Bundesamt für Sicherheit in der Informationstechnik

M 2.212 Organisatorische Vorgaben für die Gebäudereinigung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Innerer Dienst

Verantwortlich für Umsetzung: Innerer Dienst

Mit der Durchführung von Reinigungsarbeiten werden fast ausschließlich externe Unternehmen beauftragt. Das nicht zur eigenen Institution gehörende Reinigungspersonal muss alle Räume und Bereiche des Gebäudes betreten, auch Gebäudeteile, wie Technikräume oder Vorstandsetagen, zu denen nur bestimmte Mitarbeitergruppen Zutritt haben. Desweiteren benutzen die externen Reinigungskräfte häufig eigenes Arbeitsgerät und bringen je nach Vertrag auch Reinigungsmittel und andere Verbrauchsstoffe mit. Damit werden Schwachstellen geschaffen, da beispielsweise so auch internes Material auf dem Rückweg mitgenommen werden könnte.

Neben allgemeinen Merkmalen eines Leistungsverzeichnisses für Reinigungsarbeiten wie Art, Name und Lage des Objektes sind Raumnutzungsgruppen, aktuelle Raumverzeichnisse sowie die einzelnen Leistungsarten detailliert zu beschreiben. Leistungsarten können z. B. die Reinigung nichttextiler und textiler Beläge, die Reinigung und Pflege von Gegenständen der Raumausstattung und Einrichtung sowie Entsorgungsaufgaben sein. Darauf aufbauend werden die einzelnen Anforderungen mit Angabe des Umfanges in den einzelnen Räumen beschrieben.

Um den Arbeitsprozess nicht zu stören, werden Reinigungsarbeiten oft in die arbeitsfreien Zeiten verlegt. Damit muss aber auch geklärt werden, ob das Reinungspersonal beaufsichtigt werden sollte. Vorstellungen zu den Reinigungszeiten sowie die Sonderbehandlung einzelner besonders schutzbedürftiger und nicht unkontrolliert begehbarer Bereiche sind in der Leistungsbeschreibung aufzuführen.

Reinigungspersonal sollte vor Aufnahme ihrer Tätigkeit in die Aufgaben eingewiesen werden. Hierzu gehört vor allem eine Einweisung, welche Bereiche unter welchen Voraussetzung betreten werden dürfen, wie IT -Systeme zu reinigen sind bzw. was in der Umgebung von IT-Systemen zu beachten ist und wie sie mit vertraulichen Informationen umzugehen haben, die sie während ihrer Arbeit erhalten. Dies können z. B. Unterlagen sein, die sich auf Schreibtischen oder in Papierkörben finden, oder mitgehörte Gespräche.

Der Zutritt von Reinigungspersonal kann insbesondere in Bereichen mit höheren Sicherheitsanforderungen wie Rechenzentren, Serverräumen, Technikräumen oder Kommunikationszentralen problematisch sein und daher zusätzliche Sicherheitsmaßnahmen erfordern. In solchen Bereichen kann es sinnvoll sein, die Vertrauenswürdigkeit des Reinigungspersonals zu überprüfen oder diese während ihrer Tätigkeit zu beaufsichtigen.

Wenn Vertrauen in die Reinigungsfirma besteht, sollte der Zutritt der Reinigungskräfte über die vorhandene Zutrittskontrolle bzw. das Schließsystem geregelt werden. Das kann jedoch nur dann einewirksame Sicherungsmaßnahmen sein, wenn z. B. Ausweis oder Schlüssel gegen Unterschrift und nur zeitlich begrenzt an benannte bzw. bekannte Mitarbeitern der Reinigungsfirma ausgegeben werden. Bei der Vereinbarung über die Verwendung von Stammpersonal kann über das Ausweissystem eine wirksame Kontrolle der Vertragseinhaltung erreicht werden.

Für die Koordination, aber auch bei auftretenden Problemen ist vom Auftragnehmer ein Objektverantwortlicher zu benennen, der jederzeit ansprechbar ist. Er muss Entscheidungsbefugnis über das einzusetzende (vor allem auch über nicht mehr einzusetzendes, weil unerwünschtes) Personal haben.

Bereits in der Ausschreibung und der Vertragsformulierung ist die Sonderbehandlung sensitiver Bereiche einzubeziehen. Zum Beispiel sind bei Rechenzentren stichprobenartige Kontrollen von Taschen oder Transportgut im Zugangs- oder Zufahrtsbereich für betriebsfremdes Personal in den Verträgen festzuschreiben.

Da bei Reinigungskräften IT -Kenntnisse nicht vorausgesetzt werden können, sollten diese daher in allen Bereichen mit geschäftskritischen IT-Systemen dahingehend eingewiesen werden, welche Tätigkeiten zu Schäden an IT-Einrichtungen oder Problemen beim IT-Betrieb führen können. Beispiele für solche Problemfelder sind:

  • Bei der Reinigung von Tastaturen können unbeabsichtigt Eingaben an Servern oder anderen zentralen Komponenten erfolgen, die den IT-Betrieb beeinträchtigen.
  • IT-Systeme können versehentlich ausgeschaltet werden.
  • Stromversorgungs- oder Kommunikationskabel können durch Staubsauger beschädigt oder aus den Endpunkten gerissen werden.
  • Durch Wasser oder Reinigungsflüssigkeit können Kurzschlüsse in Hardware-Komponenten verursacht werden.

Bereiche mit einem erhöhten Sicherungsbedarf wie Maschinensaal oder Datenträgerarchiv sind nur unter Anwesenheit von Verantwortlichen des Auftraggebers oder in einigen Fällen auch unter Anwesenheit einer Vertrauensperson des Auftragnehmers, z. B. im Vier-Augen-Prinzip, zu reinigen.

Prüffragen:

  • Wird kontrolliert, ob die Mitarbeiter der beauftragten Reinigungsfirma die ausgegebenen Schlüssel bzw. Ausweise vertragsgemäß verwenden?

  • Sind die Reinigungskräfte über den Umgang mit der IT ausreichend informiert?

  • Werden die Reinigungskräfte in besonders sensitiven Bereichen bei der Arbeit beaufsichtigt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK