Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.13 — Ausrüstungswartung

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.13 ISO 27001ISO 27002BSI OPS.1.1.1

Die USV im Serverraum ist seit acht Jahren im Einsatz — Wartungsvertrag nie verlängert, Batterien nie getauscht. Bei einem Stromausfall am Freitagabend schaltet sie nach 90 Sekunden ab, die versprochenen 30 Minuten gibt es längst nicht mehr. Drei Server fahren unkontrolliert herunter, die Datenbank muss repariert werden. A.7.13 fordert, dass Ausrüstung planmäßig und nachweislich gewartet wird — damit sie im Ernstfall funktioniert.

Die Kontrolle betrifft den gesamten Wartungszyklus: Wartungsplanung, Durchführung, Dokumentation, Sicherheitsmaßnahmen während der Wartung und Prüfung nach der Wartung. Sie gilt für eigene Geräte und für Wartung durch Dritte.

Was verlangt die Norm?

  • Wartungsplan aufstellen. Die Wartung folgt den Empfehlungen des Herstellers. Für jedes Gerät sind Intervalle, Umfang und verantwortliche Person definiert.
  • Autorisiertes Personal. Wartungsarbeiten werden ausschließlich von qualifiziertem und autorisiertem Personal durchgeführt — intern oder durch beauftragte Dienstleister.
  • Wartung dokumentieren. Alle durchgeführten Wartungsarbeiten werden protokolliert: Datum, Umfang, durchführende Person, Ergebnis, ggf. festgestellte Mängel.
  • Sicherheit während der Wartung. Geräte werden vor und während der Wartung gegen Sicherheitsbedrohungen geschützt — sowohl bei Vor-Ort-Wartung als auch bei Fernwartung.
  • Prüfung nach externer Wartung. Geräte, die das Haus verlassen, werden bei Rückkehr auf Manipulation geprüft (Gehäuse, Firmware, Seriennummer). Sensible Daten werden vor dem Versand entfernt.

In der Praxis

Wartungsmatrix aufbauen. Für jedes kritische Gerät wird erfasst: Gerätetyp, Standort, Hersteller, Wartungsintervall laut Hersteller, Wartungsvertrag (ja/nein), nächster Wartungstermin, verantwortliche Person. Diese Matrix wird als lebendes Dokument gepflegt und mindestens quartalsweise geprüft.

Fernwartung absichern. Fernwartungszugänge (SSH, RDP, VPN-Tunnel für Hersteller) werden nur bei Bedarf aktiviert, zeitlich begrenzt und protokolliert. Permanente Fernwartungszugänge sind ein häufiger Audit-Befund. Empfehlung: Jump-Host mit Zwei-Faktor-Authentifizierung und Sitzungsaufzeichnung.

Wartungsfenster kommunizieren. Geplante Wartungsarbeiten werden den betroffenen Bereichen vorab angekündigt: Wann, wie lange, welche Systeme betroffen, wer ist verantwortlich? Ungeplante Wartung (Störungsbeseitigung) folgt dem Incident-Management-Prozess.

Entsorgung als letzten Wartungsschritt behandeln. Wenn ein Gerät irreparabel ist oder das Ende seiner Lebensdauer erreicht hat, wird es gemäß A.7.14 sicher entsorgt. Die Entsorgung wird im Wartungsprotokoll als letzter Eintrag dokumentiert.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.13 typischerweise diese Nachweise:

  • Wartungsplan / Wartungsmatrix — Übersicht aller Geräte mit Wartungsintervallen (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • Wartungsprotokolle — Nachweis der durchgeführten Wartungsarbeiten
  • Aktive Wartungsverträge — für alle kritischen Geräte
  • Fernwartungs-Protokolle — Nachweis der sicheren Fernwartung
  • Manipulationsprüfung — Nachweis der Prüfung nach externer Reparatur

KPI

Anteil der Geräte mit Wartung gemäß planmäßigem Wartungsintervall

Gemessen als Prozentsatz: Wie viele deiner wartungspflichtigen Geräte haben ihre letzte Wartung innerhalb des geplanten Intervalls erhalten? Ziel: 100%. In der Praxis liegt der Wert bei Ersterhebung oft bei 50–70%, weil Nebengeräte (Drucker, Switches, Klimaanlagen) nicht im Wartungsplan stehen.

Ergänzende KPIs:

  • Anzahl der Geräte ohne aktiven Wartungsvertrag
  • Anzahl überfälliger Wartungstermine
  • Mittlere Zeit zwischen Wartungsanforderung und Durchführung

BSI IT-Grundschutz

A.7.13 mappt auf verschiedene BSI-Bausteine:

  • OPS.1.1.1.A19 (Regelmäßige Datensicherung und Wartung) — Kernforderung: planmäßige Wartung aller IT-Systeme mit Dokumentation.
  • INF.2.A3, INF.2.A10, INF.2.A14 — Wartung der Rechenzentrums-Infrastruktur: USV, Klimaanlage, NEA.
  • INF.2.A26 — Regelmäßige Überprüfung und Wartung der gesamten Rechenzentrums-Infrastruktur.
  • INF.5.A17, INF.5.A23, INF.5.A24 — Wartung von Technikräumen und deren Infrastruktur.
  • INF.11.A2, INF.13.A12, INF.13.A17, INF.13.A18 — Wartung von Fahrzeugflotten und Gebäudetechnik.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Welche Geräte fallen unter A.7.13?

Alle Geräte, die Informationen verarbeiten, speichern oder übertragen: Server, Netzwerkkomponenten, USV, Klimaanlagen, Brandmeldeanlagen, Drucker, aber auch physische Sicherheitssysteme wie Zutrittskontrollanlagen und Kameras. Die Wartungspflicht gilt für eigene und gemietete Geräte.

Dürfen externe Techniker alleine im Serverraum arbeiten?

Die Norm empfiehlt, dass Wartungsarbeiten in Sicherheitsbereichen begleitet werden (vgl. A.7.6). Wenn das organisatorisch nicht möglich ist, sollte mindestens eine Kameraüberwachung aktiv sein und der Zutritt protokolliert werden. Sensible Daten auf den Geräten werden vor der Wartung gesichert oder geschützt.

Was passiert, wenn ein Gerät zur Reparatur das Haus verlässt?

Vor dem Versand werden sensible Daten gesichert und auf dem Gerät gelöscht (sofern möglich). Bei Rückkehr wird das Gerät auf Manipulation geprüft (Gehäuse-Siegel, Firmware-Version, Seriennummer). Bei sicherheitskritischen Geräten kann ein Austausch statt einer externen Reparatur sinnvoller sein.