In einem großen Rechenzentrum fällt die unterbrechungsfreie Stromversorgung (USV) innerhalb eines Jahres vier Mal aus. Jedes Mal dauert die Betriebsunterbrechung zwischen 40 und 130 Minuten, teilweise entstehen Hardware-Schäden. Die Ursache stellt sich nach aufwendiger Untersuchung heraus: Ein Mitarbeiter mit Zugang zum Technikraum hat die USV wiederholt manuell auf Bypass geschaltet und anschließend die Hauptstromversorgung manipuliert.
Sabotage — die mutwillige Beschädigung oder Manipulation von Sachen und Prozessen — gehört zu den Bedrohungen, die organisatorisch am schwierigsten zu beherrschen sind. Das BSI führt sie als elementare Gefährdung G 0.41. Die Herausforderung: Saboteure kennen die Infrastruktur oft von innen.
Was steckt dahinter?
Sabotage bezeichnet die gezielte Manipulation oder Zerstörung von Systemen, Infrastruktur oder Prozessen mit dem Ziel, einer Organisation Schaden zuzufügen. Im Gegensatz zu vielen anderen Bedrohungen setzt Sabotage häufig physischen Zugang voraus — und genau das macht Innentäter besonders gefährlich.
Rechenzentren und Kommunikationsanbindungen sind bevorzugte Ziele. Dort kann mit verhältnismäßig geringem Aufwand ein enormes Schadensausmass erreicht werden. Ein durchtrenntes Glasfaserkabel, ein manipulierter Klimaschrank oder ein gezielter Wassereinbruch in den Serverraum — wenige Handgriffe genügen, um kritische Geschäftsprozesse zum Erliegen zu bringen.
Sabotageformen
- Manipulation gebäudetechnischer Infrastruktur — USV-Anlagen, Klimasysteme, Brandmeldeanlagen und Stromverteiler sind oft nicht ausreichend gegen unbefugten Zugriff gesichert. Eine Person mit Grundkenntnissen kann dort erheblichen Schaden anrichten.
- Zerstörung von Kommunikationsleitungen — Glasfaserkabel und Kupferleitungen verlaufen häufig durch ungeschützte Kabelschächte oder über öffentlich zugängliches Gelände.
- Logische Sabotage — Ein Administrator mit privilegierten Rechten kann Datenbanken löschen, Konfigurationen ändern oder Backdoors einrichten. Die Spuren lassen sich mit entsprechendem Know-how verwischen.
- Sabotage über Lieferketten — Manipulierte Hardware oder Software kann gezielt in eine Organisation eingebracht werden, um später aktiviert zu werden.
Schadensausmass
Das Schadensausmass hängt stark davon ab, wie zentral die sabotierte Komponente ist. Ein einzelner manipulierter Switch kann ein Netzwerksegment lahmlegen; eine sabotierte USV bringt im schlimmsten Fall ein ganzes Rechenzentrum zum Stillstand. Hinzu kommen die Kosten für forensische Untersuchung, Reparatur und — falls die Sabotage öffentlich wird — erhebliche Reputationsschäden.
Praxisbeispiele
Wassereinbruch im Serverraum. In einem Gebäude, in dem auch sanitäre Anlagen in der Nähe des Serverraums untergebracht sind, verstopft jemand gezielt die Abflüsse und öffnet die Wasserzufuhr. Das eindringende Wasser beschädigt zentrale Netzwerkkomponenten. Die Betriebsunterbrechung dauert mehrere Tage, weil Ersatzteile erst beschafft werden müssen.
Manipulation einer Brandmeldeanlage. Ein gekündigter Mitarbeiter hat noch drei Wochen Zugang zum Gebäude. Er löst wiederholt den Feueralarm aus, indem er den Rauchmelder im Serverraum manipuliert. Die Gaslöschanlage wird aktiviert, das Rechenzentrum fährt jedes Mal automatisch herunter. Erst beim dritten Vorfall wird der Zusammenhang mit dem ausscheidenden Mitarbeiter erkannt.
Sabotage an Außenkabeln. Die Glasfaseranbindung eines Unternehmens verläuft über einen öffentlich zugänglichen Kabelschacht. Ein Unbekannter durchtrennt das Kabel an einem Wochenende. Da keine redundante Anbindung über einen physisch getrennten Weg existiert, bleibt das Unternehmen bis zum Montagmorgen offline.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 20 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.7.12 — Sicherheit der Verkabelung: Schutz von Kommunikations- und Stromkabeln gegen Manipulation und Beschädigung.
- A.7.11 — Unterstützende Versorgungseinrichtungen: Absicherung von Strom-, Klima- und Wasserversorgung gegen gezielte Manipulation.
- A.7.13 — Instandhaltung von Geräten: Regelmäßige Wartung deckt Manipulationen auf, bevor sie zu Ausfällen führen.
- A.8.19 — Installation von Software: Restriktive Installationsrichtlinien verhindern logische Sabotage über nicht autorisierte Software.
- A.6.1 — Sicherheitsüberprüfung: Überprüfung von Mitarbeitern und Dienstleistern, die Zugang zu kritischer Infrastruktur erhalten.
Erkennung:
- A.8.15 — Protokollierung: Lückenlose Protokollierung physischer Zutritte und administrativer Zugriffe.
- A.8.14 — Redundanz von informationsverarbeitenden Einrichtungen: Redundante Systeme erhöhen die Erkennungswahrscheinlichkeit, da unerwartete Failover-Ereignisse auffallen.
Reaktion:
- A.5.29 — Informationssicherheit bei Störungen: Business-Continuity-Pläne für den Fall, dass kritische Komponenten durch Sabotage ausfallen.
- A.5.23 — Informationssicherheit für die Nutzung von Cloud-Diensten: Cloud-basierte Failover-Optionen als Rückfallebene bei physischer Sabotage vor Ort.
BSI IT-Grundschutz
G 0.41 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- INF.5 (Raum sowie Schrank für technische Infrastruktur) — physischer Schutz technischer Komponenten gegen unbefugten Zugriff.
- INF.13 (Technisches Gebäudemanagement) — Absicherung gebäudetechnischer Anlagen.
- IND.1 (Prozessleit- und Automatisierungstechnik) — Schutz industrieller Steuerungssysteme gegen Sabotage.
- DER.2.3 (Bereinigung weitreichender Sicherheitsvorfälle) — Prozesse für die forensische Aufarbeitung von Sabotagevorfällen.
Quellen
- BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit aktuellen Vorfallstatistiken
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.41 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 7.12 — Umsetzungshinweise zur Sicherheit der Verkabelung