Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.5 — Schutz vor physischen und umweltbedingten Bedrohungen

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.5 ISO 27001ISO 27002BSI INF.1

Sommergewitter, Starkregen. Wasser dringt durch ein Kellerfenster in den Serverraum ein. Die USV steht auf dem Boden und wird überflutet, der Kurzschluss legt das gesamte Netz lahm. Die Backup-Bänder liegen im selben Raum. A.7.5 fordert, dass Organisationen physische und umweltbedingte Bedrohungen systematisch bewerten und Schutzmaßnahmen umsetzen, bevor der Schadenfall eintritt.

Die Kontrolle umfasst Naturgefahren (Brand, Wasser, Erdbeben, Sturm), technische Gefahren (Stromausfall, Überspannung) und menschlich verursachte Bedrohungen (Vandalismus, Sabotage). Für jede Bedrohung verlangt die Norm eine Bewertung und angemessene Gegenmaßnahmen.

Was verlangt die Norm?

  • Bedrohungen identifizieren und bewerten. Regelmäßige Risikoanalysen erfassen physische und umweltbedingte Bedrohungen: Brand, Hochwasser, Erdbeben, Sturm, Blitzschlag, Vandalismus, zivile Unruhen.
  • Schutzmaßnahmen ableiten. Basierend auf der Risikobewertung werden Maßnahmen umgesetzt: Brandmelde- und Löschanlagen, Wassersensoren, Überspannungsschutz, Blitzableiter, Tresore für kritische Medien.
  • Standortwahl berücksichtigen. Bei der Wahl von Gebäuden und Räumen werden lokale Risiken einbezogen — Hochwassergebiete, Flugschneisen, Industriegebiete.
  • Bauliche Maßnahmen umsetzen. Gebäude und Räume werden so gebaut oder nachgerüstet, dass sie den identifizierten Bedrohungen standhalten.
  • Zusätzliche Maßnahmen bei erhöhtem Risiko. In Hochrisikogebieten können Inspektionen auf gefährliche Gegenstände, verstärkte Gebäudehüllen oder redundante Standorte erforderlich sein.

In der Praxis

Gefährdungsbeurteilung standortbezogen erstellen. Nimm deinen konkreten Standort als Ausgangspunkt: Welche Naturgefahren sind regional relevant? Welche Nachbarbetriebe erhöhen das Risiko? Welche gebäudetechnischen Schwachstellen bestehen? Dokumentiere alles in einer Gefährdungsmatrix.

Brandschutz als Mindeststandard. Brandmeldeanlage, Feuerlöscher, Flucht- und Rettungswege, Brandschutzordnung — das ist der Grundstock. Für Serverräume kommen Gaslöschanlagen (z. B. Inergen, Novec) hinzu, die IT-Equipment nicht beschädigen. Rauchansaugsysteme erkennen Brände früher als herkömmliche Rauchmelder.

Wasserschutz im Serverraum. Keine Wasserleitungen über oder durch den Serverraum führen. USV-Anlagen und Server auf erhöhten Sockeln oder Racks platzieren. Wassersensoren am Boden installieren, die bei Feuchtigkeit Alarm auslösen. Kellerlage für Serverräume vermeiden.

Redundanz für kritische Geräte. Überspannungsschutz an allen Stromverteilern, unterbrechungsfreie Stromversorgung (USV) für kritische Systeme, Notstromaggregat für längere Ausfälle. Die USV überbrückt den Zeitraum bis zum Start des Generators.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.5 typischerweise diese Nachweise:

  • Gefährdungsbeurteilung — standortbezogene Risikoanalyse für physische und umweltbedingte Bedrohungen (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • Brandschutzkonzept — Brandmeldeanlage, Löschanlage, Fluchtpläne, Brandschutzordnung
  • Wartungsprotokolle — Nachweis der regelmäßigen Prüfung von Brandschutz, USV, Notstrom, Wassersensoren
  • Versicherungsnachweise — Gebäude- und Elektronikversicherung mit angemessener Deckung
  • Notfall- und Wiederanlaufpläne — dokumentierte Verfahren für den Fall physischer Schadensereignisse

KPI

Anteil der Einrichtungen mit dokumentiertem Schutz gegen physische und umweltbedingte Bedrohungen

Gemessen als Prozentsatz: Wie viele deiner Standorte und kritischen Räume verfügen über eine aktuelle Gefährdungsbeurteilung mit umgesetzten Schutzmaßnahmen? Ziel: 100%. Häufig vergessen: Außenlager, angemietete Co-Location-Flächen, Homeoffice-Standorte mit kritischen Daten.

Ergänzende KPIs:

  • Anteil der Brandschutzeinrichtungen mit Prüfung innerhalb der letzten 12 Monate
  • Anzahl offener Maßnahmen aus der Gefährdungsbeurteilung
  • USV-Autonomiezeit in Minuten (dokumentiert und getestet)

BSI IT-Grundschutz

A.7.5 mappt auf zahlreiche BSI-Anforderungen, weil Umweltschutz ein Kernthema der Infrastruktur-Schicht ist:

  • INF.1 (Allgemeines Gebäude) — Brandschutz (A3, A4, A5), Blitzschutz (A8), Wasserschutz (A10), Klimatisierung (A14, A15), Schutz vor Vandalismus (A20, A24, A25, A32).
  • INF.2 (Rechenzentrum sowie Serverraum) — Erweiterte Anforderungen: Klimatisierung (A2, A5), Brandfrüherkennung (A8, A9), Löschtechnik (A15, A16), Wassereinbruchschutz (A21, A22), Gesamtkonzept (A30).
  • INF.1.A1 — Planung der Gebäudeabsicherung unter Berücksichtigung lokaler Risiken.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Müssen wir in Deutschland wirklich Erdbeben berücksichtigen?

Ja, zumindest in der Risikobewertung. Die Oberrheinebene und der Niederrhein sind seismisch aktive Zonen. Die Bewertung kann ergeben, dass das Risiko gering ist — aber dokumentiert werden muss sie. Für die meisten deutschen Standorte sind Hochwasser, Starkregen und Sturm die relevanteren Bedrohungen.

Was gehört in eine Gefährdungsbeurteilung für physische Bedrohungen?

Standortbezogene Risiken (Hochwassergebiet, Flughafen-Nähe, Industriegebiet), gebäudebezogene Risiken (Baualter, Brandschutzklasse, Dachkonstruktion) und nachbarschaftsbezogene Risiken (Tankstelle, Chemiebetrieb). Für jeden Punkt bewertest du Eintrittswahrscheinlichkeit und Schadensausmass.

Reicht eine Brandmeldeanlage, oder brauchen wir auch Löschanlagen?

Die Brandmeldeanlage ist die Grundanforderung. Löschanlagen (Sprinkler, Gaslöschung) kommen bei erhöhtem Schutzbedarf hinzu — typischerweise im Serverraum. Gaslöschanlagen eignen sich für IT-Räume, weil sie keine Wasserschäden verursachen. Entscheidend ist die Risikobewertung.