Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.11 — Unterstützende Versorgungsdienste

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.11 ISO 27001ISO 27002BSI INF.2

Dienstagmorgen, 9:15 Uhr. Bauarbeiten in der Nachbarstraße — ein Bagger durchtrennt das Glasfaserkabel. Internet weg, VoIP-Telefonie weg, Cloud-Anwendungen unerreichbar. Die gesamte Organisation steht still, weil es keinen zweiten Internetanschluss gibt. A.7.11 fordert, dass unterstützende Versorgungsdienste — Strom, Telekommunikation, Klimatisierung — zuverlässig und geschützt funktionieren.

Diese Kontrolle adressiert die Infrastruktur hinter der Infrastruktur: Ohne Strom kein Server, ohne Kühlung kein Serverraum, ohne Internet keine Cloud. Die Maßnahmen reichen von redundanter Stromversorgung bis zu dokumentierten Wartungsplänen.

Was verlangt die Norm?

  • Versorgungsdienste identifizieren. Die Organisation erfasst alle unterstützenden Versorgungsdienste: Stromversorgung, Telekommunikation, Klimatisierung, Wasserversorgung.
  • Gemäß Herstellervorgaben warten. Geräte, die Versorgungsdienste steuern (USV, Klimaanlage, Generator), werden nach den Empfehlungen des Herstellers gewartet und regelmäßig getestet.
  • Redundanz einplanen. Mehrere Versorgungsleitungen, Alarme bei Fehlfunktionen und Notfallmaßnahmen (Notbeleuchtung, Notkommunikation) werden vorgehalten.
  • Notfallschalter und -kontakte zugänglich machen. Notaus-Schalter und Kontaktdaten für Notfälle sind leicht erreichbar und allen relevanten Personen bekannt.
  • Netzwerkverbindungen absichern. Verbindungen zu externen Netzwerken werden auf das Notwendige beschränkt und gegen unbefugten Zugriff geschützt.

In der Praxis

Versorgungsmatrix aufstellen. Dokumentiere für jeden Versorgungsdienst: Anbieter, Vertragsdetails, SLA, Redundanz (ja/nein), Ausfallhistorie, verantwortliche Person, Notfallkontakt. Diese Matrix bildet die Grundlage für die Risikobewertung und die Notfallplanung.

USV und Notstromaggregat dimensionieren und testen. Die USV überbrückt Spannungsschwankungen und kurze Ausfälle (15–30 Minuten). Das Notstromaggregat übernimmt bei längeren Ausfällen. Beide Systeme werden regelmäßig unter Last getestet, die Ergebnisse dokumentiert. Batterien haben eine begrenzte Lebensdauer — der Austauschzyklus wird im Wartungsplan berücksichtigt.

Klimatisierung redundant auslegen. Für Serverräume gilt die N+1-Regel: Eine Klimaanlage mehr als rechnerisch nötig. Bei Ausfall einer Einheit übernimmt die andere. Temperatursensoren mit Alarmierung sind Pflicht (siehe auch A.7.8).

Notfallschalter kennzeichnen und schulen. Jeder Mitarbeitende, der Zugang zum Serverraum hat, kennt den Standort des Notaus-Schalters und weiß, wann er betätigt werden darf. Der Schalter ist deutlich gekennzeichnet, aber gegen versehentliche Betätigung geschützt (Klappe, Abdeckung).

Typische Audit-Nachweise

Auditoren erwarten bei A.7.11 typischerweise diese Nachweise:

  • Versorgungsmatrix — Übersicht aller Versorgungsdienste mit Redundanz und SLA (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • USV-Testprotokolle — Nachweis der regelmäßigen Lasttests
  • Wartungsverträge — für USV, Klimaanlage, Notstromaggregat
  • Notstromtest-Protokolle — Nachweis der jährlichen Aggregat-Tests
  • Notfall- und Eskalationsplan — dokumentierte Verfahren bei Versorgungsausfall

KPI

Anteil der kritischen Systeme mit redundanten und getesteten Versorgungseinrichtungen

Gemessen als Prozentsatz: Wie viele deiner kritischen Systeme (Server, Netzwerk, Telefonie) sind durch redundante Versorgung (USV, zweiter Internetanschluss, redundante Kühlung) abgesichert? Ziel: 100% für kritische Systeme. Häufig fehlt die Redundanz bei Klimatisierung und Telekommunikation.

Ergänzende KPIs:

  • USV-Autonomiezeit im letzten Lasttest (in Minuten)
  • Anzahl ungeplanter Versorgungsausfälle pro Jahr
  • Mittlere Wiederherstellungszeit nach Versorgungsausfall

BSI IT-Grundschutz

A.7.11 mappt auf zahlreiche BSI-Bausteine:

  • INF.2 (Rechenzentrum sowie Serverraum) — Kernbaustein: Stromversorgung (A3, A4), Klimatisierung (A5, A10, A11), USV und NEA (A14, A16), Notfallmaßnahmen (A19, A25, A26).
  • INF.5 (Raum sowie Schrank für technische Infrastruktur) — Versorgungsanforderungen für Technikräume: Strom (A9), Klima (A10, A11), Überwachung (A16, A17, A24).
  • INF.1 (Allgemeines Gebäude) — Grundlegende Versorgungsanforderungen auf Gebäudeebene.
  • INF.12 (Verkabelung) — Stromverkabelung und Absicherung.
  • SYS.1.1.A15, SYS.2.1.A39 — Anforderungen an die Stromversorgung auf Systemebene.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauchen wir ein Notstromaggregat?

Das hängt von der Risikobewertung ab. Wenn ein Stromausfall von mehr als 30 Minuten zu inakzeptablen Geschäftsunterbrechungen führt, brauchst du ein Aggregat. Eine USV allein überbrückt typischerweise 15-30 Minuten — genug für ein geordnetes Herunterfahren, aber nicht für den Weiterbetrieb.

Wie oft müssen USV und Notstromaggregat getestet werden?

USV: mindestens halbjährlich unter Last testen (Batteriekapazität sinkt mit dem Alter). Notstromaggregat: monatlicher Probelauf ohne Last, jährlicher Lasttest unter realistischen Bedingungen. Alle Tests werden protokolliert.

Was gehört neben Strom zu den unterstützenden Versorgungsdiensten?

Telekommunikation (Internet, Telefon), Klimatisierung (Kühlung, Heizung, Belüftung), Wasserversorgung (für Kühlsysteme) und physische Zugangssteuerung (elektrische Schlösser). Jeder dieser Dienste kann bei Ausfall kritische Systeme beeinträchtigen.