IT-Grundschutz durch Sauberkeit im Serverraum

IT-Grundschutz durch Sauberkeit im Serverraum

IT-Grundschutz ist die Basis für Informationssicherheit. Die von BSI entwickelten grundlegenden IT-Schutzfunktionen können mithilfe einer systematischen Methode die erforderlichen Sicherheitsmaßnahmen identifizieren und implementieren. Die BSI-Standards bieten hierfür ein bewährtes Programm, und das IT-Grundschutz-Kompendium stellt spezifische Anforderungen.

Der Zweck des Grundschutzes besteht darin, ein durchschnittliches, angemessenes und ausreichendes Schutzniveau für IT-Systeme zu erreichen. Um dieses Ziel zu erreichen, empfiehlt der IT-Grundschutz-Katalog technische Sicherheitsmaßnahmen sowie Infrastruktur-, Organisations- und Personenschutzmaßnahmen.

 

Kriterienkatalog zum Audit von Serverräumen und Rechenzentren - IT-Grundschutz, ISO 27001, Basel III.

Informationen stellen einen großen Wert für jedes Unternehmen und jede Organisation dar und müssen geschützt werden. Geschäftsprozesse sind ohne Informationstechnik (IT) wie Server, Zentralrechner, Storages, Datenspeicher, Switches, Datenverteiler und Kommunikationstechnik (TK) wie TK-Anlage, Telefonanlage oder Kommunikationsserver kaum noch vorstellbar. Die Datenverarbeitung muss reibungslos funktionieren. Unzureichend geschützte Daten und eine unsichere zentrale IT-Infrastruktur stellen eine große Gefahr dar. Ein vernünftiger Schutz der EDV ist schon mit relativ geringen Mitteln zu erreichen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem IT-Grundschutz Methoden zur Verfügung, die Gefährdungen von IT-Anwendungen, Daten und IT-Systemen in Unternehmen, Behörden oder anderen Organisationen minimieren. Die IT-Grundschutz-Kataloge und deren Empfehlungen von Sicherheitsmaßnahmen für Unternehmen und der Basis-Absicherung von Kommunalverwaltungen stellen den Standard für Informationssicherheit, Datensicherheit und IT-Sicherung dar.

Der Kriterienkatalog für Audits von Serverräumen und Rechenzentren in Deutschland dient als Leitfaden zur Planung, Realisierung und Abnahme von Serverräumen, Data Center und Rechenzentren (RZ). Die IT-Grundsicherheit beschreibt Mindestanforderungen (Basisschutz) für den normalen Schutzbedarf von IT-Anwendungen, Prozessen und IT-Systemen gegen typische Gefährdungen für verschiedene Bereiche und empfiehlt technische Schutzmaßnahmen sowie organisatorische, infrastrukturelle und personelle Sicherheitsmethoden.

Das IT-Grundschutzkompendium ist ein umfassendes Werk zur Umsetzung von IT-Sicherheitsmaßnahmen und beinhaltet eine Vielzahl von Empfehlungen und Leitlinien, um IT-Systeme und Informationen angemessen zu schützen. Der BSI-Standard ist eine Sammlung von IT-Sicherheitsstandards und Empfehlungen des deutschen BSI. Diese Vorschriften und Empfehlungen basieren auf nationalen und internationalen Normen und Best Practices und unterstützen Unternehmen und Organisationen dabei, das angemessene Sicherheitsniveau für ihre IT-Systeme und Daten zu erreichen. BSI-Standards decken folgende Bereiche ab: IT-Grundschutzstandards, ISO/IEC 27001, IT-Notfallmanagement und Mobile Security. BSI-Standards sind ein wichtiger IT-Sicherheitsrahmen in Deutschland und dienen als Referenz und Leitfaden für die Entwicklung von IT-Sicherheitsrichtlinien, Sicherheitsverfahren sowie für die Einhaltung gesetzlicher Anforderungen.

Die IT-Grundschutz-Risikoanalyse dient der Identifikation und Bewertung von Risiken im Bereich der Informationstechnik. Identifizieren Sie potenzielle Bedrohungen für IT-Systeme und Prozesse und bewerten Sie deren Auswirkung und Eintrittswahrscheinlichkeit. Basierend auf diesen Bewertungen können geeignete Schutzmaßnahmen definiert und implementiert werden, um das Risiko zu minimieren. Eine IT-Grundschutz-Risikoanalyse umfasst folgende Schritte: System- und Prozessanalyse, Bedrohungs- und Schwachstellenidentifikation, Risikobewertung, Definition von Schutzmaßnahmen sowie Realisierung und Überwachung von Schutzmaßnahmen. Die IT-Grundschutz-Risikoanalyse wird in Unternehmen und Organisationen eingesetzt, um IT-Systeme vor Bedrohungen zu schützen und die Informationstechnologie-Sicherheit zu erhöhen.

Die IT-Grundschutz-Maßnahmen sind eine Sammlung von Empfehlungen und Empfehlungen für Sicherheitsmaßnahmen der Informationstechnik. Diese Maßnahmen werden auf Basis einer Risikoanalyse ausgewählt und umgesetzt, um ein angemessenes Sicherheitsniveau für IT-Systeme zu gewährleisten. Die IT-Grundschutz-Maßnahmen umfassen folgende Bereiche: organisatorische, technische und infrastrukturelle Maßnahmen. Die IT-Grundschutz-Maßnahmen sind nicht als allumfassende Checkliste oder Lösung zu verstehen, sondern als Basis für eine individuelle und kontinuierliche Sicherheitsbewertung und -verbesserung in Unternehmen und Organisationen.

Das IT-Grundschutz-Konzept ist ein Rahmenwerk und basiert auf einer Risikoanalyse und enthält eine Reihe von Empfehlungen und Empfehlungen für Sicherheitsregelungen. Das IT-Grundschutz-Konzept besteht aus folgenden Elementen: dem IT-Grundschutz-Katalog, der IT-Grundschutz-Konfigurationsdatei und dem IT-Grundschutz-Handbuch. Das IT-Grundschutz-Konzept ist als modulares und flexibles Rahmenwerk konzipiert, das Unternehmen und Organisationen dabei unterstützt, ihre Computersicherheit auf Basis individueller Risikoanalysen kontinuierlich zu verbessern.

Der IT-Grundschutz-Check ist ein Tool zur Überprüfung der Cybersicherheit in Unternehmen und Organisationen. Bewerten Sie bestehende Sicherheitsprozesse anhand standardisierter Fragebögen und identifizieren Sie Schwachstellen. Eine IT-Grundschutzprüfung umfasst die Schritte Dokumentation der Ist-Situation, Identifizierung von Schwachstellen, Empfehlung von Maßnahmen und Umsetzung von Maßnahmen. Der IT-Grundschutz-Check ist ein nützliches Instrument zur Überprüfung und Verbesserung der Netzwerksicherheit von Unternehmen und Organisationen auf Basis des IT-Grundschutz-Konzepts und hilft, die Einhaltung gesetzlicher Anforderungen in der IT-Sicherheitsgewährleistung zu gewährleisten.

Business Continuity (BC) ist ein wichtiger Bestandteil des Risikomanagements und bezeichnet die Fähigkeit eines Unternehmens oder einer Organisation, seine Geschäftsprozesse und -funktionen auch angesichts unvorhergesehener Ereignisse oder Störungen aufrechtzuerhalten und schnell wiederherzustellen. Das Ziel von Business Continuity ist es, Ausfallzeiten und damit verbundene finanzielle Verluste zu minimieren und die Ausfallsicherheit zu erhöhen. Informationssicherheitsmaßnahmen sind Maßnahmen, die ergriffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Sie sollen sicherstellen, dass Informationen vor unbefugtem Zugriff, Manipulation, Zerstörung oder Verlust geschützt sind.

Informationssicherheitsmaßnahmen können technischer oder organisatorischer Natur sein und werden auf die spezifischen Risiken und Bedürfnisse einer Organisation oder eines Unternehmens abgestimmt. Zu den wichtigsten Informationssicherheitsmaßnahmen gehören: Zugangs- und Zugriffskontrolle, Datensicherung und Wiederherstellung, Netzwerksicherheit, physische Sicherheit, Awareness- und Schulungsmaßnahmen, Incident Response und Risikomanagemen.

Ein IT-Grundschutz-Berater / IT-Grundschutz-Praktiker ist ein Experte für Informationssicherheit, der Unternehmen und Organisationen bei der Implementierung des IT-Grundschutz-Konzepts unterstützt. Der IT-Grundschutz-Berater hilft bei der Identifizierung und Bewertung von IT-Sicherheitsrisiken und Verwirklichung von Maßnahmen zur Risikominderung. Die Tätigkeit eines IT-Grundschutz-Beraters umfasst folgende Schritte: Analyse der IT-Sicherheitsrisiken, Auswahl von IT-Grundschutz-Maßnahmen, Erstellung von Sicherheitskonzepten, Umsetzung von IT-Grundschutz-Maßnahmen und Prüfung der IT-Grundschutz-Konformität.

Bei der Schutzbedarfsfeststellung wird der Schutzbedarf von IT-Systemen ermittelt. Die IT-Grundschutz-Vorgehensweise bietet eine strukturierte Herangehensweise, die IT-Grundschutz-Absicherung ist ein bewährtes Konzept. Ein Informationssicherheitsmanagementsystem (ISMS) ist ein System zur Verwaltung und Steuerung der Informationssicherheit. Das Ziel ist, eine angemessene Sicherheitsstufe für IT-Systeme zu erreichen, indem Risiken identifiziert, bewertet und behandelt werden. Es stellt sicher, dass Sicherheitsherangehensweisen geplant, umgesetzt, überwacht, bewertet und kontinuierlich verbessert werden.

 

Serverraum Reinigung & EDV IT reinigen.

Ein wichtiger Aspekt des IT-Grundschutzes ist die Gewährleistung einer sauberen Umgebung im Serverraum, um die Verfügbarkeit und Leistungsfähigkeit der IT-Systeme sicherzustellen. Dazu gehört die Vermeidung von Staub und Schmutz, die die Kühlsysteme der IT-Infrastruktur stören und zu Überhitzung führen können. Daher ist eine regelmäßige Reinigung von Kühlsystemen, Lüftern und Filtern unerlässlich, um Staub- und Schmutzpartikel zu entfernen und ein kontrolliertes Klima im Serverraum zu gewährleisten. Der Schutz der Mitarbeiter vor Schmutz und Staub, beispielsweise durch das Tragen von Sicherheitsschuhen, ist ein wichtiger Bestandteil der betrieblichen Abläufe.

Informationssicherheit ist nicht nur eine Frage der Technik. Sie hängt ebenso stark von organisatorischen und personellen Bedingungen ab. Die Cybersicherheit der Betriebsumgebung für Anlagen und Systeme durch Sauberkeit im Serverraum darf nicht unterschätzt und vernachlässigt werden.

In einem Rechenzentrum kann man sich keine Betriebsunterbrechungen, Betriebsausfälle, Hardwaredefekte und Datenverluste leisten. Informationssicherheitsbeauftragte, die für die Steuerung und Koordination des Informationssicherheitsprozesses zuständig sind, Verantwortliche für die Umsetzung und Aufrechterhaltung der Informationssicherheit in der Verwaltung, IT-Verantwortliche in Unternehmen für Serverräume und Betreiber von Rechenzentren müssen physikalischen Risiken und drohenden Gefahren vorbeugen.

Die ständige Verfügbarkeit, Ressourcen bereitstellen und das angestrebte Sicherheitsniveau einschließlich der Risiken verantworten, beinhaltet vor allem die Sauberkeit im Serverraum.

Eine der häufigsten Ursachen für EDV & IT Unterbrechungen und Ausfälle sind Staub. Insbesondere Baustaub nach Bauarbeiten, Umbaumaßnahmen oder Renovierungen birgt ein sehr großes Risiko für die Verfügbarkeit IT-Geräte. Baustaub kann in Massen auftreten und den Betrieb innerhalb weniger Minuten lahmlegen. Baustaub erhöht zudem die Brandgefahr. Das gleiche gilt für Ruß nach einem Brand. Lassen Sie eine fachgerechte Reinigung der zentralen IT Infrastruktur gemäß IT Grundschutz und DIN EN ISO 14644 durchführen.

Baustaub im Serverraum ist ein großes Risiko und bedroht die Netzwerksicherheit.

Bei Bauarbeiten, Umbaumaßnahmen und Renovierung entsteht eine Menge Baustaub. Meistens ist es nicht möglich, die Geschäftstätigkeit einzuschränken, die bestehende IT-Infrastruktur wird deshalb während der Baumaßnahmen weiter betrieben. Ohne eine entsprechende Vorkehrung wird der zu schützende IT-Bereich dabei schnell mit Feinstaub kontaminiert. Diese kriecht durch die kleinsten Ritzen und kann die IT-Geräte beschädigen. Denken Sie an die Betriebssicherheit, nach Abschluss der Bauarbeiten ist eine Baufeinreinigung durchzuführen.

Die Baureinigung nach der VOB (Vergabe-und Vertragsordnung für Bauleistungen) reicht für Serverräume und deren zu schützenden IT-Geräte, in den Serverschränken nicht aus. Eine optisch scheinbar gründliche Endreinigung des Auftragnehmers zeigt, dass der Hohlboden unter dem Doppelboden nicht fachgercht gereinigt wird.

Unter dem Doppelboden, auf dem Rohboden und den Stützen des Doppelbodens finden sich noch beträchtliche Mengen an Staub. Ohne eine spezielle Feinreinigung der Serverräume und 19 Zoll Racks (Serverschränke) wird dieser bei Betriebsaufnahme durch die Klimaanlage und Umluftgeräte aufgewirbelt und verschmutzt massiv bereits montierte IT-Komponenten wie Patchfelder, Switches, Storages und Server.

Die physikalische Sicherheit und Verfügbarkeit der IT ist für Behörden und Unternehmen von existentieller Bedeutung, dazu gehört die Sauberkeit im Serverraum. Viele Geschäftsprozesse laufen abhängig von einer funktionierenden IT als „real time“ Anwendung, eine Unterbrechung oder ein Totalausfall würde sofort zu Störungen und ggf. Einbußen führen. Der IT-Grundschutz-Kriterienkatalog ermöglicht eine umfassende Prüfung der IT-Infrastruktur und des Betriebs.

Eingeführte Standards dienen als Grundlage.

  • Eingeführte Standards nach dem Bundesamt für Sicherheit in der Informationstechnik.
  • Uptime Institute, Telecommunications Infrastructure Standard for Data Centers, TIA 942 – (1) (2) mit einer vierstufigen "Tier“-Klassifizierung.
  • Die Publikationen des Verband der Sachversicherer (VdS). Speziell "Empfehlungen zur Schadenverhütung und zum sicheren Betrieb bei IT-Anlagen", VdS 2007.
  • sowie ein Information Security Management System (ISMS) dienen dabei als Grundlage.


IT-Grundschutz und Sauberkeit: So darf ein Server nicht aussehen.
Support für die Sauberkeit, Resilienz und Compliance: So darf ein Server nicht aussehen.

Methodik


Die Methodik besteht aus einem umfassenden Satz von Richtlinien, Empfehlungen und Best Practices, die Unternehmen dabei unterstützen, Sicherheitsrisiken zu erkennen und zu mindern. Die IT-Grundschutz-Methodik besteht aus folgenden Schritten:

  • Bestandsaufnahme: Dokumentation von IT-Systemen und -Anwendungen und Identifizierung von Schutzbedarf und Bedrohungen.
  • Risikoanalyse: Risiken einschätzen und Schutzmaßnahmen ableiten.
  • Schutzmaßnahmen: Geeignete Maßnahmen zum Schutz von IT-Systemen und Anwendungen auswählen und umsetzen.
  • Überprüfung: Schutzmaßnahmen regelmäßig überprüfen und an veränderte Bedrohungen anpassen.

Der IT-Grundschutz-Ansatz ist modular aufgebaut und umfasst eine Vielzahl von Bausteinen, die an die spezifischen Anforderungen und Bedürfnisse einer Organisation angepasst werden können. Darüber hinaus bieten Werkzeuge und Hilfsmittel die Umsetzung des IT-Grundschutz-Vorgehens zu unterstützen.

 

IT-Grundschutz und Sauberkeit – Ihre Garantie für Herstellergarantie und Co.

Die Reinigung von Rechenzentren nach DIN EN ISO 14644-1 (Klasse 8) hat nicht nur etwas mit Außendarstellung, Optik, Hygiene oder Technik-Pflege zu tun, sondern dient dem IT-Sicherheitsmanagement, Verfügbarkeit und dem Werterhalt. Ein regelmäßig von Fachkräften gereinigtes Rechenzentrum ist auch die Voraussetzung für die uneingeschränkte Garantieleistung vieler OEM Hardware Hersteller. Denn nach IT-Grundschutzkatalog sowie der ISO Norm 14644-1 ist die Einhaltung der Luftreinheit Pflicht für Rechenzentrumsbetreiber. Und nur, wer diese Normen auch einhält, hat vollen Anspruch, wenn es um Geräte-Wartung, Gewährleistung, Garantie der OEM-Hardwarehersteller und ebenso Versicherungsleistungen geht.

Sauberkeit ist unabdingbar für TÜV-Zertifizierung.

Wer als Betreiber von Rechenzentren eine TÜV-Zertifizierung (TSI – Sichere Infrastrukturen) anstrebt, kommt um die professionelle Reinigung von Rechenzentren nicht herum. Auch hier ist die Einhaltung der Regeln gemäß IT-Grundschutz Pflicht und Voraussetzung. Schaffen Sie mit der Einhaltung von DIN EN ISO beste Voraussetzungen für Garantie, Wartung, Zertifizierungen, Hochverfügbarkeit und IT-Schutz. Nutzen Sie die Befolgung der Grundlagen gleichzeitig auch als optimales Verkaufsargument Ihren Kunden gegenüber.

Das Mindestsicherheitsniveau gem. BSI ist eine bewährte Methode, mit der das Informationssicherheitsniveau von Organisationen und Unternehmen jeder Größe verbessert werden kann. Die Angebote des IT-Grundschutzes können als Benchmark für Management und Wirtschaftlichkeit in Bezug auf die Verwaltung von Informationen und den Schutz der Informationssicherheit sowie die Entwicklung eines Informationssicherheits-Managementsystems verwendet werden. Er ist auch mit ISO 27001 kompatibel und hat daher auch internationale Anerkennung gefunden.

 

IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik

Die IT-Grundschutz-Kataloge beinhalten organisatorische, technische, personelle und infrastrukturelle Empfehlungen, die grundlegend für die Informationssicherheit aller Unternehmensdaten sind. Das BSI stellt umfangreiche Informationen bereit. Empfehlungen, Bausteine, Checklisten, Formulare, Muster und Beispiele. Folgende befassen sich mit Sauberkeit und Reinigung in Rechenzentren (RZ), Data Center und Serverräumen.

IT-Grundschutz-Katalog G 0.4, Verschmutzung, Staub, Korrosion, "Bereits geringfügige Verunreinigungen können zu einer Störung eines Gerätes führen."
IT-Grundschutz-Katalog G 1.8 Staub, Verschmutzung, "Bereits geringfügige Verunreinigungen können zu einer Störung eines Gerätes führen."
IT-Grundschutz-Katalog M 1.72 Baumaßnahmen während des laufenden Betriebs "Nach Bauarbeiten ist die IT vor Verunreinigungen zu bewahren."
IT-Grundschutz-Katalog M 2.212 Organisatorische Vorgaben für die Gebäudereinigung, "IT-Systeme können versehentlich ausgeschaltet werden."

BSI IT-Grundschutz: BSI IT-Grundschutz


ISO 27001: Schwachstellen bei Hardware und Software: "Empfindlichkeit gegenüber Feuchtigkeit, Staub und Schmutz (Gefahr Bauarbeiten)".
VdS 2007: "Empfehlungen zur Schadenverhütung und zum sicheren Betrieb bei IT-Anlagen", Schutzmaßnahmen:  Einhaltung der allgemeinen Ordnung und Sauberkeit.

 

Sicherheit und IT-Grundschutz durch Sauberkeit der ITK-Infrastruktur im Serverraum

 

Neu

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Stäube und Verschmutzungen.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Baustaub-Kontamination kommt, stehen Organisationen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Staubfreiheit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Dust Concentration ISO 14644 - 1 Class 8

BSI Edition 2023

BSI: Elementare Gefährdungen

BSI Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-200-3 Risikomanagement

BSI 200-4 Business Continuity Management - Community Draft

BSI 100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windows Server 2019

Leitfaden zur Basis-Absicherung nach IT-Grundschutz in 3 Schritten.

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeine Serveranlage

INF.2:Rechenzentrum sowie Serverraum

Checklisten zum IT-Grundschutz-Kompendium

ISO 14644 bei der Beuth Verlag GmbH

Frank Keding

Frank Keding: Risiken und Bedrohungen für Unternehmenszentralen

"Genau wie die Einhaltung der DSGVO ist Informationssicherheit kein Zustand, sondern ein kontinuierlicher Prozess."