Worum geht es?
Egal aus welchem Blickwinkel man die Informationssicherheit angeht, irgendwann wird man auf Gegenstände – körperliche Dinge – stoßen, die gegen Beschädigung oder Zerstörung geschützt werden müssen. Zu denken ist dabei natürlich an allererster Stelle an die zentrale IT, also alles, was sich in irgendwelchen Serverräumen oder Rechenzentren befindet.
Was sagt die ISO 27002?
Empfehlenswert ist ein stufenweises Vorgehen:
- Identifikation aller möglichen Bedrohungen, wobei auch über weniger typische Gefahren nachgedacht werden muss. Befinden sich beispielsweise Unternehmen in der Nachbarschaft, bei denen die Möglichkeit besteht, dass es zu einer Explosion oder zu gesundheitsschädlichen Emissionen kommt, kann auch dies die eigenen Räumlichkeiten betreffen. Und der wütende Mob, der gegen die eigene Organisation oder auch nur einen anderen Mieter demonstriert, wird die eigenen Mitarbeiter im Zweifel effektiv davon abhalten, ihren Arbeitsplatz zu erreichen. Die Identifikation von Bedrohungen muss angemessen regelmäßig wiederholt werden.
- Auswahl eines Standorts bzw. Konstruktion von Räumlichkeiten mit der die identifizierten Bedrohungen bereits nach Möglichkeit vermieden werden. Der Blick auf die Nachbarschaft ist ebenso sinnvoll, wie der in eine Karte mit Informationen zu Gewässerverläufen, Überschwemmungsgebieten oder tektonisch aktiven Zonen. Lassen sich Überschwemmungen nicht ausschließen, sollte vielleicht wenigstens das genutzte Gebäude die Möglichkeit bieten, die wichtigste IT in höher gelegenen Stockwerken sicher unterzubringen. Wer mit der Möglichkeit rechnen muss, tatsächlich angegriffen zu werden, wird über LKW-Sperren und andere Zufahrtshindernisse nachdenken. Sind kritische Werte vorhanden, müssen diese gegebenenfalls gesondert gegen Einbruch und Brand geschützt verwahrt werden. Das kann bedeuten, lediglich einen passenden Tresor anzuschaffen. Möglicherweise müssen aber auch ganze Räume mit der entsprechenden Widerstandsklasse ausgestattet werden.
- Reduktion der weiterhin bestehenden Bedrohungen durch geeignete Maßnahmen.
Sind alle in Hinblick auf Lage und Konstruktion der Gebäude möglichen Maßnahmen ergriffen, verbleiben die Maßnahmen zur Detektion und Bekämpfung von Bedrohungen. So beispielsweise Brandmelde- und Brandbekämpfungsanlagen, Feuchtigkeitsmelder und Pumpen oder der Schutz gegen elektrische Überspannung. Je nachdem kann auch der Einsatz von Detektoren hilfreich sein oder die Durchsuchung von Besuchern, Fahrzeugen und mitgeführten Gegenständen, soweit nicht zumindest hinsichtlich bestimmter Gegenstände ein Verbot ausgesprochen wird, diese mitzunehmen.
Fazit: Kreativität ist gefragt
Die Ermittlung möglicher Bedrohungen ist eine Aufgabe, die in der Praxis häufig nicht mit der gebotenen Sorgfalt erledigt wird. Nicht selten fehlt es den Beteiligten bereits an der notwendigen Fantasie und es wird nicht daran gedacht, was alles passieren könnte. Berücksichtigt wird nur das Typische und Alltägliche.
Aber auch nach Identifikation einer Bedrohung fehlt es häufig an Ideen oder der Kenntnis, wie diesen ausgewichen werden kann oder eine wirksame Reduktion möglich ist.
Wie bei vielen anderen Aufgaben im Zusammenhang mit dem Aufbau eines brauchbaren ISMS sind Organisationen gut beraten, sich einen Berater an die Seite zu holen, der in den genannten Punkten genug praktische Erfahrung aber auch ausreichend Fantasie mitbringt.