern. Problematisch wird es, wenn in einem modernen High-Density-Rack die Kühlung ausfällt: Dann beträgt das Zeitfenster nur noch Sekunden statt Minuten.

Damit Teams nicht zwischen SLA-Verstoß und physischem Schaden wählen müssen, werden Konzepte und Notfallpläne nun überarbeitet.

Aus technischer Sicht gibt es in der Branche noch keine eindeutige Antwort auf das Problem. Die Direkt-zu-Chip-Kühlung findet immer mehr Anklang, während sich die Immersionskühlung noch nicht etabliert hat. Welche Kühlmethode gewählt wird, hängt zudem von geografischen Faktoren und dem verfügbaren Budget ab.

Die Themen Kompartimentierung und Isolierung werfen viele Fragen für Fachkräfte auf: Wie wird Wärme abgeleitet? Wie werden Kaltwassersysteme voneinander getrennt? Was passiert, wenn eine einzelne Zone isoliert werden muss?

Hinzu kommt, dass Verträge noch nicht auf dem neuesten Stand sind. Viele Verträge enthalten Standardklauseln, die die kürzeren Zeitfenster von KI-Systemen im Störfall nicht berücksichtigen. Die Konsequenzen sind Unklarheiten beim Versicherungsschutz und potenzielle Streitigkeiten mit der Berufshaftpflichtversicherung. Teilnehmende bezeichneten diese Divergenz als „Fujitsu-Effekt“.

Naturkatastrophen und unterschiedliche Risikoprofile

Geografische Bedingungen machen Resilienz noch komplizierter. Die Standortwahl wird häufig durch geschäftliche Rahmenbedingungen bestimmt – etwa günstiges Bauland, einfache Genehmigungsverfahren oder Stromverfügbarkeit. Außen vor bleiben Risiken wie Überschwemmungen, Hagel oder extreme Hitze, die dann mit technischen Maßnahmen kompensiert werden müssen.

Eine an der Gesprächsrunde teilnehmende Person berichtete: „Der Netzanschluss ist der ausschlaggebende Grund, warum wir ein Rechenzentrum in einem bestimmten Gebiet errichten – auch wenn es der Gefahr von Hagel oder großer Hitze ausgesetzt ist … Um die Risiken kümmern wir uns dann im Nachhinein. Und das ist sehr schwierig.“

Eine weitere teilnehmende Person nannte als Beispiel ein Bauprojekt auf einer Insel. Da es für diese Insel keine lokalen Standards hinsichtlich klimaresilienter Konstruktion gab, stützten sich die Ingenieur*innen auf einen Standard für ein anderes, nahe gelegenes Gebiet in Australien. Die darin berücksichtigten Windgeschwindigkeiten waren jedoch zu niedrig: Tatsächlich ist die Insel einem Risiko von Wirbelstürmen der Kategorie 5 ausgesetzt.

Dies zeigt, wie wichtig eine frühe Prüfung der Versicherungsfähigkeit sowie integrierte Schutzmaßnahmen sind. Referierende wiesen darauf hin, dass Versicherer, Ingenieur*innen und Rechenzentrumsbetreibende externe Datenquellen heranziehen sollten, um Versicherungslücken zu vermeiden. Sie empfahlen auch die Investition in intelligentere Methoden der Konzeption. Knappe Kapazitäten sind für Risikomanager*innen ein überzeugendes Argument für die frühzeitige Investition in Resilienz. Dadurch verbessert sich auch die Versicherbarkeit und es können potenziell höhere Deckungssummen vereinbart werden.

Lücken schließen durch Risikomanagement

In der Gesprächsrunde war man sich einig: Die enge Zusammenarbeit zwischen Betreibenden, Ingenieur*innen, Makler*innen und Versicherern schon in der Planungsphase kann einen großen Unterschied bewirken. Wichtig ist zudem die Flexibilität, Versicherungsprogramme so anzupassen, dass die Projektentwicklung gefördert statt verzögert wird.

Dazu gehört die Erstellung von Berichten zur Versicherbarkeit. Wenn ein Standort aufgrund mangelnder Netzverfügbarkeit nicht infrage kommt, geht es nicht darum, das Projekt abzubrechen, sondern Entscheidungstragenden die Vor- und Nachteile klar aufzuzeigen.

Eine der teilnehmenden Personen drückte es so aus: „Kunden sollten über die jeweiligen Risiken informiert werden. Im Anschluss können sie dann eine fundierte Entscheidung treffen. Wird beispielsweise zu Änderungsmaßnahmen vor Baubeginn geraten, kann dieses Vorgehen später viel Geld sparen – sei es durch niedrigere Versicherungsprämien oder durch weniger Ausgaben für das Risikomanagement.“ Die Zusammenarbeit setzt sich anschließend über den gesamten Lebenszyklus fort. Makler*innen und Versicherer bieten fachkundige Beratung bei der Planung und beim Bau eines Rechenzentrums – mit dem Wissen im Hinterkopf, dass sich in 30 Jahren viele Aspekte ändern können. Ziel hierbei ist es, das alte Muster „heute bauen, morgen versichern“ durch kontinuierliche Abstimmung zu ersetzen.

Auch Versicherungsprogramme nehmen neue Formen an. Einige Teams haben kombinierte Policen eingeführt, die Bau- und Betriebsrisiken in einem einzigen Vertrag abdecken. So lassen sich bei einem Schaden Konflikte zwischen zwei getrennten Policen vermeiden. Andernorts haben Unternehmen spezielle Einsatzteams aufgestellt, die innerhalb weniger Wochen das passende Programm entwickeln und dadurch sicherstellen, dass Kunden das knappe Zeitfenster bei der Vergabe von Netzkapazitäten nutzen können.

In Sachen Finanzierungsrisiken geht der Trend in Richtung Abwägung. Bei bestimmten Gefährdungen kann es sinnvoller sein, in physische Schutzmaßnahmen und betriebliche Kontrollen zu investieren, statt um jeden Preis hohe Entschädigungsgrenzen anzustreben. Dementsprechend wies eine teilnehmende Person darauf hin: „Es ist nicht nötig, eine Versicherung mit einer Deckung von 1 Mrd. USD abzuschließen, wenn das Problem proaktiv verhindert werden kann.“

Dasselbe Prinzip gilt für die Lieferkette. Statt die Kontrolle auf Tier-1-Lieferanten zu beschränken, bewerten Teams die Risiken auf Standortebene. Als Basis dafür ziehen sie Datensätze von Dritten sowie Daten aus Standortbegehungen heran. Durch die Untersuchung von weiter entfernten Tiers in der Lieferkette lassen sich singuläre Schwachstellen früher erkennen, ob bei Kühlungskomponenten oder Chiplieferanten.

Schlussendlich bilden Disziplin und Zusammenarbeit die überzeugendste Strategie zur Bewältigung der aktuellen Herausforderungen. Dazu gehören Maßnahmen wie die Integration von Schutzmechanismen in die Konstruktionsplanung, die Berücksichtigung von KI-Risiken in Verträgen, die Ausrichtung von Versicherungsprogrammen auf das tatsächliche Wachstum von Rechenzentren und die Verwendung gemeinsamer Daten zur Schaffung von Transparenz in Bezug auf Risiken.

Abschließend betonten die Teilnehmenden erneut die Bedeutung praktischer Zusammenarbeit. Eine Person fasste zusammen: „Eines unserer wichtigsten Anliegen ist es, als Branche zusammenzuarbeiten, um Lösungen für die Risiken von heute zu finden – und für die Risiken, die uns morgen erwarten.“