Bundesamt für Sicherheit in der Informationstechnik

INF.1 Allgemeines Gebäude

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Gebäude bilden den äußeren physischen Rahmen für die Durchführung von Geschäftsprozessen. Ein Gebäude umfasst die stationären Arbeitsplätze, die verarbeiteten Informationen sowie die aufgestellte Informationstechnik und gewährleistet für diese somit einen äußeren Schutz. Zudem ermöglichen die Infrastruktureinrichtungen eines Gebäudes häufig erst die Durchführung von Geschäftsprozessen und den IT-Betrieb. Daher ist nicht nur das Bauwerk an sich, also Wände, Decken, Böden, Dach, Fenster sowie Türen zu betrachten, sondern auch alle gebäudeweiten Infrastruktur- und Versorgungseinrichtungen wie Strom, Wasser, Gas, Heizung und Kühlung.

Betrachtet wird ein Gebäude, das von einer oder mehreren Organisationseinheiten einer Institution genutzt wird. Diese können durchaus unterschiedliche Sicherheitsansprüche haben. Zudem muss in alle Überlegungen einfließen, dass ein Gebäude fast immer auch von Institutionsfremden (Bürgern, Kunden, Lieferanten) betreten werden kann und soll. Wenn ein Gebäude von verschiedenen Parteien in derartiger Weise genutzt wird, so müssen Gestaltung und Ausstattung des Gebäudes und das Nutzungskonzept für das Gebäude zueinander passen. Es soll eine optimale Umgebung für die im Gebäude tätigen Menschen sichergestellt werden. Unberechtigte sollen dort keinen Zutritt erhalten, wo sie die Sicherheit beeinträchtigen könnten und die im Gebäude stationierte Technik soll sicher und effizient betrieben werden können.

1.2 Zielsetzung

In diesem Baustein wird beschrieben, welche Anforderungen umzusetzen sind, um ein Gebäude aus Sicht der Informationssicherheit optimal zu nutzen. Die sich aus den Anforderungen ergebenden Maßnahmen hängen von Art und Größe der Institution ab. Anforderungen aus diesem Baustein können auch auf große Liegenschaften mit mehreren Gebäuden oder auf die Nutzung einzelner Gebäudeteile in Mehrparteienhäusern übertragen werden.

1.3 Abgrenzung

Dieser Baustein betrachtet technische und nicht-technische Sicherheitsaspekte bei der Planung und Nutzung von typischen Gebäuden für Unternehmen und Behörden. Dabei wird der gesamte Lebenszyklus von Gebäuden betrachtet, beginnend von der Erstellung eines Anforderungskataloges, über Konzeption, Einrichtung, Nutzung bis hin zu Umbauten oder Auszug.

Die Verkabelung in einem Gebäude wird in den Bausteinen INF.3 Elektrotechnische Verkabelung und INF.4 IT-Verkabelung gesondert betrachtet, spezielle Räumlichkeiten wie Serverräume oder Archivräume in den jeweiligen Bausteinen der Schicht INF.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Allgemeines Gebäude von besonderer Bedeutung:

2 1 Feuer

Gebäude und die darin befindlichen Menschen und Einrichtungen können durch Feuer schwere Schäden erleiden. Neben direkten durch das Feuer verursachten Schäden müssen auch Folgeschäden mitbetrachtet werden. Die größte Gefahrenquelle bei einem Feuer ist der giftige Brandrauch. Die meisten Personenschäden bei einem Feuer entstehen durch Rauchvergiftung. Auch an Einrichtungen und IT-Systemen kann Brandrauch schwere Schäden anrichten.

So entstehen bei der Verbrennung von PVC Chlorgase, die zusammen mit der Luftfeuchtigkeit und dem Löschwasser Salzsäure bilden. Werden die Salzsäuredämpfe über die Klimaanlage verteilt, können auf diese Weise Schäden an empfindlichen elektronischen Geräten entstehen, die in einem vom Brandort weit entfernten Teil des Gebäudes stehen.

2 2 Blitz

Blitze sind die wesentliche während eines Gewitters bestehende Gefährdung für Gebäude und die darin befindliche Informationstechnik. Blitze erreichen bei Spannungen von mehreren 100.000 Volt Ströme bis zu 200.000 Ampere. Diese enorme elektrische Energie wird innerhalb von 50-100 Mikrosekunden freigesetzt und abgebaut. Ein Blitz mit diesen Werten, der in einem Abstand von ca. 2 km einschlägt, verursacht auf elektrischen Leitungen im Gebäude immer noch Spannungsspitzen, die zur Zerstörung empfindlicher elektronischer Geräte führen können. Diese indirekten Schäden nehmen mit abnehmender Entfernung zu.

Schlägt der Blitz direkt in ein Gebäude ein, werden durch die dynamische Energie des Blitzes Schäden hervorgerufen. Dies können Beschädigungen des Baukörpers (Dach und Fassade), Schäden durch auftretende Brände oder Überspannungsschäden an elektrischen Geräten sein.

2 3 Wasser

Wasser kann von außen, beispielsweise durch Regen, Hochwasser oder Überschwemmungen, oder durch innen, beispielsweise durch Defekte wasserführender Leitungen, Schäden an einem Gebäude und seinen Einrichtungen verursachen.

2 4 Elementarschäden und Naturkatastrophen

Je nach Standort eines Gebäudes ist dieses den Risiken durch Elementarschäden und Naturkatastrophen unterschiedlich stark ausgesetzt. Ursachen für Naturkatastrophen können seismische, klimatische oder vulkanische Phänomene sein, wie beispielsweise Erdbeben, Hochwasser, Erdrutsche, Tsunamis, Lawinen und Vulkanausbrüche. Beispiele für extreme meteorologische Phänomene sind Unwetter, Orkane oder Zyklone.

2 5 Umfeld-Gefährdungen

Gebäude können durch Ereignisse in der unmittelbaren Umgebung beschädigt oder in ihrer Nutzbarkeit beeinträchtigt werden, beispielsweise unmittelbar durch das Austreten giftiger Substanzen oder mittelbar durch Rettungsarbeiten, Straßensperrungen oder Evakuierungen.

2 6 Unbefugter Zutritt

Wenn Unbefugte in ein Gebäude oder einzelne Räumlichkeiten gelangen, kann dies verschiedene andere Sicherheitsgefährdungen nach sich ziehen. Unbefugte Personen können durch vorsätzliche Handlungen wie beispielsweise Diebstahl oder Manipulation von Informationen oder IT-Systemen, aber auch durch unbeabsichtigtes Fehlverhalten (z. B. aufgrund mangelnder Fachkenntnisse) Schäden verursachen.

Ziel eines Einbruchs kann der Diebstahl von IT-Komponenten oder anderer leicht veräußerbarer Ware sein, aber auch das Kopieren oder die Manipulation von Daten oder IT-Systemen. Dabei können nicht offensichtliche Manipulationen weit höhere Schäden als direkte Zerstörungsakte verursachen. Schon durch das unbefugte Eindringen können Sachschäden entstehen. Fenster und Türen werden gewaltsam geöffnet und dabei beschädigt, sie müssen repariert oder ersetzt werden.

2 7 Verstoß gegen Gesetze oder Regelungen

Bei der Errichtung von Gebäuden ist eine Vielzahl von Gesetzen und Vorgaben zu beachten, die beispielsweise den Brandschutz oder andere Aspekte der baulichen Sicherheit betreffen. Wenn gegen diese verstoßen wird, fällt dieses unter Umständen lange nicht auf, kann aber katastrophale Auswirkungen nach sich ziehen, wenn beispielsweise Brandschottungen nicht bestimmungsgemäß eingebaut wurden.

2 8 Unzureichende Brandschottungen

Jedes Gebäude, in dem IT betrieben wird, ist von einer Vielzahl von Leitungen und Kabeln durchzogen. Frisch- und Abwasserleitungen, Heizungsrohre, Energieversorgung und Datenübertragung seien als Beispiele genannt. Es ist dabei unvermeidlich, dass solche Rohr- und Kabel-Trassen Brandschutzwände und Geschossdecken queren müssen. Wenn an solchen Stellen keine geeigneten Brandschottungen eingebaut sind, können sich hierüber unter Umständen Brände und Rauch unkontrolliert ausbreiten.

Die hohe Dynamik der IT macht auch im Leitungsnetz immer wieder Nachverlegungen auch über Brandschotts hinweg erforderlich. In welcher Form das korrekt erfolgen kann, ist unmittelbar von dem vorhandenen Schott abhängig und kann sehr unterschiedlich sein. Werden Änderung an einem Brandschott nicht den Vorgaben des jeweiligen Schott-Herstellers entsprechend ausgeführt, besteht die Gefahr, dass es im Fall einer Brandbelastung versagen und der Brand sich so in eigentlich durch das Schott geschützte Bereich ausweiten kann.

2 9 Ausfall der Stromversorgung

Bei einem Stromausfall können ganze Gebäude oder Teile davon unbenutzbar werden. Von der Stromversorgung sind nicht nur die offensichtlichen, direkten Stromverbraucher wie IT oder Beleuchtung abhängig, auch alle Infrastruktureinrichtungen sind heute direkt oder indirekt vom Strom abhängig, z. B. Aufzüge, Klimatechnik, Gefahrenmeldeanlagen, Sicherheitsschleusen, automatische Türschließanlagen, Sprinkleranlagen, Telefonnebenstellenanlagen. Selbst die Wasserversorgung ist in Hoch- oder Tiefgeschossen wegen der zur Druckerzeugung erforderlichen Pumpen Strom abhängig.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Allgemeines Gebäude aufgeführt. Grundsätzlich ist die Haustechnik für die Erfüllung der Anforderungen zuständig, also die Organisationseinheit, die für die Einrichtungen der Infrastruktur in einem Gebäude oder in einer Liegenschaft verantwortlich ist. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.

BausteinverantwortlicherHaustechnik
Weitere VerantwortlicheBauleiter, Errichterfirma, Informationssicherheitsbeauftragter (ISB), Innerer Dienst, Institutionsleitung, Leiter Organisation, Mitarbeiter, Planer

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

INF.1.A1 Planung der Gebäudeabsicherung [Planer, Informationssicherheitsbeauftragter (ISB)]

Ausgehend von der geplanten oder vorhandenen Nutzung eines Gebäudes und des Schutzbedarf der dort betriebenen Geschäftsprozesse MUSS festgelegt werden, wie das Gebäude abzusichern ist. Bei einem Gebäude MÜSSEN viele verschiedene Sicherheitsaspekte zum Schutz von Personen im Gebäude, dem Schutz der Wirtschaftsgüter und der IT beachtet werden, von Brandschutz über Elektrik bis hin zur Zutrittskontrolle. Die Sicherheitsanforderungen aus den verschiedenen Bereichen MÜSSEN miteinander abgestimmt werden.

INF.1.A2 Angepasste Aufteilung der Stromkreise

Es MUSS regelmäßig überprüft werden, ob die Absicherung und Auslegung der Stromkreise noch den tatsächlichen Bedürfnissen genügen.

INF.1.A3 Einhaltung von Brandschutzvorschriften

Die bestehenden Brandschutzvorschriften sowie die Auflagen der Bauaufsicht MÜSSEN eingehalten werden. Die Fluchtwege MÜSSEN vorschriftsmäßig ausgeschildert und offen gehalten werden. Die örtliche Feuerwehr SOLLTE bei der Brandschutzplanung hinzugezogen werden. Die aus der Bauordnung erwachsenden Vorschriften zum Brandschutz sind für die Anforderungen des Brandschutzes der IT nicht ausreichend. Daher MUSS ein IT-bezogenes Brandschutzkonzept erstellt und umgesetzt werden.

Unnötige Brandlasten MÜSSEN vermieden werden. Dazu gehört die regelmäßige Entsorgung von Altpapier und Verpackungsabfällen.

Es MUSS einen Brandschutzbeauftragten oder eine mit dem Aufgabengebiet betraute Person geben, die auch entsprechend geschult ist.

INF.1.A4 Branderkennung in Gebäuden [Planer]

Gebäude MÜSSEN mit einer ausreichenden Anzahl von Rauchmeldern ausgestattet sein. Bei größeren Gebäuden SOLLTE eine Brandmeldezentrale (BMZ) eingesetzt werden, auf die alle Melder aufgeschaltet sind. Bei Rauchdetektion MUSS eine Alarmierung im Gebäude ausgelöst werden, bei der sichergestellt ist, dass alle im Gebäude anwesenden Personen diese wahrnehmen können. Die Funktionsfähigkeit aller Rauchmelder bzw. aller Komponenten einer Brandmeldeanlage MUSS regelmäßig überprüft werden. Es MUSS regelmäßig kontrolliert werden, dass die Fluchtwege benutzbar und frei von Hindernissen sind, damit das Gebäude in einer Gefahrensituation schnell geräumt werden kann.

INF.1.A5 Handfeuerlöscher

Zur Sofortbekämpfung von Bränden MÜSSEN Handfeuerlöscher in der jeweils geeigneten Brandklasse (DIN EN 3 Tragbare Feuerlöscher) in ausreichender Zahl und Größe im Gebäude zur Verfügung stehen. Die Handfeuerlöscher MÜSSEN regelmäßig geprüft und gewartet werden. Die Mitarbeiter SOLLTEN in die Benutzung der Handfeuerlöscher eingewiesen worden sein.

INF.1.A6 Geschlossene Fenster und Türen [Mitarbeiter]

Fenster und nach außen gehende Türen (Balkone, Terrassen) MÜSSEN in Zeiten, in denen ein Raum nicht besetzt ist, geschlossen werden. Hierfür MUSS es eine entsprechende Anweisung geben. Es MUSS regelmäßig überprüft werden, ob die Fenster und Türen nach Verlassen der Räume verschlossen sind. Brand- und Rauchschutztüren DÜRFEN NICHT dauerhaft offen gehalten werden.

INF.1.A7 Zutrittsregelung und -kontrolle [Leiter Organisation]

Der Zutritt zu schutzbedürftigen Gebäudeteilen und Räumen MUSS geregelt und kontrolliert werden. Es SOLLTE ein Konzept für die Zutrittskontrolle existieren. Die Zahl der zutrittsberechtigten Personen SOLLTE für jeden Bereich auf ein Mindestmaß reduziert werden. Weitere Personen DÜRFEN erst nach vorheriger Prüfung der Notwendigkeit Zutritt erhalten. Alle erteilten Zutrittsberechtigungen SOLLTEN dokumentiert werden. Die Zutrittskontroll-Maßnahmen MÜSSEN regelmäßig auf ihre Wirksamkeit überprüft werden.

INF.1.A8 Rauchverbot [Mitarbeiter]

Für Räume mit IT oder Datenträgern (Serverraum, Datenträgerarchiv, aber auch Belegarchiv), in denen Brände oder Verschmutzungen zu hohen Schäden führen können, MUSS ein Rauchverbot erlassen werden. Es MUSS regelmäßig kontrolliert werden, dass bei Einrichtung oder Duldung von Raucherzonen der Zutrittsschutz nicht ausgehebelt wird.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Allgemeines Gebäude. Sie SOLLTEN grundsätzlich umgesetzt werden.

INF.1.A9 Sicherheitskonzept für die Gebäudenutzung [Planer, Informationssicherheitsbeauftragter (ISB)]

Es SOLLTE ein Sicherheitskonzept für die Gebäudenutzung geben. Das Sicherheitskonzept für das Gebäude SOLLTE mit dem Gesamt-Sicherheitskonzept der Institution abgestimmt sein. Es SOLLTE regelmäßig aktualisiert werden.

Schützenswerte Räume oder Gebäudeteile SOLLTEN nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein.

INF.1.A10 Einhaltung einschlägiger Normen und Vorschriften [Errichterfirma, Bauleiter]

Bei Planung, Errichtung und Umbau von Gebäuden sowie dem Einbau von technischen Einrichtungen SOLLTEN alle relevanten Normen und Vorschriften berücksichtigt werden.

INF.1.A11 Abgeschlossene Türen [Mitarbeiter]

Mitarbeiter SOLLTEN angewiesen werden, bei Abwesenheit ihr Büro zu verschließen oder ihre Arbeitsunterlagen wegzuschließen. Es SOLLTE sporadisch überprüft werden, ob dies umgesetzt wird.

INF.1.A12 Schlüsselverwaltung

Für alle Schlüssel des Gebäudes (von Etagen, Fluren und Räumen) SOLLTE ein Schließplan vorliegen. Die Herstellung, Aufbewahrung, Verwaltung und Ausgabe von Schlüsseln SOLLTE zentral geregelt sein. Reserveschlüssel SOLLTEN vorgehalten und gesichert, aber für Notfälle griffbereit aufbewahrt werden. Nicht ausgegebene Schlüssel SOLLTEN sicher aufbewahrt werden. Jede Schlüsselausgabe SOLLTE dokumentiert werden.

INF.1.A13 Regelungen für Zutritt zu Verteilern

Der Zutritt zu den Verteilern aller Versorgungseinrichtungen in einem Gebäude SOLLTE im Bedarfsfall schnell möglich sein. Der Zutritt zu Verteilern SOLLTE auf einen engen Kreis von Berechtigten beschränkt sein.

INF.1.A14 Blitzschutzeinrichtungen

Es SOLLTE eine Blitzschutzanlage nach geltender Norm installiert sein. Es SOLLTE ein umfassendes Blitz- und Überspannungsschutzkonzept vorhanden sein. Die Fangeinrichtungen bei Gebäuden mit umfangreicher IT-Ausstattung SOLLTEN mindestens der Schutzklasse II gemäß DIN EN 62305 "Blitzschutz" entsprechen. Die Blitzschutzanlage SOLLTE regelmäßig geprüft und gewartet werden.

INF.1.A15 Lagepläne der Versorgungsleitungen

Es SOLLTEN aktuelle Lagepläne aller Versorgungsleitungen existieren. Es SOLLTE geregelt sein, wer die Lagepläne aller Versorgungsleitungen führt und aktualisiert. Die Pläne SOLLTEN so aufbewahrt werden, dass ausschließlich berechtigte Personen darauf zugreifen können, sie aber im Bedarfsfall schnell verfügbar sind.

INF.1.A16 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile

Lagehinweise auf schutzwürdige Bereiche SOLLTEN vermieden werden. Schutzwürdige Gebäudebereiche SOLLTEN von außen nicht leicht einsehbar sein.

INF.1.A17 Baulicher Rauchschutz [Planer]

Der bauliche Rauchschutz SOLLTE nach Installations- und Umbauarbeiten überprüft werden. Die Funktionsfähigkeit der Rauchschutz-Komponenten SOLLTE regelmäßig überprüft werden.

INF.1.A18 Brandschutzbegehungen

Brandschutzbegehungen SOLLTEN regelmäßig, mindestens ein- bis zweimal im Jahr stattfinden. Bei Brandschutzbegehungen festgestellte Mängel SOLLTEN unverzüglich behoben werden.

INF.1.A19 Frühzeitige Information des Brandschutzbeauftragten

Der Brandschutzbeauftragten SOLLTE über Arbeiten an Leitungstrassen, Fluren, Flucht- und Rettungswegen informiert werden. Er SOLLTE die ordnungsgemäße Ausführung von Brandschutzmaßnahmen kontrollieren.

INF.1.A20 Alarmierungsplan und Brandschutzübungen

Es SOLLTE ein Alarmierungsplan für die im Brandfall zu ergreifenden Maßnahmen erstellt werden. Er SOLLTE periodisch aktualisiert werden. Brandschutzübungen SOLLTEN regelmäßig durchgeführt werden. Der Alarmierungsplan SOLLTE in regelmäßigen Abständen überprüft und aktualisiert werden.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

INF.1.A21 Unabhängige elektrische Versorgungsstränge(A)

Die IT SOLLTE über zwei voneinander unabhängige Versorgungsstränge gespeist werden.

INF.1.A22 Sichere Türen und Fenster(CIA)

Türen und Fenster SOLLTEN anhand der Schutzziele des zu sichernden Bereichs und dem Schutzbedarf der Institution sowie der passenden Klassifizierung in den einschlägigen Normen ausgewählt werden. Alle raumumschließenden Sicherungsmaßnahmen durch Fenster, Türen und Wände SOLLTEN in Bezug auf Einbruch, Brand und Rauch gleichwertig und angemessen sein. Es SOLLTE regelmäßig überprüft werden, dass die Sicherheitstüren und -fenster funktionstüchtig sind.

INF.1.A23 Bildung von Sicherheitszonen [Planer](C)

Räume ähnlichen Schutzbedarfs SOLLTEN in Zonen zusammengefasst werden, um vergleichbare Risiken einheitlich behandeln und Kosten für erforderliche Sicherheitsmaßnahmen reduzieren zu können. Es SOLLTE ein Sicherheitszonenkonzept für Gebäude und Grundstück entwickelt und dokumentiert werden.

INF.1.A24 Selbsttätige Entwässerung(A)

Alle wassergefährdeten Bereiche SOLLTEN mit einer selbsttätigen Entwässerung ausgestattet sein. Die Funktionstüchtigkeit aktiver und passiver Entwässerungseinrichtungen SOLLTE regelmäßig geprüft werden.

INF.1.A25 Geeignete Standortauswahl [Institutionsleitung](A)

Bei Auswahl oder Planung eines Gebäude-Standortes SOLLTE geprüft werden, welche Umfeldbedingungen Einfluss auf die Informationssicherheit haben könnten. Es SOLLTE eine Übersicht über standortbedingte Gefährdungen geben. Diesen Gefährdungen SOLLTE mit zusätzlichen kompensierenden Maßnahmen begegnet werden.

INF.1.A26 Pförtner- oder Sicherheitsdienst(CIA)

Die Aufgaben des Pförtner- bzw. Sicherheitsdienstes SOLLTEN klar dokumentiert sein. Die Pförtner SOLLTEN alle Personenbewegungen an der Pforte und an allen anderen Eingängen beobachten bzw. kontrollieren. Alle Mitarbeiter und Besucher SOLLTEN sich bei den Pförtnern legitimieren. Besucher SOLLTEN zu den Besuchten begleitet bzw. an der Pforte abgeholt werden. Die Pförtner SOLLTEN rechtzeitig darüber informiert werden, wenn sich Zutrittsberechtigungen ändern.

INF.1.A27 Einbruchsschutz(CIA)

Es SOLLTEN ausreichende und den örtlichen Gegebenheiten angepasste Maßnahmen zum Einbruchsschutz umgesetzt werden. Gleichwertigkeit und Durchgängigkeit des Einbruchsschutzes bei der Planung, der Umsetzung und im Betrieb SOLLTEN regelmäßig durch eine fachkundige Person begutachtet werden. Die Regelungen zum Einbruchsschutz SOLLTEN den Mitarbeitern bekannt sein.

INF.1.A28 Klimatisierung für Menschen(IA)

In größeren Gebäuden SOLLTE die Luftversorgung durch raumlufttechnische (RLT-) Anlagen geleistet werden. Die RLT-Anlagen SOLLTEN auf die tatsächliche Nutzung des Gebäudes ausgelegt sein. Sie SOLLTEN RLT-Anlagen regelmäßig gewartet werden.

INF.1.A29 Organisatorische Vorgaben für die Gebäudereinigung(CIA)

Es SOLLTE kontrolliert werden, ob die Mitarbeiter der beauftragten Reinigungsfirma die ausgegebenen Schlüssel bzw. Ausweise vertragsgemäß verwenden. Die Reinigungskräfte SOLLTEN über den Umgang mit der IT ausreichend informiert sein. Reinigungskräfte SOLLTEN in besonders sensitiven Bereichen bei der Arbeit beaufsichtigt werden.

INF.1.A30 Auswahl eines geeigneten Gebäudes(CIA)

Bei der Auswahl eines geeigneten Gebäudes SOLLTE geprüft werden, ob alle für die spätere Nutzung relevanten Sicherheitsanforderungen auch umgesetzt werden können. Für jedes Gebäude SOLLTEN im Vorfeld die vorhandenen Gefährdungen und die erforderlichen schadensvorbeugenden oder -reduzierenden Maßnahmen dokumentiert werden.

INF.1.A31 Auszug aus Gebäuden [Innerer Dienst](C)

Im Vorfeld des Auszugs SOLLTE ein Bestandsverzeichnis aller für die Informationssicherheit relevanten Dinge (Hardware, Software, Datenträger, Ordner, Schriftstücke etc.) erstellt werden. Nach dem Auszug SOLLTEN alle Räume nach zurückgelassenen Dingen durchsucht werden.

INF.1.A32 Brandschott-Kataster(A)

Es SOLLTE ein Brandschott-Kataster geführt werden. In diesem SOLLTEN alle Arten von Schotts individuell aufgenommen werden. Nach Arbeiten an Brandschotts SOLLTEN die Änderungen im Kataster spätestens nach 4 Wochen eingetragen werden.

INF.1.A33 Anordnung schützenswerter Gebäudeteile(CIA)

Schützenswerte Räume oder Gebäudeteile SOLLTEN NICHT in exponierten oder besonders gefährdeten Bereichen untergebracht sein. Falls sich schützenswerte Räume in exponierter Lage befinden, SOLLTEN ausreichende Maßnahmen ergriffen werden, sie zu sichern. Dies SOLLTE dokumentiert werden.

INF.1.A34 Gefahrenmeldeanlage(A)

Es SOLLTE eine den Räumlichkeiten und den Risiken angemessene Gefahrenmeldeanlage geben. Die Gefahrenmeldeanlage SOLLTE regelmäßig gewartet bzw. geprüft werden. Es SOLLTE geprüft werden, ob die Empfänger von Gefahrenmeldungen in der Lage sind, technisch und personell angemessen auf den Alarm zu reagieren.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Allgemeines Gebäude" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001A11] ISO/IEC 27001:2013 - Annex A.11 Physical and enviornmental security

    ISO, Information technology - Security techniques - Information security management systems - Requirements, insbesondere Annex A, A.11 Physical and environmental security, 2013
    https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en

  • [ISFCF19] The Standard of Good Practice - AREA CF19 Physical and Environmental Security

    insbesondere AREA CF19 Physical and Environmental Security, ISF, 06.2014

  • [NIST80053PEP] NIST Special Publication 800-53 Revision 4 - APPENDIX PAGE F-213

    Assesing Security and Privacy Controls for Federal Information Systems and Organizations, insbesondere APPENDIX F-PS PAGE F-213, FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION, NIST, 2013
    http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Allgemeines Gebäude" von Bedeutung.

  • G 0.1 Feuer
  • G 0.2 Ungünstige klimatische Bedingungen
  • G 0.3 Wasser
  • G 0.4 Verschmutzung, Staub, Korrosion
  • G 0.5 Naturkatastrophen
  • G 0.6 Katastrophen im Umfeld
  • G 0.7 Großereignisse im Umfeld
  • G 0.8 Ausfall oder Störung der Stromversorgung
  • G 0.10 Ausfall oder Störung von Versorgungsnetzen
  • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.29 Verstoß gegen Gesetze oder Regelungen
  • G 0.34 Anschlag
  • G 0.44 Unbefugtes Eindringen in Räumlichkeiten

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK