ISO 27002 - Kapitel 7.3 Sichern von Büros, Räumen und Einrichtungen

Schutz von Räumlichkeiten

Denknotwendig erfordert ein Sicherheitsbereich in irgendeiner Form eine Abgrenzung nach außen. Was frei herumsteht und nicht wenigstens in einem unbeweglichen und sicheren Behältnis verschlossen wird, ist nicht vor dem Zugriff Unbefugter geschützt. Der physikalisch räumliche Schutz macht es daher notwendig, über konkrete Sicherheitsmaßnahmen für konkrete Räumlichkeiten nachzudenken.

Was ist beim Schutz von Räumlichkeiten zu beachten?

Ausgangspunkt für die Überlegung, welche Sicherheitsmaßnahmen für bestimmte Räumlichkeiten ergriffen werden müssen, ist immer der Schutzbedarf der darin verarbeiteten oder aufbewahrten Werte bzw. Informationen. Organisationen müssen daher zuerst einmal exakt wissen, welche Orte relevant sind. Bei elektronisch verarbeiteten Informationen, die in einem Netzwerk verarbeitet werden, können hier sehr schnell mehrere Orte relevant werden, die zu betrachten und zu sichern sind.

Vor allem auch aus wirtschaftlichen Erwägungen ist es oft sinnvoll, nur möglichst wenige Hochsicherheitsbereiche einzurichten. Dazu ist es allerdings notwendig, verstreute Werte einzusammeln und an wenige entsprechende Orte zu verbringen.

Gleichzeitig sollten nicht alle essenziellen Werte im Ernstfall an nur einem einzigen Ort gelagert sein, an dem sie im Katastrophenfall gleichzeitig vernichtet werden könnten. Soweit möglich, sollte also an Redundanzen bzw. Sicherungen gedacht werden, die ebenfalls nur an Orten mit ausreichender Sicherheit verwahrt werden dürfen.

Durch die Kumulationseffekte bei beispielsweise einer Datensicherung, steigt der Schutzbedarf sogar möglicherweise erheblich. Auf einem Datensicherungsband liegen möglicherweise sämtliche Informationen einer Organisation, und zwar nicht mehr verstreut auf mehreren Systemen, die jeweils nur von bestimmten berechtigten genutzt werden können, sondern als praktisches Paket gebündelt, was für Angreifer besonders interessant ist.

Die ISO 27002 macht folgende konkrete Vorschläge, was bei der Sicherung von Räumlichkeiten und Einrichtungen zu beachten ist:

• Der Standort für kritische Einrichtungen muss so gewählt sein, dass der Zugang für Unbefugte wirksam verhindert werden kann.
• Orte, die kritische Werte enthalten, sollten nicht als solche erkennbar sein. Es ist nicht sonderlich klug, den Weg zur Schatzkammer zu beschildern. Dementsprechend dürfen auch interne Lagepläne, Stockwerksverzeichnisse, Netzwerkpläne etc. Unbefugten nicht zur Verfügung stehen, wenn darüber Rückschlüsse auf Verwahrungsorte möglich werden.
• Es sollten auch Maßnahmen ergriffen werden, die ein Abhören verhindern. So ist ein IT-Raum selbst für Laien oft bereits anhand der deutlich wahrnehmbaren Lüftergeräusche über das Gehör zu identifizieren. Muss mit professionellen Angriffen gerechnet werden, darf nicht nur der einfache Lauscher abgewehrt werden, sondern es können zusätzlich geeignete Maßnahmen gegen gezielte, elektronische Abhörmaßnahmen notwendig sein.

Fazit: Eine häufig vernachlässigte Pflicht

Werte an ihren verschiedenen Verarbeitungs- bzw. Verwahrungsorten angemessen zu schützen, ist häufig keine ganz einfache Aufgabe für Organisationen. Viel zu oft stehen schon gar keine geeigneten Räumlichkeiten zur Verfügung.

Wer einigermaßen regelmäßig Informationssicherheits-Audits durchführt, kennt die Kombination aus Serverraum/Putzschrank/Getränke- und Papierlager zur Genüge; regelmäßig noch tatsächlich in einer Art Besenkammer untergebracht, deren normale Bürotür aufgrund des sonst entstehenden Hitzestaus schon gar nicht geschlossen werden darf.

Im Ergebnis werden vielfach die eigentlichen notwendigen Veränderungen aus wirtschaftlichen Gründen zurückgestellt oder als Folge von Ratlosigkeit letztendlich ignoriert.

Unabhängig davon sind Organisationen häufig bereits damit überfordert, festzustellen, wo welche Werte mit welchem Schutzbedarf vorhanden sind. Nur in wenigen Fällen sind bereits Netzpläne vorhanden und Leitungs- bzw. Baupläne müssen erst beim Vermieter angefragt werden – so sie denn überhaupt vorhanden sind.

Fehler in diesem Bereich können schnell katastrophale Auswirkungen haben und Organisationen sollten dementsprechend äußerst sorgfältig vorgehen.