Sichere Geräte, sicherer Betrieb

Risikokontrolle 7.8: Platzierung und Schutz von Geräten und Betriebsmitteln


Die Risikokontrolle „Platzierung und Schutz von Geräten und Betriebsmitteln“ gemäß ISO 27002:2022 (Abschnitt 7.8) befasst sich mit der sicheren Positionierung und dem Schutz von IT-Geräten und anderen Betriebsmitteln in einer Organisation. Diese Kontrolle ist entscheidend, um sicherzustellen, dass physische Geräte und andere wichtige Infrastrukturen vor Diebstahl, Beschädigung, unbefugtem Zugriff und Umwelteinflüssen geschützt sind. Eine strategische Platzierung und physische Sicherheitsmaßnahmen helfen, Risiken zu minimieren und die Kontinuität des Geschäftsbetriebs sicherzustellen.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die Platzierung und der Schutz von Geräten und Betriebsmitteln adressieren eine Vielzahl von Gefahren, die sowohl physischer als auch sicherheitstechnischer Natur sind:

  1. Diebstahl von Geräten: Wenn IT-Geräte ungesichert in leicht zugänglichen Bereichen aufgestellt werden, besteht ein hohes Risiko, dass sie gestohlen werden. Insbesondere mobile Geräte wie Laptops oder externe Festplatten sind oft das Ziel von Diebstahl.
  2. Unbefugter Zugriff: IT-Geräte, die nicht angemessen gesichert sind, können von unbefugten Personen manipuliert oder genutzt werden. Dies kann zu schwerwiegenden Datenschutzverletzungen und IT-Sicherheitsvorfällen führen.
  3. Beschädigung durch Umwelteinflüsse: Geräte, die nicht ausreichend vor Umwelteinflüssen wie Hitze, Feuchtigkeit, Staub oder Vibrationen geschützt sind, können beschädigt werden. Dies führt zu Datenverlust und Betriebsstörungen.
  4. Sabotage oder Vandalismus: Ohne angemessene Schutzmaßnahmen können kritische Geräte Opfer von Sabotage oder Vandalismus werden, was den Geschäftsbetrieb erheblich beeinträchtigen kann.
  5. Betriebsunterbrechungen: Geräte, die schlecht platziert oder ungeschützt sind, sind anfälliger für technische Ausfälle, was zu kostspieligen Ausfallzeiten und Betriebseinbußen führen kann.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Durch die sichere Platzierung und den Schutz von Geräten werden typische Schwachstellen in Organisationen angegangen, die zu Sicherheitsvorfällen oder Betriebsstörungen führen können:

  1. Ungeschützte Zugänge zu Geräten: In vielen Unternehmen werden kritische IT-Geräte in offenen Büros oder leicht zugänglichen Räumen aufgestellt, was den unbefugten Zugriff erleichtert.
  2. Fehlender Schutz vor Umwelteinflüssen: Server und Netzwerkausrüstung werden manchmal in schlecht belüfteten oder ungeeigneten Räumen aufbewahrt, was zu Überhitzung und technischen Problemen führen kann.
  3. Mangelnde physische Sicherheitsmaßnahmen: Viele Organisationen haben keine klaren Richtlinien für den physischen Schutz von Geräten. Es fehlen Schlösser, Sicherheitsschränke oder Überwachungssysteme, um sicherzustellen, dass Geräte nicht unbefugt bewegt oder verwendet werden.
  4. Keine Berücksichtigung von Sicherheitszonen: Oft werden Geräte in Bereichen platziert, in denen viele Mitarbeiter oder Besucher Zugang haben. Dies erhöht das Risiko eines versehentlichen oder absichtlichen physischen Zugriffs auf kritische Infrastruktur.
  5. Fehlende Redundanz und Absicherung: In vielen Unternehmen werden kritische Geräte nicht ausreichend redundant abgesichert, was im Fall von Ausfällen zu erheblichen Betriebsunterbrechungen führen kann.


Beispiel für die Umsetzung der Risikokontrolle

Ein anschauliches Beispiel für die effektive Umsetzung der Risikokontrolle „Platzierung und Schutz von Geräten“ stammt aus der Pharmaindustrie, wo der Schutz sensibler Daten und kritischer Forschungsausrüstung von höchster Bedeutung ist. Ein großes Pharmaunternehmen, das an der Entwicklung neuer Medikamente arbeitet, hat strenge Sicherheitsvorkehrungen implementiert, um seine IT-Infrastruktur und seine Laborgeräte zu schützen.

  1. Sichere Platzierung von Servern und IT-Geräten: Die Server des Unternehmens, auf denen wichtige Forschungsergebnisse und klinische Daten gespeichert werden, sind in einem speziellen, abgeschlossenen Serverraum untergebracht, der nur für autorisiertes Personal zugänglich ist. Der Raum ist mit Zugangskontrollsystemen, Überwachungskameras und physischen Barrieren ausgestattet, um den Zugang streng zu kontrollieren.
  2. Umweltschutzmaßnahmen: Der Serverraum ist mit einem modernen Kühlsystem ausgestattet, das sicherstellt, dass die Geräte optimal gekühlt werden und vor Überhitzung geschützt sind. Es gibt Feuchtigkeitssensoren, die sicherstellen, dass die Luftfeuchtigkeit auf einem sicheren Niveau bleibt, und Rauchmelder, die im Brandfall sofort Alarm auslösen.
  3. Schutz von Laborgeräten: Auch die Laborgeräte, die bei der Entwicklung neuer Medikamente verwendet werden, sind in geschützten Bereichen untergebracht, die gegen Vibrationen und äußere Einflüsse abgeschirmt sind. Diese Geräte sind entscheidend für die Forschung, und ihre Sicherheit wird durch stabile Plattformen, Notstromsysteme und strenge Zutrittskontrollen gewährleistet.
  4. Zusätzliche Schutzmaßnahmen: Darüber hinaus wird die gesamte Ausrüstung regelmäßig gewartet und überprüft, um sicherzustellen, dass alle Sicherheits- und Schutzvorkehrungen ordnungsgemäß funktionieren. Automatische Sicherungssysteme garantieren, dass alle Daten auch bei einem Geräteausfall nicht verloren gehen.

Dank dieser Maßnahmen konnte das Unternehmen potenzielle Risiken wie den Diebstahl sensibler Forschungsdaten oder die Beschädigung teurer Geräte erfolgreich verhindern. Ein konkreter Vorfall, bei dem ein unbefugter Zutritt zu den Serverräumen versucht wurde, konnte durch die Zugangskontrollsysteme frühzeitig verhindert werden.


Notwendige Ressourcen

Die Umsetzung der Risikokontrolle „Platzierung und Schutz von Geräten“ erfordert Investitionen in technologische Infrastruktur, physische Sicherheitsmaßnahmen und Wartung. Die genaue Höhe der Kosten hängt von der Größe und den speziellen Anforderungen der Organisation ab.

  1. Kosten für physische Sicherheitsmaßnahmen: Die Installation von Zugangskontrollsystemen, Sicherheitskameras, Alarmsystemen und sicheren Schränken kann zwischen 5.000 und 100.000 Euro kosten, je nach Größe der Organisation und der Anzahl der zu schützenden Geräte. Besonders in stark regulierten Branchen, wie der Pharma- oder Finanzindustrie, können diese Kosten höher ausfallen.
  2. Umweltschutzmaßnahmen: Systeme zur Kontrolle von Temperatur, Feuchtigkeit und anderen Umwelteinflüssen, wie Klimaanlagen, Rauchmelder und Brandschutzsysteme, können zusätzliche 10.000 bis 50.000 Euro kosten. Diese Systeme sind entscheidend, um IT-Geräte und teure Laborgeräte vor Schäden zu bewahren.
  3. Zeitaufwand: Die Planung und Umsetzung der Sicherheitsmaßnahmen kann mehrere Wochen bis Monate in Anspruch nehmen, je nach Größe des Projekts. Es muss sichergestellt werden, dass alle Geräte ordnungsgemäß gesichert und an den besten Standorten platziert werden.
  4. Einfachheit vs. Komplexität: Die Grundprinzipien dieser Risikokontrolle – wie das Platzieren von Geräten in sicheren Räumen und das Anwenden von Schlössern oder Zugangskontrollen – sind relativ einfach umzusetzen. Komplexer wird es, wenn hochspezialisierte Umweltschutzmaßnahmen oder integrierte Sicherheitssysteme verwendet werden müssen, die eine enge Zusammenarbeit zwischen IT-, Facility-Management- und Sicherheitsteams erfordern.
  5. Wartung und kontinuierliche Überprüfung: Physische Sicherheitsmaßnahmen erfordern regelmäßige Überprüfung und Wartung, um sicherzustellen, dass sie im Falle eines Zwischenfalls ordnungsgemäß funktionieren. Diese laufenden Kosten für Wartung und Inspektionen belaufen sich typischerweise auf mehrere tausend Euro pro Jahr, abhängig von der Größe und Komplexität der Sicherheitsinfrastruktur.


Fazit

Die Risikokontrolle „Platzierung und Schutz von Geräten“ gemäß ISO 27002:2022 ist ein entscheidender Faktor für den Schutz der IT-Infrastruktur und anderer Betriebsmittel in einer Organisation. Sie schützt Geräte vor Diebstahl, Umweltschäden, unbefugtem Zugriff und Sabotage. Die Investitionen in physische Sicherheitsmaßnahmen und Umweltschutzsysteme sind zwar nicht unbedeutend, tragen jedoch erheblich zur langfristigen Sicherheit und Stabilität des Geschäftsbetriebs bei. Eine gut durchdachte Platzierungsstrategie und der Schutz von Geräten sorgen dafür, dass sensible Daten und wichtige Infrastrukturen jederzeit sicher und funktionsfähig bleiben.