Ausfälle der Informationstechnik gehen schnell ins Geld. Neben deutlichen Risiken des Hard- und Softwareausfalles aufgrund technischer Fehler oder Qualitätsmängel bedrohen auch ganz klassische Risiken wie Feuer, Blitzschlag, Überschwemmungen oder kriminelle Handlungen die IT. Eine gute Business-Continuity-Planung muss somit auch solche physischen Risiken einkalkulieren. Und wie man sich vor Hackern, Viren und Festplattenausfall mit logischen Mitteln schützt, so gilt es auch, die räumliche Umgebung der Systeme zu "härten".
Wenn viele Unternehmen gerade diese Seite der Datensicherheit vernachlässigen, hat das oft auch mit den historisch gewachsenen Strukturen zu tun. Typischerweise sind die Verantwortungsbereiche für die physische und logische Sicherheit von IT- und Infrastruktur-Einrichtungen in verschiedenen Händen. Um Reibungsverluste zu vermeiden, müssen deshalb zunächst die Schnittstellen zwischen Gebäudeverwaltung, Werksschutz und IT-Betrieb kommunikativ geschlossen sein. Ansonsten schleichen sich immer wieder Kompromiss- oder Insellösungen ein, die den Gesamtbetrieb unsicher gestalten.
Zudem gehen etliche Verantwortliche nach wie vor davon aus, dass die Anforderungen an eine sichere IT-Infrastruktur sich nicht wesentlich von denen im normalen Objektschutz unterscheiden. Eine Fehleinschätzung, die teuer zu stehen kommen kann. Eine aktuelle Studie der Meta Group geht davon aus, dass nach einer Feuer-, Erdbeben- oder ähnlichen Katastrophe durch äußere Einwirkungen 30 Prozent der betroffenen Unternehmen nie wieder ihre Türen öffnen. Weitere 29 Prozent stellen die Geschäftstätigkeit innerhalb der folgenden zwei Jahre ein, weil sie sich nicht von den finanziellen Verlusten erholen können. Laut Meta Group schädigt bereits ein 10-tägiger Ausfall von Schlüsselsystemen der Informationstechnik ein Unternehmen so nachhaltig, dass es mit 50 Prozent Wahrscheinlichkeit innerhalb von fünf Jahren vom Markt verschwindet.
Natürlich gelten auch die "klassischen" Objektschutzfragen für IT-Umgebungen: Zu den Bereichen, die bei einer Sicherheitsanalyse untersucht werden müssen, zählt zum Beispiel die Umgebung des Standortes. Befinden sich etwa Unternehmen in der Nachbarschaft, die mit Gefahrstoffen arbeiten (beispielsweise Lackierbetriebe, chemische Fabriken oder Tankstellen)? Sind unterschiedliche Nutzergruppen im Gebäude und wenn ja, wie sind die Zugänge zu den verschiedenen Räumen geregelt? Steht für die IT-Einrichtungen und die Infrastruktur genügend Raum zur Verfügung oder erfasst auch beispielsweise ein kleiner Brand schon den halben Serverpark des Unternehmens? Sind Risiken aus dem direkten Umfeld der IT auszuschließen oder sorgen zum Beispiel "fliegende" Verkabelung oder die Kaffemaschine des Operators für erhöhte Gefahren?
Wasser stellt immer ein besonderes Risikopotenzial dar. Hier muss untersucht werden, ob beispielsweise eine Überschwemmungsgefahr durch Oberflächen- oder Grundwasser besteht. Ist sichergestellt, dass die internen Wasserver- und -entsorgungseinrichtungen im Falle einer Leckage nicht die IT- und die Infrastruktureinrichtungen gefährden? Bestehen geeignete Abläufe und Rückstauflächen? Kann Löschwasser die Systeme gefährden?
Auch das Thema Klima- und Kälteanlagen sollte man in diesem Zusammenhang hinterfragen: Existiert eine unabhängige Klimaanlage für die IT-Einrichtungen? Werden die Klimawerte redundant überwacht? Sind die Außenanlagen wie Frischluftansaugung und Rückkühlwerk ausreichend gegen Manipulationen gesichert? Gibt es auch für die Klimatechnik Überbrückungsmaßnahmen für Stromausfälle?
Die Installation einer unterbrechungsfreien Stromversorgung (USV) sollte heutzutage eine Selbstverständlichkeit sein. Aber auch hier erleben Experten in der Praxis immer wieder Überraschungen. In der KES/KPMG-Sicherheitsstudie 2002 nannten immerhin neun Unternehmen als größtes Schadenereignis der letzten zwei Jahre "Stromausfall" (von rund 180 Antwortenden zu dieser konkreten offenen Frage). Weitere "spannende" Risiken: Sind geeignete Vorkehrungen gegen Blitz- und Überspannungsschutz installiert? Befinden sich Trafostation, Verteiler und Kabelführung in risikoarmen Bereichen (ein von der Straße abgekommener LKW genügt... )? Gibt es eine redundante Stromzuleitung? Wie ist die Anlage gegen mögliche Kurzschlüsse gesichert? Ist die elektromagnetische Verträglichkeit (EMV) gewährleistet oder drohen Einstrahlungen die IT zu stören (eventuell auch vom Nachbargelände oder einer naheliegenden Bahntrasse)?
Ein weiteres Problemfeld ist die Brandsicherung. Nicht nur das eigentliche Feuer, sondern vor allem der dabei entstehende Rauch können sehr schnell zu einem Komplettausfall der Informationstechnik führen. Deshalb sollte man neben den notwendigen Brandschutzvorkehrungen auch Rauchschutzmaßnahmen für die IT-Bereiche treffen. Zu den Fragen, die geklärt werden müssen, gehören dabei unter anderem: Wird die Rauchverbreitung über die Klimaanlage verhindert? Sind erhöhte Brandlasten innerhalb der IT-Bereiche gelagert (z. B. Papiervorräte für Drucker)? Sind die Brandabschnitte geeignet aufgeteilt und sicher realisiert? Sind Schottungen, Türen und Klappen rauchdicht? Existiert eine geeignete Brandmeldeanlage und sind die notwendigen Feuerlöscheinrichtungen vorhanden und die Mirarbeiter entsprechend geschult?
Schließlich sollten die physischen Sicherheitsmaßnahmen die betriebliche Informationstechnik auch vor Einbruch, Diebstahl und Sabotage schützen. Hier stellen sich bei der Analyse unter anderem folgende Fragen: Welche Zugänge zu den IT-Bereichen sind vorhanden? Sind IT und Infrastruktureinrichtungen ausreichend gegenüber dem Publikumsverkehr abgeschottet oder die Rechnerräume mehr oder weniger offen zugänglich? Ist der (physische) Zugriff auf IT-Einrichtungen auch für die internen Mitarbeiter beschränkt? Sieht die Zugangskontrolle eine Aufteilung in verschiedene IT-Schutzbereiche vor? Sind umfassende Allgefahrenmeldeeinrichtungen installiert? Existiert eine Meldeweiterleitung an eine rund um die Uhr besetzte Stelle? Sind die Ersteinsatzzeiten hinreichend kurz? Bei all diesen Überlegungen reicht es allerdings nicht, lediglich die entsprechenden Räume zu sichern. In das Sicherheitskonzept müssen vielmehr auch Server(-Schränke), Verteiler und sicherheitskritische Endgeräte sowie die Leitungsführung einbezogen werden.
Um Betriebsblindheit möglichst zu vermeiden, empfiehlt sich der Einsatz eines auf derartige Fragen spezialisierten Beraters. Er kann neben seinen fachlichen Aufgaben auch als verbindendes Sprachrohr wirken und eine für alle Seiten akzeptable sichere Lösung finden. Wichtig ist dabei die Erstellung eines umfassenden Sicherheitskonzepts. Wenn vor der physischen Sicherheitskonzeption für den IT-Betrieb keine Sicherheits-Policy für das gesamte Unternehmen erstellt wurde, lassen sich naturgemäß auch keine Schutzziele daraus ableiten. Diese sind dann vielmehr neu zu erarbeiten und festzulegen. Wesentlich ist dabei die spezifische Formulierung der Mindestanforderungen des Verfügbarkeits- und Informationsschutzes. In einer Gefahrenklassifizierung muss gleichzeitig geklärt werden, welche Risiken in die physischen Schutzüberlegungen einzubeziehen sind und auf welche Widerstands- und Wiederherstellungszeitwerte diese referenziert werden sollen.
Aufbauend auf dieser Schutzzieldefinition sind dann die Anforderungen für die einzelnen Bereiche des IT-Betriebs festzulegen. Beispielsweise sollte man zur Vermeidung von externen wie internen Nachbarschaftsrisiken Netzwerkleitungen durch gefährdete Bereiche auf redundantem Wege installieren. Server sind mit einem umfassenden physischen Zugriffsschutz zu versehen (Schließsystem für EDV-Räume und -Schränke). Die IT-Umgebung muss weiträumig mit Wassermeldern überwacht werden, auf allen Ebenen der Gebäude benötigt man Sollabflüsse. Sämtliche Gebäudeeinheiten sollten mit einer Brandmeldeanlage überwacht werden, IT-Einheiten nur in rauchsicheren Bereichen stehen. Weitere organisatorisch zu untermauernde Maßnahmen können zum Beispiel sein: In den IT-Räumen und deren Umgebung dürfen bei einem Brand nur in Ausnahmefällen Wasserlöscher Verwendung finden. Außerhalb der Regelbetriebszeit im Gebäude ist eine Einbruchmeldeanlage scharf zu schalten. Alle Mitarbeiter tragen offen Ausweise, Besucher entsprechende Besucherkarten.
Nachdem die Anforderungen klar formuliert worden sind, muss der Ist-Zustand durch Begehungen vor Ort überprüft werden. Hier ist der Blick eines erfahrenen und unabhängigen Experten besonders wertvoll, denn so manche vermeintliche Brandschutzwand hat sich bei genauerer Inspektion schon als untauglich erwiesen. Oder: Auch einbruchhemmende Fensterscheiben sitzen nicht immer in einem gegen Eindringlinge gesicherten Rahmen.
Die gefundenen Schwachstellen sollten dann in einem Soll-Ist-Abgleich detailliert beschrieben, mögliche Lösungen zu ihrer Behebung vorgeschlagen werden. Da es auch beim physischen Schutz keine absolute Sicherheit geben kann und der Kostenfaktor eine wichtige Rolle spielt, gilt es, diejenigen Maßnahmen auszuwählen, mit denen entsprechend den Schutzzielfestlegungen das optimale Verhältnis von Kosten zu Risiko zu erreichen ist.
Allerdings ist es – wie immer, so auch hier – nicht hinreichend, Sicherheitslösungen lediglich einmal zu implementieren und sich dann beruhigt zurückzulehnen. Im Rahmen eines Risikomanagements müssen die Schutzmechanismen regelmäßig anhand eines Gefahrenkatalogs überprüft werden, wenn sie tatsächlich wirksam sein sollen. Dieser Katalog sollte dabei mindestens die Bereiche Umgebung, Klima, Wasser, Strom, Brand/Rauch sowie Einbruch/Diebstahl/Sabotage enthalten. Die Pflege einer vollständigen Dokumentation ist dabei nicht nur für den dauerhaften Projekterfolg wichtig, sondern zählt auch als Nachweis bei eventuellen Versicherungs- oder Regressansprüchen. Letztlich verpflichtet in Deutschland auch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) die Geschäftsleitung eines Unternehmens, ein angemessenes Risiko-Management-Konzept einzuführen. Neben dem Schutz vor Viren und Hackern, schließt dies selbststverständlich auch den Schutz der IT-Systeme vor physischer Beschädigung mit ein.
Trotz aller vorbeugenden Maßnahmen, kann niemand ein gewisses Restrisiko ausschließen. Um im Falle eines Falles den Schaden aber möglichst gering zu halten, ist daher immer eine Notfallplanung zur Business Continuity unerlässlich. Sie legt fest, welche Maßnahmen bei einem Ausfall der Informationstechnik zu treffen sind. Eventuell kann binnen kurzer Zeit der IT-Betrieb an einem anderen, mit den gleichen Maßstäben gesicherten Standort wieder gestartet werden. Wenn ein solches Notfallkonzept sicherstellt, dass bei einer Unterbrechung keine unternehmenskritischen Daten oder Anwendungen zerstört werden, lässt sich eventuell sogar der Umfang der ansonsten notwendigen und teuren Sicherheitsmaßnahmen teilweise reduzieren.
Robert Schumann ist Senior Consultant bei Siemens Business Services in München.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 35