Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.3 — Wasser

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.1A.7.4A.7.5A.7.11A.8.14 BSI IT-GrundschutzISO 27001ISO 27002

Eine undichte Verbindung an einer Wasserleitung, verborgen hinter einer abgehängten Decke im ersten Stockwerk. Wochen tropft es unbemerkt. Dann bricht die Verbindung vollständig auf — und innerhalb von Minuten steht der darunter liegende Stromverteiler unter Wasser. Strom- und Wasserversorgung des gesamten Gebäudeflügels müssen abgeschaltet werden. Der IT-Betrieb steht für drei Tage still.

Wasser zählt zu den tückischsten physischen Bedrohungen für IT-Infrastruktur. Das BSI führt die Gefährdung als G 0.3 im IT-Grundschutz. Im Gegensatz zu Feuer (das schnell bemerkt wird) kann Wasser schleichend eindringen und über Stunden oder Tage unentdeckt Schäden verursachen.

Was steckt dahinter?

Unkontrollierter Wassereintritt in Gebäude oder Räume gefährdet IT-Komponenten auf mehreren Wegen: Kurzschlüsse, mechanische Beschädigung, Korrosion und Zerstörung von Datenträgern. Die Schadensursache muss dabei keineswegs spektakulär sein — ein defektes Ventil oder eine undichte Rohrverbindung reicht völlig aus.

Ursachen für Wassereintritt

  • Defekte Wasserleitungen — Rohrbrüche, undichte Verbindungen oder korrodierte Leitungen, besonders in älteren Gebäuden. Leitungen, die versteckt hinter Verkleidungen verlaufen, werden oft erst bemerkt, wenn der Schaden bereits eingetreten ist.
  • Heizungs- und Klimaanlagen — Undichte Heizkörper, defekte Kondensatableitungen von Klimageräten oder verstopfte Ablaufschläuche.
  • Sprinkleranlagen — Fehlauslösungen oder undichte Sprinklerköpfe. In Serverräumen mit konventionellen Nasssprinklern kann eine Fehlauslösung verheerender sein als der Brand, den sie verhindern soll.
  • Löschwasser — Bei der Brandbekämpfung eingesetztes Wasser fließt über Kabelschächte und Doppelböden in tiefer liegende Räume (Wechselwirkung mit G 0.1).
  • Frost — Stehendes Wasser in Rohren friert bei anhaltendem Frost, dehnt sich aus und sprengt die Leitung. Auch vorhandene Wärmedämmung wird bei längerer Kälteeinwirkung überwunden.
  • Sabotage — Das gezielte Öffnen von Wasserhähnen und Verstopfen von Abflüssen erfordert weder technisches Know-how noch Werkzeug und kann erhebliche Schäden verursachen.

Kellerräume sind für kritische IT-Infrastruktur der denkbar schlechteste Standort. Grundwasser, Rückstau aus der Kanalisation und Oberflächenwasser sammeln sich dort zuerst. Dennoch befinden sich in vielen Gebäuden die Hauptverteiler für Strom, Telefon und Daten genau dort — oft ohne selbsttätige Entwässerung.

Praxisbeispiele

Wasserleitung hinter abgehängter Decke. In einem Serverraum verläuft eine Kaltwasserleitung unterhalb der Geschossdecke, verborgen hinter einer Gipskartonverkleidung. Eine Rohrverbindung wird undicht. Das austretende Wasser sammelt sich in der Verkleidung und tritt erst aus, als sich ein halber Kubikmeter Wasser angestaut hat. Es fällt direkt auf den darunter montierten Stromverteiler und verursacht einen Kurzschluss. Strom- und Wasserversorgung des betroffenen Gebäudeteils müssen komplett abgeschaltet werden.

Frostschaden in der Übergangszeit. Ein Unternehmen hat seine IT in einem Altbau untergebracht. In einem selten genutzten Nebenraum führt eine Heizungsleitung durch einen ungedämmten Bereich nahe der Außenwand. Bei einem Kälteeinbruch im Frühjahr platzt die Leitung und das austretende Wasser läuft in den darunter liegenden Netzwerktechnikraum. Mehrere Switches und ein Patch-Panel werden zerstört.

Sabotage durch Verstopfen von Abflüssen. Ein gekündigter Mitarbeiter verstopft am letzten Arbeitstag die Abflüsse der Teeküche im Stockwerk über dem Serverraum und lässt den Wasserhahn laufen. Das überlaufende Wasser sickert durch den Boden und tropft auf die Server darunter. Der Schaden wird erst am nächsten Morgen entdeckt, als drei Server nicht mehr starten.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 5 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.3 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • INF.1 (Allgemeines Gebäude) — Anforderungen an Wasserschutz, Leitungsführung und Entwässerung in Gebäuden.
  • INF.2 (Rechenzentrum sowie Serverraum) — Erweiterte Schutzanforderungen gegen Wassereintritt, einschließlich Leckageerkennung und Entwässerungssysteme.
  • INF.5 (Raum sowie Schrank für technische Infrastruktur) — Wasserschutz für Technikräume und Verteilerschränke.
  • INF.6 (Datenträgerarchiv) — Schutz archivierter Datenträger vor Feuchtigkeitseinwirkung.

Quellen

Abdeckende ISO-27001-Kontrollen

A.7.1 Physische Sicherheitsbereiche A.7.4 Physische Sicherheitsüberwachung A.7.5 Schutz gegen Umweltbedrohungen A.7.11 Unterstützende Versorgungseinrichtungen A.8.14 Redundanz von informationsverarbeitenden Einrichtungen

Häufig gestellte Fragen

Warum stehen IT-Hauptverteiler oft ausgerechnet im Keller?

Historisch gewachsen: Die Kabeleinführung ins Gebäude erfolgt meist unterirdisch, und zentrale Verteiler wurden dort platziert, wo die Kabel ankommen. Aus Sicht der Wassergefährdung ist der Keller der denkbar schlechteste Standort. Eine Verlagerung kritischer Verteiler in höhere Stockwerke ist aufwendig, aber bei Neuplanungen oder Sanierungen dringend zu empfehlen.

Welche Wassermelder eignen sich für Serverräume?

Leckagesensoren (Punkt- oder Bandsensoren) erkennen austretendes Wasser am Boden und lösen Alarm aus. Bandsensoren entlang der Wände und unter Doppelböden erfassen Wasser flächendeckend. Die Alarmierung sollte an das Gebäudeleitsystem oder eine 24/7-erreichbare Stelle angebunden sein.

Sind Sprinkleranlagen in Serverräumen sinnvoll?

Konventionelle Nasssprinkler können in Serverräumen mehr Schaden anrichten als der Brand selbst. Für IT-Räume eignen sich Gaslöschanlagen oder vorgesteuerte Sprinkleranlagen (Pre-Action), bei denen Wasser erst nach zwei unabhängigen Auslösesignalen in die Leitungen gelangt.