Worum geht es?
Wie bereits angedeutet, ist eine grundlegende Maßnahme für angemessene Informationssicherheit, Werte und allgemein alles, was gegen Missbrauch und Beschädigung geschützt werden soll, physisch zu schützen. Die Norm ISO 27002 macht hierfür diverse Vorschläge und gibt auch Denkanstöße, was bei Regelung und Umsetzung bedacht werden sollte.
Welche Empfehlungen enthält die ISO 27002 zu Platzierung und Schutz von Geräten und Betriebsmitteln?
Unterm Strich geht es immer darum, Gefahren im weitesten Sinne von Werten fernzuhalten.
Das theoretisch einfachste Mittel hierfür ist, die schützenswerten Dinge außerhalb der Reichweite von Personen und vor anderen Einflüssen geschützt aufzubewahren beziehungsweise aufzustellen.
Tatsächlich stehen Organisation aber häufig vor der praktischen Hürde, dass es in den genutzten Räumlichkeiten schwierig ist, passende Orte zu finden. Die Besenkammer wird zwar wenig frequentiert, lässt sich aber weder sinnvoll versperren noch ist sie sonderlich geeignet, Abwärme von Geräten abzutransportieren und die Verwahrung von Reinigungsmitteln gleich neben kostbarer IT ist wohl auch nicht die allerbeste Idee.
Bei der Planung und Umsetzung empfiehlt die Norm ISO 27002 zusammengefasst folgendes:
- Es sollten vorzugsweise Orte zum Einsatz kommen, die nur bei Anlass und dann auch nur von berechtigten Personen betreten werden. Zusätzlich könnte darüber nachgedacht werden, zwischen Bereichen zu trennen, in denen nur eigene Mitarbeiter arbeiten und anderen, in denen Fremdpersonal Aufträge ausführt.
- Auch der vielleicht aus der Ferne mögliche Einblick von unberechtigten Personen muss unterbunden werden. Bereits die simple Veränderung der Ausrichtung eines Bildschirms kann hier Wunder wirken; man denke nur an das, was man immer noch häufig bei Arzt oder in der Apotheke erlebt. Auch Milchglasfolie oder bei kurzfristigem Bedarf Alufolie an den Fenstern können einfache, aber sehr wirksame Mittel sein.
- Abhängig vom Standort und dem anzunehmenden Risiko müssen auch andere physische oder umweltbezogene Bedrohungen vermieden werden. Der Standort muss Hitze, Feuer, Feuchtigkeit, Erschütterung, Staub und allen sonst erdenklichen Immissionen standhalten, aber auch gewalttätigen, physischen Angriffen widerstehen oder zumindest Möglichkeiten bieten, die genannten Bedrohungen zu bemerken und zu bekämpfen. Lässt sich abhängig vom Standort das Risiko von Wasser im IT-Raum nicht beseitigen, sollten wenigstens Feuchtigkeitsmelder und gegebenenfalls Pumpen installiert sein. Selbst so simple Hilfsmittel wie ein Thermometer oder Hygrometer können helfen. Temperaturwarner sind oft in USV verbaut und müssten lediglich noch ausgelesen werden.
- Gleichzeitig muss die Versorgung mit Strom, Wasser, Luft etc. aufrecht erhalten bleiben. Vor diesem Hintergrund muss in die Überlegungen zum angemessenen Schutz auch einbezogen werden, wie verletzbar die entsprechenden Leitungen gegebenenfalls sind.
- Auch wenn die betroffenen Bereiche nur von wenigen befugten Personen betreten werden dürfen, sind Hinweise zum erlaubten Verhalten und ggf. klare Verbote (Rauchen, Getränke, etc.) sinnvoll.
Fazit: Tatsächliche Umsetzung ist gefragt
Im hier relevanten Zusammenhang von Platzierung und Schutz von Geräten und Betriebsmitteln die richtigen Lösungen zu finden, ist oftmals einfacher als sie tatsächlich umzusetzen. Häufig stehen die örtlichen Gegebenheiten einer guten Lösung entgegen und die bisher eher natürlich gewachsene IT-Landschaft sähe vermutlich anders aus, wenn sie frisch vom Reißbrett käme.
Auch im Hinblick auf die gegebenenfalls notwendigen Investitionen stellt sich vielfach die Frage, ob nicht teilweise Umzüge bzw. Umbauten im eigenen Haus sinnvoll wären. Es ist deutlich angenehmer und einfacher, an einzelnen Orten für hohe Sicherheit zu sorgen, als beliebig verstreute Werte schützen zu müssen.
Im Endeffekt wird man daher nicht nur über Anpassungen hinsichtlich der physischen Standorte von IT-Geräten nachdenken müssen, sondern auch über die bislang praktizierte Ablage von Daten.