Eine Notstromversorgung ist inzwischen zu einer Standardmassnahme der IT-Sicherheit geworden. Es genügt aber nicht, Aggregate aufzustellen und gelegentliche Probeläufe durchzuführen. Power-Off-Tests sind notwendig, um zu überprüfen, ob Systeme und Geräte auch im Notstrombetrieb zuverlässig funktionieren – gelegentlich mit unerwarteten Ergebnissen, wie der folgende Fall zeigt, der übrigens keineswegs erfunden ist.
Auf die Frage, wann er die Notstromversorgung das letzte Mal getestet habe, antwortete der IT-Sicherheitsverantwortliche, das sei nicht seine Aufgabe, sondern jene des Facility Management. Dieses hingegen konnte sich nicht mehr so genau erinnern, wann das gewesen war, und ob ein solcher Test überhaupt schon einmal stattgefunden habe.
Aber mit der Notstromgruppe sei alles in bester Ordnung, sie sei frisch revidiert, und der Tank sei auch voll, mit ganzen 30’000 Liter Diesel. Dies stellte sich bei einem Augenschein allerdings als leicht übertrieben heraus: Gerade 3000 Liter waren tatsächlich vorhanden. Auf Nachfrage teilte der Einkauf mit, Diesel würde erst im Frühjahr wieder gekauft, wenn die Preise tiefer seien.
Schliesslich fand der Power-Off-Test dann doch noch statt, mit einer weiteren Überraschung: Nach drei Minuten stieg das Notstromnetz aus. Wegen Überlastung, wie sich herausstellte, da zu viele Nutzer ihre Geräte und Systeme angeschlossen hatten.
Sicherheitsdenken muss integral sein
Da das Wichtigste an einem Test stets die Nachbereitung ist, also das Ableiten und Umsetzen von Verbesserungsmassnahmen, konnte dieser Test durchaus als Erfolg gewertet werden. Schaden entstand keiner und selten zeigte sich eindrücklicher, wie wichtig es ist, IT-Sicherheit nicht als isolierten Fachbereich, sondern als Element eines integralen Sicherheitsansatzes zu betrachten.
Zwei allgemeine Lehren können aus diesem Fall gezogen werden:
-Erstens ist es unabdingbar, dass die verschiedenen Sicherheitsverantwortlichen sich abgleichen und koordiniert vorgehen (hier: IT-Sicherheit und physische Sicherheit). Und auch externe Stellen (hier: der Einkauf) müssen die Aufgaben und Bedürfnisse der verschiedenen Sicherheitsbereiche kennen, verstehen und berücksichtigen.
-Zweitens sind Sicherheitsmassnahmen integral zu evaluieren, wenn es darum geht, IT-Sicherheit auf möglichst effektive und ökonomische Weise zu verbessern. In Frage kommen neben IT-technischen und organisatorischen Massnahmen eben auch solche der physischen Sicherheit. Und auch die psychologischen Aspekte der integralen Sicherheit dürfen nicht vernachlässigt werden.
Physische Sicherheit in der IT
Gerade für den IT-Sicherheitsspezialisten ist von grossem Vorteil, wenn er auch andere Sicherheitsbereiche in seine Überlegungen mit einbezieht. Jede IT-Funktion basiert auf Hardware, die sich in einer physischen Infrastruktur befindet. Und wenn es um IT-Sicherheit geht, hat die Gestaltung dieser Infrastruktur, das heisst von Rechenzentren, Server-Räumen, Büroräumlichkeiten, Kabelkanälen und so weiter einen gewaltigen Einfluss.
Am ehesten denkt der IT-Sicherheitsspezialist noch an Sicherheitseinrichtungen, die ihrerseits IT-basiert funktionieren: Kameraüberwachung, Brandmeldeanlagen, Bewegungsmelder, Zutrittskontrollsysteme, redundante Anlagensteuerungen und ähnliches (mehr dazu in den folgenden Artikeln dieses Schwerpunktes). Dabei bietet die physische Sicherheit noch viele weitere Möglichkeiten, wirksam IT-Sicherheit zu betreiben.
Das Bauwerk bietet IT-Sicherheit – oder eben nicht
Bauliche Massnahmen sind von zentraler Bedeutung, wenn es darum geht, dass nur jene Personen, die tatsächlich Zugang haben dürfen und müssen, an IT-Einrichtungen herankommen. Oder dass Elementarereignisse wie Feuer, Wasser, Blitzschlag, Erdbeben oder Erdrutsche das Funktionieren der IT nicht beeinträchtigen. Gebäude- und Objektsicherheit besteht vor allem in einer Bauweise, die Elementareinflüssen wirksam Widerstand leistet und auch einen grundlegenden Schutz gegen unbefugten Zutritt bietet.
Hierzu gehört auch ein durchdachtes Zonensystem, das besonders sensitive Elemente schützend in die Mitte nimmt und jeden potentiellen Schädiger, sei es Mensch oder Natur, auf einen Hürdenlauf schickt, in dem dieser schliesslich aufgeben muss, ohne sein Ziel erreicht zu haben. Die Idee der Firewall hilft auch in der physischen Sicherheit weiter – vor allem, wenn sie aus mehreren Ringen besteht. Im Idealfall wird ein Gebäude, das sensitive IT-Einrichtungen beherbergt, von Beginn an unter Sicherheitsüberlegungen geplant und gebaut. Aber auch nachträglich können bauliche Verbesserungen vorgenommen werden, die wesentlich preisgünstiger und effektiver sein können als IT-technische Massnahmen.
IT-Sicherheitsspezialisten sollten sich nicht scheuen, klare Anforderungen an die physische Sicherheit, etwa die Gebäudesicherheit, zu formulieren und diese auch einzufordern. SLAs sind auch ausserhalb der IT-Sicherheit sinnvoll und notwendig.
Kühlung erfordert höhere Priorität
Ein ganz anderer Aspekt der physischen Sicherheit ist jener der Kühlung. Während redundante Stromeinspeisung und Notstromversorgung mittels Diesel oder Gas fast schon zum Standard geworden sind, wird im Gegensatz dazu die Kühlung stiefmütterlich behandelt. Die Kernschmelze der Reaktoren in Fukushima geschah erst, als die Kühlungsmassnahmen nicht mehr ausreichten. Der Betrieb der Kühlanlagen war einseitig auf Strom und nicht redundant ausgelegt – und der Strom war schon lange weg.
Es macht Sinn, auch für die Kühlung von IT-Installationen redundante Verfahren vorzusehen, sowohl stromabhängige wie auch stromunabhängige. Das Bereitstellen von transportablen Kühlaggregaten, chemischer Kälte wie Trockeneis, grossen Wassertanks, Fluss- oder Seewasserkühlinfrastrukturen und so weiter können die erforderliche Redundanz ermöglichen.
Hauptschwäche Mensch
Zu bedenken ist schliesslich, dass alle Sicherheitsmassnahmen nutzlos sind, wenn sie nicht oder ungenügend umgesetzt werden. Und dafür ist oft der Faktor Mensch verantwortlich. Es muss nicht unbedingt böse Absicht sein, auch Irrtum, fehlendes Wissen und Verständnis, Konzentrationsmangel, Übermüdung und Gleichgültigkeit können dazu führen, dass menschliches Fehlverhalten die Wirksamkeit von Sicherheitsvorkehrungen unterläuft.
Das Zauberwort dagegen heisst: Awareness. Nur wer sich der Bedeutung einer Schutzmassnahme bewusst ist, wer die Konsequenzen bedenkt, die ein Fehlverhalten haben kann, und wer bereit und motiviert ist, Verfahrens- und Verhaltensvorschriften genau einzuhalten, kann einen wirksamen Beitrag zur Sicherheit leisten. Deshalb müssen Mitarbeitende sorgfältig ausgewählt, ausgebildet und informiert sein. Unfälle und Fast-Unfälle müssen gemeldet und analysiert werden. Man muss Lehren daraus ziehen und diese in die Köpfe der Mitarbeitenden implementieren. Nur so wird der Faktor Mensch vom Teil des Problems zum Teil der Lösung, und nur so wird integrale Sicherheit möglich.
Einige Stichworte zum Thema
Integrale SicherheitInformationssicherheit
Compliance
Physische Sicherheit
Business Continuity Management
Arbeitssicherheit/Gesundheitsschutz
Physische SicherheitElementarschutz
Umweltschutz
Gebäudeschutz
Intrusionsschutz
Objektschutz
Sachschutz
Personenschutz
Technischer Schutz