Worum geht es?
Organisation dürfen sich nicht allein darauf konzentrieren, geeignete Komponenten einzukaufen und aufzustellen. Sie müssen auch im Auge behalten, dass diese Komponenten mit den unterschiedlichsten Dingen versorgt werden müssen, um zu funktionieren. IT-Komponenten benötigen mindestens Strom und in aller Regel auch Kühlung. Die Brandschutz- bzw. Brandbekämpfungsanlage braucht im Zweifel ebenfalls Strom und dazu Wasser oder ein anderes Löschmittel, wie beispielsweise ein geeignetes Gas. Die Notstromaggregate größerer Netzersatzanlagen brauchen Treibstoff. Und Mitarbeitende, die in regelmäßig fensterlosen Rechenzentren tätig sind, brauchen schlicht und einfach Licht, um arbeiten zu können.
Was empfiehlt die ISO 27002?
Die Norm macht in Kapitel 7.11 verschiedene Vorschläge zur Sicherstellung der jeweils notwendigen Versorgung. Dabei zählt die Norm knapp einige wesentliche Gesichtspunkte auf:
- Es muss regelmäßig überprüft werden, ob Versorgungseinrichtungen auch im Hinblick auf die zu erwartende Geschäftsentwicklung und damit zusammenhängende Änderungen noch ausreichend dimensioniert sind. Beispielsweise könnte die Notstromversorgung oder aber auch die Klimatisierung durch einen kurzfristigen Ausbau der zentralen IT mit dieser nicht mehr Schritt halten.
- Alle Versorgungseinrichtungen und die zur Unterstützung ihres Betriebes notwendigen Geräte und Betriebsmittel müssen entsprechend der Herstellervorgaben konfiguriert, betrieben und gewartet werden. Typische Negativbeispiele in der Praxis sind USV-Batterien, die längst keine ausreichende Kapazität mehr liefern oder gänzlich nicht gewartete Klimaanlagen, die von heute auf morgen den Geist aufgeben oder aber unbemerkt anfangen, in den Serverraum zu tropfen.
- Ergänzend zur regelmäßigen Wartung sollten alle Bestandteile der Versorgungseinrichtungen regelmäßig getestet werden. Dies ist vor allem bei solchen Bestandteilen wichtig, die außerhalb des Regelbetriebs im Notfall anspringen sollen.
- Die Bestandteile, die für den Regelbetrieb notwendig sind, sollten laufend hinsichtlich ihrer Funktion überwacht werden. Bei Störungen oder gar einem Ausfall sollte zumindest eine automatische Benachrichtigung erfolgen oder aber ein Alarm ausgelöst werden.
- Redundanzen sind nicht nur bei den IT-Geräten selbst, sondern meist auch bei den Versorgungseinrichtungen notwendig. Was nützt im Ernstfall der mit Geräten vollgestopfte Serverraum, wenn dieser nur an einer einzigen Stromversorgung hängt und nur eine einzelne Anbindung an Netzwerk/Internet besteht? Wie kann laufend eine ausreichende Klimatisierung sichergestellt werden, mit nur einem Klimagerät?
- Schließlich sollten sich Organisationen auch die Frage stellen, ob ihre eigenen Versorgungseinrichtungen tatsächlich Teil des Internet of Things sein sollen, oder ob es aus Sicherheitsgesichtspunkten nicht wesentlich sinnvoller ist, diese Geräte – sofern netzwerkfähig – in einem eigenen Managementnetzwerk und vom Internet getrennt zu betreiben.
- Nicht zuletzt muss auch an die Dinge gedacht werden, die Mitarbeiter im Notfall benötigen. Notbeleuchtung und erreichbar aufgestellte tragbare Lampen können ebenso wichtig sein, wie die Listen mit notwendigen Kontakten für den Notfall am Ort, wo diese relevant werden können.
Fazit
Organisationen fokussieren sich oft zu sehr auf die offensichtlichen Bestandteile ihrer IT und investieren häufig zu wenig in die Peripherie. Da viele der hier angesprochenen Gesichtspunkte in der Praxis übersehen werden, fehlt auch häufig die Erfahrung und Kompetenz, an die wichtigen Stellen zu sehen, die richtigen Fragen zu stellen und dazu passende Antworten zu liefern.
Wie eingangs dargestellt, ist es aber essenziell, niemals den gesamten Organismus aus den Augen zu verlieren, damit dieser auch die vorgesehen jederzeit funktionieren kann.