Compliance-Bestimmungen

Externe Anforderungen an physische Sicherheit

05.10.2016 von Marion  Steiner
Die Umsetzung von physischen Sicherheitsmaßnahmen beruht meist auf einem Bauchgefühl. Wie geht man so mit Anforderungen an die physische Sicherheit um, die von externen Stellen kommen?
Seit Jahrhunderten schützen Menschen ihren Besitz oder ihr Territorium durch physische Sicherheitsmaßnahmen.
Foto: Milkos - shutterstock.com

Seit Jahrhunderten schützen Menschen ihren Besitz oder ihr Territorium durch physische Sicherheitsmaßnahmen. Stadtmauern, Festungsanlagen, Wassergräben, Toranlagen, Schatzkammern und Wachleute sind hier nur als einige Beispiele zu nennen.

Physische Sicherheit hat Tradition

Bei Auswahl und Gestaltung der ergriffenen Maßnahmen spielte dabei eine Rolle, mit welchen Gegnern man rechnete, also seiner Stärke und Angriffsweise, und was der aktuelle Stand der Waffentechnologie war. Natürlich spielten aber auch die eigenen Möglichkeiten finanzieller sowie technologischer Art eine Rolle, und was konkret zu schützen war.

In anderen Worten: Es wurde eine Bedrohungsanalyse gemacht und daraus ein Verteidigungsplan entworfen, um zu bestimmen, welche Maßnahmen und in welcher Ausprägung (z.B. Höhe der Mauer, Breite des Wassergrabens) sie umgesetzt werden sollten.

Die Motivation war dabei rein intrinsisch. Man schützte seine eigenen Dinge. Für den Schutz wurden die eigenen Leute eingesetzt. Schwächere suchten dazu gegebenenfalls noch den Schutz des Stärkeren und fanden in dessen Mauern Schutz. Darüber hinaus spielten externe Faktoren aber kaum eine Rolle.

Veränderungen durch Arbeitsteilung und Supply-Chain-Prozesse

In der heutigen Zeit, die geprägt ist von Arbeitsteilung, Lieferketten, unabhängigen Dienstleistern und Netzwerken, hat sich dies grundlegend geändert. Zum Schutz der eigenen Güter muss man nicht mehr nur bei sich geeignete Sicherheitsmaßnahmen umsetzen, nein, auch die eigenen Dienstleister müssen das eigene Risikoverständnis befriedigen. Oder man selbst muss das Schutzbedürfnis anderer erfüllen.

Bau von Rechenzentren im Wandel
Neue Wege im RZ-Bau
Green Cube Heimholtzzentrum
Neue Wege im RZ-Bau
Green Cube bei GSI -FAIR in der Bauphase
Neue Wege im RZ-Bau
Kühlen mit Wasser
Neue Wege im RZ-Bau
Racks - Wasserkühlung
Neue Wege im RZ-Bau
Projektgruppe GSI - FAIR
Neue Wege im RZ-Bau
Stahlgerüstbau
Neue Wege im RZ-Bau
Kühltüme
Neue Wege im RZ-Bau
eCube Innenansicht
Neue Wege im RZ-Bau
Wasser zum Rack
Neue Wege im RZ-Bau
FAIR - Simulation
Neue Wege im RZ-Bau
GSI-Helmholtzzentrum
Neue Wege im RZ-Bau
GSI - Supercomputer L-CSC

Und kann damit nicht auf die eigene Einschätzung der Angemessenheit zurückgreifen, sondern muss ein für andere angemessenes Maß erreichen, ohne sich zu übertriebenem Schutz drängen zu lassen. Denn jede zusätzliche Maßnahme bedeutet Kosten und damit eine Schwächung im Wettbewerb, wenn sie nicht vom Kunden selbst als Mehrwert anerkannt und honoriert wird. Ein zu geringer Schutz bedeutet hingegen eine Gefährdung des Gesamtprozesses.

Standardisierung von Anforderungen an die Sicherheit

Aus diesem Zusammenhang resultieren der Wunsch nach einer mehr oder weniger objektiven Einschätzung von Sicherheit und Angemessenheit sowie einer Nachprüfbarkeit durch Dritte als objektive Instanz. Und hieraus wiederum resultieren eine Vielzahl an Compliance-Vorgaben, Verordnungen und Branchenstandards. Als Beispiele seien hier nur einmal die Compliance Anforderungen in der Automobil- oder Kreditkarten-Branche oder die Regularien im Bereich Zoll oder Luftfracht genannt.

Was alle diese Standards insbesondere bei den physischen Sicherheitsanforderungen gemein haben: Sie definieren eher Schutzziele, aber geben keine konkreten Maßnahmen oder Stärken vor. Dies ist auch verständlich, denn kein Unternehmen gleicht dem anderen. Für die Genaue Umsetzung wird dafür auf den "Stand-der-Technik" und Best Practices verwiesen.

Alle Standards verlangen, dass im Unternehmen sogenannte "sicherheitsrelevante Bereiche" oder Schutzzonen pro Compliance-Regelbereich definiert werden.
Foto: manfredxy - shutterstock.com

Definition von "Sicherheitsrelevanten Bereichen"

Schauen wir uns das mal genauer an: Alle Standards verlangen, dass im Unternehmen sogenannte "sicherheitsrelevante Bereiche" oder Schutzzonen pro Compliance-Regelbereich definiert werden. Dies sind z.B. die Bereiche, in der die Zoll- oder Luftfrachtwaren sicher verpackt, gelagert und verladen werden, oder die Bereiche, in denen Prototypen aus der Automobilbranche getestet oder hergestellt werden.

Ebenso gehören IT-Bereiche dazu, in denen Informationen über Prototypen, z.B. Bilder, Konstruktions- oder Testdaten, oder Kreditkartendaten gespeichert werden. Während bei Zoll und Luftfracht im Wesentlichen eine Manipulation der Pakete verhindert oder zumindest erkannt werden muss, ist bei Prototypenbereichen auch die unerlaubte Einsichtnahme zu verhindern.

Ein Unternehmen sollte daher zuerst eine Aufstellung seiner Schutzzonen erstellen. Hierin sollten nicht nur die besonders sicherheitsrelevanten Bereiche festgelegt werden, sondern generell auch, was interne Bereiche, also nur für Mitarbeiter zugänglich, und was öffentliche Bereiche sind.

Diese in einen Lageplan des Unternehmens einzuzeichnen hilft nicht nur für die eigenen Planungen, sondern wird meist auch von den Auditoren verlangt. In der Regel fordern sie auch, den für ihren Prüfbereich sicherheitsrelevanten Bereich mit den dafür festgelegten Schutzmaßnahmen festzuhalten.

Dann kann der Auditor das Konzept auf Papier nachvollziehen, und bei einem Rundgang dann die Umsetzung prüfen. Im Idealfall sollte der Plan daher die Möglichkeit bieten, verschiedene Aspekte oder Regelungsbereiche einzeln oder im Zusammenspiel darstellen zu können.

Die Zukunft des Rechenzentrums - was Hersteller glauben
Jörg Brünig, Fujitsu Deutschland
"Big Data, Cloud, Mobility und Internet of Things, das sind die zentralen Trends"
Peter Dümig, Dell Deutschland
"Konvergenz steht im Vordergrund der aktuellen Entwicklung"
Christian Werner, Oracle Deutschland
"Die Fähigkeit von Systemen und Architekturen, sehr schnell zu skalieren, werde in der Bedeutung massiv zunehmen"
Ulrich Hamm, Cisco Deutschland
"Zu den wichtigsten Trends im Datacenter-Umfeld gehören Automation und Orchestration, also insgesamt alles um SDx (Software defined Network, Software Defined Storage)"

Denn anhand des Lageplans können die weiteren Sicherheitsmaßnahmen gut ausgelegt werden: An welchen Stellen kann eine Zutrittskontrolle erfolgen, um nur bestimmten Personen Zutritt zu ermöglichen? Wo ist ein Sichtschutz angesagt? Wo können zugängliche Bereiche durch Kameras überwacht werden?

Sicherheitsmaßnahmen hängen vom Schutzziel ab

Hierbei muss natürlich darauf geachtet werden, was die geforderten Schutzziele sind: Darf ein Bereich wirklich nicht zugänglich sein, oder müssen darin die Güter vor Manipulation geschützt werden? Natürlich ist mit einer Zutrittsbeschränkung beides erreicht.

Gerade bei Freigeländen ist dies aber häufig nicht einfach möglich. Dies liegt nicht nur am Gelände selber, sondern auch, dass Fluchtwege oder Angriffswege für die Feuerwehr nicht blockiert werden dürfen. Und eine Manipulation kann dann auch verhindert werden, wenn eine Kameraüberwachung erfolgt, die von einem Wachdienst live verfolgt wird. Verdächtige Vorgänge können dann gleich kontrolliert werden. Aber Vorsicht, bei Kameraeinsatz ist natürlich immer der Datenschutz zu beachten.

Hat man sich dennoch für den Zutrittsschutz entschieden, steht neben Schlüsselsystemen mittlerweile auch die Möglichkeit von elektronischen Zutrittssystemen zur Verfügung. Beliebt sind hier Systeme mit RFID-Karten oder Token, die zentral gesteuert werden können, und deren Karten auch für weitere Zwecke, z.B. zum Bezahlen in der Kantine öder für Zeiterfassungssysteme, verwendet werden können.

Wie bei Schließsystemen gibt es aber auch hier unterschiedliche Güteklassen. Systeme, die auf dem Standard "Legic Prime" basieren, welches schon vor Jahren als angreifbar identifiziert wurde, werden von Auditoren meist nicht mehr akzeptiert. Angreifbare Systeme gelten eben nicht mehr als Stand-der-Technik.

Terra Cloud Rechenzentrum der Wortmann AG
Foto: Wortmann AG

Umgang mit Besuchern und Dienstleistern

Ein physisches Sicherheitskonzept muss aber auch bedenken, dass Menschen darin arbeiten müssen. Dabei wird insbesondere der Umgang mit Dienstleistern durch Auditoren kritisch hinterfragt. Eine Integration kann meist auf zwei Arten erfolgen: Für seltene Besucher und Tagesgäste wird eine Einweisung in die wichtigsten Sicherheitsmaßnahmen (z.B. Fotografie-Verbot, Verhaltensregeln) durchgeführt, danach werden Sie auf dem Werksgelände begleitet, mindestens in Bereichen mit erhöhter Sicherheit.

Sollen Externe sich frei auf dem Gelände bewegen können, müssen sie die gleichen Anforderungen zu erfüllen, wie interne Beschäftigte. Unterlagen wie Schulungsnachweise und Vertraulichkeitserklärungen müssen dazu vorliegen und es muss ein "Durchgriffsrecht" auf die Person geschaffen werden für den Fall einer Fehlhandlung.

Sicherheitszonenplan steht im Zentrum

Natürlich bietet die physische Sicherheit noch viele andere interessante Aspekte, auf die wir hier nicht alle eingehen können. Deshalb haben wir uns auf die augenfälligsten konzentriert. Mit einem Sicherheitszonenplan im Zentrum hat man das wichtigste Werkzeug in Place, an dem sich alle übrigen Maßnahmen orientieren können und welches gut geeignet ist, das Zusammenspiel der einzelnen Maßnahmen und damit den Gesamtplan der Absicherung einem Dritten zu erläutern. (rw)