Telefon: 0211 - 436 27 0
Fax: 0211 - 436 27 27
E-Mail: info@Net-2000.de
Bestimmung des Bundesamts für Sicherheit in der Informationstechnik (BSI)

 

 



Verantwortlich für

Initiierung:  Leiter IT

  

Umsetzung: Leiter IT, Administrator, IT-Benutzer

 



G 1.8 Staub, Verschmutzung

Trotz zunehmender Elektronik in der IT kommt sie noch nicht ohne mechanisch arbeitende Komponenten aus. Zu nennen sind Disketten, Fest- und Wechselplatten, Diskettenlaufwerke, Drucker, Scanner etc, aber auch Lüfter von Prozessoren und Netzteile. Mit steigenden Anforderungen an die Qualität und die Schnelligkeit müssen diese Geräte immer präziser arbeiten. Bereits geringfügige Verunreinigungen können zu einer Störung eines Gerätes führen.

Staub und Verschmutzungen können beispielsweise durch

 

    Arbeiten an Wänden, Doppelböden oder anderen Gebäudeteilen,

    Umrüstungsarbeiten an der Hardware bzw.

    Entpackungsaktionen von Geräten (z. B. aufwirbelndes Styropor)

  

in größerem Maße entstehen, die entsprechende Ausfälle der Hardware verursachen können.

 

Vorhandene Sicherheitsschaltungen in den Geräten führen meist zu einem rechtzeitigen Abschalten. Das hält zwar den Schaden, die Instandsetzungs-kosten und die Ausfallzeiten klein, führt aber dazu, dass das betroffene Gerät nicht verfügbar ist.

 





M 2.212 Organisatorische Vorgaben für die Gebäudereinigung

 

 

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Innerer Dienst

 

Die Gebäudereinigung erfordert im Normalfall den Zutritt von Betriebsfremden. Dies kann insbesondere in Bereichen mit höheren Sicherheitsanforderungen wie Rechenzentren, Serverräumen, Technikräumen oder Kommunikationszentralen problematisch sein und daher zusätzliche Sicherheitsmaßnahmen erfordern.

Bereits in der Ausschreibung und der Vertragsformulierung ist die Sonderbehandlung sensitiver Bereiche einzubeziehen. Zum Beispiel sind bei Rechenzentren stichprobenartige Kontrollen von Taschen oder Transportgut im Zugangs- oder Zufahrtsbereich für betriebsfremdes Personal in den Verträgen festzuschreiben.

Da bei Reinigungskräften IT-Kenntnisse nicht vorausgesetzt werden können, sollten diese daher in allen Bereichen mit geschäftskritischen IT-Systemen dahingehend eingewiesen werden, welche Tätigkeiten zu Schäden an IT-Einrichtungen  oder Problemen beim IT-Betrieb führen können. Beispiele für solche Problemfelder sind:

 

  • Bei der Reinigung von Tastaturen können unbeabsichtigt Eingaben an Servern oder anderen zentralen Komponenten erfolgen, die den IT-Betrieb beeinträchtigen.

  • IT-Systeme können versehentlich ausgeschaltet werden.

  • Stromversorgungs- oder Kommunikationskabel können durch Staubsauger beschädigt oder aus den Endpunkten gerissen werden.

  • Durch Wasser oder Reinigungsflüssigkeit können Kurzschlüsse in Hardware-Komponenten verursacht werden.

 

Wenn Vertrauen in die Reinigungsfirma besteht, sollte der Zutritt der Reinigungskräfte über die vorhandene Zutrittskontrolle bzw. das Schließsystem geregelt werden. Jedoch können dies nur wirksame Sicherungsmaßnahmen sein, wenn z. B. Ausweis oder Schlüssel gegen Unterschrift und nur zeitlich begrenzt benannten bzw. bekannten Mitarbeitern der Reinigungsfirma ausgegeben werden. Bei der Vereinbarung über die Verwendung von Stammpersonal kann über das Ausweissystem eine wirksame Kontrolle der Vertragseinhaltung erreicht werden.

Für die Koordination, aber auch bei auftretenden Problemen ist vom Auftragnehmer ein Objektverantwortlicher zu benennen, der jederzeit ansprechbar ist. Er muss Entscheidungsbefugnis über das einzusetzende (vor allem auch über nicht mehr einzusetzendes, weil unerwünschtes) Personal haben.

Bereiche mit einem erhöhten Sicherungsbedarf wie Maschinensaal oder Datenträgerarchiv sind nur unter Anwesenheit von Verantwortlichen des Auftraggebers oder in einigen Fällen auch unter Anwesenheit einer Vertrauensperson des Auftragnehmers, z. B. im Vier-Augen-Prinzip, zu reinigen.

 

Ergänzende Kontrollfragen:

  • Wird kontrolliert, ob die Mitarbeiter der beauftragten Reinigungsfirma die ausgegebenen Schlüssel bzw. Ausweise vertragsgemäß verwenden?

 

  • Sind die Reinigungskräfte über den Umgang mit der IT ausreichend informiert?

 

  • Werden die Reinigungskräfte in besonders sensitiven Bereichen bei der Arbeit beaufsichtigt?