ComputerBase Menü
Aktuelles

RZ Schutz - Rechtlichevorgaben ?!

F

Fab

Ensign
Registriert
Sep. 2013
Beiträge
230
Hallo Zusammen,

ich habe auf Arbeit so eine Disskussion. Wir haben zwei Serverräume (Redudante Betrieb). Ich habe aber da so ein Problem was den Zutrittschutz angeht.

Server Raum A: Normale Tür mit Schlüssel, Alarmanlage seit 1,5 jahren defekt (Früher musste man die noch mit extra Schlüsse entschärfen)
Server Raum B: Tür zum Vorraum mit Schlüsse gesichert, zum Serverraum selbst Metaltür und anderer Schlüsseltyp. (Hier gab es noch nie einen zweiten Faktor)

Ich disskutiere jetzt seit Woche mit den Vorgesetzten wegen neuer Absicherung oder Zutrittskontrollsysteme. Gibt es den irgendwelche Vorgaben die der Gesetzgeber macht? Klar große RZ machen das natürlich richtig gut. Aber bei kleineren Firmen nicht umsetztbar. Daher such ich so gesehen den kleinsten Rahmen den ein mögliches Gesetzt oder Verordnung vorschreibt. Um damit die Lage zu verbessern und meine Vorgesetzten endlich zum Handeln zu bekommen.

Hat jemand mehr Infos oder einen Tipp zu eine Lektüre?
 
Das BSI gibt einen IT Grundschutz vor, in der Regel gibt es dazu auch ein Grundschutzkonzept nur wenn dieses Revisionssicher vorliegt seid ihr aus der Haftung. Den worst case hat dein Vorgesetzter gerade, ein Mangel im Grundschutz ist gemeldet und wird nicht abgestellt. Wenn jetzt was passiert ist das grob fahrlässig, weil wider besseren Wissens Nichts unternommen wurde.

Hier passt wunderbar, Melden macht frei und belastet den Vorgesetzten. Aber immer schon dokumentieren, nicht nur auf dem Flur zurufen.
 
  • Gefällt mir
Reaktionen: konkretor und GTrash81
Mir ist nicht bekannt, dass es da abseits der Empfehlungen rechtliche Vorgaben gibt. Einen Überblick gibt Wikipedia.

Das wird in der Regel anders herum aufgezogen. Jemand stellt eine Anforderung zu bestimmten Kriterien und wenn du den Auftrag haben willst, dann musst du nachweisen, dass du das entsprechend umsetzt.
Aber wenn von der eigenen Unternehmensführung kein Wille besteht, wird es eher schwer kostet ja Geld.
Man könnte allerdings mal eine Risiko- und Schadensanalyse machen - das wird normalerweise auch mit einem Geldwert beziffert. In Kombination mit den Möglichkeiten der DSGVO führt das evt. zu einem Einlenken.

Spannend wird es allerdings wenn man unter das Telekommunikationsgesetz fällt.
 
  • Gefällt mir
Reaktionen: GTrash81
Der BSI Grundschutz ist mir bekannt und den habe ich auch mal in meiner Lehrzeit durchgearbeitet. Das habe ich mein Vorgesetzen auch schon so hingeworfen. Der meint aber das wir ja kein RZ Betreiben weil andere Infrastruktur vorgaben auch nicht erfüllt sind und sieht das mehr so als PCraum. Und in jedem Meeting wo ich das Thema anspreche werde ich angefahren mit dem Satz "Zeig mir ein Gesetz wo drin steht ich muss den BSI Grundschutz anwenden. Oder ein anderes Gesetz was sagt das muss ich mindestens tun"
 
Die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

rechtliche Vorgaben. Ich meine nein...eventuell kannst du mit Datenschutz argumentieren falls ihr Kundendaten auf den Geräten habt.

so wie ich das lese sind andere Themen wie ISO oder ähnlich wohl noch weniger argumentierbar :)
Ergänzung ()

@konkretor hat den gleichen Ansatz.
:)
 
GTrash81 schrieb:
Ich habe irgendwie das Gefühl, dass du nach der ganzen Corona-Situation einen neuen Arbeitgeber suchen solltest.......
Zum Vergrößern anklicken....
Das ist zwar ein lieber Tipp, aber jetzt habe ich die Verantwortung mit für die Räume und komme in meiner Argumentation nicht weiter. Und Hardschlüssel helfen mir nicht weiter im Notfall zu bestimmen wer den in dem Raum war. Ich muss davon ausgehen das selbst der Objektschutzdienstleister einen Schlüssel hat und sich Spiegeleier auf den Server machen könnte.

Wir hatten ja schon Besuch von eine Aufsichtseinheit, da gab es dann Mängel die uns auf Papier zugestellt worden sind. Darunter auch die nicht Brandschutzsichere Tür in Serverraum A. Aber der CiO sieht dieses Papier mehr als Empfehlungen an als Handlungsaufträge. Und Empfehlungen kennen wir alle man kann Sie umsetzen oder eben nicht.

Und ich suche irgendwas für meine Argumentationskette mit einem § was ich auf den Tisch werfen kann und danach mein Gewinnertänzchen tanzen kann.
 
Wenn es kein IT Grundschutzkonzept gibt, wird es ein Datenschutzkonzept wohl erst recht nicht geben.

Weitere Tipps sind schwierig, weil wir die Situation vor Ort und die Firma als solches nicht kennen.

Ich kann dir nur sagen wie es bei uns läuft, Empfehlungen des InfSibe oder DSB sind Empfehlungen von denen nur unter besonderen Umständen abgewichen werden darf. Liegen die Gründe nicht vor, ist der Vorgesetzte privatrechtlich haftbar und das wird schnell sehr teuer.
 
  • Gefällt mir
Reaktionen: GTrash81 und minimii
Fab schrieb:
Das ist zwar ein lieber Tipp, aber jetzt habe ich die Verantwortung mit für die Räume und komme in meiner Argumentation nicht weiter.
Zum Vergrößern anklicken....
Wie gesagt , Datenschutz
Das könnte echt ziehen

unabhängig davon ob ihr dafür ein Konzept habt, ist der Datenschutz gesetzlich verankert

und denk bitte dran: wer schreibt der bleibt !
Wenn du die Verantwortung hast , und dringenden Handlungsbedarf anmerkst, dieser aber nicht umgesetzt wird: sichere dich ab so gut es geht :)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: G-Red, konkretor und GTrash81
Sind auf den Servern denn personenbezogene Daten? Dann sprich mit eurem DSB.
 
  • Gefällt mir
Reaktionen: GTrash81
vielleicht auch mal pragmatisch denken. Wenn Du nicht weißt wer die Schlüssel hat ist das ein Argument. Ein neuer Schließzylinder spielt sicherlich preislich auch in einer anderen Liga, als die von dir vorgeschlagene beste Lösung. Aber eventuell ist das ja trotzdem ausreichend? Eine DigiCam an die Tür zu hängen kostet auch nicht Welt (ausser man nimmt die Sahne-Deluxe Version).

Wenn die Firma stillsteht und oder Daten verliert (aufgrund eines unbefugten Zugriffs) ist das schlimm, aber das Risiko dazu muss schon der Unternehmer selbst abwägen. Den Hinweis von Dir hat er ja. Verstehe nicht, warum du dir deshalb so ein Duell antust.

Die Branche und den Unternehmenszweck kenne ich ja nicht - daher mal ganz allgemein gesprochen.
 
  • Gefällt mir
Reaktionen: GTrash81
mathiasla schrieb:
Sind auf den Servern denn personenbezogene Daten? Dann sprich mit eurem DSB.
Zum Vergrößern anklicken....
Es laufen Datenbankserver, VMs deren Inhalt Exchange, AD, SAP uvm sind. Also würd klar mal ja sagen.
pumuck| schrieb:
vielleicht auch mal pragmatisch denken. Wenn Du nicht weißt wer die Schlüssel hat ist das ein Argument. Ein neuer Schließzylinder spielt sicherlich preislich auch in einer anderen Liga, als die von dir vorgeschlagene beste Lösung. Aber eventuell ist das ja trotzdem ausreichend? Eine DigiCam an die Tür zu hängen kostet auch nicht Welt (ausser man nimmt die Sahne-Deluxe Version).
Zum Vergrößern anklicken....
Hardschlüssel helfen mir ja auch nicht weiter die Frage im Notfall zu klären bei einem Vorfall wer war den drin war oder der letzte war

Ich würde mal sagen wir sind in der Ecke der Bildung zu finden, Campus nahe Dienstleistungen sind aber halt eine KdöR.
 
Wie viele verwaltende Personen des/der Server selbst gibt´s denn? Zwar auch nicht das goldene vom Ei aber jeder Serverschrank ist für gewöhnlich abschließbar. Nimmste den Schlüssel halt einfach mit, ist der Raum drumherum erstmal weniger interessant.
 
Moin,

trifft denn die RZ Definition laut BSI auf euch zu?
https://www.bsi.bund.de/DE/Themen/I...934.1_cid500?nn=10137152#doc10095760bodyText2

Dort steht auch drin was zu tun ist, sofern es nur ein Serverraum ist. Es gibt sicherlich noch eine nette Technische Richtlinie zur physischen und baulichen Sicherheit.
Seit ihr in irgendeiner Form Zertifiziert z.B. nach ISO, Qualitätsmanagement oder anderem?

Ansonsten findest du in den IT Grundschutz Basisanforderungen vielleicht was passendes.
https://www.bsi.bund.de/DE/Themen/I...erraum.html?nn=10137152#doc10095760bodyText17

Dort steht nämlich:

Die folgenden Anforderungen MÜSSEN für den Baustein Rechenzentrum sowie Serverraum vorrangig umgesetzt werden:

Grüße
 
Zuletzt bearbeitet:
Minime9191 schrieb:
und denk bitte dran: wer schreibt der bleibt !
Wenn du die Verantwortung hast , und dringenden Handlungsbedarf anmerkst, dieser aber nicht umgesetzt wird: sichere dich ab so gut es geht :)
Zum Vergrößern anklicken....
Ganz genau, die "safe my ass" Strategie ist in diesem Fall ein essentieller Bestandteil dieses Vorhabens. Am besten eine schriftliche Bestättigung des CiO, oder wem auch immer du untergeordnet bist, dass im Falle der Fälle du aus der Sache raus bist.
 
  • Gefällt mir
Reaktionen: konkretor und minimii
Kamera an die Serverraumtür ist aber auch keine gute Idee, damit holt man sich wieder Datenschutzprobleme ins Haus.

Eine Kamera erfordert immer eine Datenschutzfolgeabschätzung und die ist aufwendig und kann am Ende dazu führen, dass die Kamera nicht das Mittel der Wahl für den gewünschten Zweck ist.
 
morcego schrieb:
Wie viele verwaltende Personen des/der Server selbst gibt´s denn? Zwar auch nicht das goldene vom Ei aber jeder Serverschrank ist für gewöhnlich abschließbar. Nimmste den Schlüssel halt einfach mit, ist der Raum drumherum erstmal weniger interessant.
Zum Vergrößern anklicken....
Naja es gibt ein internes Team das sich um Windoof kümmert sprich Clientmanagment und co, damit die Restlichen einheiten wie Buchhaltung, Personalwesen, Leitung arbeiten können. Und dann gibt es ein Team was an den eigentlichen Diensten arbeitet. Wenn ich das hoch Rechne komme ich mit der Führungsebene auf ca. 8 Personen dann mögliche unbekannte Generalschlüssel an Feuerwehrlaufbund oder Gebäudeschutz. Die Racks kann ich leider so oft zusperren wie ich will, die anderen Spielen da einfach nicht mit. Generation 55+

nosti schrieb:
trifft denn die RZ Definition laut BSI auf euch zu?
https://www.bsi.bund.de/DE/Themen/I...934.1_cid500?nn=10137152#doc10095760bodyText2

Dort steht auch drin was zu tun ist, sofern es nur ein Serverraum ist. Es gibt sicherlich noch eine nette Technische Richtlinie zur physischen und baulichen Sicherheit.
Seit ihr in irgendeiner Form Zertifiziert z.B. nach ISO, Qualitätsmanagement oder anderem?
Zum Vergrößern anklicken....

Wir sind nicht nach ISO Zertifiziert oder haben der gleichen da die restliche Infrastruktur sprich das Gebäude, Brandschutz die Stromanbindung und andere Themen schon durchfallen würden.

Ich würde ja einen Raum immer dann als Serverraum definieren so bald dort nur eine Maschine mit Personenbezogenen Daten steht.

Aber mein Vorgesetzer sieht das wie gesagt anders, für RZ brauchts für Ihn die typischen RZ Mermale an der Infrastruktur ansonsten ist es einfach nur ein "Nicht öffentlichter Computerraum"

mathiasla schrieb:
Kamera an die Serverraumtür ist aber auch keine gute Idee, damit holt man sich wieder Datenschutzprobleme ins Haus.

Eine Kamera erfordert immer eine Datenschutzfolgeabschätzung und die ist aufwendig und kann am Ende dazu führen, dass die Kamera nicht das Mittel der Wahl für den gewünschten Zweck ist.
Zum Vergrößern anklicken....

Würde bei mir im selben Verfahrenenden + Freigabe durch den Betriebsrat. Und auf Kameras reagiert mein Vorgesetzer total reizend. Wegen so etwas hat er wohl wo anders gehen müssen ...

G-Red schrieb:
Ganz genau, die "safe my ass" Strategie ist in diesem Fall ein essentieller Bestandteil dieses Vorhabens. Am besten eine schriftliche Bestättigung des CiO, oder wem auch immer du untergeordnet bist, dass im Falle der Fälle du aus der Sache raus bist.
Zum Vergrößern anklicken....

Normal wäre es so, aber unser CiO möchte "politisch" gefallen. Also bloss keine Probleme aufkommen lassen. Und wenn es welche gibt werden diese gut versteckt und Personal gestillt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: minimii
Die Empfehlungen zur Realisierung einer Zugangs,- und Zutrittskontrolle gelten auch für Serverräume. Ihr habt einen redundanten Serverraum, sicherlich eine USV, Klimatisierung und andere Komponenten, welche auf einen professionellen IT-Betrieb schließen lassen. Das ist in meiner Auffssung nicht mit einem „nicht öffentlichen PC Raum„ zu vereinen. Ich denke auch nicht, dass es eine entsprechende Beschreibung beim BSI gibt. Demnach handelt es sich um einen Serverraum, für welchen die Empfehlungen des BSI Grundschutzes angewandt werden können.

Geht da gar kein Weg rein, würde ich eine Aktennotiz schreiben und es dabei belassen. Da du schon mehrfach auf das Problem hingewiesen hast, solltest du dir deine Versuche dokumentieren. Man kann sowas auch gut per Mail machen. Ich hatte mal einen ähnlichen Fall und habe mir dann angewöhnt halbjährlich eine vorgefertigte Mail zu dem Thema an meinen Chef zu senden. So konnte man mir zumindest keine Nachlässigkeit vorwerfen.

Sobald persönliche Befindlichkeiten z.B von Führungskräften da mit rein spielen, musst du nicht versuchen das Thema mit Logik zu erschlagen. Das wird nicht funktioniere...

Grüße
 
  • Gefällt mir
Reaktionen: minimii
nosti schrieb:
Die Empfehlungen zur Realisierung einer Zugangs,- und Zutrittskontrolle gelten auch für Serverräume. Ihr habt einen redundanten Serverraum, sicherlich eine USV, Klimatisierung und andere Komponenten, welche auf einen professionellen IT-Betrieb schließen lassen. Das ist in meiner Auffssung nicht mit einem „nicht öffentlichen PC Raum„ zu vereinen. Ich denke auch nicht, dass es eine entsprechende Beschreibung beim BSI gibt. Demnach handelt es sich um einen Serverraum, für welchen die Empfehlungen des BSI Grundschutzes angewandt werden können.
Zum Vergrößern anklicken....

Deine Aufgezählten Punkte sind alle vorhanden und damit erfüllt. Daher sehe ich das Thema ja auch als Serverraum an und nicht als Spielzimmer.

Ich habe auch das Ministerum den wir als KdöR zugeordnet sind oder bei uns mit in der Aufsicht sitzt angefragt ob es vom "Bundesland" eine aussage gibt oder Vorgabe das sich alle Insititutione des Bundeslands z.b an die Vorgaben oder Empfehlunge des BSI halten müssen oder sollen. Aber darauf habe ich auch keine Antwort bekommen weil der Sachbearbeiter wohl keine Ahnung hat und hat das Thema relativ schnell mit "tun Sie einfach Ihr bestes" beendet hat.

nosti schrieb:
Geht da gar kein Weg rein, würde ich eine Aktennotiz schreiben und es dabei belassen. Da du schon mehrfach auf das Problem hingewiesen hast, solltest du dir deine Versuche dokumentieren. Man kann sowas auch gut per Mail machen. Ich hatte mal einen ähnlichen Fall und habe mir dann angewöhnt halbjährlich eine vorgefertigte Mail zu dem Thema an meinen Chef zu senden. So konnte man mir zumindest keine Nachlässigkeit vorwerfen.

Sobald persönliche Befindlichkeiten z.B von Führungskräften da mit rein spielen, musst du nicht versuchen das Thema mit Logik zu erschlagen. Das wird nicht funktioniere...

Grüße
Zum Vergrößern anklicken....

Akten gibt es keine, diese Theme wird mit aller gewalt in online Meetings gehalten und keine Notizen angelegt. Die Grundeinstellung neben dem Thema das es ja kein RZ ist auch "dafür ist die Infrastrukturabteilung zuständig" die sollen das umsetzen. Aber die sagen ganz klar auch, wenn Sie nicht wissen was wir mindestens gesetzlich benötigen bauen Sie nur ein anderes Schloss ein.

Ich drehe mich eigentlich völlig im Kreis. Aber laut Tätigkeitsbeschreibung bin ich für den Raum verantwortlich und da komme ich auch nicht so einfach raus. Auch bin ich der "Depp" der ständig den Kartonmüll der Generation 55+ mit dem Hinweis an die Kollegen "Brandschutz" aus dem Raum entfernen. Ja ich habe noch einige Kollegen die sagen der Internet Explorer 5 war der beste Browser som vom Sachverstand und Horizont. Und ich habe das gefühle das die mit Ihren alten Ansichten auch höher im kurs stehen bei meinem Vorgesetzten. Der auch Fachlich nicht aus der eigentliche Ecke für die IT-Leitung kommt.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Telekom lehnt unbegründet schneller Leitung(an)schaltung ab! Rechtlicher Diskurs über rechtliche Situation und Möglichkeiten..
2 3
Antworten
48
Aufrufe
2.563
Gravlens
Gravlens
Cheechako
Synology Q&A 2021 Bietet eine Backuplösung wie ein DS220+ einen rechtlichen Schutz dar?
Antworten
7
Aufrufe
644
Cheechako
Cheechako
K
Deutsche Glasfaser schaltet Anschluss nicht - rechtliche Möglichkeiten?
Antworten
17
Aufrufe
22.690
Kharne
K
H
  • Gesperrt
Rechtliche Frage bezüglich Schenkung !
Antworten
1
Aufrufe
1.107
diRAM
diRAM
G
  • Gesperrt
Rechtliche Frage bezüglich Schenkung !
Antworten
1
Aufrufe
1.035
Chefkoch
Chefkoch
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz