ISO 27002 - Kapitel 7.5 Schutz vor physischen und umweltbedingten Bedrohungen

Kapitel 7.5 der ISO 27002:2022 geht auf Fragen ein, die sich im Zusammenhang mit dem Schutz vor physischen und umweltbedingten Bedrohungen stellen. Die Lösungsvorschläge werden mit diesem Beitrag kurz vorgestellt.

Worum geht es?

Egal aus welchem Blickwinkel man die Informationssicherheit angeht, irgendwann wird man auf Gegenstände – körperliche Dinge – stoßen, die gegen Beschädigung oder Zerstörung geschützt werden müssen. Zu denken ist dabei natürlich an allererster Stelle an die zentrale IT, also alles, was sich in irgendwelchen Serverräumen oder Rechenzentren befindet.

Was sagt die ISO 27002?

Empfehlenswert ist ein stufenweises Vorgehen:

  1. Identifikation aller möglichen Bedrohungen, wobei auch über weniger typische Gefahren nachgedacht werden muss. Befinden sich beispielsweise Unternehmen in der Nachbarschaft, bei denen die Möglichkeit besteht, dass es zu einer Explosion oder zu gesundheitsschädlichen Emissionen kommt, kann auch dies die eigenen Räumlichkeiten betreffen. Und der wütende Mob, der gegen die eigene Organisation oder auch nur einen anderen Mieter demonstriert, wird die eigenen Mitarbeiter im Zweifel effektiv davon abhalten, ihren Arbeitsplatz zu erreichen. Die Identifikation von Bedrohungen muss angemessen regelmäßig wiederholt werden.
  2. Auswahl eines Standorts bzw. Konstruktion von Räumlichkeiten mit der die identifizierten Bedrohungen bereits nach Möglichkeit vermieden werden. Der Blick auf die Nachbarschaft ist ebenso sinnvoll, wie der in eine Karte mit Informationen zu Gewässerverläufen, Überschwemmungsgebieten oder tektonisch aktiven Zonen. Lassen sich Überschwemmungen nicht ausschließen, sollte vielleicht wenigstens das genutzte Gebäude die Möglichkeit bieten, die wichtigste IT in höher gelegenen Stockwerken sicher unterzubringen. Wer mit der Möglichkeit rechnen muss, tatsächlich angegriffen zu werden, wird über LKW-Sperren und andere Zufahrtshindernisse nachdenken. Sind kritische Werte vorhanden, müssen diese gegebenenfalls gesondert gegen Einbruch und Brand geschützt verwahrt werden. Das kann bedeuten, lediglich einen passenden Tresor anzuschaffen. Möglicherweise müssen aber auch ganze Räume mit der entsprechenden Widerstandsklasse ausgestattet werden.
  3. Reduktion der weiterhin bestehenden Bedrohungen durch geeignete Maßnahmen.

Sind alle in Hinblick auf Lage und Konstruktion der Gebäude möglichen Maßnahmen ergriffen, verbleiben die Maßnahmen zur Detektion und Bekämpfung von Bedrohungen. So beispielsweise Brandmelde- und Brandbekämpfungsanlagen, Feuchtigkeitsmelder und Pumpen oder der Schutz gegen elektrische Überspannung. Je nachdem kann auch der Einsatz von Detektoren hilfreich sein oder die Durchsuchung von Besuchern, Fahrzeugen und mitgeführten Gegenständen, soweit nicht zumindest hinsichtlich bestimmter Gegenstände ein Verbot ausgesprochen wird, diese mitzunehmen.

Fazit: Kreativität ist gefragt

Die Ermittlung möglicher Bedrohungen ist eine Aufgabe, die in der Praxis häufig nicht mit der gebotenen Sorgfalt erledigt wird. Nicht selten fehlt es den Beteiligten bereits an der notwendigen Fantasie und es wird nicht daran gedacht, was alles passieren könnte. Berücksichtigt wird nur das Typische und Alltägliche.

Aber auch nach Identifikation einer Bedrohung fehlt es häufig an Ideen oder der Kenntnis, wie diesen ausgewichen werden kann oder eine wirksame Reduktion möglich ist.

Wie bei vielen anderen Aufgaben im Zusammenhang mit dem Aufbau eines brauchbaren ISMS sind Organisationen gut beraten, sich einen Berater an die Seite zu holen, der in den genannten Punkten genug praktische Erfahrung aber auch ausreichend Fantasie mitbringt.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG erstellt für ihre Mandanten im Rahmen einer Zertifizierung nach ISO 27001 Konzepte zur Überwachung abzusichernder Bereiche im Unternehmen.