Community Draft

i

INF: Infrastruktur

Umsetzungshinweise zum Baustein INF.4: IT-Verkabelung 1.1 Einleitung

IT-Grundschutz

Die IT-Verkabelung umfasst alle Kommunikationskabel und passiven Komponenten (Rangier- bzw. Spleißverteiler, Patchfelder), die in eigener Hoheit der Institution betrieben werden. Sie ist also die physikalische Grundlage der internen Kommunikationsnetze einer Institution. Die IT-Verkabelung reicht von Übergabepunkten aus einem Fremdnetz (z. B. ISDN-Anschluss eines TK-Anbieters, DSLAnbindung eines Internet-Providers) bis zu den Anschlusspunkten der Netzteilnehmer. Die IT-Verkabelung als Teil der technischen Infrastruktur von Gebäuden und Liegenschaften wird nach der etablierten Betrachtungs- und Vorgehensweise der strukturierten Verkabelung in Primär-, Sekundär- und Tertiärbereich aufgeteilt. Mit Primärbereich wird der Bereich der Kabelführung, der Gebäude miteinander verbindet, bezeichnet. Der Primärbereich überbrückt große Entfernungen mit hohen Übertragungsraten zwischen wenigen Anschlusspunkten. Eine Primärverkabelung in eigener Hoheit haben also nur Instanzen, die größere Liegenschaften mit mehreren Gebäuden betreiben. Wenn nur ein Gebäude zu betrachten ist, stellt der Hauptverteiler im Gebäude logisch den Primärbereich dar. Mit Sekundärbereich wird die Verkabelung zwischen dem Gebäudeverteiler und Verteilern der Etagen oder Gebäudebereichen bezeichnet. Diese Verkabelung ist in vielen größeren Gebäuden anzutreffen. Die Tertiärverkabelung ist die Anbindung der Endgeräte an einen zentralen Verteilpunkt (z. B. in der Etage). Sie ist immer vorhanden. Eine oft betriebene Mischform der strukturierten Verkabelung liegt dann vor, wenn die Anbindung der Endgeräte direkt von einem zentralen Punkt im Serverraum oder einem Raum für technische Infrastruktur (häufig als "Netzwerkraum" oder "TK-Raum" bezeichnet) ausgeführt wird. In diesem Fall besteht die Sekundärverkabelung gegebenenfalls nur aus den Verbindungskabeln zwischen den Switches. Die Tertiärverkabelung reicht vom zentralen Verteilpunkt im Gebäude zu den Anschlussdosen in den Räumen.

1.2 Lebenszyklus Für eine sichere IT-Verkabelung sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Umsetzung bis zum Betrieb und zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt. Dabei ist zu berücksichtigen, dass die Einflussmöglichkeiten in Bezug auf die Absicherung der IT-Verkabelung beim Einzug in ein schon bestehendes Gebäude wesentlich geringer sind als bei der Errichtung eines Neubaus. Planung und Konzeption

CD1, zuletzt aktualisiert: 09.06.2016 , zuletzt geprüft: ???

Seite 1 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

In der Planungsphase werden die Grundlagen für eine leistungsfähige, gut abgesicherte IT-Verkabelung gelegt. Ausgangspunkt ist eine Anforderungsanalyse, mit der der aktuelle Bedarf eingeschätzt wird und ein Ausblick auf kommende Entwicklungen samt Folgenabschätzung für die IT-Verkabelung in der Institution vorgenommen wird (siehe INF.4.M2 Planung der Kabelführung und INF.4.M4 Anforderungsanalyse für die IT-Verkabelung). Auf Grundlage dieser Anforderungsplanung wird die Netzstruktur festgelegt und in das Gebäude eingepasst. Die mechanischen und elektrischen Eigenschaften der Verkabelung werden weitgehend durch die Auswahl der einzusetzenden Kabeltypen festgelegt (siehe INF.4.M1 Auswahl geeigneter Kabeltypen). Bei der Planung sollte nach Möglichkeit auch darauf geachtet werden, dass Leitungen und über das Gebäude verteilte Schaltschränke gegen Missbrauch in geeigneter Weise physisch gesichert werden (siehe INF.4.M13 Materielle Sicherung der IT-Verkabelung und INF.4.M15 Nutzung von Schranksystemen). Umsetzung Ein wesentliches Element des Brandschutzes ist die richtige Installation von Kabelkanälen (siehe INF.4.M3 Fachgerechte Installation), die durch eine fehlende Brandabschottung erhebliche Risiken verursachen können (siehe INF.4.M8 Brandabschottung von Trassen). Beim Einbau der Verkabelung ist auch auf eine ausführliche und korrekte Dokumentation zu achten, da es im Nachhinein ohne eine solche meist sehr schwierig oder sogar unmöglich ist, festzustellen, wo Kabel verlaufen und was sie verbinden (siehe INF.4.M9 Dokumentation und Kennzeichnung der Verkabelung und INF.4.M10 Neutrale Dokumentation in den Verteilern). Für einen störungsfreien Betrieb muss die IT-Verkabelung sachgerecht installiert werden (siehe INF.4.M3Fachgerechte Installation). Vor Inbetriebnahme ist die Installation der IT-Verkabelung abzunehmen und die Qualität der zugehörigen Dokumentation zu prüfen (siehe INF.4.M5 Abnahme der IT-Verkabelung). Betrieb Um das Aufschalten ungenehmigter IT-Geräte zu verhindern, sollten jeweils nur die Verbindungen und Anschlussdosen aktiviert sein, die tatsächlich benötigt werden (siehe INF.4.M13 Materielle Sicherung der ITVerkabelung). Zusätzlich sollte durch regelmäßige Kontrollen sichergestellt werden, dass diese Aktivierung auch den tatsächlichen Erfordernissen entspricht (siehe INF.4.M11 Kontrolle bestehender Verbindungen). Zudem ist sicherzustellen, dass die Dokumentation aktuell gehalten wird (siehe INF.4.M6 Laufende Fortschreibung und Revision der Netzdokumentation). Aussonderung Wenn Komponenten der IT-Verkabelung nicht mehr benötigt werden, müssen sie entfernt werden (siehe INF.4.M7 Entfernen und Deaktivieren nicht mehr benötigter Leitungen). Notfallvorsorge Sofern erhöhte Anforderungen an die Verfügbarkeit gestellt werden, sollte die Verkabelung, gegebenenfalls einschließlich der externen Anschlüsse, so redundant ausgelegt werden, dass ein Schaden an einer einzigen Stelle nicht zu einem Totalausfall aller Teilnehmeranschlüsse führen kann. Dazu sind gegebenenfalls Redundanzen der Verbindung zwischen Gebäuden und innerhalb eines Gebäudes zu schaffen (siehe INF.4.M12 Redundanzen für die Verkabelung).

2 Maßnahmen Im Folgenden sind spezifische Maßnahmen für den Bereich IT-Verkabelung aufgeführt.

2.1 Basismaßnahmen Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

Zuletzt aktualisiert: 09.06.2016

Seite 2 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

INF.4.M1

Auswahl geeigneter Kabeltypen [ISB, Leiter Haustechnik]

Bei der Auswahl von Kabeln sind neben den übertragungstechnischen Notwendigkeiten auch die Umgebungsbedingungen bei der Verlegung sowie im Betrieb zu berücksichtigen. Um diesen unterschiedlichen Anforderungen gerecht zu werden, bieten die Kabelhersteller unterschiedliche Arten von Kabeln am Markt an oder entwickeln entsprechende Lösungen. In Bezug auf den Kabelmantel für Verlegung im Innen- oder Außenbereich müssen folgende Kriterien berücksichtigt werden: •

Temperatur,

•

umgebendes Medium (Wasser, Abwasser, Säure, Gas, Licht),

•

Nagetierschutz, Hieb- und Spatenstichfestigkeit, Steinschlagfestigkeit, Wasserdruckfestigkeit,

•

Funktionserhalt in feuergefährdeten Bereichen,

• spezielle Zugkräfte durch z. B. Freileitungsverwendung. Außerdem sind die vorgesehenen Trassensysteme zu beachten, wie Kabelpritschen, Kabelleiter, Kabelkanäle, Kabelzugrohre, Kabelformsteine, Steigebereiche und Freileitungsbau. Der weitere Kabelaufbau muss folgende Faktoren berücksichtigen: •

Zugkräfte durch maschinelle Verlegung, z. B. Kabelzugwinde, Einblassystem oder Handverlegung,

•

Biegeradius und Querdruckstabilität, entsprechend Verlegeart und Ruhezustand im Betrieb,

•

Feucht- oder Nassbereiche durch Längswasserschutz,

•

spezielle Zugkräfte im verlegten Zustand, die durch große Spann- oder Abfangweiten bei Freileitungen oder extremen Steigungen entstehen,

• starke elektrische und induktive Störfelder durch Kabelschirmung. Die richtige und den Vorschriften gemäße Auswahl von Elektrokabeln und die Beachtung der einschlägigen Normen (DIN VDE 0100 "Bestimmungen für das Errichten von Starkstromanlagen mit Nennspannungen bis 1000 V", DIN 4102 "Brandverhalten von Baustoffen und Bauteilen") und Vorschriften sowie der anerkannten Regeln der Technik stellt die grundlegende Notfallvorsorge der elektrotechnischen Installation dar. Individuelle Anforderungen für die Auswahl von Kabeln dürfen gerade bei Betriebsumgebungen, in denen Umwelteinflüsse oder besondere bauliche Gegebenheiten zu beachten sind, nicht ausschließlich durch die IT selbst definiert werden. Insbesondere Mitarbeiter der Haustechnik, die mit Betriebsabläufen und sonstigen besonderen Bedingungen vertraut sind, müssen zur geplanten Kabelführung, bei der Feststellung der relevanten Einflüsse und damit der besonderen Anforderung an die Ausführung von Kabeln beteiligt werden. Die Auswahl des Kabels aus kommunikationstechnischer Sicht wird bestimmt durch die erforderliche Übertragungsrate (Diese wird auch häufig Bandbreite genannt, was allerdings nicht ganz korrekt ist.) und die Entfernung zwischen den Übertragungseinrichtungen. Zusätzlich zu beachten sind die baulichen Gegebenheiten, d. h. die Trassen und die Umgebungsbedingungen, unter welchen die Kabel verlegt und betrieben werden. Da sich auch diese auf den Kabelaufbau auswirken, sind sie bei der Auswahl ebenso zu berücksichtigen. Vor- und Nachteile werden nachfolgend unter Sicherheitsgesichtspunkten beschrieben. Die heute eingesetzten Übertragungssysteme verwenden für die kabelgebundene Kommunikation elektrische oder optische Schnittstellen. Entsprechend müssen die Kabel als Übertragungsmedium metallene Leiter für die elektrische Übertragung bzw. Kunststoff oder Glas (Lichtwellenleiter, LWL) für die optische Übertragung zur Verfügung stellen. Im Folgenden werden Kupfer- und Lichtwellenleiterkabel näher betrachtet: Zum Beispiel:

Zuletzt aktualisiert: 09.06.2016

Seite 3 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

•

das ungeschirmte U/UTP,

•

das ungeschirmte mit einem Gesamtschirm für alle Aderpaare (F/UTP oder SF/UTP),

•

das geschirmte, bei dem lediglich die einzelnen Aderpaare abgeschirmt sind (U/FTP) - früher auch als Paare in Metallfolie (PiMf) bezeichnet - und

• vorgenannter Aufbau mit einer zusätzlichen Gesamtabschirmung (F/FTP, S/FTP und SF/FTP). Die Normen ordnen Grenzwerte für die Übertragungseigenschaften von Kabeln und Anschlusskomponenten Kategorien und Klassen zu. Die Kategorien beschreiben die Anforderungen und Grenzwerte an die einzelnen Elemente der Verkabelungsinfrastruktur, die Klassen regeln diese für das installierte Gesamtsystem. Die Übertragungseigenschaften für die einzelnen Komponenten sind derzeit in die Kategorien 1 bis 7 eingeteilt. Hierbei gilt, je höher die Kategorie, desto höher ist auch die mögliche Übertragungsbandbreite. Hohe Übertragungsqualitäten lassen sich zuverlässig nur erzielen, wenn eine in sich harmonische Kombination aus Kabel und Anschlusskomponenten (Buchsen und Stecker) gewählt und fachmännisch installiert wurde. Die Geräte "erkennen" keine verlegte Länge, sondern reagieren auf elektrische Signale. Daher sind die elektrischen Grenzwertvorgaben für die Strecken die führende Größe. Gemäß ISO/IEC 11801 beträgt die Maximallänge bei Kupferkabeln 90 m (inklusive Patch- und Anschlusskabel 100 m). Diese Maximallänge kann jedoch überschritten werden, wenn die geforderten elektrischen Übertragungsparameter eingehalten werden. Das TP-Kabel ist durch die Verkabelungsnormen Standard bei der Verkabelung im sogenannten AccessBereich auf der Etage. Dieser Kabeltyp hat folgende Vorteile: •

TP-Kabel, insbesondere deren Konfektion, sind bei geringerem Bandbreitenbedarf im Vergleich zu LWL relativ billig.

•

TP-Kabel lassen sich relativ einfach verlegen und konfektionieren.

•

TP-Kabel können als Universalverkabelung angesehen werden, da andere Dienste ohne größeren technischen Aufwand hierüber genutzt werden können (z. B. Telefonie).

•

Die Installationen können messtechnisch leicht überprüft werden.

•

TP-Kabel ermöglichen die Stromversorgung von Geräten, die nach den Vorgaben der Spezifikation "Power over Ethernet" (PoE) versorgt werden. Dem stehen folgende Nachteile gegenüber: •

Durch die bei der Datenübertragung in den Kabeln fließenden Wechselströme und die im Kabel immer vorhandenen geringen Unsymmetrien in der Verseilung der Adern werden elektromagnetische Felder erzeugt, welche in der Umgebung wahrgenommen werden (Abhörgefahr) und Systeme stören können. Aber auch elektromagnetische Felder der Umgebung können wiederum die Übertragung im Kabel stören. Durch die Verwendung von Schirmen im Kabelaufbau werden diese Effekte minimiert (vergleiche U/UTP bis SF/FTP). Die Angaben zum Mindestabstand zwischen unterschiedlichen Kabeln, Leitungen und Systemen sowie zur Erdung von Schirmen sind zu beachten.

•

Die vorgenannten Effekte wirken auch innerhalb des Kabels. Ungeschirmte Installationskabel (U/UTP) bieten vor dem sogenannten Übersprechen zwischen einzelnen Paaren den geringsten Schutz. Hier wirkt lediglich die Verseilung der einzelnen Adern. Lichtwellenleiter (LWL) Bei der Übertragung von Signalen in Lichtwellenleitern wird Licht vom sichtbaren bis stark infraroten Bereich verwendet. Zur Erzeugung dieses Lichts werden Dioden oder Laser eingesetzt. Diese wandeln das elektrische Signal in Lichtmoden unterschiedlicher Richtungen bzw. unterschiedlich starker Bündelung. Der Lichtwellenleiter, auch Faser genannt, besteht aus dem zur Übertragung verwendeten Kern- und einem umgebenden Mantelmaterial. Die Materialien unterscheiden sich in der sogenannten Brechzahl. Zuletzt aktualisiert: 09.06.2016

Seite 4 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Die Verkabelungsstandards der IEEE 802.3 Reihe definieren für Multimode-LWL die Kategorien OM-1, OM-2, OM-3 und OM-4. Gegenstand dieser Spezifikationen sind Lichtwellenleiter mit Gradientenprofil der Brechzahl und einem Kern/Mantel-Nenndurchmesser von 50/125 oder 62,5/125 Mikrometern. Der Kern/Mantel-Nenndurchmesser von Singlemode-LWL beträgt 9/125 Mikrometer. Während sich in Multimodefasern mehrere Lichtmoden eines Signals einkoppeln, koppelt sich in Singlemodefasern aufgrund des geringen Kerndurchmessers nur eine Lichtmode ein. Dadurch unterscheiden sich die Fasertypen in den möglichen Bandbreiten und den maximalen Längen, die ohne zusätzliche Verstärker erreicht werden können. Die Fasertypen können bei der Verbindung von Systemen in einigen Fällen nicht gemischt werden. Eingesetzt werden Lichtwellenleiter unter anderem in folgenden Bereichen: •

bei der Überbrückung großer Entfernungen in Weitverkehrsnetzen (Wide Area Network, WAN),

•

in Stadtnetzen (Metropolitan Area Network, MAN),

•

in Unternehmensnetzen (Local Area Network, LAN) für die Verbindungen zwischen den Gebäuden und in die Etagen,

•

in Bereichen mit hohen elektromagnetischen Störstrahlungen sowie

•

in Speichernetzen (Storage Area Network, SAN) in Rechenzentren zur Verbindung der Systeme zur Übertragung höchster Datenraten. Entscheidend für die Qualität der Verbindungen ist auch die Auswahl der Steckverbinder für die Glasfaserinfrastruktur. Die Verwendung von Lichtwellenleitern bietet folgende Vorteile: •

LWL erlauben hohe Bandbreiten in Verbindung mit großen überbrückbaren Entfernungen im Vergleich zu Kupferkabeln.

•

LWL sind unempfindlich gegenüber elektromagnetischen Feldern.

•

Es entstehen keinerlei Übersprecheffekte wie bei elektrischen Leitern.

•

LWL bieten eine potentialfreie Verbindung zwischen den Endstellen der Verkabelung.

•

Ein Abhören ist nur mit hohem technischen Aufwand möglich.

•

Kabel mit hohen Faserzahlen können kompakter gebaut werden als vergleichbare Kupferkabel bei deutlich geringerem Gewicht.

•

Die Brandlast ist bei LWL im Vergleich zu Kupferkabeln geringer. Die Gründe hierfür sind die im Vergleich geringere erforderliche Menge an Material, der Materialmix im Kabelaufbau und die möglichen hohen Faserzahlen ohne die Bauform massiv zu vergrößern. Der Einsatz von Lichtwellenleitern ist jedoch mit folgenden Nachteilen verbunden: •

Der Installationspreis für LWL liegt vor allem durch die notwendigen Spleißarbeiten höher als bei Kupferkabeln.

•

Die Koppel-Komponenten zum Betrieb von LWL, insbesondere für Singlemode-LWL, sind teurer als solche für Kupferkabel.

•

Die LAN-Anbindung über TP-Kabel wird von gängigen Arbeitsplatz-Computern in der Grundausstattung meist besser unterstützt als über LWL. Arbeitsplatz-Clients werden derzeit meist über Kupferkabel an das LAN angeschlossen. Zu beachten ist, dass hier die jeweilige maximale Länge genannt ist. Diese setzt sich häufig aus dem eigentlichen Installationskabel und den Anschlusskabeln (Patchkabeln) zusammen. Für 1000Base-T sollte also z. B. die Länge des Installationskabels 90 m nicht überschreiten, um genügend Längenspielraum für Patchkabel zu haben.

Zuletzt aktualisiert: 09.06.2016

Seite 5 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Zusammenfassung Im WAN und MAN sind LWL-Verkabelungen mit Singlemode-Fasern Standard. In der LAN-Verkabelung sind diese Fasern heute zwischen den Gebäuden und bei weiter entfernten Etagenverteilern aufgrund der Längeneinschränkungen von 10 Gigabit Ethernet unbedingt zu empfehlen. Der Einsatz von LWL bis zum Arbeitsplatz und damit der Wegfall der Kupferverkabelung auf der Etage kann nur in einer Gesamtbetrachtung bewertet werden. Für den Einsatz von LWL sprechen: •

die günstigere Brandlastsituation,

•

die bessere Abhörsicherheit von LWL,

•

EMV-Neutralität,

•

mögliche Einsparungen im Trassenbau,

•

Flächeneinsparungen durch die geringere Zahl erforderlicher Verteilerräume und damit Einsparungen in der Elektroverkabelung für die Verteilerräume,

• Vereinfachungen im USV- und Erdungskonzept. Gegen LWL sprechen andererseits: •

die höheren Kosten für Schnittstellenkarten in den Endgeräten und in den Netzkomponenten,

•

die meist weiter bestehende Notwendigkeit einer Telefonverkabelung über Kupferkabel,

•

mögliche Einschränkungen für die Umsetzung von Power-over-Ethernet für IP-Telefonie oder auch für den Anschluss von Access-Points im WLAN. Für Neuinstallationen wie auch bei Modernisierungen ist es daher zu empfehlen, mit einem Fachplaner die Anforderungen aus technischer, sicherheitstechnischer und wirtschaftlicher Sicht zu erarbeiten und auszuwerten. Twisted-Pair-Kabel Bei Kupferkabeln für die IT wird ein symmetrischer Kabelaufbau verwendet. Bei diesem Kabelaufbau werden jeweils zwei Adern miteinander zu einem Paar verdrallt und vier dieser Paare zu einem Kabel (Twisted-Pair-Kabel, TP) miteinander verseilt. Der Durchmesser der Adern, deren Isoliermaterial inklusive der Farbstoffe, die Art der Verseilung und Abschirmung dieser Paare unterscheidet die Kabel hinsichtlich ihrer möglichen Bandbreite und ihrer Störunempfindlichkeit. Für eine einheitliche Bezeichnung der Kabeltypen schlägt die ISO/IEC 11801 "Informationstechnik - Anwendungsneutrale Standortverkabelung" in der 2. Ausgabe eine Vereinheitlichung der Typenbezeichnungen vor, welche die Konstruktionselemente von außen nach innen gelesen eindeutig bestimmt. Diese ist nach dem Schema XX/YTP aufgebaut. XX gibt hier den Gesamtschirm des Kabels an. Mögliche Typen wären U (ungeschirmt), F (Folienschirm) und SF (Schirm aus Geflecht und Folie). Y definiert den Einzelschirm mit den Möglichkeiten U und F. TP steht in jedem Fall für Twisted Pair Kabel.

INF.4.M2

Ausreichende Dimensionierung [Leiter Haustechnik]

Kabeltrassen (z. B. Fußbodenkanäle, Fensterbank-Kanäle, Pritschen, Rohrtrassen im Außenbereich) sind ausreichend zu dimensionieren. Es muss einerseits genügend Platz vorhanden sein, um eventuell notwendige Erweiterungen des Netzes vornehmen zu können. Andererseits sind zur Verhinderung des Übersprechens (gegenseitige Beeinflussung von Kabeln) eventuell Mindestabstände zwischen den Kabeln einzuhalten. Insbesondere ist bei der Nutzung von gemeinsamen Trassen für Energie- und IT-Verkabelung sicherzustellen, dass die Trassen durch einen Mittelsteg getrennt sind. Schon durch eine einfache getrennte Führung von Stromkabeln und IT-Kabeln lassen sich Störungen der IT meist vermeiden. Ist es nicht möglich, Trassen mit ausreichenden Reserven zu errichten, sollte zumindest darauf geachtet werden, dass im Bereich der Trassenführung genügend Platz ist, um Erweiterungen unterzubringen. Werden

Zuletzt aktualisiert: 09.06.2016

Seite 6 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Wand- und Deckendurchbrüche in hinreichender Größe ausgelegt, kann auf spätere lärm-, schmutz- und kostenintensive Arbeiten verzichtet werden. Bei Verwendung von nachinstallationsfähigen Brandschotten können Durchbrüche so gerüstet werden, dass der Schutz vor Feuer und Verrauchung stets gewährleistet ist, zugleich die Nachführung von Kabeln aber jederzeit problemlos möglich bleibt. Zu beachten ist, dass Durchbrüche durch Wände mit einer Feuerwiderstandsklasse nur zu 60 % belegt werden dürfen, um eine wirksame Schottung dieser Öffnungen erreichen zu können. Gegebenenfalls sollten für spätere Erweiterungen bei der Errichtung Durchbrüche vorgesehen und diese vorerst mittels Weichschott oder Brandschutzkissen verschlossen werden. Wichtig ist, dass die Trassendimensionierung immer im Zusammenhang mit der Auswahl der Kabeltypen geplant werden muss. Beispielsweise kann durch Verwendung einiger vieladriger Kabel gegenüber vielen kleinen Kabeln Platz eingespart werden. Durch den Einsatz von geschirmten Kabeln oder Lichtwellenleitern kann Übersprechen verhindert werden. So kann auch auf Trassenwegen mit wenig Platz ein störungsfreier Betrieb gewährleistet werden. Bei der Planung von Kabeltrassen ist darauf zu achten, dass erkennbare Gefahrenquellen umgangen werden. Grundsätzlich sollten Trassen nur in den Bereichen verlegt werden, die ausschließlich innerhalb der Räumlichkeiten einer Institution zugänglich sind. Ein übersichtlicher Aufbau der Trassen erleichtert die Kontrolle. Trassen und einzelne Kabel sollten immer so verlegt werden, dass sie vor direkten Beschädigungen durch Personen, Fahrzeuge und Maschinen geschützt sind. Der Standort von Geräten sollte so gewählt werden, dass die daran angeschlossenen Kabel nicht im Laufoder Fahrbereich liegen. Ist dies nicht zu vermeiden, sind die Kabel den zu erwartenden Belastungen entsprechend durch geeignete Kanalsysteme zu schützen. Grundsätzlich ist bei Geräteanschlussleitungen auf eine ausreichende Zugentlastung der Kabel in den Steckern zu achten. Bisweilen kann es sinnvoll sein, auf die vorgesehene Verschraubung von Steckern zu verzichten. Bei überhöhter Zugbelastung werden dann nur Steckverbindungen auseinander gerissen und nicht die Stecker-Kabel- oder Stecker-Geräte-Verlötung. Tiefgaragen stellen ein großes Problem für eine schadensmindernde Kabelführung dar. Durch die Sicherheitsschaltungen und die langen Offenzeiten von Einfahrtstoren ist der Zutritt von Fremdpersonen zu Tiefgaragen nie auszuschließen. Durch die in der Regel geringen Deckenhöhen ist es mit einfachen Mitteln möglich, sich Zugriff zu dort verlaufenden Trassen zu verschaffen. Durch Trassen im Fahrbereich kann die zulässige Fahrzeughöhe unterschritten werden. Beschädigungen oder Zerstörungen der Trassen und Kabel durch zu hohe Fahrzeuge sind dann nicht auszuschließen. Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten, dass Kabel nicht in Fußboden-, Decken- oder Wandkanälen durch deren Bereiche führen. Alle Kanalsysteme sind gegenüber den fremdgenutzten Bereichen mechanisch fest zu verschließen. Besser ist es, sie an den Bereichsgrenzen enden zu lassen. Durch Bereiche mit hoher Brandgefahr sollten möglichst keine Kabel verlegt werden. Ist dies nicht möglich und ist der Funktionserhalt aller auf der Trasse liegenden Kabel erforderlich, ist der entsprechende Trassenbereich mit Brandabschottung zu versehen. Ist der Funktionserhalt nur für einzelne Kabel erforderlich, sollte dafür ein entsprechendes Kabel und die dazu gehörige Befestigung gewählt werden. Ein Funktionserhalt-Kabel kann nie allein die geforderte Funktion erfüllen. Die Kabelanlage ist als Ganzes zu betrachten, dazu gehört auch die Befestigung, wie Trassen, Schellen oder Rohre. Ebenso wichtig ist, dass die Kabelanlage nicht durch darüber befindliche Teile ohne Funktionserhalt zerstört werden kann, wenn diese im Brandfall herabfallen. In Produktionsbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu rechnen. Auch diese sind bei der Trassen- und Kabelverlegung zu berücksichtigen. Für den Schutz der Kabel gilt sinngemäß das gleiche wie bei der Brandabschottung. Bei Erdtrassen ist ca. 10 cm über der Trasse ein Warnband zu verlegen. Bei einzelnen Kabeln (ohne Rohr) ist Zuletzt aktualisiert: 09.06.2016

Seite 7 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

der Einbau von Kabelabdeckungen sinnvoll. Leitungen müssen so verlegt sein, dass ein Sturm sie nicht bewegen kann. Beispielsweise sollte dafür Sorge getragen werden, dass Leitungen auf freien Dachflächen mindestens alle 5 m angemessen befestigt sind. Hierbei sollte berücksichtigt werden, dass bei einem Sturm starke Kräfte auf die Kabel oder Kabelstränge wirken können. Außerdem müssen Leitungen geschützt gegen mechanische Beschädigungen verlegt werden, da Gegenstände darauf fallen könnten. Leitungen auf Dachflächen oder in Bereichen, die mit Lamellenwänden verkleidet sind, sollten daher immer in Schutzrohren verlegt sein.

INF.4.M3

Fachgerechte Installation [Leiter Haustechnik]

Die Installationsarbeiten der IT-Verkabelung erfordern besondere Fachkunde und Sorgfalt. Sofern Hersteller von Kabeln und passiven Komponenten Gewährleistungen anbieten, die über gesetzliche Mindestgrenzen hinaus gehen, erfolgt dies oft nur unter der Voraussetzung, dass ein Unternehmen mit bestätigter Qualifikation die Installation vornimmt. Die entscheidenden Kriterien für eine fachgerechte Ausführung der IT-Verkabelung sollten vom Auftraggeber in allen Phasen überprüft werden. Zunächst ist bei Anlieferung des Materials zu prüfen, ob die richtigen Kabel und Anschlusskomponenten geliefert wurden. Zueinander passende Kategorien von Kabeln und Anschlusskomponenten (z. B. Schirmung) sind dabei der erste Prüfschritt. Wenn die gelieferten Kabel und zugehöriges Material nicht unmittelbar eingebaut werden, so ist eine angemessene Lagerung sicherzustellen. Der Lagerort muss trocken und vor starken klimatischen Einflüssen geschützt sein. Es wird empfohlen, das eingelagerte Material in der Originalverpackung zu belassen, bis es installiert wird. Bei der Verlegung von IT-Kabeln sollte besondere Sorgfalt darauf gelegt werden, dass die Montage keine Beschädigungen hervorruft und dass die Kabelwege so gewählt sind, dass Beschädigungen der verlegten Kabel durch die normale Nutzung des Gebäudes ausgeschlossen sind. Zudem ist generell darauf zu achten, dass IT-Kabel getrennt von der elektrotechnischen Verkabelung geführt werden. Schon Trennstege auf gemeinsam genutzten Trassen helfen meist, Beeinflussungen des IT-Kabels durch Stromkabel zu verhindern. Bei der Verlegung müssen schützende Maßnahmen und Belastungsgrenzen beachtet werden: •

Vor der Verlegung müssen Mauerdurchbrüche und vergleichbare Durchgänge entgratet und gerundet werden, um beim Einziehen und Befestigen eine mechanische Beschädigung der Kabelummantelung zu vermeiden.

•

Der Mindest-Biegeradius für Verlegung und Betrieb darf nicht unterschritten werden. Falls dieser nicht auf dem Kabel vermerkt ist, gilt nach EN 50173, dass der geringst zulässige Biegeradius nicht kleiner als der 8-fache Außendurchmesser des Kabels sein darf. Entsprechend ist sicherzustellen, dass Biegungen in Kabelkanälen und Kabeltrassen den zulässigen Biegeradien entsprechen.

•

Gegebenenfalls gibt der Hersteller in Datenblätter zu den Kabeln typspezifisch zwei Biegeradien an: der angegebene Biegeradius mit dem größeren Wert gilt als maximale Biegebelastung für das Einziehen der Kabel. Der kleinere Wert gilt für das fertig verlegte Kabel.

•

Ebenfalls ist dem Datenblatt die maximale Zugbelastung des Kabeltyps zu entnehmen.

•

Beim Kabeleinzug dürfen nur geeignete Schmiermittel als Einzugshilfe verwendet werden. Generell sind öl- und fettfreie Schmiermittel (z. B. Talkum) einzusetzen.

•

Bei der Befestigung der Kabel auf Kabeltrassen mit Kabelbindern oder Kabelschellen dürfen die Kabel keinesfalls gequetscht werden. Kabel sollten unter Putz, in Kabelkanälen oder auf Kabeltrassen verlegt werden. Die offene Verlegung von Kabeln ist durchaus zulässig, es ist aber sicherzustellen, dass keine Beschädigung des Kabels etwa durch Zuletzt aktualisiert: 09.06.2016

Seite 8 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Überfahren von Kabeln mit Büromöbeln oder Transportgeräten auftreten kann. Unter dem Begriff "Anwendungsneutrale Kommunikationskabelanlagen" wurde 1995 erstmalig eine Norm veröffentlicht, welche Topologie und Klassifizierung von Übertragungsstrecken mit definierten Eigenschaften sowie eine einheitliche Schnittstelle zum Anschluss der Endgeräte beschreibt. Diese Vorgaben gelten nicht nur für den Einsatz in Bürogebäuden, sondern lassen sich auch auf andere Anwendungsgebiete übertragen. Unter der Verantwortung des Europäischen Komitees für Elektrotechnische Normung (CENELEC) werden die Normen überwacht, mit den Internationalen Gremien (ISO/IEC) abgestimmt und bei Bedarf weiterentwickelt und verfeinert. Die Normen unterstützen die Anwender in den Phasen der Gebäudeplanung, des Verkabelungsentwurfs, der Planung, der Realisierung und des Betriebs von Kommunikationskabelanlagen. Neben der EN 50173-1 - Anwendungsneutrale Kommunikationskabelanlagen, Allgemeine Anforderungen sowie der Teile 2 Bürogebäude, 3 Industriell genutzte Gebäude, 4 Wohneinheiten und 5 Rechenzentren gibt es weitere Normen, die in der Planung und Ausführung der IT-Verkabelung Anwendung finden. Übertragen auf den Lebenszyklus bei der IT-Verkabelung lassen sich Normen wie folgt zuordnen: Gebäudeplanung •

EN 50310 - Anwendung von Maßnahmen für Erdung und Potentialausgleich in Gebäuden mit Einrichtungen der Informationstechnik 5.2: Gemeinsame Potentialausgleichsanlage (CBN) in einem Gebäude 6.3: AC-Verteilung und Anschluss des Schutzleiters (TN-S) Verkabelungsentwurf •

EN 50173-1 - Anwendungsneutrale Kommunikationskabelanlagen, Allgemeine Anforderungen und Bürobereiche 4: Topologie 5: Leistungsvermögen der Übertragungsstrecken 7: Anforderungen an Kabel 8: Anforderungen an Verbindungstechnik 9: Anforderungen an Schnüre A.1: Grenzwerte für Strecken Planung •

EN 50174-1 - Installation von Kommunikationsverkabelung, Spezifikation und Qualitätssicherung 4: Betrachtungen zu Festlegungen 5: Qualitätssicherung 7: Verwaltung der Verkabelung

•

EN 50174-2 - Installation von Kommunikationsverkabelung, Installationsplanung und -praktiken in Gebäuden 4: Sicherheitsanforderungen 5: Allgemeine Festlegungen für die Verlegung von metallener Verkabelung und Lichtwellenleiterverkabelung 6: Zusätzliche Festlegungen für die Verlegung metallener Verkabelung 7: Zusätzliche Festlegungen für die Verlegung von Lichtwellenleiterverkabelung

•

EN 50174-3 - Installation von Kommunikationsverkabelung, Installationsplanung und -praktiken im Freien

•

EN 50310 - Anwendung von Maßnahmen für Erdung und Potentialausgleich in Gebäuden mit Einrichtungen der Informationstechnik 5.2: Gemeinsame Potentialausgleichsanlage (CBN) in einem Gebäude

Zuletzt aktualisiert: 09.06.2016

Seite 9 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

6.3: AC-Verteilung und Anschluss des Schutzleiters (TN-S) Realisierung •

EN 50174-1 - Installation von Kommunikationsverkabelung, Spezifikation und Qualitätssicherung 6: Dokumentation 7: Verwaltung der Verkabelung

•

EN 50174-2 - Installation von Kommunikationsverkabelung, Installationsplanung und -praktiken in Gebäuden 4: Sicherheitsanforderungen 5: Allgemeine Festlegungen für die Verlegung von metallener Verkabelung und Lichtwellenleiterverkabelung 6: Zusätzliche Festlegungen für die Verlegung metallener Verkabelung 7: Zusätzliche Festlegungen für die Verlegung von Lichtwellenleiterverkabelung

•

EN 50174-3 - Installation von Kommunikationsverkabelung, Installationsplanung und -praktiken im Freien

•

EN 50310 - Anwendung von Maßnahmen für Erdung und Potentialausgleich in Gebäuden mit Einrichtungen der Informationstechnik 5.2: Gemeinsame Potentialausgleichsanlage (CBN) in einem Gebäude 6.3: AC-Verteilung und Anschluss des Schutzleiters (TN-S)

•

EN 50346 - Installation von Verkabelung, Prüfen installierter Verkabelung 4: Allgemeine Anforderungen 5: Prüfparameter für symmetrische Verkabelung 6: Prüfparameter für Lichtwellenleiterverkabelung Betrieb •

EN 50174-1 - Installation von Kommunikationsverkabelung, Spezifikation und Qualitätssicherung 5: Qualitätssicherung 7: Verwaltung der Verkabelung 8: Instandsetzung und Instandhaltung

INF.4.M4 Brandabschottung von Trassen [Leiter Haustechnik, Brandschutzbeauftragter] Elektroleitungen und IT-Verkabelung werden typischerweise in Installationstrassen konzentriert. Es ist oft festzustellen, dass Trassen entlang von Flucht- und Rettungswegen, durch Tiefgaragen, Lager, Werkstätten oder als Transittrassen durch fremde Nutzungsbereiche führen. Bei Gebäuden mit mehreren Brandabschnitten unterliegt die Ausführung von Elektroleitungen und der ITVerkabelung brandschutztechnischen Auflagen. Dies betrifft insbesondere Leitungen, die Brandabschnitte, Wände oder Decken durchqueren oder die in Verkehrswegen verlegt wurden. Speziell wenn die Trassen für Brandmelde-, Alarmierungs-, Löschtechnik oder Sicherheitsbeleuchtung genutzt werden, sind zusätzliche Forderungen nach Funktionserhalt von Elektroleitungen im Brandfall einzuhalten. Daher sollte bei der Planung der Trassen in jedem Fall der Brandschutzbeauftragte hinzugezogen werden. Trassen müssen sowohl Brandschutz als auch Schutz gegen Sabotage bieten. Beides lässt sich durch eine fachgerechte Schottung der Trassen erreichen. Wenn Elektrokabel in erheblicher Packungsdichte im brandschutztechnisch abgetrennten Kabelkanal geführt sind, können größere Temperaturerhöhungen entstehen. Dies kann ein Ansteigen des elektrischen Leitungswiderstandes mit zusätzlicher Erwärmung nach sich ziehen. Abhilfe lässt sich entweder durch eine Leitungsreduktion oder durch eine ausreichende Be- und Entlüftung erreichen. Daher sind die Vorgaben in DIN VDE 0100-520 "Errichten von Niederspannungsanlagen - Teil 5: Auswahl und Errichtung elektrischer Betriebsmittel - Kapitel 52: Kabel- und Leitungsanlagen" als deutsche Fassung der IEC 60364-5-52 in Abhängigkeit der Verlegeart zu beachten. Dies liegt im Verantwortungsbereich des Elektrofachplaners.

Zuletzt aktualisiert: 09.06.2016

Seite 10 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Die marktüblichen Be- und Entlüftungsmethoden bzw. -techniken z. B. durch Lüftungsbausteine haben den Nachteil, dass sie keinen ausreichenden Schutz vor Sabotagehandlungen bieten. Das bedeutet, dass Leitungen mit hohem oder sehr hohem Schutzbedarf, die durch ungeschützte Bereiche führen, wie z. B. eine Tiefgarage, in dieser Ausführung kaum gegen deliktische Handlungen geschützt sind. Hier sind individuelle Planungsmaßnahmen gefordert. Das kann die ausreichende Dimensionierung des Kanals sein, die eine Belüftung des Kanals im gefährdeten Bereich unnötig macht, oder ein spezielles Belüftungskonzept, das auf die spezifischen Sicherungsanforderungen ausgerichtet ist. Durchbrüche sind nach Verlegung der Leitungen entsprechend der Feuerwiderstandsklasse der Wand bzw. Decke zu schotten. Um die Nachinstallation zu erleichtern, können geeignete Materialien wie Weichschotts oder Brandschutzkissen bei Maßnahmen mit temporärem Charakter verwendet werden. Entsprechende Normen und Richtlinien, wie die DIN 4102 "Brandverhalten von Baustoffen und Bauteilen", sind zu beachten. Kabeltrassen dehnen sich bei Erwärmung z. B. durch Brandeinwirkung aus und können ein Weichoder Kissenschott zerstören, wenn sie durch Wände geführt werden. Daher sollten Trassen nicht durch das Schott hindurch geführt werden, sondern beidseitig mindestens 10 cm vor der Wand enden. Diese Praxis erleichtert auch das Ausfächern der Kabel und Leitungen, die nicht als Bündel, sondern einzeln durch das Schott geführt werden müssen. Häufig werden in einer Trasse unterschiedliche Kabel, z. B. für Telefon, LAN und Haustechnik, geführt. Falls Änderungen der Verkabelung anstehen, sollte bereits in der Planungsphase geklärt werden, ob in absehbarer Zeit auch andere Kabelsysteme ausgewechselt werden sollen. Eine entsprechende Zusammenlegung von Projekten minimiert Ausfallzeiten und erspart zusätzliche Kosten für eine mehrmalige Brandschottung. Ist die geplante Trassenführung gemäß den brandschutztechnischen Auflagen nicht möglich, so ist eine alternative Trassenführung zu prüfen. Darüber hinaus sollten nach Abschluss der Installationsarbeiten die Brandabschottung in regelmäßigen Abständen, beispielsweise jährlich, kontrolliert werden.

2.2 Standardmaßnahmen Gemeinsam mit den Basismaßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich IT-Verkabelung.

INF.4.M5

Anforderungsanalyse für die IT-Verkabelung

Bei der Analyse der Anforderungen, die Einfluss auf eine zukunftssichere, bedarfsgerechte und wirtschaftliche Ausführung der IT-Verkabelung haben, müssen verschiedene Fragestellungen bearbeitet werden. Die meistens im Vordergrund stehende Frage ist die nach dem erforderlichen Daten-Durchsatz. In ihr wird zunächst die kurzfristig geplante Nutzung durch die Anwender in der Institution und darauf aufbauend die längerfristige Entwicklung der IT-Nutzung abgeschätzt. Zwei Entwicklungen sind dabei zu berücksichtigen: Zum einen wird Bandbreite stetig billiger. Die Folge ist, dass Dienste, die von Dritten angeboten und von diesen bezogen werden, immer höhere Anforderungen an die Kapazität der IT-Verkabelung stellen. Nach den IT-typischen Diensten wie E-Mail und WWW werden nun auch Sprach- und Bildübertragung bis hin zum digitalen Fernsehen zum Inhalt von IT-Netzdiensten. Der damit steigende Bedarf an Bandbreite muss bei der Auswahl der Qualität der IT-Verkabelung berücksichtigt werden. Zum zweiten wird das IT-Netz zum Träger für immer weitere Anwendungen. Alle Anwendungen, die die Protokolle und Standards der IT-Welt nutzen können, werden sie voraussichtlich auch einsetzen. Das bedeutet, dass ein IT-Netz und damit die IT-Verkabelung zukünftig nicht mehr nur als Träger der Kommunikation zwischen Rechnern dient. Auch die Telefonie und Anwendungen, die bislang auf eigene, anwendungsspezifische Netztechnik angewiesen sind, werden zur Nutzung einheitlicher IT-Technik weiterentwickelt. Diese absehbaren Entwicklungen haben zur Folge, dass die Anzahl der Anschlüsse

Zuletzt aktualisiert: 09.06.2016

Seite 11 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

entsprechend zu planen ist und dass kein Teil eines Gebäudes mehr bei der Planung einer IT-Verkabelung ausgespart werden kann. Zudem ist die interne Verkabelung eines Gebäudes flexibel und erweiterbar auszulegen, weil eine Nutzungsänderung von Räumen oder Gebäudeteilen zugleich auch eine Änderung der Anforderungen an den Netzanschluss darstellen wird. Trotz Vereinheitlichung der Technik ist es in einigen Fällen erforderlich, unterschiedliche oder separate Kabel für bestimmte Anwendungen einzuplanen. Gerade in besonders sicherheitsbedürftigen Anwendungsbereichen, wie Alarm gebender Technik oder bei der Steuerung von Maschinen und Anlagen, wird es angemessen oder sogar nötig sein, eigene Kabel und Vermittlungstechnik für solche Anwendungen zu verwenden. Besitzen die Anwendungsbereiche einen unterschiedlichen Schutzbedarf und können diese nicht auf einem anderen Weg geschützt werden (z. B. mit VPNs), sollte generell eine Trennung erfolgen. Verfügbarkeit Das Schutzziel Verfügbarkeit wird zunächst durch eine sorgfältig Planung und Ausführung der Kabeltrassen verfolgt. Wenn die Anforderungen der Nutzer so weit gehen, dass auch bei umfassenderen Vorfällen die Anbindung und die Netzinfrastruktur des Gebäudes nutzbar bleiben muss, so muss dies durch eine durchdachte redundante Trassenführung angestrebt werden. Integrität Um die Integrität der transportierten Daten sicherzustellen, ist die Abschirmung gegen äußere Einflüsse das oberste Gebot. Das bedeutet vor allem, dass die IT-Verkabelung getrennt von der elektrotechnischen Verkabelung zu führen ist. Zudem ist zu bestimmen, welche Kabeltypen für die Einsatzanforderungen angemessen sind. Vertraulichkeit Wenn Vertraulichkeit der transportierten Daten, also Abhörsicherheit des Kabels, ein wesentlicher Aspekt ist, sind Lichtwellenleiter (LWL) die erste Wahl. Sie erfordern weitaus mehr technischen Aufwand für den potentiellen Lauscher an der Leitung als alle Kupfer-basierten Lösungen. Wichtiger noch ist der Schutz von Verteilern und Anschlussdosen, um zu verhindern, dass normale IT-Geräte für Abhörversuche an das lokale Netz angeschlossen werden können. Das gilt natürlich auch für eine LWLVerkabelung. In vielen Fällen kann die Vertraulichkeit und Integrität der transportierten Daten alternativ oder ergänzend mit Hilfe von kryptographischen Verfahren geschützt werden, sofern die angeschlossenen Endgeräte und die genutzten Übertragungsprotokolle dies unterstützen. Zum Schutz der Verfügbarkeit tragen kryptographische Verfahren hingegen nur in Spezialfällen bei. Weitere Anforderungen Es ist zu beachten, dass auch die Energieversorgung von aktiven Komponenten, wie IP-Telefone oder WLAN-Access Points, durch die IT-Verkabelung stattfinden kann oder soll. Wo der Anschluss solcher Geräte zu planen ist, wird Kupferverkabelung obligatorisch, weil die Stromversorgung nur über Kupferkabel möglich ist.

INF.4.M6

Abnahme der IT-Verkabelung [Leiter Haustechnik, ISB]

Die IT-Verkabelung sollte nach Abschluss der Installation einem Abnahmeprozess unterzogen werden, der auch die Aspekte der Informationssicherheit umfasst. Eine Abnahme darf erst dann erfolgen, wenn alle durchzuführenden Aufgaben abgeschlossen sind, der Ausführende die Maßnahme zur Abnahme gemeldet hat und sich bei den Kontrollen durch den Auftraggeber keine inakzeptablen Mängel gezeigt haben. Der Abnahmetermin sollte zeitlich so gewählt werden, dass die Kontrollen zur Abnahme in ausreichender Zeit vorbereitet werden können. Der Abschluss aller durchzuführenden Aufgaben wird im Allgemeinen durch das Aufmaß dieser Leistungen bestätigt. Neben der korrekten Abrechnung und dem tatsächlichen Umfang der Leistungen sind bei der Zuletzt aktualisiert: 09.06.2016

Seite 12 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Abnahme die Aspekte der Informationssicherheit zu kontrollieren. Als vorbereitende Kontrollen sind nachfolgende Punkte sinnvoll: •

Alle zur Installation gehörenden Dokumentationen sind auf Vollständigkeit und Plausibilität zu überprüfen.

•

Vor allem die Messprotokolle sind auf ihre Werte zu überprüfen. Es ist zu empfehlen, besonders auffällige Messergebnisse für eine Nachmessung im Rahmen der Abnahme auszuwählen. Die Durchführung der Abnahme umfasst folgende Kontrollen und Tätigkeiten: •

Eintragungen in Grundriss-, Lage- und Schrankansichtspläne werden während der Abnahme auf Richtigkeit überprüft.

•

Die Lieferung wird auf die richtige Anzahl und die geforderte Qualität kontrolliert.

•

Die fachliche Ausführung der Leistungen wird überprüft. Es empfiehlt sich, durch Stichproben z. B. die Installation von Datendosen genau zu kontrollieren, die Einhaltung von Biegeradien und die Verlegung in Trassen zu überprüfen.

•

Auffällige Messergebnisse, die bei der Vorbereitung der Abnahme identifiziert wurden, werden nachgemessen.

•

Die abgenommenen Anlagenteile, die Mängel und die erforderlichen Nach- und Restarbeiten werden protokolliert.

•

Für die Behebung von Mängeln sowie für die Erledigung von Nach- und Restarbeiten werden feste Termine vereinbart, die auch zwingend eingehalten werden müssen.

• Die Garantie und Gewährleistungsfristen werden festgehalten. Es empfiehlt sich, das Abnahmeprotokoll als Checkliste vorzubereiten. Die Checkliste sollte auch Punkte zu allgemeinen Anforderungen an die Betriebsräume enthalten, welche über den Rahmen der Maßnahme hinausgehen, um den allgemeinen Zustand und die Qualität der Anlagen festzuhalten. Dadurch wird der Betrieb der Anlagen umsichtig unterstützt und Ausfällen vorgebeugt. Diese Punkte sind nicht relevant für die Abnahme der IT-Verkabelung und werden im Nachgang an die zuständige Stelle weitergeleitet. Es empfiehlt sich, die Checklisten für die Abnahme so zu gestalten, dass diese bereits die Installation- und Inbetriebnahme dokumentieren sowie die Maßnahmen zur Vorbereitung der Abnahme protokollieren. Die Checklisten sollten sich auf das notwendige Maß beschränken. Daher ist es sinnvoll, die enthaltenen Punkte zu hinterfragen, wo nötig zu ergänzen und um unwesentliche Punkte zu bereinigen. Das Abnahmeprotokoll ist von den Teilnehmern und Verantwortlichen rechtsverbindlich zu unterzeichnen. Nach der Abnahme müssen die Mängelbehebung sowie die Nach- und Restarbeiten kontrolliert werden. Soweit dies vertraglich und rechtlich zulässig ist, sollten erst danach die Rechnungen freigegeben werden. Die zusätzlich festgestellten Anmerkungen sind an die betroffenen Fachabteilungen weiterzuleiten.

INF.4.M7 Laufende Fortschreibung und Revision der Netzdokumentation Netze sind einer laufenden Veränderung durch Nachverkabelungen, Umbau und Erweiterungsmaßnahmen bis hin zu Updates und Upgrades von aktiven Netzkomponenten unterworfen. Entsprechend muss die Dokumentation der IT-Verkabelung als ein elementarer Bestandteil einer jeden Veränderung im Netz betrachtet und behandelt werden. Erst nach Abschluss der Dokumentation gilt die Änderungsmaßnahme auch als vollständig erledigt. Neben der allgemeinen Betriebssicherheit und Nachvollziehbarkeit dient eine konsistente Dokumentation der IT-Verkabelung auch folgenden Zielen: •

kurze Umschaltzeiten bei Netzerweiterungen,

Zuletzt aktualisiert: 09.06.2016

Seite 13 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

•

einfache Fehlereingrenzung und -suche,

•

kurze Wiederherstellungszeiten im Fehlerfall,

• Wirtschaftlichkeit von Wartungsverträgen. Wichtig ist, dass alle von der Änderung betroffenen Dokumentationsbereiche leicht erfasst und angepasst werden können. Eine Dokumentationsrichtlinie vereinfacht den Umgang mit der Dokumentation. Sie sollte die Abläufe, die Dokumentationsbereiche und die Vorgaben beschreiben, beispielsweise auch Namens- und Nummerierungsschemata. Außerdem sollte geprüft werden, ob der Einsatz eines Dokumentenmanagements für die Netzdokumentation zweckmäßig ist. Ein Dokumentenmanagement kann unter anderem folgende Aspekte bei der Dokumentation erleichtern: •

Dokumentation von Änderungen bereits während der Planungsphase,

•

Information aller beteiligten Personen über die Planungen,

•

Integration von Freigabeprozessen,

• Archivierung von Altdokumentation. Verschiedene Software-Werkzeuge können darüber hinaus die Dokumentation der Kabel und der Netzkomponenten inklusive deren Verschaltung unterstützen. Manche dieser Werkzeuge ermöglichen die Kopplung und Integration mit Netzmanagementsystemen. Auch die aktive Überwachung von Patchungen in der passiven Infrastruktur wird unterstützt.

INF.4.M7 Entfernen und Deaktivieren nicht mehr benötigter ITVerkabelung [Leiter Haustechnik] Wenn IT-Verkabelung endgültig nicht mehr benötigt wird, so ist sie fachgerecht zu entfernen. Während die Tertiärverkabelung oft so lange wie das Gebäude selbst genutzt wird, kommt es im Bereich der Sekundärverkabelung und bei der internen Verkabelung von Serverräumen und Technikräumen häufiger vor, dass die vorhandenen Kabel durch leistungsfähigere ersetzt werden. Leider werden die alten Kabel bei einer Neuverkabelung in der Praxis oft nicht entfernt, sondern die neuen Kabel werden auf die alten Kabel verlegt. Dies betrifft die Verlegetrassen und besonders auch Doppelböden. Ein solches Vorgehen verschlechtert die Übersichtlichkeit und erhöht die vorhandenen Brandlasten. Zudem kann die Verschlechterung der Luftdurchströmung klimatechnische Probleme nach sich ziehen. Daher empfiehlt es sich, die Trassenbelegung vorausschauend hinsichtlich eines späteren Rückbaus zu planen und die Nachverkabelungen zu kontrollieren. Eine sich daraus ergebende Erweiterung der Trassen ist rechtzeitig zu berücksichtigen. Es ist deshalb eine Übersicht über nicht mehr benötigte Kabel aufzustellen und anhand dieser Dokumentation der Abbau/Ausbau der Kabel zu belegen. Anschliessend muss die Dokumentation, in der der Bestand der IT-Verkabelung aufgeführt ist, aktualisiert werden. Nicht benötigte Leitungen sind solche Leitungen, die für die Funktion des Gebäudes aufgrund von Nutzungsänderungen oder Modernisierungsmaßnahmen nicht mehr erforderlich sind. Diese Leitungen sollten grundsätzlich vollständig entfernt werden, um die Brandlasten im Gebäude auf das notwendige Mindestmaß zu beschränken und um die vorhandenen Trassen nur im erforderlichen Rahmen zu befüllen. Bei der Entfernung von Leitungen ist darauf zu achten, dass die Brandschottungen nach der Entfernung der Kabel wieder fachgerecht verschlossen werden. Welche Leitungen nicht mehr benötigt werden, darf erst nach sorgfältiger Prüfung durch die zuständige Organisationseinheit entschieden werden. Die Entscheidung ist zu dokumentieren. Werden die Änderungen der Verkabelungsinfrastruktur parallel zum Dienstbetrieb durchgeführt, sind die Maßnahmen organisatorisch so zu unterstützen, dass die Beeinträchtigungen des Dienstbetriebes auf ein Minimum reduziert werden. Dazu müssen gegebenenfalls auch Wochenend- und Nachtarbeiten eingeplant werden. Wenn in den vorhandenen Trassen nicht genug Platz für die alten und neuen Kabel ist, so sind neue Trassen für die neuen Kabel zu installieren, um die Umschaltzeit von der noch immer betriebenen alten Zuletzt aktualisiert: 09.06.2016

Seite 14 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Infrastruktur auf die neue Infrastruktur so kurz wie möglich zu gestalten. Trassen und Kabel, die mit der vorhandenen Technik sinnvoll als Reserve weiter genutzt werden können, sind in einem betriebsfähigen Zustand zu erhalten. Nicht mehr benötigte Rangierungen und Patchungen in Verteilern sind zurück zu bauen und in der Dokumentation zu löschen. Auch Kabel, die nicht mehr benötigt werden, sind möglichst zu entfernen. Falls das nicht möglich ist, weil die Kabel z. B. unter Putz verlegt wurden, müssen sie durch Kurzschließen deaktiviert und gesichert werden. In der Betriebsdokumentation sind alle Änderungen revisionsfähig zu dokumentieren. Es empfiehlt sich, in sinnvollen Zeitabständen und in jedem Fall nach Leitungsarbeiten die Änderungen fachkundig zu prüfen. Diese Prüfungen sind zu protokollieren.

INF.4.M9

Dokumentation und Kennzeichnung der IT-Verkabelung

Für die Wartung, Fehlersuche, Instandsetzung und für eine erfolgreiche Überprüfung der Verkabelung ist eine gute Dokumentation und eine eindeutige Kennzeichnung aller zugehörigen Komponenten erforderlich. Die Güte dieser Revisionsdokumentation ist abhängig von der Vollständigkeit, der Aktualität und der Lesbarkeit der Unterlagen. In jedem Fall ist ein Verantwortlicher für die Dokumentation der Verkabelung zu benennen. Da es mit zunehmender Größe eines Netzes nicht möglich ist, alle Informationen in einem Plan unterzubringen, ist eine Aufteilung der Informationen sinnvoll. Tatsächliche Lageinformationen sind immer in maßstäbliche Pläne einzuzeichnen. Andere Informationen können in Tabellenform oder Schemaplänen geführt werden. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben untereinander. Die Dokumentation sollte somit aus beschreibenden Unterlagen, Listen und Plänen bestehen. Die beschreibenden Unterlagen, wie z. B. eine Dokumentationsrichtline, enthalten die Informationen über die Abläufe zur Dokumentation, Bezeichnungs- und Kennzeichnungsregelungen. In dieser sollte beispielsweise in allgemeiner Form beschrieben werden, welche Listen und Pläne zu erstellen sind und wie diese auch revisionssicher zu führen sind. In die Listen- und Bestandspläne sind alle das Netz betreffenden Sachverhalte aufzunehmen. Die Listen sollten unter anderem folgende Informationen enthalten: •

Liefer- und Komponenteninformationen,

•

genaue Kabeltypen (bei Lichtwellenleiterkabel auch Faserqualität),

•

nutzungsorientierte Kabelkennzeichnung,

•

Standorte von Zentralen und Verteilern mit genauen Bezeichnungen und Zugangsregelungen mit Ansprechpartnern zu den Gebäuden und Räumlichkeiten,

•

Belegungspläne aller Rangierungen und Verteiler,

•

Nutzung aller Leitungen, Nennung der daran angeschlossenen Netzteilnehmer,

•

technische Daten von Anschlusspunkten,

•

Gefahrenpunkte,

• vorhandene und zu prüfende Schutzmaßnahmen. Die Bestandspläne bestehen typischerweise aus: •

Standortübersichten und bemaßten Lageplänen mit der genauen Führung der Trassen und der Primärverkabelung,

•

Gebäudeschnitten als Schemapläne und bemaßten Etagengrundrissplänen mit der genauen Lage und

Zuletzt aktualisiert: 09.06.2016

Seite 15 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Führung der Verteilerräume, Trassen und Kabel sowie den IT-Anschlüssen pro Raum in z. B. Brüstungskanälen und/oder Bodenauslässen, •

Technikraumplänen mit Raumlayout, Doppelbodenraster und Schrankpositionierung, Stromverteilung und Potentialausgleichsschiene sowie einer vorhandenen Klimatisierung,

•

Schrankansichtsplänen zur lagerichtigen Beschreibung der eingebauten passiven und aktiven Komponenten inklusive der Steckdosenleisten,

• physikalischen und logischen Verbindungsplänen des Netzes. Es muss möglich sein, sich anhand dieser Dokumentation einfach und schnell ein genaues Bild über die Verkabelung zu machen. Um die Aktualität der Dokumentation zu gewährleisten, ist sicherzustellen, dass alle Arbeiten am Netz rechtzeitig und vollständig demjenigen bekannt werden, der die Dokumentation führt. Es ist z. B. denkbar, die Ausgabe von Material, die Vergabe von Fremdaufträgen oder die Freigabe gesicherter Bereiche von der Mitzeichnung dieser Funktion abhängig zu machen. Da diese Dokumentation schutzwürdige Informationen beinhaltet, ist sie sicher aufzubewahren und der Zugriff zu regeln. Weiterhin sind die Kabel selbst zu kennzeichnen, um die Informationen aus den Bestandsplänen zuordnen zu können. Die Beschriftung der Kabel muss an beiden Enden erfolgen. Im Bedarfsfall kann die Beschriftung auch sich mehrfach wiederholend am Kabel angebracht werden, um es auch bei der Nachverfolgung in der Trasse eindeutig zu identifizieren. Es sind Kennzeichnungsfelder oder Beschriftungsbänder einzusetzen, die manuell oder maschinell dauerhaft lesbar beschriftet werden. Eine Beschriftung mit Folienstift ist häufig nicht ausreichend. Die Kabel und Leitungen sollten immer so beschriftet oder gekennzeichnet werden, dass daraus lediglich eine Referenzierung in die Dokumentation erfolgen kann. Eine Kennzeichnung, die einen direkten Rückschluss auf die Bedeutung des Kabels oder der Leitung zulässt, ist unbedingt zu vermeiden, soweit dies nicht auf Grund von anderen Regelungen erforderlich ist. Sinnvollerweise wird bereits bei der Planung von Verkabelungsmaßnahmen in einem solchen Tool mit der Dokumentation begonnen und diese nach der Realisierung vom Planungsstatus in den Produktivstatus übernommen. Auf diesem Wege ist es leichter, die Nutzer der Dokumentation über bevorstehende Änderungen zu informieren und die Dokumentation aktuell zu halten. Wenn eine Erneuerung oder Modernisierung der IT-Verkabelung geplant wird, ist zwischen Auftraggeber und den Auftragnehmern (Netzplaner, Lieferanten und Errichtern) zu vereinbaren, wie die Dokumentation der ITVerkabelung auszuführen ist. Der Auftraggeber muss sicherstellen, dass er bei Inbetriebnahme eine interne und eine externe Dokumentation der Verkabelung besitzt. Die interne Dokumention umfasst alle Aufzeichnungen, die die Errichtung und den Betrieb der ITVerkabelung betreffen. Für die interne Dokumentation gilt, dass sie so umfangreich angefertigt und gepflegt werden sollte, dass der Betrieb und die zukünftige Weiterentwicklung bestmöglich unterstützt werden. Die externe Dokumentation ist die Beschriftung von Anschlüssen zur Unterstützung des Betriebs. Im Sinne des Schutzes vor Sabotage und anderem böswilligen Eingriff gilt, dass die extern sichtbare Dokumentation der Verkabelung (z. B. die Beschriftung der Netzdosen und Kabelenden) so sparsam wie möglich ausfallen sollte. Hier gilt es, einem potentiellen Angreifer so wenig Hinweise wie möglich zu geben, jedoch gleichzeitig dem IT-Personal die notwendigen Kennzeichnungen bereitzustellen, die für ordnungsgemäße und nachvollziehbare Patch- und Vernetzungsarbeiten erforderlich sind. Bei mittleren und großen Vorhaben zur Verkabelung ist der Einsatz von geeigneter Software zur Dokumentation zwingend. Bereits in der Planungsphase müssen deshalb Vorgaben über Dateiformate und damit über Programm und Version der einzusetzenden Software gemacht werden. So wird sichergestellt, dass der Auftragnehmer seine Dokumentation in einer Form liefern kann, die der Auftraggeber unmittelbar weiter nutzen kann. Ebenso sollten Vorgaben zur Namenskonvention für die Dateien selbst und auch für Elemente und Strukturen, die in den Dateien beschrieben sind, gemacht werden. Die Version einer Datei sollte Zuletzt aktualisiert: 09.06.2016

Seite 16 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

möglichst schon am Dateinamen erkennbar sein, beispielsweise dadurch dass jeder Dateiname mit einer Datumsangabe der Form JJJJMMTT beginnt. Auch für die Namenskonventionen und Kennzeichnungen in den Dokumenten sind klare Vorgaben zu machen. Beispielsweise ist zu vereinbaren, wie unterschiedliche Klassen von verlegten Kupferkabeln in Zeichnungen auszuzeichnen sind (Beispiel: L123-cu6a = Leitung 123, Kupfer, CAT 6a). Ein Problem ergibt sich oft bei Raumnummern: der Architekt vergibt diese üblicherweise in der Planungsphase. Diese Raumnummern werden auch bei der Planung und Ausführung der IT-Verkabelung verwendet. Wenn der Nutzer nach Übernahme des Gebäudes eine andere Systematik für die Kennzeichnung und Beschriftung von Räumen einführt, kann dies zu Unklarheiten, zu Beeinträchtigungen des Betriebes oder zu anderen Sicherheitsproblemen führen. Beispielsweise kann es passieren, dass durch Inkonsistenzen bei der Raumnummerierung Kabelverbindungen zu falschen Räumen und somit zwischen den falschen IT-Systemen hergestellt werden. Erster Schritt der Dokumentation der IT-Verkabelung ist die Planungs- und Errichtungsdokumentation. Zu dokumentieren ist zunächst die geplante Topografie des Netzes. Dabei wird in die Gebäude- und Raumplanung zunächst der geplante Verlauf der Wege von Kabeln und Trassen und die Lage der Anschlussdosen eingezeichnet. Vom Errichter sind dann Dokumente zur Ausführung der Verkabelungsarbeiten zu erbringen. Die Dokumentation der IT-Verkabelung besteht aus: •

Trassenverlauf und -nutzung im Gebäudeabschnitt,

•

Trassenverlauf, Leitungsführung und Lage der Anschlussdosen pro Etage,

•

Raumpläne für alle Technikräume der IT-Verkabelung mit Schrankaufstellung und eventuell Einspeisungspunkten von Fremdnetzen,

•

Schrankansichtspläne mit Schrankeinbauten und Patchplänen,

•

Konformitätsnachweise über die auftragsgerechte Ausführung,

• Lieferinformationen, Messprotokolle und Abnahmeprüfungen. Diese Dokumentation ist Grundlage und wesentlicher Teil der Abnahme des Gewerkes durch den Bauherrn. Für den späteren Netzbetrieb ist es zweckmäßig, getrennte Dokumente für die Ist-Beschreibung des Netzes und zur Fortschreibung anzufertigen. Die enge Anbindung an die Bauplanung und an typische Programme und Datenformate der Bauplanung (CAD) sind eher in der Errichtungsphase zweckmäßig. Im laufenden Betrieb ist es oft zweckmäßiger, logische und IT-spezifische Strukturen des IT-Netzes in der Dokumentation zu betonen und bauliche Aspekte unterzuordnen. Zu diesem Zweck sind "IT-nahe" SoftwareWerkzeuge angemessener. Die Mitarbeiter sind mit der Bedienung solcher Programme meist besser vertraut, als im Umgang mit CAD-Software.

INF.4.M10 Neutrale Dokumentation in den Verteilern In jedem Verteiler sollte sich eine Dokumentation befinden, die den derzeitigen Stand von Rangierungen und Leitungsbelegungen wiedergibt. Diese Dokumentation ist möglichst neutral zu halten. Nur bestehende und genutzte Verbindungen sind darin aufzuführen. Es sollten, soweit nicht ausdrücklich vorgeschrieben (z. B. für Brandmeldeleitungen), keine Hinweise auf die Nutzungsart der Leitungen gegeben werden. Leitungs-, Verteiler-, und Raumnummern reichen in vielen Fällen aus. Alle weitergehenden Informationen sind in einer Revisions-Dokumentation aufzuführen.

INF.4.M11 Kontrolle bestehender Verbindungen Alle Verteiler und Zugdosen der Verkabelung sind regelmäßig einer (zumindest stichprobenartigen) Sichtprüfung zu unterziehen. Dabei ist auf folgende Punkte zu achten: •

Spuren von gewaltsamen Öffnungsversuchen an verschlossenen Verteilern,

Zuletzt aktualisiert: 09.06.2016

Seite 17 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

•

Aktualität der im Verteiler befindlichen Dokumentation,

•

Übereinstimmung der tatsächlichen Beschaltungen und Rangierungen mit der Dokumentation,

•

Unversehrtheit der Kurzschlüsse und Erdungen nicht benötigter Leitungen und

• unzulässige Einbauten oder Veränderungen. Neben der reinen Sichtkontrolle kann zusätzlich eine funktionale Kontrolle durchgeführt werden. Dabei werden bestehende Verbindungen auf ihre Notwendigkeit und die Einhaltung technischer Werte hin geprüft. Bei Verbindungen, die nicht in zutrittsgeschützten Bereichen verlaufen, ist in zwei Fällen diese Prüfung anzuraten: •

Bei Verbindungen, die sehr selten genutzt und bei denen Manipulationen nicht sofort erkannt werden.

• Bei Verbindungen, auf denen häufig besonders schützenswerte Informationen übertragen werden. Alle Unregelmäßigkeiten, die bei Sichtkontrollen oder funktionalen Kontrollen festgestellt werden, müssen unverzüglich dokumentiert und den zuständigen Organisationseinheiten gemeldet werden, damit zeitnah die notwendigen weiteren Schritte eingeleitet werden können. Wichtig ist außerdem, dass die festgestellten Unregelmäßigkeiten nicht nur beseitigt, sondern dass auch deren Ursachen ermittelt werden.

2.3 Maßnahmen für erhöhten Schutzbedarf Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

INF.4.M12 Redundanzen für die Verkabelung (A) Oft sind in größeren Liegenschaften mehrere Gebäude an ein Rechenzentrum, das sich in einem dieser Gebäude befindet, sternförmig angebunden. Es ist zu prüfen, ob zumindest für wichtige Gebäude eine redundante, über unabhängige Trassen geführte primäre IT-Verkabelung geschaffen werden soll. Ebenso ist zu prüfen, ob die Anschlüsse an IT- oder TK-Provider redundant ausgelegt werden sollen. Um hier eine echte Redundanz zu schaffen, muss mit dem Provider geklärt werden, ob wirklich an unterschiedlichen Orten (Ortsvermittlungsstellen) der Anschluss an ein Carrier-Netz geschaffen wird. Ob eine redundante Primärverkabelung beziehungsweise eine redundante Anbindung an Provider erforderlich ist, ergibt sich aus den Verfügbarkeitsanforderungen der Institution. Parallelbetrieb Innerhalb der Gebäude ist durch den Einsatz geeigneter aktiver Netzkomponenten sicherzustellen, dass die redundanten Leitungen im Betrieb automatisch parallel genutzt werden. So wird gleichzeitig Redundanz geschaffen und die Kapazität erhöht. Dabei ist jedoch zu beachten, dass sich beim Ausfall einer der Leitungen die Übertragungskapazität reduziert. Diese reduzierte Kapazität muss im Notfallvorsorge-Konzept berücksichtigt werden. Umschaltung Wenn die eingesetzte Technik oder die über die Verkabelung realisierten Dienste keinen Parallelbetrieb der redundanten Leitungen erlauben, muss bei Störungen der genutzten Leitung auf die jeweilige Ersatzleitung umgeschaltet werden. Diese Umschaltung kann automatisch oder manuell erfolgen. Wenn kein Parallelbetrieb möglich ist, sollte in sinnvollen Zeitabständen auf die Ersatzleitungen umgeschaltet werden, auch wenn keine tatsächliche Störung vorliegt. Dies dient dazu, die Ersatzleitungen auf Funktionsfähigkeit zu überprüfen. Die Prüfintervalle sollten aus den Verfügbarkeitsanforderungen abgeleitet werden. Überwachung Zuletzt aktualisiert: 09.06.2016

Seite 18 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Redundanzen bei den Kommunikationsverbindungen können in der Regel nur dann das Verfügbarkeitsniveau wirksam steigern, wenn die Funktionsfähigkeit der Verbindungen überwacht wird. Die Überwachung dient dazu, Störungen, Engpässe und sonstige Unregelmäßigkeiten frühzeitig zu erkennen, damit Probleme zeitnah behoben oder sogar vermieden werden können. Ohne Überwachung besteht unter anderem die erhöhte Gefahr, dass Ausfälle von Leitungen nicht erkannt werden und in diesem Fall nur eine scheinbare, aber keine tatsächliche Redundanz besteht. Bei hohen oder sehr hohen Verfügbarkeitsanforderungen sollte überlegt werden, in den relevanten Gebäuden die Sekundär- und Tertiärverkabelung redundant auszulegen. Dazu wird die Sekundärverkabelung, also die Verbindung der Etagen, über mindestens zwei Steigeschächte geführt, die sich in verschiedenen Brandabschnitten des Gebäudes befinden sollten. Beispielsweise könnte die Sekundärverkabelung an den gegenüberliegenden Gebäudeseiten (z. B. Nord und Süd oder Ost und West) geführt werden. Alle Räume, in denen Teilnehmer zu versorgen sind, werden jeweils an beide Sekundärverkabelungen angeschlossen. Die Hälfte der Anschlüsse in einem Raum wird dann mit einem Verteiler auf der einen Gebäudeseite verbunden, die andere Hälfte der Anschlüsse wird an einen Verteiler auf der anderen Seite des Gebäudes angeschlossen. Damit ist es auch bei einem gravierenden Schaden möglich, den Betrieb auf den Etagen mindestens behelfsmäßig aufrecht zu erhalten, sofern der Schaden nicht beide Gebäudehälften betrifft.

INF.4.M13 Materielle Sicherung der IT-Verkabelung (IA) In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes kann es sinnvoll sein, Leitungen und Verteiler zusätzlich gegen unbefugte Zugriffe zu sichern. Dies kann auf verschiedene Weise erreicht werden: •

Verlegung der Leitungen oder Kabelkanäle unter Putz,

•

Verlegung der Leitungen in Stahlpanzerrohr,

•

Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen,

•

Verschluss von Verteilern und

• elektrische Überwachung von Verteilern und Kanälen. In jedem Fall ist die Zahl der Stellen, an denen das verlegte Kabel zugänglich ist, auf ein Mindestmaß zu reduzieren und die Länge der vor unberechtigten Zugriff zu schützenden Verbindungen möglichst klein zu halten. Besonders die Absicherung zentraler Trassen und Kabel der elektrischen Versorgung und der IT-Verkabelung muss im gesamten Kabelweg an die Gefährdungslage angepasst werden. In Bereichen wie Tiefgaragen und auch in Fluren, die als Transportwege genutzt werden, muss ein angemessener Schutz gegen zufällige mechanische Beschädigung und gegebenenfalls auch gegen Sabotagehandlungen durch eine stabile Ummantelung der Trasse oder des Kabels getroffen werden. Wenn Verteiler verschlossen werden, sind Regelungen nötig, die Zutrittsrechte zum Verteiler, Verteilung der Schlüssel und Zugriffsmodalitäten festlegen. Darin ist unter anderem vorzugeben, was vor Änderungen an Kabeln oder Verteilern und nach der Ausführung solcher Arbeiten zu tun ist. Es muss sichergestellt sein, dass Änderungen abgestimmt und genehmigt werden und dass die Dokumentation nachgeführt wird.

INF.4.M14 Verhinderung von Ausgleichsströmen auf Schirmungen (A) In den Normen für die IT-Infrastruktur (DIN EN 50173, DIN EN 50174-2 "Installation von Kommunikationsverkabelung") sind sowohl geschirmte als auch ungeschirmte Datenverkabelungen sowie die Anforderungen an die Erdung und Schirmung dieser Anlagen beschrieben. Bei der Verwendung von geschirmten Datenleitungen wird in den Normen zwischen technisch genutzten Räumen (z. B. Serverräumen und Rechenzentren) und Räumen mit einer allgemeinen IT-Nutzung unterschieden. Für die technisch genutzten Räume ist das beidseitige Auflegen der Schirmung und eine enge Vermaschung der Systeme und Zuletzt aktualisiert: 09.06.2016

Seite 19 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Komponenten vorgegeben. Für die allgemeine Nutzung der IT-Infrastruktur, wie die Etagenverkabelung in Gebäuden, wird in den Normen das einseitige Auflegen der Schirmung vorgegeben. Das beidseitige Auflegen ist optional. Ist der Netzbetrieb durch Ausgleichsströme bei Verwendung geschirmter Leitungen gestört, sollte zunächst die Ursache analysiert werden. Durch die immer höher frequent werdenden Übertragungsverfahren der IT werden die Anlagen empfindlicher gegen hochfrequente Störungen. Zudem werden sie unter Umständen auch selbst zu hochfrequenten Störern für umgebende Anlagen und Systeme. Wenn Betriebsstörungen festgestellt werden, muss abhängig von den Bedingungen vor Ort der richtige Lösungsweg erarbeitet werden. Da hierfür viel Fachwissen erforderlich ist, ist es im Allgemeinen empfehlenswert, eine Fachfirma zur Begutachtung, Analyse und Erarbeitung einer Lösung zu beauftragen. Um beispielsweise Ausgleichsströme auf den Schirmungen von Datenleitungen in Gebäuden zu verhindern, gibt es verschiedene Möglichkeiten: Ausgleichsströme können im TN-C-System vermieden werden, indem nur solche IT-Geräte über geschirmte Datenleitungen miteinander verbunden werden, die an einer gemeinsamen Elektro-Verteilung angeschlossen sind. Bei jeder Erweiterung des Datennetzes ist diese Bedingung zu prüfen und sicherzustellen. Als Maßnahme gegen Ausgleichsströme im TN-C- bzw. TN-CS-System wird häufig das ausschließlich einseitige Auflegen der Schirmung von Datenleitungen vorgeschlagen. Hinsichtlich der Ausgleichsströme ist dieses Vorgehen auch tatsächlich wirksam. Aus anderen Gründen sollte dieses Mittel aber als absolute Ausnahme äußerst restriktiv angewandt werden: •

Geschirmte Leitungen, deren Schirmung nur einseitig aufgelegt ist, werden deutlich stärker durch Störstrahlungen von außen beeinflusst. Gleichzeitig strahlen sie selbst stärker ab als ungeschirmte symmetrische Leitungen. Es muss also bei einseitiger Schirmauflegung mit mehr Störungen der Datenübertragung (z. B. der Verfügbarkeit bzw. Integrität) gerechnet werden, als bei allen anderen Kabeln. Die stärkere Aussendung auswertbarer Abstrahlung derartiger Leitungen kommt als Risiko bei der Betrachtung der Vertraulichkeit von Informationen hinzu.

•

Selbst wenn alle technischen Nachteile der einseitigen Schirmauflegung hingenommen werden, bleibt das Problem der durchgängigen Umsetzung. Es bedarf konsequenter Kontrolle bei allen Arbeiten am Datennetz, um sicher zu stellen, dass einseitig aufgelegte Schirmungen nicht doch irgendwann beidseitig aufgelegt werden. Solche Fehlauflegungen sind nachträglich nur mit sehr großem Aufwand zu finden. Die aus Sicherheitssicht optimale Möglichkeit besteht darin, das Stromverteilnetz im gesamten Gebäude komplett als TN-S-System auszulegen. Dabei wird der PE- und der N-Leiter ab der Potentialausgleichsschiene (PAS) getrennt geführt. Einzelmaßnahmen an IT-Geräten sind dann in der Regel nicht mehr erforderlich. Um die Wirksamkeit des TN-S-Systems dauerhaft zu gewährleisten, muss sicher gestellt werden, dass die Verbindung zwischen PE- und N-Leiter an der PAS (Nullung) die einzige im gesamten Netz ist. Es kann aber in der Praxis nicht ausgeschlossen werden, dass beim Anschluss neuer Geräte oder bei Schaltarbeiten im Netz versehentlich eine weitere Verbindung zwischen PE- und N-Leiter geschaffen wird. Daher sollten Änderungen im Datennetz mit der Haustechnik abgestimmt werden. Zudem sollte ein TN-S-System in regelmäßigen Abständen auf korrekte Nullung hin geprüft werden. Das kann bei den ohnehin durchzuführenden Prüfungen des Stromversorgungsnetzes und bei Verdachtsmomenten (beispielsweise länger andauernde unspezifische Störungen im Datennetz) erfolgen. Als Mindestmaßnahme ist ein TN-S-System in der Niederspannungshauptverteilung (NSHV) mit einer permanenten Differenzstromüberwachung über die drei Phasen und den N-Leiter sowie einer weiteren permanenten Stromüberwachung über den Zentralen Erdungspunkt (ZEP) auszustatten.

INF.4.M15 Nutzung von Schranksystemen (IA) Zur Verbesserung der Betriebssicherheit von Servern, aktiven und passiven Netzkomponenten sollten diese Zuletzt aktualisiert: 09.06.2016

Seite 20 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Geräte in Schranksystemen eingebaut oder aufgestellt werden. Schranksysteme werden je nach Einsatzart häufig als 19-Zoll-Rack, Serverschrank oder auch Netzschrank bezeichnet. Systemschränke sind nach DIN IEC 60297 "Bauweisen für elektronische Einrichtungen" und DIN 41494 "Bauweisen für elektronische Einrichtungen" genormt. Dadurch ist der Einbau beliebiger Geräte möglich, solange diese auch den genannten Normen entsprechen. Komponenten, die den oben genannten Normen entsprechen, sind häufig an dem Stichwort "19-Zoll-Einbau" erkennbar. Schranksysteme gibt es in verschiedenen Innen- und Außenmaßen. Die größte Verbreitung haben Schränke mit einem Netto-Raumangebot von 42 Höheneinheiten (HE). Abhängig davon, ob die Schranksysteme in abgeschlossenen Verteilerräumen aufgestellt sind oder in allgemein zugänglichen Bereichen, müssen diese mit angepassten Türen, Seitenwänden und Schließungen ausgestattet werden, die dem jeweiligen Schutzbedarf entsprechen. Sockel unter den Schränken erleichtern die Einführung der erforderlichen Verkabelung. Ein weiterer Vorteil eines Sockels ist der zusätzliche Abstand zwischen dem Raumboden und den IT-Systemen. In diesem Fall führt ein möglicher Wassereintritt durch die erhöhte Positionierung der Geräte nicht automatisch zu Schäden an den IT-Systemen. Bei entsprechend abgesicherten Verteilerräumen kann auf Türen und Seitenwände nach Überprüfung der Umgebungsbedingungen verzichtet werden. Der schrankinterne Aufbau sollte unbedingt wartungstechnischen Gesichtspunkten Rechnung tragen. Beispielsweise sollte ein schnellstmöglicher Austausch von Baugruppen in einem gepatchten Switchingsystem ohne nachteilige Beeinflussung benachbarter Systeme möglich sein. Dies setzt den vorausschauenden Einbau aller Komponenten und ein entsprechendes Management von Patchkabeln voraus. Von Vorteil ist es daher, wenn die elektrotechnische Verkabelung und die IT-Verkabelung stabil und geschützt geführt werden können. Viele Hersteller von Schranksystemen bieten Einbauteile an, mit denen die schrankinterne Kabelführung an spezifische Anforderungen und Wünsche des Anwenders angepasst werden kann. Überlängen von Patchkabeln sind zu vermeiden. Bei der Planung der Schrankbelegung ist zu beachten, dass die Kapazität des Schrankes meistens durch die Wärmeabgabe der eingebauten Geräte und nicht durch die möglichen Einbaumaße beschränkt ist. Es kann zu Problemen der Wärmeabfuhr kommen, wenn die thermische Last der eingebauten Geräte zu groß ist. Ähnliche Probleme können in Netzschränken entstehen, die sehr viele passive Komponenten (Patchfelder) enthalten und eine zu dichte Belegung mit Kabeln aufweisen. In diesem Fall kann die Luftdurchströmung des Schrankes derart gestört werden, dass Bauteile oder aktive Komponenten Fehlfunktionen erleiden. Auch dieser Aspekt muss bei der Planung der Schrankbelegung berücksichtigt werden. Bei nebeneinander aufgestellten Schränken muss zusätzlich auf die Luftführung der aktiven Komponenten in benachbarten Schränken geachtet werden. Es ist unbedingt zu vermeiden, dass die von Komponenten ausströmende Warmluft die Kaltluftzufuhr einer benachbarten Komponente beeinträchtigt. Mit der Schottung der Einzelschränke in der Schrankreihe kann dieser Problematik begegnet werden. Damit die aktiven Komponenten innerhalb der vorgeschriebenen Temperaturbereiche betrieben werden können, sind die Schränke entsprechend auszustatten. Im einfachsten Fall reicht eine passive Kühlung des Schrankes bei ausreichend kühler Umgebungsluft im Raum aus. Diese kann bei geschlossenen Schränken durch Lüftersysteme im Schrank unterstützt werden. Sind die Wärmelasten zu groß, können aktive Kühlsysteme unterschiedlicher Bauart verwendet werden. Zu unterscheiden sind dabei Möglichkeiten der Raumkühlung einerseits und andererseits Kühlsysteme, welche an oder auf den Schränken angebracht werden können. Um IT-Komponenten betreiben zu können, die eine sehr hohe Wärmeabgabe bei geringem Platzbedarf aufweisen, kann der Einsatz spezieller Schranksysteme mit eigenständigen Klimasystemen erwogen werden. Solche Schränke, die intern meist eine Flüssigkeitskühlung aufweisen, sollten nur nach einer sorgfältigen Bedarfs- und Risikoanalyse verwendet werden. Jegliche Art der Klimatisierung erfordert eine genaue Planung unter Berücksichtigung aller beeinflussenden Zuletzt aktualisiert: 09.06.2016

Seite 21 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Parameter einschließlich einer entsprechenden Wirtschaftlichkeitsbetrachtung. Beim Einsatz von Schränken mit eigener Klimatisierung ist zudem darauf zu achten, dass Klimageräte an Seitenwänden oder Türen den Öffnungswinkel von Schranktüren verringern können und unter Umständen in Fluchtwege hineinragen. Das Raumlayout sollte möglichst so geplant werden, dass Klimatechnik an Schränken im Bedarfsfall nachgerüstet werden kann. Es ist empfehlenswert, in der Institution einheitliche Vorgaben für die Ausstattung und Nutzung von Schranksystemen zu machen. Auch die Verkabelung der Schränke untereinander ist sorgfältig zu planen.

3 Weiterführende Informationen 3.1 Weitere Maßnahmen INF.4.M16 Erneuerung von Verkabelung Die schnelle Weiterentwicklung der Informationstechnik und insbesondere die Anforderungen, die durch neue IT-Anwendungen gestellt werden, führen in Gebäuden, die eine ältere IT-Verkabelung aufweisen, oft zu Überlegungen, den Bestand der IT-Verkabelung zu modernisieren oder gänzlich zu erneuern. Der Aufwand, die vorhandene IT-Verkabelung durch eine komplett neue Sekundär- und Tertiärverkabelung zu ersetzen, darf nicht unterschätzt werden. Die Erfahrung zeigt, dass bereits nach einer ersten Betrachtung des finanziellen und organisatorischen Aufwands eines umfassenden Modernisierungsprojekts meist beschlossen wird, dass eine existierende IT-Verkabelung so lange wie möglich genutzt werden sollte. Eine umfassende Erneuerung der IT-Verkabelung sollte nur in Angriff genommen werden, wenn als gesichert anzunehmen ist, dass die geschäftlichen Abläufe der Institution mit der vorhandenen IT-Verkabelung nicht mehr ausreichend unterstützt werden. Deutliche Anzeichen, dass sich die vorhandene IT-Verkabelung nicht mehr nutzen lässt, sind beispielsweise folgende: •

Nachverkabelungen, die zum Anschluss weiterer Benutzer benötigt werden, führen zu ständigen Störungen des Netzbetriebes.

•

Das vorhandene Netz leidet unter häufigen Netzausfällen, z. B. durch Kurzschlüsse in einem Token Ring oder Loop-Bildungen durch Wackelkontakte auf IBM IVS Typ-1 Ethernet-Kabeln.

•

Die vorhandene Verkabelung kann den Kapazitätsanforderungen nicht mehr standhalten, weil z. B. ganze Etagen über IBM IVS Typ-1 Verkabelung, also mit einer maximalen Übetragungsrate von 10 Mbit/sec, angebunden sind. Wenn die IT-Verkabelung erneuert werden soll, sind alle Planungsschritte wie bei einer Ersterrichtung durchzuführen. Auch hier stehen die Anforderungsanalyse und die Abschätzung der Bedarfsentwicklung am Anfang. Zu beachten ist, dass beim Austausch alter Typ-1 Verkabelungen besonders im Tertiärbereich zu prüfen ist, ob die Kabelwege auch mit neuer Verkabelung unverändert möglich bleiben. Da Typ-1 Kabel eine maximale Kabellänge von 150 Metern erlauben, kann es nötig sein, zusätzliche Etagenverteiler an geeigneter Stelle zu installieren, um die Begrenzung von Kabeln der Kategorie 5 oder höher auf eine Verbindungslänge von maximal 100 Metern zu beachten. Dabei berechnet sich die Verbindungslänge aus der Länge des Tertiärkabels plus der Länge der Patchkabel. Wenn ein leerstehendes Gebäude modernisiert wird, kann für die Migration eine reine Technikplanung vorgenommen werden. Bei Gebäuden, die beispielsweise als Büro- und nicht nur als Lagergebäude genutzt werden, ist für die Migration der vorhandenen IT-Verkabelung auf eine aktuelle Verkabelungstechnik auch eine Modernisierungsplanung vorzunehmen. Sie muss vorgeben, wie eine neue IT-Verkabelung im laufenden Geschäftsbetrieb so vorgenommen werden kann, dass der Geschäftsbetrieb möglichst wenig gestört wird.

Zuletzt aktualisiert: 09.06.2016

Seite 22 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

INF.4.M17 Verkabelung von Serverräumen Auch und gerade in Serverräumen und Rechenzentren müssen die Grundsätze der strukturierten Verkabelung nach EN 50173-1 "Informationstechnik - Anwendungsneutrale Kommunikationskabelanlagen - Teil 1: Allgemeine Anforderungen" beachtet werden. Eine speziell für Rechenzentren erarbeitete Erweiterung EN 50173-5 ist als Normerschienen. Die Umsetzung der Anforderungen der Norm wird damit für den Anwender erleichtert. Die Anforderungen aus dem vorhandenen oder geplanten Netzkonzept der Institution bilden die Grundlage für die Strukturierung der IT-Verkabelung in Serverräumen und Rechenzentren. Die Struktur legt fest, wie die Server vernetzt werden und wie sie an das LAN, an externe Netze und an Provider angebunden werden. In der Institution eingesetzte oder geplante betriebsunterstützende Systeme, wie z. B. Terminalserver, KVMSwitches und SAN/NAS (Storage Area Network, Network Attached Storage), sind vorausschauend zu berücksichtigen. Die Grundlagen für die Struktur der so genannten Access- und Konzentrationsbereiche der IT-Verkabelung in Analogie zu den Gebäudestrukturen mit Etagenverteilern und Gebäudeverteilern sind damit festgelegt. In größeren Installationen werden häufig Gruppen von Schränken, in denen Server aufgestellt sind, einem "Netzschrank" zugeordnet. Zwischen Netzschränken und den zugeordneten Serverschränken wird eine feste Verkabelung oder eine spezielle Systemverkabelung für Serverräume verlegt. Die Netzschränke wiederum sind untereinander nach Anforderung der Institution verbunden. Um die Fläche des Serverraums bzw. Rechenzentrums bestmöglich zu nutzen, ist es erforderlich, ein auf die Anforderungen abgestimmtes Raumlayout zu entwickeln. In diesem Raumlayout sind die benötigten Flächen für die Schränke mit den Systemen, die die Institution betreibt (neben Servern auch Speichersysteme und aktive und passive Netzkomponenten), mit Reserven für die Zukunft zu gliedern. Es müssen dabei Sicherheitsaspekte wie die Anordnung der Fluchtwege, Betriebsaspekte wie die Anordnung der Transportwege und auch klimatechnische Gesichtspunkte berücksichtigt werden. Auf dieser Grundlage kann die Planung der elektrotechnischen Versorgung und der Trassenführung erfolgen. Die Verwendung eines hochbelastbaren Doppelbodens ist für Serverräume und Rechenzentren zu empfehlen. Wird der Doppelboden in die Luftführung der Schrankklimatisierung mit einbezogen, so sind die Trassensysteme zu berücksichtigen. Durch viele querende Trassen zwischen Frischluftzuführung in den Doppelböden und weiter entfernt davon stehenden Schränken, die eine hohe Wärmelast aufweisen, können "Wärmenester" entstehen. Obwohl die Klimaleistung für den Raum ausreichend bemessen ist, erhalten einige Schränke und die darin stationierten IT-Komponenten zu wenig gekühlte Luft. Das birgt die Gefahr von Ausfällen von Servern oder aktiven Netzkomponenten durch Überhitzung. Zudem ist unbedingt auf eine nicht staubende Versiegelung des Estrichs bzw. Rohfussbodens zu achten. Es ist zu empfehlen, so umfassend wie möglich fest zu verkabeln. Dies fördert eine fachgerechte Belegung der Trassensysteme im Doppelboden oder unter der Decke. Server sollten möglichst nicht mit Patchkabeln ohne zusätzliche Trassensysteme an zentral im Raum stationierte Server-Switches angeschlossen werden, auch wenn diese Verkabelungsart in der Praxis häufig angewandt wird. Eine solche "fliegende Verkabelung" ist besonders bei Nachverkabelungen gefährdet. Auf die Anforderungen der Institution abgestimmte Schranksysteme, in denen Systeme zur Kabelführung und Überlängenablage vormontiert sind, erlauben eine übersichtliche und wartungsfreundliche Kabelführung im Schrank. Auch wenn nur wenige Schränke vernetzt werden, ist es zweckmäßig, in den Schranksystemen Patchfelder für den Anschluss der Server und eine feste Verbindung dieser Patchfelder an den Netzknoten im Serverraum zu installieren. Wenn eine Neukonzeption ansteht, ist es zum Beispiel zu erwägen, pro Schrank ein Patchfeld für Kupferkabel der Kategorie 6 oder 7 (CAT-6 oder CAT-7, tauglich für 10 Gigabit-Anschluss) und gegebenenfalls zusätzlich ein LWL-Patchfeld vorzurüsten. Letzteres kann beispielsweise zum Anschluss der Server an Speichernetze dienen. Selbstverständlich ist die Vorrüstung von Schränken auf die Planungen der Institution abzustimmen. Zuletzt aktualisiert: 09.06.2016

Seite 23 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Wenn keine baulichen Gründe dagegen sprechen, ist in vielen Fällen eine Kabelführung über Trassen, die unter der Decke des Serverraums verlaufen, der Kabelführung durch den Doppelboden vorzuziehen. Insbesondere wenn der Doppelboden der Klimatisierung dient, kann eine Doppelboden-Verkabelung die Führung der benötigten Kühlluft beeinträchtigen. Außerdem birgt die Verlegung der Kabel im Doppelboden erfahrungsgemäß die erhöhte Gefahr, dass nicht mehr benötigte Kabel nicht entfernt werden. Bei einer Verlegung der Kabel in gut zugänglichen Deckentrassen ist das Entfernen alter Kabel in der Regel deutlich einfacher.

INF.4.M18 Auswahl einer geeigneten Netz-Topologie In der Informationstechnik wird zwischen der physischen und logischen Netztopologie unterschieden. Die physische und die logische Topologie eines Netzes sind nicht notwendigerweise miteinander identisch. Die physische Topologie beschreibt die Anordnung der Geräte und die Führung der Kabel, um die Geräte physisch miteinander zu verbinden. Bei der logischen Netztopologie handelt es sich um die Zuordnung von Datenflüssen. Sie beschreibt, wie die Daten im Netz übertragen werden und kann durch die Konfiguration der aktiven Netzkomponenten fast beliebig gestaltet werden. Durch virtuelle lokale Netze (VLANs) und Virtualisierung lassen sich zusätzliche logische Strukturen in Netzen bilden. Im Nachfolgenden wird die physische Netztopologie, also die Führung der Kabel und die Platzierung der Verteiler im Gebäude eingehender behandelt. Die physische Topologie orientiert sich naturgemäß fast immer an den räumlichen Verhältnissen, unter denen das Netz aufgebaut wird. Dies sind unter anderem: •

Standorte der Netzteilnehmer,

•

verfügbarer Platz für Trassen und Kabel,

•

erforderliche Kabeltypen,

• Anforderungen an den Schutz von Kabeln. Im Allgemeinen werden zwei Grundformen der Netztopologie unterschieden: der Stern und der Bus. Als Erweiterungen lassen sich aus dem Stern eine baumförmige Struktur und aus dem Bus eine ringförmige Struktur ableiten. Von praktischer Bedeutung bei Neukonzeption und Nachrüstung von IT-Verkabelungen in Gebäuden sind vor allem die Stern- und die Baumstruktur. Nachfolgend werden die Vor- und Nachteile möglicher Topologien aufgeführt. Weitere denkbare Topologien, die an dieser Stelle nicht genannt sind, können als Spezialfall der betrachteten Strukturen aufgefasst werden. Stern Bei einem Stern sind alle Teilnehmer des Netzes über eine dedizierte Leitung mit einem zentralen Knoten verbunden. Vor allem bei der "Collapsed Backbone"-Architektur, bei der ein (logischer) zentraler Switch alle Server und Endgeräte verbindet, wird ein Gebäude physisch sternförmig verkabelt. Diese Topologie bietet folgende Vorteile: •

Die Beschädigung einer Leitung beeinträchtigt nur den Betrieb des daran angeschlossenen Systems.

•

Änderungen der Zuordnung von Netzteilnehmern zum Anschlusspunkt am zentralen Knoten sowie Trennungen einzelner Teilnehmer lassen sich zentral durchführen.

•

Mit einer Sternverkabelung können alle denkbaren logischen Topologien nachgebildet werden.

•

Dem stehen folgende Nachteile der Stern-Topologie gegenüber:

•

Bei einem Ausfall des zentralen Knotens fallen alle angeschlossenen IT-Systeme aus.

•

Durch die Einzelanbindung jedes Teilnehmers an den zentralen Knoten ist ein hoher Verkabelungsaufwand erforderlich.

Zuletzt aktualisiert: 09.06.2016

Seite 24 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Durch die sternförmige Verkabelung können Reichweitenprobleme in Abhängigkeit vom verwendeten Kabeltyp und eingesetzten Protokoll auftreten. Zur Verlängerung der Reichweite können Verstärker (Repeater) eingesetzt werden. Das verwendete Protokoll gibt die Anzahl möglicher Verstärker je Anbindung sowie bei Parallelbetrieb in einem Kabel vor. Die dadurch zusätzlich entstehenden Investitions- und Betriebskosten sind in der Wirtschaftlichkeitsbetrachtung zu berücksichtigen und mit Alternativen zu vergleichen. Eine Alternative bei Reichweitenproblemen ist die Realisierung der Verkabelung in einer baumförmigen Struktur. Baum Eine Baumstruktur entsteht durch die Anbindung mehrerer Sterne an einen zentralen Knoten. Die an den dezentralen Netzknoten sternförmig angeschlossenen Netzteilnehmer werden zu Gruppen zusammengefasst. Die dezentralen Netzknoten sind wiederum über eine oder mehrere dedizierte Leitungen an einem zentralen Netzknoten zusammengeführt. Die Baum-Topologie bietet folgende Vorteile: •

Für den Anschluss der Systeme an die dezentralen Netzknoten gelten die selben Vorteile wie beim Stern.

•

Für neue Teilnehmer muss nur im Bereich des dezentralen Netzknotens neu verkabelt werden.

•

Bei entsprechender Auslegung der dezentralen Netzknoten ist ein Datenaustausch zwischen den Teilnehmern eines solchen Knotens auch bei einem Ausfall der anderen Knoten möglich.

•

Durch die Verbindung der dezentralen Knoten untereinander über eine Leitung reduziert sich der Verkabelungsaufwand.

•

Zur Überwindung großer Entfernungen zwischen den Knoten reicht die Verstärkung auf einer Leitung.

•

Für die Verbindung der Knoten ist der Einsatz hochwertigerer (meist teurerer) Kabel sinnvoll, mit denen auch größere Distanzen ohne zusätzliche Verstärkung überwunden werden können. Das bringt gegenüber den sonst notwendigen Verstärkern Vorteile in Bezug auf Ausfallsicherheit und unter Berücksichtigung von Investitions- und Betriebskosten häufig auch eine Kostenreduzierung. Die Baum-Topologie hat folgende Nachteile: •

Bei Störung eines Übergangs zu einem anderen dezentralen Netzknoten wird der Betrieb mit allen daran angeschlossenen Teilnehmern unterbrochen.

•

Die erforderliche Dokumentation und das Management der dezentralen Netzknoten ziehen unter Umständen einen erhöhten Gesamtaufwand für den Betrieb des Netzes nach sich. Typischer Anwendungsfall der Baum-Topologie ist die Anbindung aller Etagenverteiler eines Gebäudes (Tertiärverkabelung in Sterntopologie) an den Gebäudeverteiler (Sekundärverkabelung) einer Gebäudeverkabelung. Bei entsprechenden Redundanzanforderungen können Etagenverteiler auch an mehrere Gebäudeverteiler angeschlossen werden. Vermaschte Netztopologie in Stern- und Baumstruktur Die zusätzliche Verbindung von zentralen und bei entsprechender Anforderung auch dezentralen Netzknoten wird als Vermaschung bezeichnet. Hierdurch werden redundante Verbindungen aufgebaut, die zur Erhöhung der Ausfallsicherheit und Verfügbarkeit implementiert werden. Bus Bei einem Bus werden alle Netzteilnehmer an eine gemeinsame Leitung angeschlossen. Dies geschieht im Allgemeinen durch ein zentrales Kabel, an das mit Stichleitungen die einzelnen Teilnehmer angebunden werden. Neuere Kabeltypen und -spezifikationen unterstützen die bus-förmige Verkabelung nicht mehr. Diese

Zuletzt aktualisiert: 09.06.2016

Seite 25 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Topologie spielt bei Erstinstallation oder Modernisierung von IT-Verkabelungen keine Rolle mehr. Ring Der Ring ist aus topographischer Sicht ein Bus, dessen beide Enden miteinander verbunden sind. Eine Sonderform des Rings besteht in der doppelten Ausführung als Doppelring, wie sie z. B. bei FDDI Verwendung findet. Zwischenzeitlich in Vergessenheit geraten, gewinnt die ringförmigeTopologie bei Erstinstallation oder Modernisierung von IT-Verkabelungen zunehmend wieder an Bedeutung. Verkabelung kleinerer Gebäude Bei der Ausstattung kleinerer Gebäude ist eine sternförmige Verkabelung von einem zentralen Knoten zu erwägen. Voraussetzung ist, dass die IT-Verkabelung so geführt werden kann, dass jeder Endgeräteanschluss bei Verwendung von Kupferkabeln bis maximal 90 Meter entfernt liegt (gemäß EN 50173 für Anwendungsneutrale Kommunikationskabelanlagen). Gemäß ISO/IEC 11801 beträgt die Maximallänge bei Kupferkabel 90 m (inklusive Patch- und Anschlusskabel 100 m). Diese Maximallänge kann jedoch überschritten werden, wenn die geforderten elektrischen Übertragungsparameter eingehalten werden Wird diese Maximallänge überschritten, so ist nach Norm die Einhaltung der geforderten elektrischen Übertragungsparameter die führende Größe. Eine entsprechende Produktauswahl schafft hier Reserven für ein Überschreiten der maximal verlegbaren Längen. Eine möglichst separate Wegeführung zu allen Endgeräteanschlüssen erhöht die Ausfallsicherheit. Sind Endgeräteanschlüsse aufgrund der Entfernung oder starker elektrischer Störgrößen nicht mit Kupferverkabelung zu erschließen, finden Lichtwellenleiterkabel (LWL) Anwendung. Abhängig vom Übertragungsprotokoll und von der Faserqualität sind bei Multimode-LWL bis ca. 2 km überbrückbar. Je höher die Übertragungsbandbreite ist, desto kürzer ist die realisierbare Länge. Deutlich größere Reichweiten können bei entsprechender Anforderung durch den Einsatz von Singlemode-LWL erreicht werden. Verkabelung größerer Gebäude Bei der Verkabelung größerer Gebäude ist eine baumförmige Struktur angemessen. Vom zentralen Verteilpunkt (Gebäudeverteiler) werden sternförmig die Etagen oder Gebäudeabschnitte angebunden. Von den Technikräumen in den Etagen werden wiederum sternförmig die Endgeräte angebunden. Es ergibt sich somit ein zweistufiger Stern. Es sollte überlegt werden, die Topologie in Schichten zu unterteilen, wobei jeder Schicht, ähnlich wie beim OSI-Referenzmodell, konkrete Aufgaben zugewiesen werden. Bewährt hat sich in diesem Zusammenhang das sogenannte hierarchische Modell, bestehend aus Zugangsschicht, Verteilungsschicht und Kernschicht. Zugangsschicht Die Zugangsschicht dient dazu, Client-Systeme mit dem LAN der Institution zu verbinden. Hierzu werden typischerweise Layer-2-Switches, Wireless Access Points (WAPs) und Router (beispielsweise zur Einwahl in das LAN oder zur Anbindung von Außenstellen) eingesetzt. Es wird empfohlen, den Zugriff auf Netzressourcen bereits in der Zugangsschicht zu steuern, beispielsweise anhand der MAC-Adresse (Port Security). Verteilungsschicht Die Verteilungsschicht aggregiert den Verkehr aus den einzelnen Etagenverteilern und sollte daher aus leistungsfähigen Layer-3-Geräten (Router oder Multilayer Switches) bestehen. Abhängig vom Einsatzzweck können hier Zugriffskontrolllisten (Access Control Lists, ACLs) konfiguriert werden. Weiterhin sollten die Ergebnisse der Datenflussanalyse berücksichtigt werden, um die Verteilungsschicht angemessen dimensionieren zu können. Kernschicht Die Kernschicht stellt die Verbindung sowohl zwischen den Gebäuden untereinander als auch mit der Zuletzt aktualisiert: 09.06.2016

Seite 26 von 27

IT-Grundschutz | INF.4 IT-Verkabelung

Außenwelt her. Ihre primäre Aufgabe ist es, große Datenmengen schnell weiterleiten zu können. Sie sollte daher aus sehr leistungsstarken Layer-3-Geräten bestehen und den Ergebnissen der Datenflussanalyse enstprechend ausgelegt werden. Um die Ausfallsicherheit zu erhöhen, ist es zu empfehlen, für eine einfache Redundanz die Kernschicht mit redundanten Layer-3-Geräten zu realisieren. Es ist darauf zu achten, dass die Verkabelung auf separaten Trassen zu den Etagen oder Gebäudeabschnitten geführt wird. Ferner ist die Vermaschung der Gebäudeverteiler anzustreben, um Außenanbindungen z. B. von Carrierleitungen einfach auf beiden Gebäudeverteilern einzuspeisen.

4 4.1 Literatur Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich IT-Verkabelung finden sich unter anderem in folgenden Veröffentlichungen: [DIN4102]

DIN 4102:2016-05 – Brandverhalten von Baustoffen und Bauteilen, Beuth Verlag

[DIN41494]

DIN 41494 - Bauweisen für elektronische Einrichtungen, Beuth Verlag

[EN50173]

EN 50173:2007– Informationstechnik - Anwendungsneutrale Kommunikationskabelanlagen, Beuth Verlag

[EN50174] EN 50174:2009 – Informationstechnik - Installation von Kommunikationsverkabelung, Beuth Verlag [EN50310] EN 50310:2010 – Anwendung von Maßnahmen für Erdung und Potentialausgleich in Gebäuden mit Einrichtungen der Informationstechnik, VDE Verlag [EN50346]

EN 50346:2010 – Prüfung installierter Verkabelung, Beuth Verlag

[IEC60297]

DIN IEC 60297 – Bauweisen für elektronische Einrichtungen, Beuth Verlag

[IEC60364]

IEC 60364 – Einrichten von Niederspannungsanlagen, Beuth Verlag

[IEEE8023] IEEE 802.3 – Standards in Lokalen Netzen, CSMA/CD, Ethernet Working Group http://www.ieee802.org/3/ [ISO11801]

ISO/IEC 11801:2010 - Informationstechnik - Anwendungsneutrale Standortverkabelung,

[VDE100]

DIN VDE 0100 – Bestimmung für das Errichten von Starkstromanlagen mit Notspannungen bis 1000V, VDE Verlag

Mit dem IT-Grundschutz publiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen zur Informationssicherheit. Kommentare und Hinweise können von Lesern an [email protected] gesendet werden.

Zuletzt aktualisiert: 09.06.2016

Seite 27 von 27