Sicherheitsplanung Sicherheitsberatung
Mit Kompetenz beraten und planen

Physikalische Sicherheit von IT-Anlagen und IT-Infrastruktur

1. Was sind die Gründe für mangelhafte Sicherung von IT-Anlagen und IT-Infrastruktur?

Die Abhängigkeit von der IT-Infrastruktur wird in vielen Fällen von Unternehmen völlig unterschätzt. Ver­lässliche Zahlen zur Informations- Sicherheit sind jedoch selten. Aussagen zu selbstkritischen Bestands­auf­nahmen, konkrete Angaben zu Schäden und Budgets fehlen und sind schwer zu erlangen. Gerade in mittelständischen Unternehmen ist die Bereitschaft gering, ernsthaft über die Risiken eines Teil oder Totalausfalles der IT-Infrastruktur nachzudenken.

Bedrohungsszenarien sind oft nur auf logische und physische Gefahren ausgerichtet.

Viele vergessen, dass ein Sicherheits- und Risk-Management gesetzlich gefordert ist. Ernsthafte Unter­suchungen zu den vielfältigen Bedrohungsarten und deren Risikopotentiale mit all ihren Auswirkungen auf den ungestörten Geschäftsbetrieb und auf die Unternehmensziele, eingebettet in ein umfassendes Sicherheits- und Risikomanagementkonzept, fehlen in der Regel.

Sehr oft wird die gesetzlich verankerte „Organisationsverpflichtung“ mit all den Verflechtungen zu KonTraG und Basel II vergessen. Es läuft darauf hinaus, ein Risikomanagement einzurichten (Vor­halten eines Früherkennungs- und Steuerungssystems für kritische Entwicklungen im Unternehmen) und durch präventiv wirkende Sicherheitsmaßnahmen in Kombination mit diesem Risikomanagement sicher zu stellen (gesetzlichen Forderungen, die Gefahr von Verlusten und Schäden, die in Folge der Unan­gemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten, angemessen einzuschränken oder gar zu verhindern).

Das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) verpflichtet zwar die Vorstände von börsennotierten Unternehmen, hat aber auch Ausstrahlungswirkung auch auf die Geschäftsführer anderer Gesellschaftsformen.

Die Organisationsverpflichtung und die Pflicht zum Aufbau eines Risk-Management betrifft besonders die Verantwortlichen für die IT-Infrastruktur. Die wenigsten RZ-Leiter verfügen über verwertbare Unter­such­ungen, welche Auswirkungen der Ausfall von IT- und TK-Anlagen auf die verschiedenen Unter­nehmens­teile hat und welche finanziellen Folgeschäden entstehen könnten. Viele Unternehmen können große Schadens­ereignisse, verursacht durch den Ausfall der IT-Infrastruktur mangels ausreichender Finanz­ierung nicht abfangen und stehen im IT-GAU vor dem Aus. Schon eine einzelne Gefahr wie z.B. ein Brand kann dazu führen.

Immerhin erachten 48% der Befragten IT-Verantwortlichen Verstöße gegen Gesetze, Vorschriften oder Verträge als „sehr wichtig“ und immerhin 44% als „wichtig“.

(Quelle:
Fachzeitschrift <kes>, Sicherheitsstudie – Lagebericht zur Informationssicherheit)

Auf die Frage „Was die IT-Sicherheit am meisten behindert“, ergaben 160 Antworten aber nachfolgen­des Resultat:

  • Es fehlt Geld
  • Es fehlt an Bewusstsein bei den Mitarbeitern
  • Es fehlt an Bewusstsein u. Unterstützung im Top-Management
  • Es fehlt an Bewusstsein beim mittleren Management
  • Es fehlen verfügbare und kompetente Mitarbeiter
  • Es fehlen die strategischen Grundlagen/Gesamt-Konzept
  • Die Kontrolle auf Einhaltung ist unzureichend
  • Es fehlt an Möglichkeit zur Durchsetzung der Maßnahmen
  • Es fehlen geeignete Methoden und Werkzeuge
  • Die vorhandenen Konzepte werden nicht umgesetzt

62%
51%
45%
42%
33%
31%
29%
28%
18%
18%

  

(Quelle:
Fachzeitschrift <kes>, Sicherheitsstudie – Lagebericht zur Informationssicherheit)

Fazit: Fehlendes Geld und mangelndes Bewusstsein der Mitarbeiter und des Top- Manage­ments sind die Hauptursache mangelhafter Sicherheitsmaßnahmen.

2. Welches sind die größten Risiken?

Anschläge wie am 11. September 2001 in New York oder am 11. März 2004 in Madrid setzten in Hinsicht auf die Terrorgefahr und deren Auswirkung sicherlich Maßstäbe. Wenn auch die staatlichen Sicher­heits­dienste von einer steigenden Gefahr in Deutschland sprechen, die Privatwirtschaft sieht sich davon (noch) nicht betroffen. Im Hinblick auf die Bedrohung durch einen Terroranschlag sicherlich auch nach­voll­ziehbar. Die eigentlichen Risiken liegen im normalen Umfeld und im „Tagesgeschäft. Das größte Risiko ist der Mensch. Fahrlässigkeit, Vorsatz, Bequemlichkeit und mangelndes Verständnis für Sicher­heits­maßnahmen sind (leider) die Regel. Die allgemeinen Bedrohungsarten und Gefahren und die daraus resultierenden Risiken sind vielfältig und in jedem Unternehmen unterschiedlich ausgeprägt. Beson­ders hervorzuheben sind zweifellos:

  • Der Imageverlust durch Ereignisse mit öffentlicher Wirkung
  • Der Schaden durch die Verweigerung von Versicherungsleistungen
  • Der Schaden durch Wirtschaftsspionage und Weitergabe vertraulicher Informationen
  • Der Verstoß oder das nicht Beachten gesetzlicher Regeln und Bestimmungen wie z.B. Orga­nisations­verpflichtung, Kommunikations- und Datenschutz, KonTraG, Basel II, Arbeitsschutz. Gefahrgutverordnung usw.

Für die IT-Anlagen und IT-Infrastruktur erwachsen die größten Risiken aus den besonderen Bedroh­ungen und Gefahren wie z.B.

  • Betriebsunterbrechung durch Versagen der technischen Infrastruktur wie - Spannungsversorgung - Klima- und Lüftungsanlage
  • Betriebsunterbrechung oder der Totalverlust bzw. der Teilverlust durch Brand
  • Betriebsunterbrechung durch Versagen der Logistikkette
  • Deliktische Handlungen wie - Einbruchdiebstahl - Vandalismus - Brandstiftung - Sabotage
  • Sonstige deliktische Handlungen (siehe beigefügte Tabellen)
  • Schaden durch organisatorische Mängel

Die entstehenden bzw. vorhandenen Risikopotentiale sind von Objekt zu Objekt unterschiedlich ausge­prägt und abhängig von vielen Einzelfaktoren. Auf der Basis der Verfügbarkeitsanforderung (z.B. 99,5 prozentige Verfügbarkeit) und des Ist-Zustandes ergibt sich das Risikopotential.

Vielfach wird vergessen, dass durch die kumulierende Wirkung (Kettenreaktion), kleine Ereignisse ver­heerende Folgen haben können (Scheuklappeneffekt und mangelnde Fachkenntnisse).

Eine übergreifende und konzeptionelle Betrachtung der Gefahren und der damit verbundenen Risikopotentiale findet oft nicht statt.

Die wenigsten Unternehmen haben eindeutige und gerichtsverwertbare Unterlagen zum Schutzkonzept, der Risikobewertung, der Sicherheitsmaßnahmen, der Revisionsmaßnahmen und des Risk-Manage­ments. Dieser Umstand kann im Fall der Fälle verheerende Folgen für die verantwortlichen Personen und das Unternehmen haben.

Verstöße gegen Organisationsverpflichtungen bergen erhebliche Haftungsrisiken und strafrechtliche Konse­quenzen für das Management. Finanzielle Risiken, z.B. Verweigerung von Versicherungs­leistungen im Schadensfall, sind gängige Praxis und nicht auszuschließen.

3. Wo werden die meisten Fehler gemacht?

Wie so oft, steckt der Teufel im Detail. Kleinigkeiten werden absichtlich oder unabsichtlich übersehen. Die meisten Fehler konzentrieren sich auf:

Mangelhafter Brandschutz

  • Schadhafter baulicher Brandschutz an Wänden, Decken, Böden und Türen
  • Unvollständige Brandfrüherkennung bzw. Brandfrühesterkennung in Kombination mit automatischen Löschanlagen
  • Mangelhafter organisatorischer Brandschutz in Form fehlender eindeutiger Interventions­maßnahme und Verhaltensweisen im Brandfall
  • Fehlende Routine im Umgang mit besonderen Ereignissen durch zu wenig Notfallübungen

Mangelhafter Objektschutz

  • Inkonsequente Zutrittskontrolle in Verbindung mit fehlender Türoffenzeitüberwachung
  • Fehlende Vereinzelungsmaßnahmen in Kombination mit einer eindeutigen Personenidentifikation
  • Fehlende oder mangelhafte Interventionsmaßnahmen
  • Keine mechanischen Sicherungsmaßnahmen in Verbindung mit fehlenden Widerstandszeitwerten

Mangelhafte technische Gebäudeausrüstung

  • Fehlende oder zu gering dimensionierte unterbrechungsfreie Stromversorgung (USV).
  • Fehlende Redundanzen in den Systemen und den Leistungsnetzen, oft gepaart mit inkonsequentem Brandschutz (redundante Leitungen oder Systeme befinden sich im gleichen Brandabschnitt)
  • Fehlende Überspannungsschutzeinrichtungen und Maßnahmen zum Potentialausgleich
  • Fehlende Vorsorge gegen elektromagnetische Unverträglichkeit
  • Keine zweite Telekommunikationseinspeisung
  • Keine zweite Mittelspannungseinspeisung
  • Fehlende Spannungsausfallüberwachung an wichtigen Stromkreissicherungen
  • Keine Brückenschaltungen an wichtigen Regelkreisen

Mangelhafte Sicherheitsorganisation

  • Keine lückenlose Dokumentation der technischen Einrichtungen (Fehlersuche wird erschwert und dauert entsprechend lang)
  • Fehlendes oder mangelhaftes Sicherheitsorganisationshandbuch mit detaillierten Angaben zu allen sicherheitsrelevanten Verfahren und Abläufen
  • Keine eindeutige Vorgaben und Verfahren für Fehlersuche und Störungsbeseitigung
  • Fehlende zentrale Leitstelle, die alle relevanten Meldungen empfängt und kompetent erforderliche Interventionen einleitet und kontrolliert.
  • Fehlende einheitliche Managementoberfläche für Sicherheit und Technik mit eindeutigen Interventionsvorgaben

Beispiel 1 zum Brandschutz:

Die Rechnerräume werden mit einer Brandmeldeanlage überwacht weil zwingend vorgegeben. Die be­nach­barten Räume nicht. In diesen werden hohe Brandlasten gelagert. In einem der benachbarten Räume bricht ein Feuer aus. Es kann sich entwickeln und erzeugt hohe Hitze. Die Wände übertragen die Hitze auf den Rechnerraum (geht sehr schnell und wird nicht erkannt). Die elektronischen Bauteile werden nachhaltig zerstört obwohl es im überwachten Rechnerraum keinen Brand gibt.

Fazit: Die benachbarten Räume müssen überwacht werden und dürfen keine hohen Brand­lasten aufweisen! Brandwände (F90) schützen zwar vor Brandüberschlag aber nicht vor Temperaturübertragung. Das gleiche gilt für Feuerabschlusstüren!

Beispiel 2 zum Brandschutz:

Die Brandfrüherkennung mittels Rauchmelder ist gut. Die Brandfrühesterkennung mittels Rauch­ansaug­systeme - möglichst direkt an den Objektschränken - ist besser. Die bereits in der frühesten Phase ent­stehenden Rauchund Brandgase werden durch die aktive Rauchansaugung früh erkannt und gemeldet. Weit bevor der eigentliche Brand in Form eines offenen Feuers entsteht, kann regiert werden. Dank neuer Laser- und Scannertechniken werden bekannte Störgrößen wie z.B. Staub ausgefiltert. Bei Info­alarm (drei Alarmstufen sind üblich: Infoalarm, Voralarm und Hauptalarm) kann bereits reagiert werden. Anhand ansteigender Messwerte ist zu erkennen, ob es sich um eine echte „Brandentwicklung“ handelt oder nicht.

Fazit: Es bleibt genügend Zeit den möglichen Brandherd zu verifizieren und zu beseitigen. Der RZ-Betrieb muss nicht unterbrochen werden. Es kommt zu keinen Ausfallzeiten.

Beispiel 1 zum Objektschutz:

Die Zutrittskontrolle ist obligatorisch. Die Türoffenzeitüberwachung in Kombination mit einer akustischen und optischen Alarmierung vor Ort und einer sofortigen Alarmierung an einer zentralen Stelle, wird wenig angewandt. Die optische Überwachung fehlt. Keiner weiß was los ist. Die Tür kann unkontrolliert offen stehen. Das Risiko „Mensch“ macht die Sicherheitsmaßnahme Zutrittskontrolle zunichte.

Fazit: Zwangsläufigkeiten müssen die Sicherheitsmaßnahmen unterstützen und die Schwachstelle „Mensch ausschalten.

Beispiel 2 zum Objektschutz:

Die Hauptstränge der IT- und TK-Leitungen werden durch nicht überwachte Bereiche geführt und kön­nen absichtlich oder unabsichtlich zerstört werden. Erschwerend kommthinzu, dass sie nicht redundant verlegt wurden.

Fazit: Die Gefährdung der IT-Anlagen hört nicht an der Grenze des RZ-Bereiches auf, sondern erstreckt sich auch auf die leitungstechnische Infrastruktur.

Beispiel 1 zur technischen Gebäudeausrüstung:

Die USV-Anlage versorgt alle wichtigen Komponenten des Rechenzentrums. Die Dimensionierung ist ausreichend. Eine Brandmeldeanlage ist vorhanden. Eine elektrisch verträgliche Löschanlage fehlt. Im Falle eines Brandes wird zwar gemeldet aber nicht automatisch gelöscht. Besonders tragisch, wenn die Mittelspannungsanlage und die Hauptniederspannungsanlage ebenso mangelhaft ausgerüstet ist.

Fazit: Die Kette der Sicherheitsmaßnahmen muss geschlossen sein, um im Ernstfall zu wirken.

Beispiel 2 zur technischen Gebäudeausrüstung:

Der Überspannungsschutz ist auf der Stromversorgungsseite hervorragend aufgebaut. Bei den Daten- und TK-Leitungen fehlt er aber gänzlich.

Fazit: Die Kette der Sicherheitsmaßnahmen muss geschlossen sein, um im Ernstfall zu wirken.

Beispiel 3 zur technischen Gebäudeausrüstung:

Für den RZ-Bereich ist eine USV vorhanden. Für die Clients/Endstellen steht nur das Normalnetz zur Verfügung. Der Ausfall der Netzeinspeisung wird nicht bedacht (z.B. Ausfall der Trafoanlage). Auf einen zweiten Netzzugang hat man verzichtet oder nicht gedacht („unser Stromnetz ist ja sicher“).

Fazit: Zu einem funktionierenden Unternehmen gehört nicht nur der RZ-Bereich sondern auch der Client-Bereich.

4. Welche Vorsorgemaßnahmen müssen getroffen werden?

Die Vorsorgemaßnahmen sind von Fall zu Fall unterschiedlich anzusetzen. Grundsätzlich gilt, dass ein geschlossenes und gerichtsverwertbares Sicherheitskonzept erstellt wird, möglichst von neutraler Stelle, da die unbefangene Bewertung unbedingt erforderlich ist.

Dazu gehört nachfolgende Vorgehensweise:

Eine Bewertung der verbleibenden Restrisiken muss erfolgen und im Rahmen des Risk- Managements müssen die getroffenen Maßnahmen regelmäßig kontrolliert werden. Übungen für den Fall der Fälle sind wichtig.

Sicherheitsmanagement

Autorenhinweis:

Volker Kraiß ist seit 1992 unabhängiger Sicherheitsberater und alleiniger Inhaber der KRAISS SECURITY CONSULT. Mit einem interdisziplinär zusammengesetzten Team von Ingenieuren und Be­ratern werden integrierte Lösungen für den Objekt- und Unternehmensschutz erarbeitet.

KRAISS Security Consult
Inh. Volker Kraiß
Sicherheitsberatung und Planung
Sandeldamm 16
63450 Hanau


kontakt@kraiss-consult.de

Telefon 06181/780535
Telefax 06181/780565