Bundesamt für Sicherheit in der Informationstechnik

B 2.12 IT-Verkabelung

Logo IT Verkabelung

Beschreibung

Die IT-Verkabelung umfasst alle Kommunikationskabel und passiven Komponenten (Rangier- bzw. Spleißverteiler, Patchfelder), die in eigener Hoheit der Institution betrieben werden. Sie ist also die physikalische Grundlage der internen Kommunikationsnetze einer Institution. Die IT-Verkabelung reicht von Übergabepunkten aus einem Fremdnetz (z. B. ISDN -Anschluss eines TK-Anbieters, DSL -Anbindung eines Internet-Providers) bis zu den Anschlusspunkten der Netzteilnehmer.

Aktive Netzkomponenten (Router, Switches etc.) sind nicht Gegenstand dieses Kapitels. Ebenso ist auch das Thema WLAN ausgeklammert. Beide Themen werden in eigenen Bausteinen der IT-Grundschutz-Kataloge behandelt. In diesem Baustein wird mit IT-Verkabelung die physische Grundlage eines hersteller- und anwendungsneutralen Kommunikationsnetzes, also eines Local Area Networks (LAN), bezeichnet. Eine Unterscheidung zwischen IT-Verkabelung zum Datentransport und TK-Verkabelung für Telekommunikationsdienste erfolgt nicht.

Die IT-Verkabelung als Teil der technischen Infrastruktur von Gebäuden und Liegenschaften wird nach der etablierten Betrachtungs- und Vorgehensweise der strukturierten Verkabelung in Primär-, Sekundär- und Tertiärbereich aufgeteilt.

Mit Primärbereich wird der Bereich der Kabelführung, der Gebäude miteinander verbindet, bezeichnet. Der Primärbereich überbrückt große Entfernungen mit hohen Übertragungsraten zwischen wenigen Anschlusspunkten. Eine Primärverkabelung in eigener Hoheit haben also nur Instanzen, die größere Liegenschaften mit mehreren Gebäuden betreiben. Wenn nur ein Gebäude zu betrachten ist, stellt der Hauptverteiler im Gebäude logisch den Primärbereich dar.

Mit Sekundärbereich wird die Verkabelung zwischen dem Gebäudeverteiler und Verteilern der Etagen oder Gebäudebereichen bezeichnet. Diese Verkabelung ist in vielen größeren Gebäuden anzutreffen.

Die Tertiärverkabelung ist die Anbindung der Endgeräte an einen zentralen Verteilpunkt (z. B. in der Etage). Sie ist immer vorhanden.

Eine oft betriebene Mischform der strukturierten Verkabelung liegt dann vor, wenn die Anbindung der Endgeräte direkt von einem zentralen Punkt im Serverraum oder einem Raum für technische Infrastruktur (häufig als "Netzwerkraum" oder "TK-Raum" bezeichnet) ausgeführt wird. In diesem Fall besteht die Sekundärverkabelung gegebenenfalls nur aus den Verbindungskabeln zwischen den Switches. Die Tertiärverkabelung reicht vom zentralen Verteilpunkt im Gebäude zu den Anschlussdosen in den Räumen.

Gefährdungslage

Für den IT-Grundschutz der IT-Verkabelung werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.6 Kabelbrand

Organisatorische Mängel

G 2.11 Unzureichende Trassendimensionierung
G 2.12 Unzureichende Dokumentation der Verkabelung
G 2.32 Unzureichende Leitungskapazitäten

Menschliche Fehlhandlungen

G 3.4 Unzulässige Kabelverbindungen
G 3.5 Unbeabsichtigte Leitungsbeschädigung

Technisches Versagen

G 4.4 Leitungsbeeinträchtigung durch Umfeldfaktoren
G 4.5 Übersprechen
G 4.21 Ausgleichsströme auf Schirmungen

Vorsätzliche Handlungen

G 5.7 Abhören von Leitungen
G 5.8 Manipulation von Leitungen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Insbesondere der Baustein B 3.302 Router und Switches steht in engem Zusammenhang mit der IT-Verkabelung und ist im Einklang mit diesem Baustein anzuwenden. Wird im betrachteten Informationsverbund ein Funknetz eingesetzt, so ist zusätzlich der Baustein B 4.6 WLAN anzuwenden.

Für eine sichere IT-Verkabelung sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Umsetzung bis zum Betrieb und zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt. Dabei ist zu berücksichtigen, dass die Einflussmöglichkeiten in Bezug auf die Absicherung der IT-Verkabelung beim Einzug in ein schon bestehendes Gebäude wesentlich geringer sind als bei der Errichtung eines Neubaus.

Planung und Konzeption

In der Planungsphase werden die Grundlagen für eine leistungsfähige, gut abgesicherte IT-Verkabelung gelegt. Ausgangspunkt ist eine Anforderungsanalyse (siehe M 2.395 Anforderungsanalyse für die IT-Verkabelung ), mit der der aktuelle Bedarf eingeschätzt wird und ein Ausblick auf kommende Entwicklungen samt Folgenabschätzung für die IT-Verkabelung in der Institution vorgenommen wird.

Auf Grundlage dieser Anforderungsplanung wird die Netzstruktur festgelegt (siehe M 5.2 Auswahl einer geeigneten Netz-Topologie ) und in das Gebäude eingepasst (siehe M 1.21 Ausreichende Trassendimensionierung ). Die mechanischen und elektrischen Eigenschaften der Verkabelung werden weitgehend durch die Auswahl der einzusetzenden Kabeltypen festgelegt. Bei der Planung sollte nach Möglichkeit auch darauf geachtet werden, dass Leitungen und über das Gebäude verteilte Schaltschränke gegen Missbrauch in geeigneter Weise physisch gesichert werden.

Umsetzung

Ein wesentliches Element des Brandschutzes ist die richtige Installation von Kabelkanälen, die durch eine fehlende Brandabschottung erhebliche Risiken verursachen können. Beim Einbau der Verkabelung ist auch auf eine ausführliche und korrekte Dokumentation (siehe M 5.4 Dokumentation und Kennzeichnung der Verkabelung ) zu achten, da es im Nachhinein ohne eine solche meist sehr schwierig oder sogar unmöglich ist, festzustellen, wo Kabel verlaufen und was sie verbinden. Für einen störungsfreien Betrieb muss die IT-Verkabelung sachgerecht installiert werden (siehe M 1.68 Fachgerechte Installation ).

Vor Inbetriebnahme ist die Installation der IT-Verkabelung abzunehmen (siehe M 5.142 Abnahme der IT-Verkabelung ) und die Qualität der zugehörigen Dokumentation (siehe M 5.4 Dokumentation und Kennzeichnung der Verkabelung ) zu prüfen.

Betrieb

Um das Aufschalten ungenehmigter IT-Geräte zu verhindern, sollten jeweils nur die Verbindungen und Anschlussdosen aktiviert sein, die tatsächlich benötigt werden. Zusätzlich sollte durch regelmäßige Kontrollen sichergestellt werden, dass diese Aktivierung auch den tatsächlichen Erfordernissen entspricht (siehe M 2.20 Kontrolle bestehender Verbindungen ). Zudem ist sicherzustellen, dass die Dokumentation aktuell gehalten wird (siehe M 5.143 Laufende Fortschreibung und Revision der Netzdokumentation ).

Aussonderung

Wenn Komponenten der IT-Verkabelung nicht mehr benötigt werden, müssen sie entfernt werden (siehe M 5.144 Rückbau der IT-Verkabelung ).

Notfallvorsorge

Sofern erhöhte Anforderungen an die Verfügbarkeit gestellt werden, sollte die Verkabelung, gegebenenfalls einschließlich der externen Anschlüsse, so redundant ausgelegt werden, dass ein Schaden an einer einzigen Stelle nicht zu einem Totalausfall aller Teilnehmeranschlüsse führen kann. Dazu sind gegebenenfalls Redundanzen der Verbindung zwischen Gebäuden (siehe M 6.103 Redundanzen für die Primärverkabelung ) und innerhalb eines Gebäudes (siehe M 6.104 Redundanzen für die Gebäudeverkabelung ) zu schaffen.

Nachfolgend wird das Maßnahmenbündel für den Bereich "IT-Verkabelung" vorgestellt:

Planung und Konzeption

M 1.20 (A) Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht
M 1.21 (A) Ausreichende Trassendimensionierung
M 1.22 (Z) Materielle Sicherung von Leitungen und Verteilern
M 1.65 (Z) Erneuerung der IT-Verkabelung
M 1.66 (Z) Beachtung von Normen bei der IT-Verkabelung
M 2.395 (A) Anforderungsanalyse für die IT-Verkabelung
M 2.396 (Z) Vorgaben zur Dokumentation und Kennzeichnung der IT-Verkabelung
M 5.2 (A) Auswahl einer geeigneten Netz-Topologie
M 5.3 (A) Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht

Umsetzung

M 1.9 (A) Brandabschottung von Trassen
M 1.67 (C) Dimensionierung und Nutzung von Schranksystemen
M 1.68 (A) Fachgerechte Installation
M 1.69 (Z) Verkabelung in Serverräumen
M 2.19 (B) Neutrale Dokumentation in den Verteilern
M 5.4 (A) Dokumentation und Kennzeichnung der Verkabelung
M 5.5 (A) Schadensmindernde Kabelführung
M 5.142 (C) Abnahme der IT-Verkabelung

Betrieb

M 1.39 (C) Verhinderung von Ausgleichsströmen auf Schirmungen
M 2.20 (C) Kontrolle bestehender Verbindungen
M 5.143 (B) Laufende Fortschreibung und Revision der Netzdokumentation

Aussonderung

M 5.1 (A) Entfernen oder Deaktivieren nicht benötigter Leitungen
M 5.144 (B) Rückbau der IT-Verkabelung

Notfallvorsorge

M 6.103 (Z) Redundanzen für die Primärverkabelung
M 6.104 (Z) Redundanzen für die Gebäudeverkabelung

Stand: 9. EL Stand 2007