Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.6 — Kapazitätsmanagement

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.6 ISO 27001ISO 27002BSI OPS.1.1.1

Freitagnachmittag, Monatsabschluss. Die Buchhaltung startet den Reporting-Lauf, gleichzeitig läuft das Backup, und der Vertrieb importiert eine große Kundenliste. Die Datenbank antwortet nicht mehr, das ERP hängt, der Helpdesk läuft heiß. Ein klassischer Kapazitätsengpass — und genau das Szenario, das A.8.6 durch vorausschauende Planung und Überwachung verhindern soll.

Kapazitätsmanagement klingt nach Infrastrukturthema, ist aber direkt sicherheitsrelevant: Überlastete Systeme werden instabil, Überwachungsmechanismen versagen, und Angreifer nutzen die Unaufmerksamkeit im Chaos.

Was verlangt die Norm?

  • Ressourcen überwachen. IT-Systeme, Personal, Büroflächen und andere Einrichtungen werden hinsichtlich ihrer Kapazität überwacht und an den aktuellen sowie künftigen Bedarf angepasst.
  • Leistung planen. Systemleistung wird aktiv geplant, Spitzenlast-Szenarien werden getestet.
  • Schwellenwerte definieren. Für kritische Ressourcen werden Alarmschwellen definiert, die rechtzeitig vor einem Engpass warnen.
  • Vorausschauend handeln. Besonders bei Ressourcen mit langer Beschaffungszeit (Hardware, Personal) ist frühzeitige Planung erforderlich.
  • Nachfrage steuern. Neben der Kapazitätserweiterung kann auch die Nachfragesteuerung helfen — etwa das Löschen nicht mehr benötigter Daten oder die Optimierung von Prozessen.

In der Praxis

Monitoring-Dashboard aufsetzen. CPU, RAM, Festplatte, Netzwerkbandbreite und Datenbankverbindungen der kritischen Systeme werden in einem Dashboard visualisiert. Tools wie Grafana, Zabbix oder Cloud-native Monitoring-Dienste liefern Echtzeitdaten und historische Trends.

Schwellenwerte und Alarme konfigurieren. Für jede kritische Ressource zwei Schwellenwerte: Warnung (z.B. 75% Auslastung) und Kritisch (z.B. 90% Auslastung). Bei Überschreitung wird automatisch ein Ticket erstellt oder eine Eskalation ausgelöst.

Kapazitätsbericht erstellen. Quartalsweise dokumentieren: aktuelle Auslastung, Trend der letzten Monate, erwartetes Wachstum, geplante Maßnahmen. Dieser Bericht ist ein zentraler Audit-Nachweis und die Grundlage für Budgetentscheidungen.

Lastspitzen testen. Vor erwarteten Spitzenlast-Ereignissen (Jahresabschluss, Black Friday, Systemmigrationen) Lasttests durchführen, um Engpässe frühzeitig zu identifizieren.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.6 typischerweise diese Nachweise:

  • Kapazitätsbericht — quartalsweise Dokumentation der Auslastung und Trends (→ IT-Betriebsrichtlinie im Starter Kit)
  • Monitoring-Dashboard — Screenshot oder Live-Demo der Echtzeitüberwachung
  • Schwellenwert-Konfiguration — Nachweis definierter Warn- und Kritisch-Schwellen
  • Alarm-Historik — Protokoll ausgelöster Alarme und ergriffener Maßnahmen
  • Kapazitätsplanungsdokument — Prognose des zukünftigen Bedarfs

KPI

Anteil der kritischen Systeme mit überwachter Kapazität und definierten Schwellenwerten

Gemessen als Prozentsatz: Wie viele deiner kritischen Systeme werden kontinuierlich überwacht und haben definierte Alarmschwellen? Ziel: 100%.

Ergänzende KPIs:

  • Anzahl der kapazitätsbedingten Ausfälle pro Quartal (Ziel: 0)
  • Mittlere Reaktionszeit auf Kapazitätswarnungen
  • Anteil der Systeme mit dokumentiertem Kapazitätstrend über 12 Monate

BSI IT-Grundschutz

A.8.6 mappt auf BSI-Bausteine für den IT-Betrieb und die Infrastruktur:

  • OPS.1.1.1 (Allgemeiner IT-Betrieb) — verlangt Kapazitätsplanung, Überwachung der Systemauslastung und definierte Eskalationswege bei Engpässen.
  • SYS.1.1 (Allgemeiner Server) — Anforderungen an die Überwachung von Servern, einschließlich Speicher, CPU und Netzwerk.
  • NET.1.1/NET.1.2 (Netzarchitektur und -management) — Kapazitätsüberwachung und -planung für Netzwerkkomponenten.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Beschränkt sich A.8.6 auf IT-Systeme?

Die Kontrolle geht weiter: Sie umfasst IT-Systeme, Personalressourcen, Büroflächen und andere Einrichtungen. In der Praxis liegt der Schwerpunkt auf IT-Kapazitäten (CPU, Speicher, Netzwerk, Storage), aber auch Personalengpässe in der IT-Abteilung gehören dazu.

Wie hängen Kapazitätsmanagement und Verfügbarkeit zusammen?

Kapazitätsengpässe sind eine der häufigsten Ursachen für Verfügbarkeitsprobleme. Wenn der Datenbankserver am Monatsende regelmäßig an seine Grenzen stößt, ist das ein Kapazitätsproblem mit direkten Auswirkungen auf die Verfügbarkeit. A.8.6 ist deshalb eng mit A.8.14 (Redundanz) verknüpft.

Reicht Cloud-Autoscaling als Kapazitätsmanagement?

Autoscaling adressiert die technische Seite, aber die Kontrolle verlangt auch Planung und Überwachung. Du brauchst dokumentierte Schwellenwerte, Alarme bei Überschreitung, Kapazitätsberichte und eine Planung für den zukünftigen Bedarf — auch in der Cloud.