A.7.12 — Sicherheit der Verkabelung

Netzwerk-Störung im dritten Stock. Nach zwei Stunden Fehlersuche die Ursache: Ein Reinigungsmitarbeiter hat beim Staubsaugen ein Patchkabel aus dem Wandanschluss gezogen. Im Serverraum ist es noch schlimmer — 200 unmarkierte Kabel, kein Patchplan, und das letzte Mal hat sich vor drei Jahren jemand die Dokumentation angesehen. A.7.12 fordert, dass Strom- und Datenkabel gegen Abfangen, Störungen und Beschädigung geschützt werden.

Die Verkabelung ist die physische Grundlage jeder IT-Infrastruktur. Ohne dokumentierte, geschützte und gewartete Kabel sind Verfügbarkeit und Vertraulichkeit gefährdet — durch Manipulation, Abhören, Beschädigung oder schlicht durch Verwechslung.

Was verlangt die Norm?

Kabel physisch schützen. Strom- und Datenkabel werden unterirdisch, in Kabelkanälen oder anderweitig gegen unbefugten Zugriff und Beschädigung geschützt verlegt.
Strom- und Datenkabel trennen. Stromleitungen werden von Kommunikationskabeln getrennt, um elektromagnetische Störungen (Übersprechen) zu vermeiden.
Kabelräume zugangsbeschränkt. Patchschränke, Kabelverteilräume und Anschlussdosen in Sicherheitsbereichen sind gegen unbefugten Zugriff gesichert.
Für kritische Systeme erweitern. Gepanzerte Kabelführung, elektromagnetische Abschirmung und kontrollierter Zugang zu Kabelräumen bei erhöhtem Schutzbedarf.
Regelmäßig inspizieren und kennzeichnen. Kabel werden regelmäßig auf Beschädigungen und Manipulation geprüft. Eine eindeutige Kennzeichnung verhindert Verwechslungen und erleichtert die Wartung.

In der Praxis

Kabelplan erstellen und pflegen. Dokumentiere die gesamte Verkabelung: Kabeltyp, Verlegeweg, Start-/Endpunkt, Klassifizierung. Der Plan wird bei jeder Änderung aktualisiert und mindestens jährlich gegen die Realität geprüft. Professionelle Kabelmanagementsoftware lohnt sich ab mittlerer Gebäudegröße.

Patchschränke verschließen. Offene Patchschränke in Fluren oder Büroräumen sind ein häufiger Befund. Jeder Patchschrank wird verschlossen, der Schlüssel verwaltet (nicht am Schrank aufbewahrt), und Änderungen an der Verkabelung im Schrank werden protokolliert.

Kabel kennzeichnen. Beide Enden jedes Kabels werden beschriftet — mit einer eindeutigen Kennung, die im Kabelplan referenziert ist. Im Serverraum erleichtert ein Farbcode die Unterscheidung (z. B. Gelb für Netzwerk, Rot für Strom, Blau für Management).

Verlegestandards einhalten. Bei Neuverlegung: Strom- und Datenkabel in getrennten Trassen, Kabel in Schutzrohren oder geschlossenen Kanälen, keine Kabel auf dem Boden oder über Heizkörpern. Fachkundige Elektrofirmen beauftragen und die Einhaltung der Standards abnehmen lassen.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.12 typischerweise diese Nachweise:

Kabelplan — dokumentierte Verkabelung mit Verlegewegen und Kennzeichnung (→ Physische Sicherheitsrichtlinie im Starter Kit)
Inspektionsprotokolle — Nachweis der regelmäßigen Kabelprüfung
Zugangsregelung für Kabelräume — Nachweis, dass Patchschränke und Verteilerräume verschlossen sind
Änderungsprotokolle — Dokumentation jeder Änderung an der Verkabelung
Abnahmeprotokoll bei Neuverlegung — Nachweis der fachgerechten Installation

KPI

Anteil der kritischen Verkabelung mit dokumentierten physischen Schutzmaßnahmen

Gemessen als Prozentsatz: Wie viel Prozent deiner kritischen Netzwerk- und Stromverkabelung ist dokumentiert, gekennzeichnet und physisch geschützt? Ziel: 100%. Typische Lücke: provisorische Kabel, die über Jahre bestehen bleiben, und Patchschränke in Fluren ohne Verschluss.

Ergänzende KPIs:

Anteil der Patchschränke mit funktionierendem Verschluss
Anzahl der ungekennzeichneten Kabel (Ziel: 0)
Anzahl der Netzwerkstörungen durch Kabelprobleme pro Jahr

BSI IT-Grundschutz

A.7.12 mappt direkt auf den BSI-Baustein INF.12:

INF.12 (Verkabelung) — Kernbaustein: Planung (A2), Leitungsführung (A5), Dokumentation (A10, A11), Schutzmaßnahmen (A15, A17).
INF.1.A13 (Regelungen und Kontrolle des Zutritts) — Zugangsschutz für Kabelverteilräume als Teil des Gebäudeschutzes.
INF.2.A23 — Erweiterte Anforderungen an die Verkabelung in Rechenzentren: redundante Kabelwege, Brandabschottung, Kennzeichnung.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.7.12 — Sicherheit der Verkabelung
ISO/IEC 27002:2022 Abschnitt 7.12 — Umsetzungshinweise zur Verkabelungssicherheit
BSI IT-Grundschutz, INF.12 — Verkabelung

Häufig gestellte Fragen

Muss die gesamte Verkabelung unterirdisch verlegt sein?

Unterirdische Verlegung ist eine Möglichkeit, aber keine Pflicht. Die Norm verlangt angemessenen Schutz gegen Abhören, Störungen und Beschädigung. Kabelkanäle, Schutzrohre und geschlossene Trassen erfüllen den Zweck ebenso, wenn sie gegen unbefugten Zugriff gesichert sind.

Warum müssen Strom- und Datenkabel getrennt werden?

Stromkabel erzeugen elektromagnetische Felder, die Datenkabel stören können (Übersprechen). Die Trennung verhindert Signalstörungen und Datenverlust. In der Praxis bedeutet das: separate Kabeltrassen oder mindestens 30 cm Abstand zwischen Strom- und Datenkabeln.

Wie detailliert muss die Kabeldokumentation sein?

Jedes Kabel sollte mindestens dokumentiert sein mit: Typ (Strom/Daten/LWL), Start- und Endpunkt, Verlegeweg, Klassifizierung und Datum der letzten Prüfung. Für Rechenzentren empfiehlt sich zusätzlich eine Kennzeichnung an beiden Kabelenden und an Patchpanels.

Responsible	Facility Manager
Accountable	ISB / (C)ISO
Consulted	Alle Beschäftigten, Facility Manager, IT-Leitung
Informed	Facility Manager, IT-Leitung, IT-Sicherheitsbeauftragter, Incident-Response-Team