A.7.8 — Platzierung und Schutz von Geräten

Hochsommer, 35 Grad Außentemperatur. Die Klimaanlage im Serverraum fällt aus — niemand bemerkt es, weil kein Temperatursensor installiert ist. Am nächsten Morgen zeigen drei Server thermische Abschaltungen, die Datenbank ist korrupt. A.7.8 verlangt, dass Geräte so platziert und geschützt werden, dass physische, umweltbedingte Risiken und unbefugter Zugriff minimiert werden.

Die Kontrolle betrifft zwei Dimensionen: die physische Aufstellung (Wo steht das Gerät? Wer kann es sehen und erreichen?) und den Umgebungsschutz (Temperatur, Luftfeuchtigkeit, Staub, Blitz, elektromagnetische Strahlung).

Was verlangt die Norm?

Zugang minimieren. Geräte werden so platziert, dass Unbefugte sie weder erreichen noch Bildschirminhalte einsehen können.
Physische Bedrohungen abwehren. Schutzmaßnahmen gegen Feuer, Wasser, Diebstahl, Vandalismus und elektrische Störungen werden umgesetzt.
Umgebungsbedingungen überwachen. Temperatur, Luftfeuchtigkeit und Staubbelastung werden in kritischen Bereichen kontinuierlich gemessen und bei Grenzwertüberschreitung alarmiert.
Blitz- und Überspannungsschutz. Blitzableiter und Überspannungsschutzgeräte schützen empfindliche Technik vor Spannungsspitzen.
Elektromagnetische Abstrahlung berücksichtigen. Empfindliche Geräte werden bei Bedarf gegen elektromagnetisches Abhören geschützt (TEMPEST-Schutz).

In der Praxis

Aufstellungskonzept für den Serverraum. Dokumentiere die Platzierung aller Geräte im Serverraum: Rack-Belegung, Kabelführung, Klimatisierung, Zugangskontrolle. Das Konzept berücksichtigt Kühlzonen (Kalt-/Warmgang), maximale Rackleistung und Gewichtsbelastung des Bodens.

Umgebungsmonitoring einrichten. Temperatursensoren, Luftfeuchtigkeitssensoren und Wassersensoren im Serverraum, mit automatischer Alarmierung bei Grenzwertüberschreitung. Die Alarmierung erfolgt an die IT-Bereitschaft, mit Eskalation bei Nichtreaktion.

Arbeitsplatzgeräte sichern. Laptops erhalten Kensington-Schlösser oder werden in abschließbaren Dockingstations befestigt. Bildschirme an öffentlich zugänglichen Arbeitsplätzen (Empfang, Besprechungsräume) werden mit Blickschutzfolien ausgestattet.

Blitz- und Überspannungsschutz prüfen. Blitzableiter auf dem Dach, Grobschutz im Gebäudeeingang, Mittelschutz im Stromverteiler, Feinschutz an den Steckdosen kritischer Geräte. Die Schutzwirkung wird regelmäßig geprüft.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.8 typischerweise diese Nachweise:

Aufstellungskonzept — dokumentierte Platzierung kritischer Geräte (→ Physische Sicherheitsrichtlinie im Starter Kit)
Umgebungsmonitoring-Daten — Temperatur- und Feuchtigkeitsprotokolle mit Alarmgrenzen
Blitzschutz-Prüfprotokoll — Nachweis der regelmäßigen Prüfung des Blitzschutzsystems
Rack-Belegungsplan — aktuelle Zuordnung von Geräten zu Rack-Positionen
Inventar mit Standortzuordnung — jedes kritische Gerät mit dokumentiertem Standort

KPI

Anteil der kritischen Geräte mit dokumentierten Aufstellungs- und Schutzmaßnahmen

Gemessen als Prozentsatz: Für wie viele deiner kritischen Geräte (Server, Netzwerkkomponenten, USV, Klimaanlagen) sind Aufstellungsort und Schutzmaßnahmen dokumentiert? Ziel: 100%. Typische Lücke: Netzwerkverteiler in Fluren oder unter Schreibtischen, die nicht im Konzept auftauchen.

Ergänzende KPIs:

Anzahl der Temperaturalarme pro Monat im Serverraum
Anteil der kritischen Geräte mit aktivem Überspannungsschutz
Verfügbarkeit der Klimaanlage in Prozent pro Jahr

BSI IT-Grundschutz

A.7.8 mappt auf Infrastruktur- und System-Bausteine:

INF.2.A5 (Klimatisierung im Rechenzentrum) — Anforderungen an Temperatur, Luftfeuchtigkeit und redundante Klimatisierung im Serverraum.
INF.7.A7 (Geeignete Aufstellung eines Arbeitsplatzrechners) — Bildschirmpositionierung, Diebstahlschutz und Umgebungsbedingungen am Büroarbeitsplatz.
SYS.1.1.A1 (Geeignete Aufstellung von Servern) — Spezifische Anforderungen an die Aufstellung von Servern: Klimatisierung, Zugangsbeschränkung, Überspannungsschutz.
OPS.1.2.2.A3 (Schutz der Geräte) — Physischer Schutz gegen Diebstahl und Manipulation.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.7.8 — Platzierung und Schutz von Geräten und Betriebsmitteln
ISO/IEC 27002:2022 Abschnitt 7.8 — Umsetzungshinweise zur Geräteplatzierung und zum Geräteschutz
BSI IT-Grundschutz, INF.2 — Rechenzentrum sowie Serverraum

Häufig gestellte Fragen

Betrifft A.7.8 nur Serverräume?

Alle Geräte, die Informationen verarbeiten oder speichern, fallen unter A.7.8 — Server, Netzwerkkomponenten, Drucker, Arbeitsplatzrechner, USV-Anlagen. Der Schwerpunkt liegt auf Geräten in besonders schutzbedürftigen Bereichen, aber die Grundsätze gelten überall.

Was bedeutet elektromagnetische Abschirmung?

Empfindliche Geräte können elektromagnetische Signale abstrahlen, die mit Spezialausrüstung aufgefangen und ausgewertet werden können (TEMPEST). Abschirmung durch spezielle Gehäuse oder Raumabschirmung verhindert das. Relevant ist das vor allem für Hochsicherheitsumgebungen — für die meisten Organisationen reicht die Dokumentation, dass das Risiko bewertet wurde.

Muss ich Temperatur und Luftfeuchtigkeit im Serverraum überwachen?

Ja. Temperatur und Luftfeuchtigkeit sind die häufigsten Ursachen für Geräteausfälle im Serverraum. Empfohlene Werte: 18-27 °C, 40-60 % relative Luftfeuchtigkeit. Sensoren mit Alarmierung bei Grenzwertüberschreitung sind Pflicht.

Responsible	Facility Manager
Accountable	ISB / (C)ISO
Consulted	Alle Beschäftigten, Abteilungsleitung, Facility Manager, IT-Leitung, IT-Sicherheitsbeauftragter, Lieferkettenverantwortung
Informed	Alle Beschäftigten, Abteilungsleitung, IT-Admin, Geschäftsführung