Arbeitshilfe - Prüfung Serverraum Die Arbeitshilfe ist anzuwenden bei der Prüfung der physischen Sicherungsmaßnahmen des Serverraums in kleinen und mittelständischen Unternehmen. Prüfung der physischen Sicherungsmaßnahmen - Serverraum Zutrittskontrollen Risiko Es besteht ein erhebliches Risiko, dass (ggf. unternehmensfremde) Personen freien Zutritt zu den Serverräumen des Unternehmens erhalten und dieser Zutritt nicht nachvollziehbar ist. Räumlichkeiten sind vor unberechtigtem Zugang / Sabotage / Datenklau eventuell nicht geschützt. Fragestellungen - Ist der Serverraum, dessen Zugangstür(en) und Fenster dauerhaft verschlossen und vor unbefugtem Zutrifft geschützt? - Welche Personen haben Zutritt zu dem Serverraum? - Der Zutritt zum Serverraum sollte möglichst gering gehalten werden. Es sollte/n sich z. B. kein dauerhaft / ständig besetzter Arbeitsplatz im Serverraum befinden. keine dauerhaft / ständig genutzten Geräte Fotokopierer, Faxgerät oder Drucker im Serverraum befinden. Brandschutzmaßnahmen Risiko Kleine Brandherde können sich aufgrund unzulänglicher Brandschutzmaßnahmen rasant ausbreiten und unter Umständen einen Großteil der IT zerstören. Sofortbekämpfung ist ggf. nicht möglich aufgrund fehlender oder falsch bedienter Feuerlöscher. Pulverlöscher führen im Bereich elektrischer und elektronischer Geräte zu extrem hohen Löschschäden. Fragestellungen - Wie gestalten sich die baulichen Gegebenheiten des Serverraumes hinsichtlich der Brandschutzmaßnahmen (wie z. B. Feuerschutztür, Brandabschnitte)? - Ist ein Handfeuerlöscher (inklusive Wartungsnachweis) vorhanden? Idealerweise wird ein Kohlendioxyd-Löscher (Brandklasse B) bereitgestellt. - Ist der Handfeuerlöscher im Brandfall leicht zu erreichen? - Ist der Handfeuerlöscher durch die vorgeschriebenen Schilder gekennzeichnet? - Sind die Mitarbeiter in die Benutzung des Handfeuerlöschers eingewiesen? - Welche Handfeuerlöscher befinden sich in unmittelbarer Umgebung zum Serverraum, ebenfalls Brandklasse B? - Erfolgt eine Lagerung von brennbaren Materialien im Serverraum? Schutz vor Wasser Risiko Wasser kann unkontrolliert in den Serverraum eintreten z. B. durch wasserführende Leitungen (defekte Heizungsanlage, defekte Klimaanlage, defekte Sprinkleranlage), Löschwasser, Hochwasser, Überschwemmung, Störung der Wasser-Versorgung / AbwasserEntsorgung oder Sabotage. Fragestellungen - Befinden sich wasserführende Leitungen um Serverraum? - Erfolgt eine regelmäßige Sichtkontrolle und / oder existiert ein Wassermelder? - Es können sich ebenfalls Gefahrenquellen aus Flachdächern oder Kellerräumen ergeben. Klimatisierung Risiko Im Serverraum wird durch die Geräte elektrische Energie in Wärme umgesetzt. Innerhalb kürzester Zeit kann so bei unzureichender Klimatisierung die Temperatur auf über 50° Celsius ansteigen und zu einem Totalausfall der IT führen. Fragestellung - Ist eine angemessene Klimatisierung im Serverraum vorhanden? - Erfolgt eine Wartung der Klimaanlage? - Existieren Regelungen für einen Systemausfall der Klimatisierung? Stromversorgung Risiko Es besteht ein erhebliches Risiko von Daten- und Materialverlusten im Falle von elektrischen Störungen (Über-/Unterspannungen). Stromunterbrechungen von mehr als 10 Millisekunden (für Menschen nicht bemerkbar) können den IT-Betrieb stören. Fragestellung - Ist eine unterbrechungsfreie Stromversorgung (USV) vorhanden (lokal oder zentral)? - Erfolgt für diese USV eine Wartung? - Ist die USV hinsichtlich Ihre Leistung und Stützzeit ausreichend dimensioniert? - Verfügt die IT-Infrastruktur (z. B. Server, Switche etc.) über zwei Netzteile? (Je nach Bedarf: erfolgt eine Verkabelung an zwei voneinander unabhängigen, elektronischen Versorgungssträngen?) - Existieren Regelungen für den Stromausfall? - Existiert ein Schutz vor Überspannungen? Überwachungssysteme Risiko Fehlen Überwachungssysteme (für Einbruch, Brand, Gas und Wasser) können keine frühzeitigen Gegenmaßnahmen getroffen werden. Ein möglicher Schaden breitet sich unbemerkt weiter aus. Fragestellungen - Sind Überwachungssysteme für Einbruch, Brand, Wasser und Gas vorhanden? - Handelt es sich um ein zentrales Überwachungssystem oder um ein alleinstehendes System („einfacher Brandmelder aus dem Baumarkt“)? - Wie erfolgt eine Alarmierung im „Schadensfall“? Redundanzen Je nach Geschäftsmodell des Mandanten und den Verfügbarkeitsanforderungen muss eine hinreichende Redundanz in der genannten Infrastruktur in Betracht gezogen werden. Stand: September 2014 HMC Hahne Management Consulting Unternehmensberatungsgesellschaft mbH