IT-Sicherheit: Professionelle Standards für elektronische und mechanische Sicherheitstechnik

  • Heiner Jerofsky, Kriminalrat a.D.

IT-Sicherheit: Professionelle Standards für elektronische und mechanische Sicherheitstechnik. Der wirtschaftliche Erfolg unserer Unternehmen hängt eng mit der sicheren und störungsfreien Funktion ihrer EDV-Anlagen zusammen. Anlagenausfälle, Sabotage und Datenverlust können größten Schaden anrichten. Deshalb gilt es, unabhängig von der ebenso wichtigen IT-Sicherheit, das "Gehirn" des Betriebs auch gegen andere Bedrohungen, wie unberechtigten Zutritt, Brand, Systemausfall, Naturereignisse oder Knowhow-Verlust durch kriminelle Handlungen zu schützen und regelmäßig die Effektivität der Sicherheitsmaßnahmen dieses sensiblen Bereiches zu überprüfen.

Es beginnt mit einem gründlichen Rundgang um und in dem Gebäude, mit der Beurteilung vorhandener technischer Maßnahmen, sowie dem Aufspüren von Lücken und Mängel. Welche Ein- und Ausgänge führen in das Gebäude und wie werden sie überwacht? Ist der Kreis der Zutrittsberechtigten richtig gewählt? Wie leicht können Kriminelle ins Gebäude eindringen oder Steine und Molotow-Cocktails ins Gebäude hineinwerfen? Sind die mechanischen und elektronischen Sicherungen noch angemessen? Arbeiten die Melde-, Überwachungs-, Kommunikations- und Zutrittsüberwachungssysteme noch einwandfrei?

Diese individuelle Bestandsaufnahme, die auch bisherige Schäden, die Kriminalitätslage und das Umfeld des Gebäudes mit einbezieht, kann auch mit professioneller Hilfe von Sicherheitsfachleuten oder Beamten der örtlichen Kriminalpolizeilichen Beratungsstelle durchgeführt werden. Die Analyse umfasst ebenso den Stand der vorhandenen Sicherheitstechnik, Anzahl, Aufgaben und Ausbildung des Personals sowie ggf. Vorschriften bzw. Auflagen von Behörden und Versicherern.

Eine derartige Ist-Bestandsaufnahme zeigt schnell Schwachstellen auf und kann nun unter Einbeziehung des Bedrohungsund Gefährdungsrisikos die Basis für ein ausgewogenes Sicherheitskonzept bilden. Das Risiko oder die realistische Schadenserwartung ist ein Produkt aus Eintrittswahrscheinlichkeit und möglichen Auswirkungen. Die Risikobewertung oder das Bedrohungsbild bezieht neben Kriminalität auch Brände, Naturereignisse, Sabotage, betriebsspezifische Risiken sowie menschliches und technisches Versagen mit ein.

Individuelles Sicherheitskonzept

Wenn die Schutzziele definiert sind, wird das individuelle Sicherheitskonzept geplant, denn jedes Gelände, Gebäude, jede Problemstellung und jedes Sicherheitsbedürfnis ist anders.

Es gilt durch sinnvolle Planung einen "Maßanzug" für das richtige Sicherungssystem zu schaffen, der weitgehend gegen äußere und höhere Gewalt, ungewollte schadensanrichtende Ereignisse (technischer Defekt, Brand) und vorsätzliche betriebsstörende oder schädigende Handlungen (Kriminalität), schützt.

Es beginnt mit der Planung bzw. Kontrolle der äußeren Sicherheit oder des Perimeterschutzes wie z.B.:

  • Erkennbarkeit und Umgebung von Außen 
  • Maßnahmen gegen Wassergefahren 
  • Physische Umfeldsicherungen, Gelände, Zäune, Bewuchs, Beleuchtung 
  • Zugangswege, Einfahren, Eingänge, Pforte, Bewachung 
  • Elektronische Umfeldsicherungen 

Danach ist die Gebäude-Außensicherung zu beurteilen, wie z.B.:

  • Physikalische Außenhaut und deren Beschaffenheit 
  • Schwachstellen und Öffnungen in der Außenhaut 
  • Außentreppen, Vergitterungen, Lucken, Dach 
  • Kontrollierte Zugänge, Zugangssicherung, Zugangskontrollsysteme 
  • Leitungseingänge, Energieversorgung und Kabelzugriffschutz. 

Im nächsten Schritt sind die Maßnahmen zum Brandschutz zu überprüfen, wie z.B.:

  • Baulicher Brandschutz 
  • Organisatorischer Brandschutz 
  • Brandmeldetechnik und 
  • Brandlöschanlagen 

Danach greifen Überlegungen zum Schutz vor unbefugtem Zutritt, vorsätzlicher Sachbeschädigungen und Diebstähle. Auch die Überprüfung der Sicherheitsdokumentation und des Versicherungsbestand sind ein Teil von Sicherheitsanalyse und -konzept. Nach Beachtung der objektspezifischen Besonderheiten sind Aufgabenstellung und Betreiberwünsche einzubeziehen. Da aus der Erfahrung Schäden immer dort auftreten, wo die geringsten Vorsorgemaßnahmen getroffen sind, müssen zuerst Schwachstellen, die bei der Risikoanalyse zutage getreten sind oder vor Vorschäden bekannt sind, beseitigt werden.

Öffentlichkeitsbereiche sind in Rechenzentren grundsätzlich nicht zu empfehlen. Das Konzept sollte – unter Einbeziehung der Wirtschaftlichkeit – flexible technische und organisatorische Vorbeuge-, Schutz- und Sicherungsziele beinhalten, die im Zusammenspiel der einzelnen Komponenten zu einem noch vertretbaren Restrisiko führen.

Erst Mechanik...

Beim Gelände, wie beim Gebäude selbst heißt das Prinzip: Erst außen, dann innen und immer rundherum gleichmäßig sichern. Es sollte Dieben, Saboteuren oder Brandstiftern erkennbar die Arbeit so schwer wie möglich gemacht werden! Ein guter Widerstandszeitwert ist die Basis für elektronische Sicherungen. Guten Schutz bieten u.a. stabile Zaunanlagen mit Übersteigschutz, massives Mauerwerk, einbruch- bzw. durchwurfhemmende Fenster im geprüften stabilen Rahmen, einbruchhemmende Außentüren und hochwertige Schließsysteme. Alle Schächte, Lüftungsöffnungen, Dachluken o.ä. sind in gleicher Weise zu schützen.

Das Gebäude muss frei von Bewuchs, von außen gut einsehbar sein und zur Nachtzeit über ausreichende Außenbeleuchtung verfügen. Besonders wichtig sind mindestens durchwurfhemmende, besser einschlaghemmende bzw. einbruchhemmende Verglasungen. Sie verhindern u.a., dass durch Einwurf eines Steines und danach ggf. eines Molotow-Coktails das Gebäude mit geringem Aufwand in Brand gesteckt werden kann. Für einige Betriebe empfehlen sich außerdem brand- und einbruchhemmende Datentresore, die entsprechend große Datenmengen sicher speichern können oder als Alternative tägliche Datenauslagerung.

...dann Elektronik

Brand-, Überfall- und Einbruchmeldeanlagen nach DIN VDE 0833 bieten in Kombination mit zweckmäßigen mechanischen Sicherungsmaßnahmen und gesicherter Intervention im Alarmfall eine relativ gute Schutzwirkung. Gefahrenmeldeanlagen sind wegen der erforderlichen Funktionssicherheit (u.a. zuverlässige Detektion, Schutz gegen Manipulationen oder Überwindungsversuche, Vermeidung von Falschalarmen) besonders sorgfältig zu planen und zu installieren. Hierbei sollten stets fachkompetente VdS-zugelassene Firmen und die Versicherer beteiligt werden.

Gute Gefahrenmeldeanlagen zeichnen sich durch einfache Bedienung, Flexibilität in der Anwendung, frühzeitige Gefahrenerkennung, zuverlässige Alarmgabe und problemlose Erweiterbarkeit der Anlage aus. Überfall- und Einbruchmeldeanlagen sollten ggf. zur Polizei oder einer VdS-zugelassenen Interventionsstelle aufgeschaltet werden. Gleiche Sorgfalt gilt bei der Projektion der Brandmeldeanlage, die im Einklang mit dem Nutzer, dem Brandschutzamt und der Brandversicherung errichtet werden sollte.

Die gesamte EDV sollte außerdem mit einer modernen unterbrechungsfreien Stromversorgung ausgestattet sein, die Netzschwankungen oder -ausfälle überbrücken kann. Solche Anlagen bieten bei guten Herstellern volle Zuverlässigkeit und einfache Installation, Modularität, Redundanz, Erweiterungsmöglichkeiten, Vielseitigkeit und hohen Wirkungsgrad.

Unverzichtbar sind in solchen wichtigen Gebäuden auch Blitz- und Überspannungsschutz für alle Gefahrenmelde- und Kommunikationssysteme. Ebenso wichtig ist ein Zutrittskontrollsystem mit moderner biometrischer Identifizierung, das alle Zugangs- und Ausgangsdaten ausreichend lange speichert. Der Kreis der Berechtigten sollte dabei möglichst klein gehalten werden. Es gibt außerdem führende Hersteller im Bereich der physikalischen Daten- und Systemsicherheit, die die Evolution der IT-Welt von Anfang an begleitet haben und mit IT-Sicherheitsräumen ein Optimum an physikalischer Sicherheit für Rechenzentren und Datensysteme bieten. Solche Hersteller planen und realisieren modulare IT-Sicherheitsräume mit integrierter Infrastruktur wie Klimastabilität, Energiekonzepte und Brandschutztechnik – als Generalunternehmer komplett und kompetent aus einer Hand.

Nie ohne Video

Die Einsatzgebiete von Videoüberwachungstechnik sind bekanntermaßen sehr vielfältig. Doch zur Überwachung derart sensibler Bereiche wie es Rechenzentren sind, muss man sie als unbedingt erforderlich ansehen. Diese Form der Überwachung hat neben der starken präventiven Wirkung auch großen Nutzen als Beweismittel bei strafbaren bzw. unerlaubten Handlungen. Die Überwachung erfolgt sinnvoller Weise gekoppelt mit dem Zugangskontrollsystem.

Je nach Lage bietet sich auch eine Überwachung des Gebäudes an der Außenhaut an. Eine Aufschaltung in eine Sicherheitszentrale (NSL) ist in solchen Fällen sinnvoll. Rechtlich gibt es bei der Videoüberwachung keine Probleme, wenn die Besucher auf diese Technik hingewiesen werden, die Personalvertretung gem. § 87 Betriebsverfassungsgesetz zugestimmt hat, keine Unbeteiligten außerhalb des Geländes betroffen sind und die Aufzeichnungen nach einem definierten Zeitraum gelöscht werden.

Nur mit Profis

Wenn Sicherheitsdienstleistungen für den Schutz von Rechenzentren vergeben werden, sind nur Profis gefragt. Alle führenden Sicherheitsdienstleister bieten solche Objektbewachungen durch geschultes Personal an. Diese Fachfirmen können auch ein angemessenes Schutz- und Sicherheitskonzept erstellen und in Absprache mit dem Nutzer die Personalplanung und -einteilung übernehmen. Für den Einsatz bei der Zugangskontrolle, dem Objektschutz- oder in der Alarmzentrale mit Videoüberwachung sowie für die Intervention sollten gerade in Rechenzentren nur geprüfte Schutz- und Sicherheitsfachkräfte eingesetzt werden.

Das Gleiche gilt für die Planung von Rechenzentren. Es gibt namhafte Firmen, die komplette Rechenzentren mit Rechenzentrums-, Sicherheits-, Energie-, Kälte-, Klima- und Kommunikationstechnik planen. Hier sollten Profis mit langer Erfahrung und guten Referenzen ausgewählt werden. Solche Firmen sind mit ihren Leistungen in der Lage, die komplette Umgebungstechnik von Rechenzentren und ein weites Feld der modernen Gebäudeausrüstung abzudecken. Bei der Auswahl der Fachfirmen sollte man sich von den Fachkenntnissen, Erfahrungen und Referenzen überzeugen – aussagekräftig dafür ist z.B. die Mitgliedschaft im BHE, VfS, BDWS oder die Anerkennung des VdS. Aber auch der Inhalt des Leistungspakets und ein 24-Stunden-Service sind entscheidend.

Je nach Größe des Objektes und Spezialisierung der Aufgabe wird auch mit anderen Experten zusammengearbeitet. So kooperieren diese Spezialisten gerne mit Architekten, Organisations- und Unternehmensberatern. Ziel dieser Arbeitsgemeinschaften ist es, die optimale Funktion und Integration des Verwaltungsgebäudes oder der Produktionsstätte in den Organisationsprozess des Kunden sicher zu stellen. In vielen Fällen erfordert die Komplexität der Aufgabenstellung eine Zusammenarbeit mit zusätzlichen Spezialisten.

Vertrauen ist gut...

Der individuell angemessene aber wirksame Schutz des Rechenzentrums entsteht also durch das Zusammenwirken von guter Planung, geeigneter personell-organisatorischen Maßnahmen, den Einsatz anerkannter mechanischer Sicherungen und fachmännisch projektierten elektronischen Gefahrenmeldeanlagen sowie moderner Videotechnik. Schaffen Sie außerdem das nötige Gefahrenbewusstsein im Unternehmen, denn Computerkriminelle, Industriespione und Saboteure sind erfahrungsgemäß sehr kreativ. Deswegen gilt auch in diesem Bereich: Vertrauen ist gut, Kontrolle ist besser!

Jetzt registrieren!

Die neusten Informationen direkt per Newsletter.

To prevent automated spam submissions leave this field empty.