Die physikalische Sicherheit soll die funktional optimale Ausnutzung der Informationssysteme gewährleisten, so dass man von einem Maximum an Leistung während einer maximalen Zeit profitieren kann.

Wenn man von Maßnahmen spricht, muss man zwischen vorbeugenden Maßnahmen und Schutzmaßnahmen unterscheiden.

• Vorbeugende Maßnahmen haben zum Ziel, einen Schaden vorzubeugen.

• Die Schutzmaßnahmen haben zum Ziel, das Eigentum bei Eintreten eines Schadensfalls zu schützen.

Es wäre illusorisch, zu glauben, dass Präventivmaßnahmen alle Schadensfälle vorbeugen könnten. Selbst bei der Durchführung dieser Art von Maßnahmen empfiehlt es sich, zusätzliche Schutzmaßnahmen zu ergreifen.

Das Ausmaß der erforderlichen Schutzmaßnahmen ist umgekehrt proportional zu den ergriffenen vorbeugenden Maßnahmen.

Aus den verschiedensten Gründen, die mit dem Gerätetyp, den Betriebsbedingungen, ihrer Kritikalität, den ausgesendeten Störungen oder der abgestrahlten Wärme usw. zusammenhängen, ist es vernünftig, spezielle Rechenräume einzurichten, die von den durch die Arbeitnehmer genutzten Arbeitsflächen getrennt sind.

Es lassen sich verschiedene Rechenraum-Typen unterscheiden:

EDV-Raum des Typs "Data Center"

In diesem Raum sind normalerweise alle speziellen Geräte untergebracht, die für die Bereitstellung von EDV-Ressourcen erforderlich sind. Hier befinden sich die Server, Großrechner, die Lösungen zur Datensicherung und -wiederherstellung, Speicherracks usw.

In den meisten mittelständischen Unternehmen enthält dieser Raum auch die für den Netzwerkbetrieb kritischen Komponenten (Switches, Router usw.) sowie die Zugangspunkte und Geräte, die zur Verbindung des Unternehmens mit der Außenwelt dienen (Telefonzentrale, Internet-Zugang usw.).

Bei größeren Infrastrukturen sind diese Ausrüstungen auf verschiedene Räume, wie beispielsweise den Netzwerkraum, den Fernmelderaum und den Anschlussraum, aufgeteilt.

In sehr großen Rechenzentren unterscheidet man sogar zwischen dem sogenannten "dead room" wo Informationsverarbeitungsgeräte untergebracht sind, die sehr wenige menschliche Eingriffe benötigen (Prozessoren, Storage,...) und dem "live room", wo sich hingegen Informationsverarbeitungsgeräte befinden, die häufig menschliche Intervention benötigen (Datensicherungsroboter,...).

Der Anschlusstechnikraum auf den Etagen

Auf Etagenebene befinden sich üblicherweise Räume, in denen die auf der jeweiligen Etage befindlichen Geräte über einen gemeinsamen Kabelbaum mit dem EDV-Raum verbunden werden. Diese Räume enthalten üblicherweise Stecktafeln sowie Etagen-Switches.

Diese Räume und die Verbindungstechnik werden normalerweise mit einer maximalen Redundanz eingerichtet, um mögliche Unterbrechungen so weit wie möglich einzuschränken.

Angesichts der Kritikalität dieser Geräte werden diese Räume als EDV-Räume betrachtet. Folglich unterliegen sie hinsichtlich Konzeption und Überwachung denselben Anforderungen.

Die in diesem Dokument beschriebenen vorbeugenden Maßnahmen und Schutzmaßnahmen erheben weder den Anspruch auf Vollständigkeit, noch sind sie in allen Fällen unbedingt erforderlich. Die Auswahl der zu ergreifenden vorbeugenden Maßnahmen und Schutzmaßnahmen muss abhängig von einer Untersuchung erfolgen, die eine Risikoanalyse beinhaltet und eine Einschätzung der Kosten der zu ergreifenden Maßnahmen berücksichtigt.

Um die Effizienz aller vorbeugenden Maßnahmen und Schutzmaßnahmen zu gewährleisten, ist es erforderlich, sie im Rahmen eines organisationellen und verfahrensorientierten Konzepts zu integrieren.

Die folgenden Aspekte werden in diesem Kapitel behandelt:

• Wasserschäden

• Feuerschäden (KMU: siehe I Feuer)

• mit Elektrizität verbundene Schäden (KMU: siehe: Unterbrechung von Leistungen, Stromausfall),

• Schäden aufgrund falscher Klimatisierung,

• Telekommunikationsvorfall (KMU: siehe Denial of service und distributed denial of service Attacken, Unterbrechung von Leistungen, Gestörte kabellose Kommunikation, Netzzugang nicht verfügbar, Unterbrechung von Leistungen, Funktionsunfähigkeit von Datenverarbeitungs- oder Kommunikationsgeräten),

• physikalisches Eindringen (KMU: siehe Eindringen in Einrichtungen und  Einbringen oder Entfernen von Material und Entsorgung von Datenträgern und Entfernen von Eigentum (Diebstahl)).

• elektrostatische Phänomene,

• Unzugänglichkeit des Rechenzentrums.

Sicherheitsrelevante organisatorische Maßnahmen

• Organisation der Informationssicherheit.

  • Zuweisung der Verantwortlichkeiten

  • Einbringung von Dienstleistungen

• Management von organisationseigenen Werten

  • Verantwortung und Klassifizierung organisationseigener Werte

• Personalsicherheit

  • Schulung und Information

  • Umgang mit Informationssicherheitsvorfällen

• Physische und umgebungsbezogene Sicherheit

  • Sicherheitsbereiche

  • Regeln im Sicherheitsbereich

  • Elektrische Sicherheit der Ausrüstung

  • Wartung

  • Sicherheit von außerhalb des Standorts befindlicher Ausrüstung

  • Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln

  • Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms

• Betriebs- und Kommunikationsmanagement

  • Dokumentierte Verfahren

  • Backups

• Zugangskontrolle

  • Leitlinie zur Zugangskontrolle

  • Verwaltung von Benutzerberechtigungen

• Sicherstellung des Geschäftsbetriebs

  • Sicherstellung des Geschäftsbetriebs

• Einhaltung von Vorgaben

  • Geistiges Eigentum

  • Schutz der organisationseigenen Aufzeichnungen

  • Schutz der personenbezogenen Daten

Vorfälle

Diese Art von Vorfällen kann verschiedenste Ursachen, wie beispielsweise die nachfolgend aufgeführten, haben:

• Bruch einer Haushaltswasserleitung,

• Bruch einer Kühlleitung,

• undichte Fassade oder undichtes Dach,

• Auslösung von Sprinkleranlagen,

• Verstopfung der Abwasserleitungen.

Bemerkung
Dieser Punkt ist umso kritischer, da die meisten EDV-Räume mit Zwischendecken ausgestattet sind, die keine einfache Schadenserkennung ermöglichen. Außerdem sind die Ummantelungen der Kabel zwischen den Etagen ideale Abflüsse für das Wasser, das sich so in alle Anschlussräume ausbreiten kann.

Folgen

Die Folgen hängen natürlich vom Ausmaß des Schadens ab, aber man kann davon ausgehen, dass folgende Bereiche betroffen sind:

• verschiedene Kurzschlüsse, die zu einem Ausfall der Geräte führen,

• Gefahr von tödlichem Stromschlag,

• Funktionsstörung gewisser Alarme und sonstiger Sicherheitseinrichtungen,

• Beschädigung von Geräten,

• Korrosion von Kabeln und Steckverbindern.

Die Gegenmaßnahmen

Vorbeugende Maßnahmen

• Wählen Sie den Standort der EDV-Räume sorgfältig aus und vermeiden Sie dabei das Risiko einer Überschwemmung (vermeiden Sie Untergeschosse, das oberste Stockwerk usw.).

• Schränken Sie den Wasserumlauf im EDV-Raum ein (bringen Sie das Klimatisierungsaggregat außerhalb des EDV-Raums an usw.).

• Verlegen Sie das Rohrleitungsnetz so, dass der EDV-Raum nicht durchquert wird oder die Leitungen in den Raum hineinragen.

Schutzmaßnahmen

• Bringen Sie Systeme zur Erkennung von Undichtheiten an.

• Stellen Sie die EDV-Geräte an einer höherliegenden Position auf (nicht auf dem Boden).

• Verwenden Sie hermetische Rohre für die Netzkabel (220 V) sowie für die Netzwerkkabel.

• Unterteilen Sie die Geschossdecke so, dass das Wasser zu Ableitungssystemen geführt wird.

Feuervorfall

Diese Art von Schaden kann unabhängig davon, ob es sich um einen Unfall oder um Brandstiftung handelt, zur teilweisen Zerstörung des Unternehmens und insbesondere der EDV-Ausstattungen führen.

Folgen

Folgen können auf allen Ebenen der Organisation erheblich sein. In Bezug auf das EDV-System kann ein Brandschaden über einen längeren Zeitraum zur vollständigen oder teilweisen Nichtverfügbarkeit der Architektur führen. Die Schäden sind häufig mit Wasserschäden durch das Löschwasser und durch von den Rauchgasen verursachte Schäden verbunden.

Die üblicherweise festgestellten Schäden sind ganz unterschiedlicher Art:

• vollständige oder teilweise Zerstörung des Rechenzentrums,

• vollständige oder teilweise Zerstörung der Kupfer- und LWL-Verkabelung,

• Schäden, die durch die Rauchgase und die Löschmittel verursacht werden,

• physikalische Beschädigungen an den EDV-Geräten.

 Die Gegenmaßnahmen

Vorbeugende Maßnahmen

• Berücksichtigen Sie die Umgebung der Gebäude.

• Vermeiden Sie eine Lagerung von feuergefährlichen Produkten in oder in der Nähe von EDV-Räumen.

• Überprüfen Sie regelmäßig die elektrischen Schaltkreise.

• Vermeiden Sie die Aneinanderreihung von Mehrfachsteckdosen.

• Bringen Sie Rauchmelder an.

• Ermitteln Sie mögliche Brandausbreitungswege und planen Sie Abschottungen ein (Luftschleusen, Brandschutzmauern usw.).

Schutzmaßnahmen

• Installieren Sie Löscheinrichtungen, die zu keiner Beschädigung der EDV-Geräte und zu keinem Personenschaden führen können (erkundigen Sie sich bei der Feuerwehr vor Ort).

• Wählen Sie die Notausgänge sorgfältig aus.

• Achten Sie auf die Einhaltung des Rauchverbots.

• Erstellen und proben Sie einen Katastrophenplan, der eine Auslagerung der Informationen an ein spezielles Datenzentrum beinhaltet.

• Verwenden Sie feuerfeste Schränke für die Lagerung der Datenträger (achten Sie darauf, dass diese Schränke immer verschlossen sind).

KMU: siehe

• Feuer

Strombedingte Sicherheitsvorfälle

Stromschäden können infolge von Störungen der Stromversorgung auftreten, die sich in Form von Überspannungen, Spannungsabfällen bzw. Stromausfällen äußern können. Diese Art des Ausfalls kann das gesamte Unternehmen oder einen Teil hiervon betreffen und interne oder externe Ursachen haben.

Leider sind sowohl der Beginn als auch die Dauer dieser Phänomene in der Regel unvorhersehbar, außer in Fällen von durch den Lieferanten oder die Gebäudewartung angekündigten Abschaltungen.

Ein Stromausfall kann mit bösen Absichten erfolgen oder durch eine Fehlhandlung bedingt sein, jedoch auch durch Naturereignisse wie etwa Gewitter, Stürme usw. hervorgerufen werden.

Folgen

Die Gefahr einer Beschädigung hängt von der Stärke des Stromausfalls ab, denn bestimmte Geräte sind in der Lage, diesen Phänomenen entgegenzuwirken, indem Sie die laufenden Transaktionen vor dem Ausfall noch ordnungsgemäß beenden.

Es können sich folgende Konsequenzen ergeben:

• Datenverlust,

• Schäden an Betriebsmitteln,

• Brandgefahr,

• Gefahr eines tödlichen Unfalls durch elektrischen Schlag.

Bemerkung

Es sei darauf hingewiesen, dass die auf die Etagen verteilten Anschlussgeräte sowie die Personalcomputer und Peripheriegeräte auch kritische Geräte sind, die häufig anfällig gegenüber Stromausfällen sind. 

Die Gegenmaßnahmen

Vorbeugende Maßnahmen

• Installieren Sie Blitzschutzanlagen.

• Statten Sie das Gebäude mit einem Mechanismus aus, der den Aufbau von "Blitzen" verhindert.

• Vermeiden Sie eine Aneinanderreihung von Mehrfachsteckdosen.

• Statten Sie kritische Elemente des EDV-Systems mit einer doppelten Stromversorgung aus.

• Achten Sie auf eine angemessene Auslegung der Stromversorgung (Tabellen, Stärke etc.)

• Achten Sie bei der elektrischen Verkabelung auf eine redundante Ausführung der Speisestromkreise.

Schutzmaßnahmen

• Verwenden Sie UPS-Lösungen (Uninterruptible Power Supply) mit Alarmsoftware in den Räumen, die nicht über ein Notstromaggregat versorgt werden können.

• Installieren Sie so genannte "no break"-Schaltkreise im gesamten Gebäude, um dort anfällige Hardwareausrüstungen und Peripheriegeräte anzuschließen.

• Installieren Sie Sicherheitskreise für den Fall eines Stromausfalls (Notstromaggregat).

Bemerkung

Es lässt sich häufig feststellen, dass sich das Stromausfallproblem bei Wiederherstellung der Stromversorgung fortsetzt. Es ist tatsächlich so, dass der gleichzeitige Neustart aller Geräte zu einer Überlastung und letztendlich zum Durchbrennen der Sicherungen führt. Daher wird ein schrittweiser Neustart der Geräte empfohlen.

KMU: siehe

• Unterbrechung von Leistungen
• Stromausfall

Vorfälle aufgrund von Defekten in der Kanalisation

EDV-Geräte sind für den Betrieb unter ganz bestimmten Umgebungsbedingungen konzipiert. Diese Umgebungsbedingungen müssen berücksichtigt und eingehalten werden, um folgende Schäden zu vermeiden:

• Funktionsstörung der Wasser- oder Stromversorgung,

• Ausfall oder Funktionsstörung des Kühlsystems,

• Auswirkungen einer direkten Sonneneinstrahlung.

Folgen

Die Einhaltung der normalen Betriebsbedingungen ist zu beachten, da ansonsten die verschiedensten und nur schwer zu diagnostizierenden zufälligen Funktionsstörungen auftreten können. Die üblichen Folgen einer fehlerhaften Klimatisierung sind jedoch:

• die Notwendigkeit, die Geräte in regelmäßigen Abständen ausschalten und neu starten zu müssen,

• eine vorzeitige Alterung und damit eine verkürzte Gesamtnutzungsdauer der EDV-Geräte,

• eine Beeinträchtigung der Leistung der Pufferbatterien der unterbrechungsfreien Stromversorgung. 

Die Gegenmaßnahmen

Vorbeugende Maßnahmen

• Installieren Sie Vorrichtungen zur Einschränkung der direkten Sonneneinstrahlung.

• Installieren Sie ein redundantes Belüftungssystem, das ausreichend dimensioniert ist, um den aktuellen und zukünftigen Anforderungen zu entsprechen.

• Installieren Sie eine Lösung zur Temperaturüberwachung, die mit einer Alarmvorrichtung ausgestattet ist.

Schutzmaßnahmen

• Installieren Sie einen Kontrollmechanismus für den Zugang zu den EDV-Räumen,

• Setzen Sie einen Notfallprozess ein (in eingeschränktem Modus), der die Abschaltung nicht kritischer Informationsverarbeitungsgeräte erlaubt. 

Vorfälle

Zu dieser Art von Vorfällen zählen unter anderem:

• Sabotage,

• Geräteausfall oder -verlust,

• Signalstörungen,

• Trennung von Verbindungskanälen,

• Ausfall des Dienstes eines Anbieters,

• Ausfall einer Vermittlungsstelle.

In diese Kategorie werden üblicherweise andere Vorfälle als die, welche einen direkten Einfluss auf die physikalischen Elemente haben, eingestuft. Hierzu zählt beispielsweise das Eindringen in EDV-Systeme. Diese Vorfälle werden im vorliegenden Dokument jedoch nicht behandelt.

Folgen

Die Auswirkungen hängen logischerweise von der Nutzung der in den kritischen Produktionsketten betroffenen Dienste ab. Es können sich folgende Konsequenzen ergeben:

• Ausfall bestimmter Softwareprogramme,

• Isolation des Unternehmens gegenüber der Außenwelt,

• mögliche Beschädigung der Daten,

• Deaktivierung bestimmter Überwachungseinrichtungen (Video, Alarm usw.). 

 Die Gegenmaßnahmen

Vorbeugende Maßnahmen

• Schützen Sie sorgfältig die Telekommunikationsräume.

• Verwenden Sie geschirmte, ummantelte Kabel für die externen Verbindungen (Schirmung, Warnung, Klemmen usw.).

• Trennen Sie die Ummantelungen von Starkstrom-, Schwachstrom und Klimatisierungsleitungen.

• Schützen Sie Kommunikationseinrichtungen (Antennen usw.) gegen Blitzschlag.

Schutzmaßnahmen

• Richten Sie doppelte und über verschiedene Vermittlungsstellen laufende Verbindungen mit getrennten Zugriffspfaden ein.

• Installieren Sie kritische Komponenten doppelt und richten Sie ein System zur Lastverteilung ein.

• Richten Sie, sofern dies möglich ist, Ersatzverbindungen ein.

• Schulen Sie mehrere Bediener für die Gewährleistung des Übergangs bei einem Ausfall des Dienstes.  

KMU: siehe

• Unterbrechung von Leistungen

• Denial of service und distributed denial of service Attacken

• Gestörte kabellose Kommunikation

• Netzzugang nicht verfügbar

• Unterbrechung von Leistungen

• Funktionsunfähigkeit von Datenverarbeitungs- oder Kommunikationsgeräten

 Vorfälle

Der Aufenthalt von unbefugten Personen in den EDV-Räumen (und in den Räumlichkeiten des Unternehmens) kann verschiedene unerwünschte Vorfälle wie beispielsweise die nachfolgend aufgeführten zur Folge haben:

• Diebstahl von Betriebsmitteln

• Verlust von Vertraulichkeit,

• Sabotage.

Folgen

Es können sich folgende Konsequenzen ergeben:

• Verlust des Ansehens (Infragestellung der Glaubwürdigkeit im Fall einer Verbreitung streng vertraulicher Informationen usw.),

• unmittelbare finanzielle Verluste (Zerstörung entscheidender Daten, Außerbetriebsetzung des gesamten EDV-Systems usw.),

• Zeitverlust (Aufwand für die Wiederherstellung der zerstörten Daten usw.).

Die Gegenmaßnahmen

Gerade in diesem Bereich ist es unerlässlich, alle Maßnahmen in einen organisations- und verfahrenstechnischen Audit-Plan zu integrieren.

Vorbeugende Maßnahmen

• Installieren Sie einen Gebäudeschutz (Verstärkung, Bunker,..) mit einer begrenzten Anzahl an Zugängen (Fenster, Türen).

• Nutzen Sie ein System zur Bewegungs- und Eindringungserkennung, das mit einer rund um die Uhr besetzten Überwachungszentrale verbunden ist.

• Installieren Sie ein Zugangskontrollsystem (Badge, Biometrie usw.), das die Überwachung und Rückverfolgung des Zugangs zu kritischen Räumen ermöglicht.

• Entwickeln Sie eine Politik zur Identifikation von Besuchern.

Schutzmaßnahmen

• Verwenden Sie Diebstahlschutzvorrichtungen für die Peripheriegeräte und PCs oder tragbaren Computer.

• Schreiben Sie eine Leitlinie zum Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms und sorgen Sie für deren Umsetzung, denn dies ist noch immer eine der effektivsten Schutzmaßnahmen gegen Daten- und Betriebsmitteldiebstahl.

• Installieren Sie ein Video-Überwachungssystem.

Bemerkung

Holen Sie sich vor der Einführung dieser Überwachungsmaßnahmen die Genehmigung bei der Nationalen Kommission für den Datenschutz ein.

KMU: siehe

• Eindringen in Einrichtungen

• Einbringen oder Entfernen von Material

• Entsorgung von Datenträgern

• Entfernen von Eigentum (Diestahl)

Vorfälle

Unter diesem Begriff sind alle elektromagnetischen und elektrostatischen Phänomene zusammengefasst.

Diese Störungen können im Fall von meteorologischen Phänomenen von einer unternehmensexternen Quelle stammen oder auf Emissionen von Funkgeräten oder anderen elektrischen Geräten beruhen. Die Quelle kann jedoch auch mit dem Gebäude in Verbindung stehen.

Folgen

Es können sich folgende Konsequenzen ergeben:

• zufällige Funktionsstörungen,

• Beschädigung der auf magnetischen Datenträgern gespeicherten Daten.

Bemerkung

Ein anderes Phänomen ist die Nutzung der vom EDV-System gesendeten Strahlungen zum Abfangen von Daten. Dies ist beispielsweise bei drahtlosen Netzwerken der Fall.

Die Gegenmaßnahmen

Vorbeugende Maßnahmen

• Richten Sie die EDV-Räume (Verarbeitung und Anschluss) in ausreichender Entfernung von Elektroinstallationen, Aufzügen und anderen Störquellen ein.

• Verwenden Sie LWL für vertikale Verbindungen (z.B. zwischen den verschiedenen Etagen), um so die Risiken einzuschränken.

• Erden Sie alle Geräte und nicht nur die Komponenten des EDV-Systems.

• Wählen Sie die Bodenbeläge mit Bedacht aus.

Schutzmaßnahmen

• Tragen Sie bei allen Eingriffen an der EDV-Architektur Erdungsarmbänder.

Vorfälle

Der Zugang zum Rechenzentrum kann aus den verschiedensten Gründen wie beispielsweise den nachfolgend aufgeführten unmöglich sein:

• Naturkatastrophen und Attentate,

• richterliche Entscheidung infolge eines Schadensfalls,

• Demonstrationen, Unruhen und gesellschaftliche Bewegungen.

Folgen

Die Folgen eines Zugangsverlusts können vielseitig sein:

• Unterbrechung des Betriebs des Rechenzentrums,

• Einschränkung der ordnungsgemäßen Funktionsweise des Systems und insbesondere der sensiblen Geräte.

Die Gegenmaßnahmen

Vorbeugende Maßnahmen

• Installieren Sie Ihre Lokale an Orten, wo Naturkatastrophen selten sind.

• Richten Sie Schutzmaßnahmen gegen Eindringlinge ein.

Schutzmaßnahmen

• Installieren Sie eine sichere Lösung zur Übernahme der Kontrolle per Fernzugriff.

• Sehen Sie ein Ausweichlokal vor.