Verkabelung
Verkabelung
Verkabelung
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
2<br />
5<br />
7 8<br />
0<br />
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
4.2 <strong>Verkabelung</strong><br />
Beschreibung<br />
Die <strong>Verkabelung</strong> von IT-Systemen umfaßt alle<br />
Kabel und passiven Komponenten (Rangier-/<br />
Spleißverteiler) der Netze vom evtl. vorhandenen<br />
Übergabepunkt aus einem Fremdnetz (Telefon,<br />
ISDN) bis zu den Anschlußpunkten der<br />
Netzteilnehmer. Aktive Netzkomponenten<br />
(Repeater, Sternkoppler, Bridges etc.) sind nicht<br />
Bestandteil dieses Kapitels.<br />
230 V<br />
P<br />
Gefährdungslage<br />
Für den IT-Grundschutz der <strong>Verkabelung</strong> werden folgende typische Gefährdungen angenommen:<br />
Höhere Gewalt<br />
- G 1.6 Kabelbrand<br />
Organisatorische Mängel<br />
- G 2.11 Unzureichende Trassendimensionierung<br />
- G 2.12 Unzureichende Dokumentation der <strong>Verkabelung</strong><br />
- G 2.13 Unzureichend geschützte Verteiler<br />
- G 2.32 Unzureichende Leitungskapazitäten<br />
Menschliche Fehlhandlungen<br />
- G 3.4 Unzulässige Kabelverbindungen<br />
- G 3.5 Unbeabsichtigte Leitungsbeschädigung<br />
Technisches Versagen<br />
- G 4.4 Leitungsbeeinträchtigung durch Umfeldfaktoren<br />
- G 4.5 Übersprechen<br />
- G 4.21 Ausgleichsströme auf Schirmungen<br />
Vorsätzliche Handlungen<br />
- G 5.7 Abhören von Leitungen<br />
- G 5.8 Manipulation an Leitungen<br />
Maßnahmenempfehlungen<br />
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel<br />
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.<br />
Nachfolgend wird das Maßnahmenbündel für den Bereich "<strong>Verkabelung</strong>" vorgestellt:<br />
Infrastruktur<br />
- M 1.9 (1) Brandabschottung von Trassen<br />
- M 1.20 (3) Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht (bei<br />
<strong>Verkabelung</strong> neuer Netze)<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 1
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
- M 1.21 (2) Ausreichende Trassendimensionierung (bei <strong>Verkabelung</strong> neuer Netze)<br />
- M 1.22 (3) Materielle Sicherung von Leitungen und Verteilern (optional)<br />
- M 1.39 (3) Verhinderung von Ausgleichsströmen auf Schirmungen<br />
Organisation<br />
- M 2.19 (2) Neutrale Dokumentation in den Verteilern<br />
- M 2.20 (3) Kontrolle bestehender Verbindungen (optional)<br />
Kommunikation<br />
- M 5.1 (3) Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen<br />
- M 5.2 (2) Auswahl einer geeigneten Netz-Topographie (bei <strong>Verkabelung</strong> neuer Netze)<br />
- M 5.3 (2) Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht (bei<br />
<strong>Verkabelung</strong> neuer Netze)<br />
- M 5.4 (2) Dokumentation und Kennzeichnung der <strong>Verkabelung</strong><br />
- M 5.5 (2) Schadensmindernde Kabelführung (bei <strong>Verkabelung</strong> neuer Netze)<br />
Notfallvorsorge<br />
- M 6.18 (3) Redundante Leitungsführung (optional)<br />
r<br />
Teil 1 - Kapitel 4.2 - Seite 2 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
G 1.6<br />
Kabelbrand<br />
Wenn ein Kabel in Brand gerät, sei es durch Selbstentzündung oder durch Beflammung, hat dies<br />
verschiedene Folgen:<br />
- Die Verbindung kann unterbrochen werden.<br />
- Es können sich aggressive Gase entwickeln.<br />
- An Kabeln, deren Isolationsmaterial nicht flammwidrig bzw. selbstverlöschend ist, kann<br />
sich ein Feuer ausbreiten. Selbst Brandabschottungen verhindern dies nicht vollständig, sie<br />
verzögern die Ausbreitung.<br />
- Bei dicht gepackten Trassen kann es zu Schwelbränden kommen, die über längere Zeit<br />
unentdeckt bleiben und so zur Ausbreitung des Feuers führen, lange bevor es offen ausbricht.<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 3
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
G 2.11<br />
Unzureichende Trassendimensionierung<br />
Bei der Planung von Netzen wird oft der Fehler begangen, die Kapazitätsauslegung ausschließlich<br />
am aktuellen Stand zu orientieren. Dabei wird übersehen<br />
- Erweiterungen eines Netzes nicht auszuschließen sind,<br />
- die Kapazität eines Netzes aufgrund steigenden Datenvolumens erweitert werden muß,<br />
- neue Forderungen an das Netz die Verlegung anderer Kabel erforderlich machen.<br />
Eine Erweiterung des Netzes ist nur in dem Umfang möglich, wie es die vorhandenen, verlegten<br />
Kabel zulassen oder der zur Verfügung stehende Platz für zusätzliche Kabel erlaubt. Gerade in<br />
geschlossenen Trassen (Rohre, estrichüberdeckte Fußbodenkanäle etc.) ist es trotz noch<br />
vorhandenen Platzes oft nicht möglich, zusätzliche Kabel einzuziehen, ohne neue und alte Kabel<br />
zu beschädigen. Als Ausweg bleibt dann nur, die vorhandenen Kabel aus der Trasse<br />
herauszuziehen und alle Kabel, die alten und die neuen, gleichzeitig neu einzuziehen. Die dadurch<br />
entstehenden Betriebsbeeinträchtigungen und Kosten sind beträchtlich.<br />
Teil 1 - Kapitel 4.2 - Seite 4 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
G 2.12<br />
Unzureichende Dokumentation der <strong>Verkabelung</strong><br />
Ist aufgrund unzureichender Dokumention die genaue Lage von Leitungen nicht bekannt, so kann<br />
es bei Bauarbeiten außerhalb oder innerhalb eines Gebäudes zu Beschädigungen von Leitungen<br />
kommen. Dabei kann es zu längeren Ausfallzeiten oder unter Umständen sogar zu<br />
lebensbedrohenden Gefahren, z. B. durch Stromschlag, kommen.<br />
Eine unzureichende Dokumentation erschwert zudem Prüfung, Wartung und Reparatur von<br />
Leitungen sowie Rangierungen, wie sie z. B. bei Änderungen im Endgeräte-Bereich (Umzug,<br />
Neuzugang) erforderlich werden.<br />
Beispiel: In einer größeren Behörde wurde die <strong>Verkabelung</strong> der IT durch eine externe Firma<br />
vorgenommen. Die Anfertigung einer Dokumentation war im Leistungsumfang nicht<br />
enthalten. Da nach Fertigstellung der <strong>Verkabelung</strong> mit der Firma kein Wartungsvertrag<br />
abgeschlossen wurde, verfügte die Behörde nicht über die notwendige Dokumentation.<br />
Erweiterungen des Netzes konnten nur mit erheblichen Verzögerungen vorgenommen<br />
werden.<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 5
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
G 2.13<br />
Unzureichend geschützte Verteiler<br />
Verteiler des Stromversorgungsnetzes sind vielfach frei zugänglich und unverschlossen in Fluren<br />
oder Treppenhäusern untergebracht. Somit ist es jedermann möglich, diese Verteiler zu öffnen,<br />
Manipulationen vorzunehmen und ggf. einen Stromausfall herbeizuführen.<br />
Teil 1 - Kapitel 4.2 - Seite 6 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
G 2.32<br />
Unzureichende Leitungskapazitäten<br />
Bei der Planung von Netzen wird oft der Fehler begangen, die Kapazitätsauslegung ausschließlich<br />
am aktuellen Bedarf vorzunehmen. Dabei wird übersehen, daß die Kapazitätsanforderungen an<br />
das Netz stetig steigen, z. B. wenn neue IT-Systeme in das Netz integriert werden oder das<br />
übertragene Datenvolumen zunimmt.<br />
Wenn die Kapazität des Netzes nicht mehr ausreicht, wird die Übertragungsgeschwindigkeit und<br />
ggf. auch die Erreichbarkeit im Netz für alle Benutzer stark eingeschränkt. Beispielsweise werden<br />
Dateizugriffe auf entfernten IT-Systemen erheblich verzögert, wenn gleichzeitig das Netz von<br />
anderen Benutzern stark in Anspruch genommen wird, wie durch das Verschieben von großen<br />
Dateien von einem IT-System zum anderen.<br />
Beispiel: Eine verteilte Organisation baut für die Datenkommunikation ein Netz über ISDN-S o -<br />
Verbindungen auf. Nach Einführung eines graphisch orientierten, firmeneigenen Intranet<br />
kommt die Datenkommunikation fast zum Stillstand. Erst das Umstellen auf S 2M -<br />
Übertragungswege schafft die nötige Übertragungskapazität.<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 7
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
G 3.4<br />
Unzulässige Kabelverbindungen<br />
Hauptursache unzulässiger Verbindungen ist neben technischen Defekten die fehlerhafte <strong>Verkabelung</strong>,<br />
z. B. bei der Belegung von Rangier- und Spleißverteilern. Ungenaue Dokumentation<br />
und unzureichende Kabelkennzeichnung führen häufig zu versehentlichen Fehlbelegungen und<br />
erschweren das Erkennen von absichtlichen Fehlbelegungen.<br />
Durch unzulässige Verbindungen können Informationen zusätzlich oder ausschließlich zu falschen<br />
Empfängern übertragen werden. Die normale Verbindung kann gestört werden.<br />
Teil 1 - Kapitel 4.2 - Seite 8 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
G 3.5<br />
Unbeabsichtigte Leitungsbeschädigung<br />
Je ungeschützter ein Kabel verlegt ist, desto größer ist die Gefahr einer unbeabsichtigten<br />
Beschädigung. Die Beschädigung führt nicht unbedingt sofort zu einem Ausfall von Verbindungen.<br />
Auch die zufällige Entstehung unzulässiger Verbindungen ist möglich. Typische Beispiele<br />
für solche Beschädigungen sind:<br />
Im Innenbereich:<br />
- Herausreißen der Geräteanschlußleitung mit dem Fuß bei "fliegender" Verlegung,<br />
- Beschädigung unter Putz verlegter Leitungen durch Bohren oder Nageln,<br />
- Eindringen von Wasser in Fensterbank-Kanäle,<br />
- Eindringen von Wasser in Fußbodenkanäle bei der Gebäudereinigung,<br />
- Beschädigung auf Putz oder Estrich verlegter Leitungen beim Transport sperriger und<br />
schwerer Gegenstände.<br />
Im Außenbereich:<br />
- Beschädigung bei Tiefbauarbeiten, sowohl durch Handschachtung als auch durch Bagger,<br />
- Eindringen von Wasser in Erdtrassen/Erdkabel,<br />
Beispiel: In einer Fußgängerzone hatte es sich die Putzfrau eines kleinen Geschäftes zu Angewohnheit<br />
gemacht, das gebrauchte Putzwasser in den direkt vor der Ladentür befindlichen<br />
Revisionsschacht einer Post-Kabeltrasse zu schütten. Das Wasser verdunstete zwar mit der<br />
Zeit immer wieder, der Schmutz- und Seifenanteil jedoch lagerte sich auf den Kabeln ab<br />
und mußte für Arbeiten daran erst mühsam und zeitaufwendig entfernt werden.<br />
- Beschädigung von Kabeln durch Nagetiere,<br />
- Beschädigung von Trassen und Kabeln durch Wurzeln (Baumwurzeln besitzen genug<br />
Kraft, um Kabel abzuquetschen),<br />
- Beschädigung durch Überschreitung zulässiger Verkehrslasten (Rohre können brechen,<br />
Kabel können abscheren).<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 9
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
G 4.4<br />
Leitungsbeeinträchtigung durch Umfeldfaktoren<br />
Die Übertragungseigenschaften von Kabeln mit elektrischer Signalübertragung können durch<br />
elektrische und magnetische Felder negativ beeinflußt werden. Ob dies zu einer tatsächlichen<br />
Störung der Signalübertragung führt, hängt im wesentlichen von drei Faktoren ab:<br />
- Frequenzbereich, Stärke und Dauer der Einwirkung,<br />
- Abschirmung des Kabels und<br />
- Schutzmaßnahmen bei der Datenübertragung (Redundanz, Fehlerkorrektur).<br />
Viele Beeinträchtigungen lassen sich im Vorfeld erkennen:<br />
- Entlang von Starkstromtrassen und im Bereich großer Motoren entstehen starke induktive<br />
Felder (Eisenbahn, Produktionsbetrieb, Aufzug),<br />
- Im Bereich von Sendeeinrichtungen existieren elektromagnetische Felder (Rundfunk,<br />
Polizei/Feuerwehr, Betriebsfunk, Personensuchanlagen, Funknetze),<br />
- Mobiltelefone ("Handys") überschreiten durch ihre Sendeleistung (2 bis 4 Watt) die Störempfindlichkeit<br />
vieler IT-Systeme,<br />
- Kabel beeinflussen sich gegenseitig durch wechselseitige Induktion.<br />
Unabhängig von den rein elektrischen oder magnetischen Einflüssen können weitere Umfeldfaktoren<br />
auf ein Kabel wirken:<br />
- hohe Temperaturen (in der Prozesssteuerung),<br />
- aggressive Gase und<br />
- hohe mechanische Belastungen (z. B. bei provisorischer Verlegung auf dem Fußboden oder<br />
Leitungen zu beweglichen Geräten).<br />
Teil 1 - Kapitel 4.2 - Seite 10 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
G 4.5<br />
Übersprechen<br />
Übersprechen ist eine spezielle Form der Leitungsbeeinträchtigung. Dabei wird die Störung nicht<br />
allgemein im Umfeld, sondern durch Ströme und Spannungen von Signalen erzeugt, die auf eine<br />
benachbarte Leitung übertragen werden. Die Stärke dieses Effektes ist vom Kabelaufbau<br />
(Abschirmung, Kabelkapazität, Isolationsgüte) und von den elektrischen Parametern bei der<br />
Informationsübertragung (Strom, Spannung, Frequenz) abhängig.<br />
Nicht jede Leitung, die durch Übersprechen beeinflußt wird, muß ihrerseits auch andere beeinflussen.<br />
Bekannt ist dies aus dem Telefonnetz. Dort sind Gespräche anderer Netzteilnehmer zu<br />
hören. Diese reagieren aber auf die Aufforderung "aus der Leitung zu gehen" oft deswegen nicht,<br />
weil das Übersprechen nur in eine Richtung geschieht. Das Prüfen eigener Leitungen auf<br />
eingekoppelte Fremdsignale gibt keine Auskunft darüber, ob die eigenen Signale auf andere<br />
Leitungen übersprechen und somit dort abhörbar sind.<br />
Der wesentliche Unterschied zu anderen Leitungsstörungen ist der, daß neben der Störung der<br />
Signalübertragung auf benachbarten Leitungen durch Übersprechen auswertbare Informationen<br />
auf fremden Leitungen zur Verfügung stehen können.<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 11
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
G 4.21<br />
Ausgleichsströme auf Schirmungen<br />
Werden IT-Geräte, die über ein TN-C-Netz elektrisch versorgt werden, durch Datenleitungen mit<br />
beidseitig aufgelegtem Schirm miteinander verbunden, kann es zu Ausgleichsströmen auf dem<br />
Schirm kommen (eine erläuternde Zeichnung findet man in M 1.39 Verhinderung von<br />
Ausgleichsströmen auf Schirmungen).<br />
Ursache dafür ist die Eigenart des TN-C-Netzes, daß bei ihm Schutz- (PE-) und Neutral- (N-)<br />
Leiter bis zu den einzelnen Verteilungen gemeinsam als PEN-Leiter geführt werden. Erst in der<br />
Verteilung erfolgt die Aufteilung in N-Leiter und PE-Leiter. Diese Installation ist gemäß VDE<br />
0100 zulässig!<br />
Werden die mit PE verbundenen Schnittstellen-Schirmungen von Geräten, die an verschiedenen<br />
Verteilungen angeschlossen sind, durch geschirmte Datenleitungen miteinander verbunden,<br />
kommt es zu einer Parallelschaltung des PEN-Leiters zwischen den Verteilungen und der<br />
Schirmung zwischen den Schnittstellen. Der dadurch über die Schirmung fließende Ausgleichsstrom<br />
kann zu Schäden an den Schnittstellen und zu Personengefährdungen bei Arbeiten<br />
an den Datenleitungen führen.<br />
Zwischen Geräten, die in einem TN-C-Netz an der gleichen Verteilung oder zwischen Geräten,<br />
die in einem TN-S-Netz - auch an verschiedenen Verteilungen - angeschlossen sind, fließen keine<br />
Ausgleichsströme über die Schirmung von Datenleitungen.<br />
Bei TN-CS-Netzen sind einige Teilbereiche als TN-C-Netz, andere als TN-S-Netz ausgeführt.<br />
Solange Datenleitungen mit beidseitig aufgelegtem Schirm nur jeweils innerhalb gleichartiger<br />
Teilbereiche geführt werden, gelten dort die gleichen Verhältnisse wie in den jeweiligen Netzen.<br />
Werden jedoch IT-Geräte aus unterschiedlichen Bereichen über Datenleitungen mit beidseitig<br />
aufgelegter Schirmung verbunden, können auch im TN-S-Bereich Ausgleichsströme fließen!<br />
Teil 1 - Kapitel 4.2 - Seite 12 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
G 5.7<br />
Abhören von Leitungen<br />
Wegen des geringen Entdeckungsrisikos ist das Abhören von Leitungen eine nicht zu vernachlässigende<br />
Gefährdung der IT-Sicherheit. Grundsätzlich gibt es keine abhörsicheren Kabel.<br />
Lediglich der erforderliche Aufwand zum Abhören unterscheidet die Kabel. Ob eine Leitung<br />
tatsächlich abgehört wird, ist nur mit hohem meßtechnischen Aufwand feststellbar.<br />
Der Entschluß, eine Leitung abzuhören, wird im wesentlichen durch die Frage bestimmt, ob die<br />
Informationen den technischen (kostenmäßigen) Aufwand und das Risiko der Entdeckung wert<br />
sind. Die Beantwortung dieser Frage ist sehr von den individuellen Möglichkeiten und Interessen<br />
des Angreifers abhängig. Somit ist eine sichere Festlegung, welche Informationen und damit<br />
Leitungen ggf. abgehört werden, nicht möglich.<br />
Beispiele:<br />
- So ist es z. B. falsch anzunehmen, daß per Electronic Mail versandte Nachrichten mit<br />
klassischen Briefen vergleichbar sind. Da Mails während ihres gesamten Weges durch das<br />
Netz gelesen werden können, ist ein Vergleich mit Postkarten sehr viel realistischer.<br />
- Einige Hersteller liefern Programme (Sniffer), die zum Debuggen der Netze dienen, aber<br />
auch zum Abhören benutzt werden können, schon zusammen mit ihren Betriebssystemen<br />
aus.<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 13
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
G 5.8<br />
Manipulation an Leitungen<br />
Neben dem Abhören von Leitungen (siehe G 5.7 Abhören von Leitungen) kann eine Manipulation<br />
an Leitungen noch andere Ziele haben:<br />
- Frustrierte Mitarbeiter manipulieren Leitungen so, daß es zu unzulässigen Verbindungen<br />
innerhalb und außerhalb der eigenen IT kommt. Dabei geht es oft nur darum, den IT-<br />
Betrieb zu stören.<br />
- Leitungen können so manipuliert werden, daß eine private Nutzung zu Lasten des Netzbetreibers<br />
erfolgen kann. Neben den dadurch entstehenden Kosten bei der Nutzung<br />
gebührenpflichtiger Verbindungen werden Leitungen und Ressourcen durch die private<br />
Nutzung blockiert.<br />
- Durch die Manipulation von Leitungen kann es möglich werden, darauf übertragene Daten<br />
zum Vorteil des Täters zu verändern. Insbesondere bei kassenwirksamen Verfahren, in der<br />
Lohnbuchhaltung und bei allen IT-Anwendungen, die sich direkt oder indirekt mit der<br />
Verwaltung von Sachwerten befassen, können sich durch Manipulationen hohe Schäden<br />
ergeben.<br />
Teil 1 - Kapitel 4.2 - Seite 14 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
M 1.9<br />
Verantwortlich für Initiierung:<br />
Brandabschottung von Trassen<br />
Leiter Haustechnik, Brandschutzbeauftragter<br />
Verantwortlich für Umsetzung: Haustechnik, Brandschutzbeauftragter<br />
Bei Gebäuden mit mehreren Brandabschnitten läßt es sich kaum vermeiden, daß Trassen durch<br />
Brandwände und Decken führen. Die Durchbrüche sind nach Verlegung der Leitungen entsprechend<br />
dem Brandwiderstandswert der Wand bzw. Decke zu schotten. Um die Nachinstallation zu<br />
erleichtern, können geeignete Materialien (z. B. Brandschutzkissen) verwendet werden. Entsprechende<br />
VdS-Richtlinien sind zu beachten.<br />
Negativbeispiel: In einem mehrgeschossigen Bürogebäude in Bonn wurden verschiedene Netze<br />
über eine gemeinsame Steigetrasse aus dem Keller bis in das oberste Geschoß geführt. Alle<br />
Deckendurchbrüche waren mit reichlich Reserve hergestellt, nach Verlegung der Leitungen<br />
allerdings nicht wieder verschlossen worden. Im Keller wurden im Bereich des<br />
Trassenbeginns große Papier- und Stoffmengen gelagert. Die direkt darüber beginnende<br />
Steigetrasse hätte im Brandfall wie ein Kamin gewirkt. Rauch und Feuer hätten sich in<br />
kürzester Zeit über alle Etagen ausgebreitet.<br />
Ergänzende Kontrollfragen:<br />
- Wurde bei der Trassenplanung der für den Brandschutz Zuständige hinzugezogen<br />
- Wurden mögliche Alternativen der Trassenführung geprüft<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 15
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
M 1.20<br />
Verantwortlich für Initiierung:<br />
Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer<br />
Sicht<br />
Verantwortlich für Umsetzung: Haustechnik<br />
Netzplaner, Leiter Haustechnik, IT-Sicherheitsmanagement<br />
Bei der Auswahl von Kabeln ist neben der Berücksichtigung von übertragungstechnischen Notwendigkeiten<br />
das Umfeld, in dem die Kabel verlegt werden sollen, zu beachten. Für die meisten<br />
Verlegebedingungen gibt es Kabel mit entsprechenden Qualitäten. Die wichtigsten sind hier<br />
zusammengestellt:<br />
- Innen- bzw. Außenkabel,<br />
- längswassergeschütztes Kabel für Feucht- oder Naßbereiche,<br />
- zugentlastete Kabel für Freileitungen und extreme Steigungen,<br />
- funktionserhaltende Kabel in feuergefährdeten Bereichen,<br />
- geschirmte Kabel für Bereiche mit starken elektrischen und induktiven Störfeldern,<br />
- gepanzerte Kabel für Fälle, in denen ein ausreichender mechanischer Schutz auf andere<br />
Weise nicht realisierbar ist, z. B. bei der provisorischen Verlegung auf Boden und Wänden.<br />
Ergänzende Kontrollfragen:<br />
- Wurde bei der Kabelauswahl der für die Betriebstechnik Zuständige über bekannte oder zu<br />
erwartende widrige Umfeldbedingungen befragt<br />
- Wurden möglich Alternativen der Kabelführung geprüft<br />
Teil 1 - Kapitel 4.2 - Seite 16 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
M 1.21<br />
Verantwortlich für Initiierung:<br />
Ausreichende Trassendimensionierung<br />
Verantwortlich für Umsetzung: Haustechnik<br />
Netzplaner, Leiter Haustechnik, Leiter IT<br />
Kabeltrassen (z. B. Fußbodenkanäle, Fensterbankkanäle, Pritschen, Rohrtrassen im Außenbereich)<br />
sind ausreichend zu dimensionieren, d. h., daß einerseits genügend Platz vorhanden ist, um<br />
evtl. notwendige Erweiterungen des Netzes vornehmen zu können. Andererseits sind zur<br />
Verhinderung des Übersprechens (gegenseitige Beeinflussung von Kabeln) ggf. Mindestabstände<br />
zwischen Kabeln einzuhalten.<br />
Ist es aus unterschiedlichen Gründen nicht möglich, Trassen sofort mit ausreichenden Reserven<br />
zu errichten, sollte zumindest darauf geachtet werden, daß im Bereich der Trassenführung Platz<br />
ist, um Erweiterungen unterzubringen. Bei der Auslegung von Wand- und Deckendurchbrüchen<br />
erspart dies spätere lärm-, schmutz- und kostenintensive Arbeiten.<br />
Diese Maßnahme kann ersetzt werden durch die Auswahl anderer Kabeltypen (M 2.20 Kontrolle<br />
bestehender Verbindungen und M 5.3 Auswahl geeigneter Kabeltypen unter<br />
kommunikationstechnischer Sicht). Durch Verwendung weniger hochadriger Kabel kann<br />
gegenüber vielen kleinen Kabeln Platz eingespart werden. Durch den Einsatz von geschirmten<br />
Kabeln oder Lichtwellenleitern kann Übersprechen verhindert werden.<br />
Ergänzende Kontrollfragen:<br />
- Wurde die Möglichkeit geprüft, durch die Auswahl anderer Kabel Platz zu sparen und<br />
Übersprechen zu verhindern<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 17
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
M 1.22<br />
Verantwortlich für Initiierung:<br />
Materielle Sicherung von Leitungen und Verteilern<br />
Verantwortlich für Umsetzung: Haustechnik<br />
Netzplaner, Leiter Haustechnik, Leiter IT<br />
In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes kann es<br />
sinnvoll sein, Leitungen und Verteiler zu sichern. Dies kann auf verschiedene Weise erreicht<br />
werden:<br />
- Verlegung der Leitungen unter Putz,<br />
- Verlegung der Leitungen in Stahlpanzerrohr,<br />
- Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen,<br />
- Verschluß von Verteilern und<br />
- bei Bedarf zusätzlich elektrische Überwachung von Verteilern und Kanälen.<br />
Bei Verschluß sind Regelungen zu treffen, die die Zutrittsrechte, die Verteilung der Schlüssel und<br />
die Zugriffsmodalitäten (was muß der Berechtigte ggf. vor dem Zugriff auf Leitungen tun)<br />
festlegen.<br />
Teil 1 - Kapitel 4.2 - Seite 18 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
Ergänzende Kontrollfragen:<br />
- Wurde die Zahl der Stellen, an denen das Kabel zugänglich ist, auf ein Mindestmaß reduziert<br />
- Wurde die Länge zu schützender Verbindungen möglichst klein gehalten<br />
- Werden Zutrittsrechte restriktiv vergeben Werden Personalwechsel und Vertretungsfälle<br />
dabei berücksichtigt<br />
- Werden Zutrittsrechte regelmäßig auf ihre Berechtigung/Notwendigkeit hin überprüft<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 19
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
M 1.39<br />
Verantwortlich für Initiierung:<br />
Verhinderung von Ausgleichsströmen auf Schirmungen<br />
Leiter IT<br />
Verantwortlich für Umsetzung: Haustechnik, physikalischer Netzbetreiber<br />
Um Ausgleichsströme auf den Schirmungen von Datenleitungen in Gebäuden zu verhindern, gibt<br />
es verschiedene Möglichkeiten:<br />
Ausgleichsströme können im TN-C-Netz vermieden werden, indem nur solche IT-Geräte miteinander<br />
über geschirmte Datenleitungen miteinander verbunden werden, die an einer gemeinsamen<br />
Elektro-Verteilung angeschlossen sind. Bei jeder Erweiterung des Daten-Netzes ist diese<br />
Bedingung zu prüfen und sicherzustellen.<br />
Ist die Beschränkung auf Datenverbindungen von IT-Geräten an einer Verteilung nicht möglich,<br />
können Ausgleichsströme dadurch vermieden werden, daß man die Schirmung der Datenleitung<br />
nur einseitig auflegt. Bei jeder Änderung im Daten-Netz ist darauf zu achten, daß nur entsprechend<br />
geeignete Kabel (mit nur einseitig aufgelegtem Schirm) Verwendung finden.<br />
Die optimale, weil sicherste Möglichkeit besteht darin, das Stromverteilnetz im gesamten<br />
Gebäude komplett als TN-S-Netz auszulegen. Dabei wird der PE- und der N-Leiter ab der<br />
Potentialausgleichsschiene (PAS) getrennt geführt. Einzelmaßnahmen an IT-Geräten sind dann in<br />
der Regel nicht mehr erforderlich. Zu beachten ist jedoch der Hinweis in M 1.28 Lokale<br />
unterbrechungsfreie Stromversorgung hinsichtlich der Bildung eines neuen TN-S-Netzes für die<br />
angeschlossenen Geräte.<br />
Die nachfolgenden Zeichnungen erläutern die Entstehung von Ausgleichsströmen auf Schirmungen<br />
und die möglichen Gegenmaßnahmen:<br />
Teil 1 - Kapitel 4.2 - Seite 20 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
Stromlauf im TN-C-Netz *)<br />
Stromlauf im TN-S-Netz *)<br />
L1<br />
L2<br />
L3<br />
Ausgleichsstrom<br />
auf der Schirmung<br />
L1<br />
L2<br />
L3<br />
PEN<br />
N<br />
N<br />
PE<br />
PE<br />
Normaler Stromfluß<br />
Normaler Stromfluß<br />
L1<br />
L2<br />
L3<br />
PEN<br />
N<br />
PE<br />
L1<br />
L2<br />
L3<br />
N<br />
PE<br />
L1 L2 L3 PEN<br />
L1 L2 L3 N PE<br />
L1<br />
L2<br />
L3<br />
PEN<br />
PAS<br />
L1<br />
L2<br />
L3<br />
PEN<br />
PAS<br />
*) vereinfachte prinzipielle<br />
Darstellung<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 21
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
Stromlauf im TN-CS-Netz *)<br />
TN-C-Bereich<br />
TN-C-Bereich<br />
L1<br />
L2<br />
L3<br />
Ausgleichsstrom auf<br />
der Schirmung der<br />
Datenleitung<br />
L1<br />
L2<br />
L3<br />
Ausgleichsstrom auf<br />
der Schirmung der<br />
Datenleitung<br />
PEN<br />
N<br />
PEN<br />
N<br />
PE<br />
PE<br />
Normaler Stromfluß<br />
Normaler Stromfluß<br />
L1<br />
L1<br />
L2<br />
L2<br />
L3<br />
L3<br />
PEN<br />
N<br />
PEN<br />
N<br />
PE<br />
PE<br />
TN-S-Bereich<br />
TN-S-Bereich<br />
L1<br />
L2<br />
L3<br />
N<br />
PE<br />
L1<br />
L2<br />
L3<br />
N<br />
PE<br />
L1<br />
L1<br />
L2<br />
L2<br />
L3<br />
L3<br />
N<br />
N<br />
PE<br />
L1 L2 L3 N PE<br />
Im beiden Bereichen fließen<br />
Ausgleichsströme auf den<br />
Schirmungen von Datenleitungen.<br />
L1 L2 L3 N PE<br />
PE<br />
Einseitiges "Nicht-Auflegen" der<br />
Schirmung verhindert die Verschleppung<br />
von Ausgleichsströmen<br />
in den TN-S-Bereich.<br />
L1<br />
L2<br />
L3<br />
PEN<br />
PAS<br />
L1<br />
L2<br />
L3<br />
PEN<br />
PAS<br />
*) vereinfachte prinzipielle<br />
Darstellung<br />
Ergänzende Kontrollfragen:<br />
- Welche Netzart ist in der Liegenschaft vorhanden<br />
- Wie und durch wen werden die Schutzbedingungen (eine gemeinsame Verteilung oder nur<br />
einseitig aufgelegter Schirm) geprüft<br />
- Werden Änderungen im Datennetz mit der Haustechnik abgestimmt<br />
Teil 1 - Kapitel 4.2 - Seite 22 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
M 2.19<br />
Verantwortlich für Initiierung:<br />
Neutrale Dokumentation in den Verteilern<br />
Leiter Haustechnik<br />
Verantwortlich für Umsetzung: Leiter Haustechnik, Netzplaner<br />
In jedem Verteiler sollte sich eine Dokumentation befinden, die den derzeitigen Stand von<br />
Rangierungen und Leitungsbelegungen wiedergibt. Diese Dokumentation ist möglichst neutral zu<br />
halten. Nur bestehende und genutzte Verbindungen sind darin aufzuführen. Es sollen, soweit nicht<br />
ausdrücklich vorgeschrieben (z. B. für Brandmeldeleitungen) keine Hinweise auf die Nutzungsart<br />
der Leitungen gegeben werden. Leitungs-, Verteiler-, und Raumnummern reichen in vielen Fällen<br />
aus. Alle weitergehenden Informationen sind in einer Revisions-Dokumentation aufzuführen.<br />
Ergänzende Kontrollfragen:<br />
- Wie wird sichergestellt, daß die Dokumentation immer aktuell ist<br />
- Wie wird sichergestellt, daß keine unzulässigen Informationen in dieser Dokumentation<br />
enthalten sind<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 23
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
M 2.20<br />
Verantwortlich für Initiierung:<br />
Kontrolle bestehender Verbindungen<br />
Leiter Haustechnik, Leiter IT<br />
Verantwortlich für Umsetzung: Leiter Haustechnik, Netzplaner<br />
Alle Verteiler und Zugdosen sind einer (zumindest stichprobenartigen) Sichtprüfung zu unterziehen.<br />
Dabei ist auf folgende Punkte zu achten:<br />
- Spuren von gewaltsamen Öffnungsversuchen an verschlossenen Verteilern,<br />
- Aktualität der im Verteiler befindlichen Dokumentation,<br />
- Übereinstimmung der tatsächlichen Beschaltungen und Rangierungen mit der Dokumentation,<br />
- Unversehrtheit der Kurzschlüsse und Erdungen nicht benötigter Leitungen und<br />
- unzulässige Einbauten/Veränderungen.<br />
Neben der reinen Sichtkontrolle kann zusätzlich eine funktionale Kontrolle durchgeführt werden.<br />
Dabei werden bestehende Verbindungen auf ihre Notwendigkeit und die Einhaltung technischer<br />
Werte hin geprüft. In zwei Fällen ist diese Prüfung anzuraten:<br />
- bei Verbindungen, die sehr selten genutzt und bei denen Manipulationen nicht sofort<br />
erkannt werden,<br />
- bei Verbindungen, auf denen häufig und regelmäßig schützenswerte Informationen übertragen<br />
werden.<br />
Ergänzende Kontrollfragen:<br />
- In welchem Turnus werden bestehende Verbindungen kontrolliert<br />
- Wie werden festgestellte Unregelmäßigkeiten dokumentiert und verfolgt<br />
- Wem sind welche festgestellten Unregelmäßigkeiten zu melden<br />
- Wer führt die Beseitigung von Unregelmäßigkeiten durch und wer kontrolliert diese<br />
Arbeiten<br />
Teil 1 - Kapitel 4.2 - Seite 24 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
M 5.1<br />
Verantwortlich für Initiierung:<br />
Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen<br />
Leiter Haustechnik<br />
Verantwortlich für Umsetzung: Administrator, Haustechnik<br />
Nicht mehr benötigte Leitungen sollten nach Möglichkeit entfernt werden. Ist dies aufgrund der<br />
damit verbundenen Beeinträchtigung des Dienstbetriebes (Öffnen von Decken, Fensterbank- und<br />
Fußbodenkanälen) nicht möglich, sind folgende Maßnahmen sinnvoll:<br />
- Kennzeichnen der nicht benötigten Leitungen in der Revisionsdokumentation und Löschen<br />
der Eintragungen in der im Verteiler befindlichen Dokumentation,<br />
- Auftrennen aller Rangierungen und Verbindungen der freien Leitungen in den Verteilern<br />
(soweit möglich),<br />
- Kurzschließen der freien Leitungen an beiden Kabelenden und in allen berührten Verteilern,<br />
- Auflegen der freien Leitungen auf Erde (Masse) an beiden Kabelenden und in allen<br />
berührten Verteilern; bei dadurch entstehenden Masse-Brumm-Schleifen ist nur einseitig zu<br />
erden,<br />
- Gewährleisten, daß nicht mehr benötigte Leitungen bei ohnehin anstehenden Arbeiten im<br />
Netz entfernt werden.<br />
Ergänzende Kontrollfragen:<br />
- Wer entscheidet über die Notwendigkeiten von Leitungen und über die Größe von<br />
Reserven<br />
- Wer prüft das ordnungsgemäße Kurzschließen und Erden<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 25
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
M 5.2<br />
Auswahl einer geeigneten Netz-Topographie<br />
Verantwortlich für Initiierung: Leiter IT<br />
Verantwortlich für Umsetzung: Netzplaner, Leiter Haustechnik<br />
Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der<br />
Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netz-Topologie um die<br />
logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht<br />
notwendig identisch. Die Topographie orientiert sich naturgemäß fast immer an den räumlichen<br />
Verhältnissen, unter denen das Netz aufgebaut wird. Dies sind u.a.:<br />
- Standorte der Netzteilnehmer,<br />
- verfügbarer Platz für Trassen und Kabel (M 1.21 Ausreichende Trassendimensionierung),<br />
- erforderliche Kabeltypen (M 1.20 Auswahl geeigneter Kabeltypen unter physikalischmechanischer<br />
Sicht),<br />
- Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung von Leitungen<br />
und Verteilern).<br />
Nachfolgend werden die Vor- und Nachteile möglicher Topographien aufgeführt. Weitere<br />
denkbare Topographien, die an dieser Stelle nicht genannt sind, können als Spezialfall der<br />
betrachteten Strukturen aufgefaßt werden.<br />
Im allgemeinen können zwei Grundformen unterschieden werden: der Stern und der Bus. Daraus<br />
lassen sich als Erweiterungen aus dem Stern eine baumförmige Struktur und aus dem Bus eine<br />
ringförmige Struktur ableiten. Diese vier Formen werden im folgenden kurz dargestellt:<br />
Stern<br />
Bei einem Stern sind alle Teilnehmer des Netzes über eine dedizierte Leitung mit einem zentralen<br />
Knoten verbunden. Die häufig anzutreffende Token-Ring-Architektur wird topographisch als<br />
Stern verkabelt, bildet topologisch jedoch einen Ring.<br />
Die Vorteile:<br />
- Die Beschädigung einer Leitung beeinträchtigt nur den Betrieb des daran angeschlossenen<br />
Systems.<br />
- Änderungen der Zuordnung von Netzteilnehmern zum Anschlußpunkt am zentralen Knoten<br />
sowie Trennungen einzelner Teilnehmer lassen sich zentral durchführen.<br />
- Mit einer Sternverkabelung können alle denkbaren logischen Topologien nachgebildet<br />
werden.<br />
Die Nachteile:<br />
- Bei einem Ausfall des zentralen Knotens fallen alle angeschlossenen IT-Systeme aus.<br />
- Durch die Einzelanbindung jedes Teilnehmers an den zentralen Knoten ist ein hoher<br />
Kabelaufwand erforderlich.<br />
- Mit zunehmender Zahl individueller Leitungen wächst die Gefahr des Übersprechens.<br />
- Durch die sternförmige <strong>Verkabelung</strong> können Reichweitenprobleme in Abhängigkeit vom<br />
verwendeten Kabeltyp und vom eingesetzten Protokoll auftreten (vgl. M 5.3 Auswahl<br />
geeigneter Kabeltypen aus kommunikationstechnischer Sicht). In diesem Fall können<br />
Teil 1 - Kapitel 4.2 - Seite 26 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
Baum<br />
Verstärker (Repeater) eingesetzt werden, was jedoch u. U. bei einer hohen Zahl von<br />
Leitungen sehr kostenintensiv ist. Hinzu kommt, daß nicht beliebig viele Verstärker in eine<br />
Leitung geschaltet werden dürfen. Dies ist ebenfalls vom verwendeten Protokoll abhängig.<br />
Eine andere Möglichkeit ist hier der Übergang zu einer baumförmigen Struktur.<br />
Eine Baumstruktur entsteht durch die Verbindung mehrerer Sterne. In diesem Fall werden die<br />
Netzteilnehmer zu Gruppen zusammengefaßt, die an dezentrale Netzknoten sternförmig angeschlossen<br />
werden. Diese dezentralen Netzknoten sind wiederum über eine Leitung oder mehrere<br />
dedizierte Leitungen miteinander verbunden. Unter Umständen werden auch alle dezentralen<br />
Netzknoten an einem zentralen Netzknoten zusammengeführt.<br />
Die Vorteile:<br />
- Für den Anschluß der Systeme an die dezentralen Netzknoten gelten die gleichen Vorteile<br />
wie beim Stern.<br />
- Für neue Teilnehmer muß nur im Bereich des dezentralen Netzknotens neu verkabelt<br />
werden.<br />
- Bei entsprechender Auslegung der dezentralen Netzknoten ist ein Datenaustausch zwischen<br />
den Teilnehmern eines solchen Knotens auch bei einem Ausfall der anderen Knoten<br />
möglich.<br />
- Durch die Verbindung der dezentralen Knoten untereinander über eine Leitung reduziert<br />
sich der <strong>Verkabelung</strong>saufwand.<br />
- Zur Überwindung großer Entfernungen zwischen den Knoten reicht die Verstärkung auf<br />
einer Leitung (Kostenersparnis).<br />
- Für die Verbindung der Knoten ist der Einsatz hochwertigerer (meist teurerer) Kabel<br />
sinnvoll, mit denen auch größere Distanzen ohne zusätzliche Verstärkung überwunden<br />
werden können. Das bringt gegenüber den sonst notwendigen Verstärkern Vorteile in bezug<br />
auf Ausfallsicherheit und Kostenreduzierung.<br />
- Eine Baumstruktur ermöglicht es, durch Vermaschung der einzelnen Knoten redundante<br />
Verbindungen aufzubauen.<br />
Die Nachteile:<br />
- Bei Störung eines Übergangs zu einem anderen dezentralen Netzknoten wird der Betrieb<br />
mit allen daran angeschlossenen Teilnehmern unterbrochen.<br />
Bus<br />
Bei einem Bus werden alle Netzteilnehmer an eine gemeinsame Leitung angeschlossen. Dies<br />
geschieht im allgemeinen durch ein zentrales Kabel, an das mit Stichleitungen die einzelnen<br />
Teilnehmer angebunden werden.<br />
Die Vorteile:<br />
- Die <strong>Verkabelung</strong> reduziert sich auf ein Kabel, hinzu kommen evtl. notwendige Stichleitungen.<br />
- Die Nachinstallation neuer Teilnehmer erfordert im allgemeinen nur geringen <strong>Verkabelung</strong>saufwand.<br />
Sie werden einfach an das vorhandene Buskabel angeschlossen.<br />
- Der Bus ist durch den Einsatz von Verstärkern einfach verlängerbar. Dabei sind jedoch die<br />
Längenrestriktionen aufgrund des eingesetzten Kabeltyps und des verwendeten Protokolls<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 27
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
zu beachten (vgl. M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer<br />
Sicht).<br />
- Ressourcen können an nahezu beliebigen Stellen am Bus angeschlossen werden.<br />
- Eine Busverkabelung erfordert durch das zentrale Kabel deutlich weniger Platz als eine<br />
vergleichbare Sternverkabelung mit TP-Kabel.<br />
Die Nachteile:<br />
- Störungen, die auf das Kabel wirken, beeinträchtigen den gesamten Bus.<br />
- Unterbrechungen des Buskabels bringen den gesamten Datenverkehr zum Erliegen.<br />
- Ab einer gewissen maximalen Länge und einer bestimmten Anzahl von Teilnehmern ist<br />
keine einfache Erweiterung des Busses mehr möglich.<br />
- Abhängig vom Kabeltyp müssen Restriktionen beim Anschluß neuer Teilnehmer beachtet<br />
werden (z. B. der Mindestabstand zwischen zwei Teilnehmern).<br />
Ring<br />
Der Ring ist aus topographischer Sicht ein Bus, dessen beide Enden miteinander verbunden sind.<br />
Eine Sonderform des Rings besteht in der doppelten Ausführung als Doppelring, wie sie z. B. bei<br />
FDDI Verwendung findet.<br />
Die Vorteile:<br />
- Der Ring kann bei einer Leitungsunterbrechung mit gewissen Beeinträchtigungen<br />
weiterarbeiten. Die Art der Beeinträchtigung hängt vom für den Ring verwendeten Netzzugangsprotokoll<br />
ab. Beeinträchtigungen können z. B. Bandbreitenverluste sein.<br />
- Die mögliche Ausführung als Doppelring ermöglicht eine zusätzliche Redundanz bzw.<br />
Fehlertoleranz.<br />
Die Nachteile:<br />
- Die verfügbaren Protokolle für Ring- und Doppelringsysteme sind beschränkt, d. h. es<br />
können nicht alle Protokolle auf diesen eingesetzt werden. Dies kann sich für die zukünftige<br />
Weiterentwicklung des Netzes nachteilig auswirken.<br />
Collapsed und Distributed Backbone<br />
Ein Collapsed Backbone ist eine spezielle Ausprägung eines Netzknotens, der innerhalb seiner<br />
Backplane (eine lokale Hochgeschwindigkeitsverbindung innerhalb eines Gerätes) eine der o. g.<br />
Strukturen oder eine Mischform daraus realisiert. Bei einem Collapsed Backbone werden alle<br />
Kabel zentral zu einem Netzknoten geführt, so daß es sich im Prinzip um eine Sternverkabelung<br />
handelt. Innerhalb des Netzknotens können nun die unterschiedlichsten Strukturen unterstützt<br />
werden. So werden beispielsweise bei einer Baumstruktur die nötigen Verbindungswege zwischen<br />
den dezentralen Sternen durch sehr kurze Verbindungen innerhalb des Netzknotens realisiert.<br />
Die Vorteile:<br />
- Alle Kabelanschlüsse können zentral kontrolliert und verwaltet werden.<br />
- Es werden im allgemeinen hohe Übertragungsraten in der Backplane erreicht. Hierdurch<br />
steht, je nach Produkt, zwischen den Segmenten die volle Netzbandbreite zur Verfügung.<br />
Die Nachteile:<br />
Teil 1 - Kapitel 4.2 - Seite 28 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
- Bei einem Ausfall des Collapsed Backbones fallen alle Netzzugänge aus.<br />
TokenRing 1<br />
Etage 2<br />
Etage 1<br />
TokenRing 2<br />
Etage 0<br />
Koppelelement<br />
Zentraler Backbone (Collapsed Backbone)<br />
auf der Backplane<br />
Bei einem Distributed Backbone sind die einzelnen Netzkomponenten, die zum Backbone<br />
gehören, räumlich verteilt und werden durch die normale Netzinfrastruktur gekoppelt. Topographische<br />
Bäume werden beispielsweise im allgemeinen durch einen Distributed Backbone<br />
realisiert.<br />
Die Vorteile:<br />
- Bei einem Ausfall einer Netzkomponente sind nicht unbedingt alle IT-Systeme betroffen.<br />
Die Nachteile:<br />
- Die Kopplung der Backbone-Komponenten erfolgt über die im Vergleich zum Collapsed<br />
Backbone relativ langsame normale Netzverkabelung.<br />
- Es ist keine zentrale Administration der Backbone-Anschlüsse möglich.<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 29
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
TokenRing 1<br />
Brücke<br />
TokenRing 2<br />
Brücke<br />
Etage 2<br />
Etage 1<br />
Verteilter Backbone (Distributed Backbone)<br />
über Sekundärverkabelung<br />
Bei der Auswahl einer geeigneten Netztopographie kann, wie bereits eingangs erwähnt, keine<br />
allgemeingültige Empfehlung gegeben werden. Solch eine Entscheidung wird u. a. immer stark<br />
durch bauliche Gegebenheiten beeinflußt. Allgemein üblich ist heute bei Neuinstallationen eine<br />
strukturierte <strong>Verkabelung</strong> in Stern- oder Baumform. Hierbei ist es sinnvoll, im Backbone-Bereich<br />
(Primär- und Sekundärbereich) Lichtwellenleiter und für die Etagenverkabelung (Tertiärbereich)<br />
Twisted-Pair-Kabel mind. der Kategorie 5 zu verwenden. Mit Primärbereich wird dabei der<br />
Bereich der Kabelführung, der Gebäude miteinander verbindet, bezeichnet und mit<br />
Sekundärbereich die <strong>Verkabelung</strong> zur Verbindung der aktiven Netzkomponenten einzelner<br />
Abschnitte innerhalb eines Gebäudes (z. B. zur Verbindung von Stockwerken).<br />
Die Wahl dieser Medien für die einzelnen Bereiche gewährleistet aus heutiger Sicht eine<br />
zukunftssichere <strong>Verkabelung</strong>, die auch höheren Bandbreitenanforderungen v. a. im Backbone-<br />
Bereich gerecht wird. Im Einzelfall ist jedoch auch zu prüfen, ob es sinnvoll oder notwendig ist,<br />
eine Mischform aus Stern- und Ringverkabelung zu installieren. Hier bietet sich häufig die<br />
Möglichkeit, die Primärverkabelung zwischen Gebäuden als FDDI-Doppelring und die Sekundärund<br />
Tertiärverkabelung wie o. g. als Stern- oder Baum auszuführen.<br />
Teil 1 - Kapitel 4.2 - Seite 30 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
M 5.3<br />
Verantwortlich für Initiierung:<br />
Auswahl geeigneter Kabeltypen unter kommunikationstechnischer<br />
Sicht<br />
Leiter IT<br />
Verantwortlich für Umsetzung: Netzplaner, Leiter Haustechnik<br />
Die Auswahl des Kabels wird durch die erforderliche Übertragungsrate bestimmt und davon,<br />
welche Entfernungen ohne Verstärker zu überwinden sind. Vor- und Nachteile werden<br />
nachfolgend unter IT-Sicherheitsgesichtspunkten beschrieben.<br />
Drei Kabelgrundtypen stehen zur Verfügung:<br />
Ungeschirmtes Kupferkabel<br />
Die vom Kupferkabel bewältigte Bandbreite reicht heute, abhängig vom Kabelaufbau und<br />
Schirmung, bis 100 MHz, wobei die maximalen Übertragungsstrecken mit zunehmender<br />
Frequenz abnehmen (von 3 km bis zu 100m). Im Entwurf der DIN EN 50 173 sind in Kapitel 6.1<br />
die wesentlichen Unterschiede dargestellt. Es reicht für Telefonie und einen Großteil heute<br />
betriebener Datennetze aus.<br />
Vorteile:<br />
- Das Kabel ist (noch) billiger als die anderen Kabel.<br />
- Die Installation erfordert bei niedrigen Frequenzen (kHz-Bereich, Klasse A- und B-Kabel)<br />
keine Spezialkenntnisse.<br />
- Oft können vorhandene Telefonnetze genutzt werden.<br />
Nachteile:<br />
- Übertragungsfrequenzen über 150 MHz sind nur mit sehr teueren Kabelaufbauten möglich.<br />
Eine Übertragung höherer Frequenzen ist technisch nicht mehr sinnvoll realisierbar.<br />
- Im oberen MHz Bereich (Klasse C- und D-Kabel) erfordert die Installation Spezialkenntnisse<br />
(Hochfrequenztechnik!).<br />
- Durch einfach zu realisierende galvanische Ankopplung läßt sich das Kupferkabel leicht<br />
abhören.<br />
- Umrangierungen und Ankopplungen sind meßtechnisch, wenn überhaupt, nur sehr<br />
schwierig erkennbar.<br />
- Mit zunehmender Bandbreitenforderung sinkt die maximale unverstärkte Übertragungsstrecke<br />
auf ca. 100 m (Klasse D, Kat-5-Kabel).<br />
- Bei hochpaarigen Kabeln kann es zum Übersprechen kommen.<br />
- Ungeschirmte Kupferkabel sind sehr empfindlich gegenüber elektrischen, elektrostatischen<br />
und induktiven Störungen.<br />
Koaxial-Kabel<br />
Es wird im MHz-Bereich u.a. in Breitbandverteilnetzen (Kabelfernsehen) und in der Bus-Technik<br />
(z. B. Ethernet) angewendet.<br />
Vorteile:<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 31
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
- Die Bandbreite und die unverstärkte Übertragungsstrecke sind deutlich höher als beim<br />
Kupferkabel.<br />
- Übersprechen tritt nicht auf.<br />
- Die unverstärkte Übertragungsstrecke beträgt je nach Kabeltyp bis zu 400 m.<br />
Nachteile:<br />
- Das Koaxialkabel ist deutlich teurer als das Kupferkabel.<br />
- Verlegung und Installation erfordern Kenntnis und Erfahrung.<br />
- Koaxialkabel erfordern deutlich mehr Platz als alle anderen Kabeltypen.<br />
- Das Kabel ist mit mäßigem Aufwand abhörbar.<br />
- Das Koaxialkabel ist durch elektrische, elektrostatische und induktive Störungen beeinflußbar.<br />
Das Lichtwellenleiterkabel (LWL-Kabel)<br />
Es wird für die Datenfernübertragung in allen Netzen und zunehmend für LANs, insbesondere<br />
aber zur Realisierung von Backbone-Ringen, verwendet.<br />
Vorteile:<br />
- Die Bandbreite und die unverstärkte Reichweite ist deutlich höher als bei allen anderen<br />
Kabeln (je nach Typ bis zu ca. 1 GHz und 10 km).<br />
- Abhören ist nur mit hohem technischen Aufwand möglich.<br />
- Unzulässige Umrangierungen sind durch verfügbare Technik einfach zu erkennen.<br />
- LWL-Kabel sind unempfindlich gegenüber allen nicht zerstörenden Umfeldbedingungen.<br />
Dadurch ist es nahezu überall einsetzbar.<br />
- LWL-Kabel brauchen von allen Kabeln am wenigsten Platz.<br />
Nachteile:<br />
- Der Preis liegt (noch) etwas über dem der hochwertigsten Kupferkabel (Klasse D, Kat-5-<br />
Kabel).<br />
- Die Verlegung erfordert Kenntnis und Erfahrung, die Herstellung von Spleißen und<br />
Steckanschlüssen erfordert Spezialkenntnisse und Sonderwerkzeuge.<br />
Teil 1 - Kapitel 4.2 - Seite 32 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
M 5.4<br />
Verantwortlich für Initiierung:<br />
Dokumentation und Kennzeichnung der <strong>Verkabelung</strong><br />
Verantwortlich für Umsetzung: Haustechnik<br />
Leiter IT, Leiter Haustechnik<br />
Für Wartung, Fehlersuche, Instandsetzung und für erfolgreiche Überprüfung der <strong>Verkabelung</strong> ist<br />
eine gute Dokumentation und eindeutige Kennzeichnung aller Kabel erforderlich. Die Güte dieser<br />
Revisionsdokumentation ist abhängig von der Vollständigkeit, der Aktualität und der Lesbarkeit.<br />
In dieser Dokumentation (auch Bestandsplan genannt) sind alle das Netz betreffenden Sachverhalte<br />
aufzunehmen:<br />
- genauer Kabeltyp,<br />
- nutzungsorientierte Kabelkennzeichnung,<br />
- Standorte von Zentralen und Verteilern mit genauen Bezeichnungen,<br />
- genaue Führung von Kabeln und Trassen in der Liegenschaft (Einzeichnung in bemaßte<br />
Grundriß- und Lagepläne),<br />
- Trassendimensionierung und -belegung,<br />
- Belegungspläne aller Rangierungen und Verteiler,<br />
- Nutzung aller Leitungen, Nennung der daran angeschlossenen Netzteilnehmer,<br />
- technische Daten von Anschlußpunkten,<br />
- Gefahrenpunkte,<br />
- vorhandene und zu prüfende Schutzmaßnahmen.<br />
Es muß möglich sein, sich anhand dieser Dokumentation einfach und schnell ein genaues Bild<br />
über die <strong>Verkabelung</strong> zu machen.<br />
Da es mit zunehmender Größe eines Netzes nicht möglich ist, alle Informationen in einem Plan<br />
unterzubringen, ist eine Aufteilung der Informationen sinnvoll. Tatsächliche Lageinformationen<br />
sind immer in maßstäbliche Pläne einzuzeichnen. Andere Informationen können in Tabellenform<br />
geführt werden. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben untereinander.<br />
Um die Aktualität der Dokumentation zu gewährleisten, ist sicherzustellen, daß alle Arbeiten am<br />
Netz rechtzeitig und vollständig demjenigen bekannt werden, der die Dokumentation führt. Es ist<br />
z. B. denkbar, die Ausgabe von Material, die Vergabe von Fremdaufträgen oder die Freigabe<br />
gesicherter Bereiche von der Mitzeichnung dieser Person abhängig zu machen.<br />
Da diese Dokumentation schutzwürdige Informationen beinhaltet, ist sie sicher aufzubewahren<br />
und der Zugriff zu regeln.<br />
Ergänzende Kontrollfragen:<br />
- Wer ist für die Dokumentation der <strong>Verkabelung</strong> zuständig<br />
- Wird die Dokumentation hinreichend schnell aktualisiert<br />
- Wie wird die Revisionsdokumentation vor unerlaubtem Zugriff geschützt<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 33
<strong>Verkabelung</strong><br />
IT-Grundschutzhandbuch<br />
M 5.5<br />
Verantwortlich für Initiierung:<br />
Schadensmindernde Kabelführung<br />
Verantwortlich für Umsetzung: Haustechnik<br />
Netzplaner, Leiter IT, Leiter Haustechnik<br />
Bei der Planung von Kabeltrassen ist darauf zu achten, daß erkennbare Gefahrenquellen<br />
umgangen werden. Grundsätzlich sollen Trassen nur in den Bereichen verlegt werden, die ausschließlich<br />
dem Benutzer zugänglich sind. Ein übersichtlicher Aufbau der Trassen erleichtert die<br />
Kontrolle. Trassen und einzelne Kabel sollen immer so verlegt werden, daß sie vor direkten<br />
Beschädigungen durch Personen, Fahrzeuge und Maschinen geschützt sind.<br />
Der Standort von Geräten sollte so gewählt werden, daß Kabel nicht im Lauf- oder Fahrbereich<br />
liegen. Ist dies nicht zu vermeiden, sind die Kabel den zu erwartenden Belastungen entsprechend<br />
durch geeignete Kanalsysteme zu schützen.<br />
Grundsätzlich ist bei Geräteanschlußleitungen auf eine ausreichende Zugentlastung der Kabel in<br />
den Steckern zu achten. Bisweilen kann es sinnvoll sein, auf die vorgesehene Verschraubung von<br />
Steckern zu verzichten. Bei Zugbelastung werden nur Steckverbindungen auseinandergerissen<br />
und nicht die Stecker-Kabel- oder Stecker-Geräte-Verlötung.<br />
Tiefgaragen stellen ein großes Problem für eine schadensmindernde Kabelführung dar. Durch die<br />
Sicherheitsschaltungen und die langen Offenzeiten von Einfahrtstoren ist der Zutritt von<br />
Fremdpersonen zu Tiefgaragen nie auszuschließen. Durch die in der Regel geringen Deckenhöhen<br />
ist es mit einfachen Mitteln möglich, sich Zugriff zu dort verlaufenden Trassen zu verschaffen.<br />
Durch Trassen im Fahrbereich kann die zulässige Fahrzeughöhe unterschritten werden.<br />
Beschädigungen oder Zerstörungen der Trassen und Kabel durch Fahrzeuge sind dann nicht<br />
auszuschließen.<br />
Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten, daß Kabel nicht in Fußbodenkanälen<br />
durch deren Bereiche führen. Fußboden- und Fensterbank-Kanalsysteme sind<br />
gegenüber den fremdgenutzten Bereichen mechanisch fest zu verschließen. Besser ist es, sie an<br />
den Bereichsgrenzen enden zu lassen.<br />
Bereiche mit hoher Brandgefahr sind zu meiden. Ist dies nicht möglich und ist der Betriebserhalt<br />
aller auf der Trasse liegenden Kabel erforderlich, ist der entsprechende Trassenbereich mit<br />
Brandabschottung zu versehen. Ist der Betriebserhalt nur für einzelne Kabel erforderlich, ist<br />
dafür ein entsprechendes Kabel zu wählen.<br />
In Produktionbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu<br />
rechnen. Auch diese sind bei der Trassen- und Kabelverlegung zu berücksichtigen. Für den<br />
Schutz der Kabel gilt sinngemäß das gleiche wie bei der Brandabschottung.<br />
Bei Erdtrassen ist ca. 10 cm über der Trasse ein Warnband zu verlegen. Bei einzelnen Kabeln<br />
(ohne Rohr) ist der Einbau von Kabelabdeckungen sinnvoll.<br />
Teil 1 - Kapitel 4.2 - Seite 34 Version 1998
IT-Grundschutzhandbuch<br />
<strong>Verkabelung</strong><br />
M 6.18<br />
Verantwortlich für Initiierung:<br />
Redundante Leitungsführung<br />
Verantwortlich für Umsetzung: Haustechnik,Administrator<br />
Leiter IT, Verantwortliche für einzelne IT-Anwendungen<br />
Bei der redundanten Leitungsführung werden zwischen geeigneten Punkten im Netz neben den im<br />
normalen Betrieb genutzten Leitungen zusätzliche Verbindungen eingerichtet. Diese sollten über<br />
eine andere Trasse geführt werden. Dadurch besteht die Möglichkeit, bei Störungen auf die<br />
redundante Verbindung umzuschalten. Diese Umschaltung kann automatisch oder von Hand<br />
erfolgen. Die automatische Umschaltung ist an einer Stelle anzuzeigen, die die Störungsbeseitigung<br />
auf der normalen Leitung veranlaßt.<br />
Die Funktionsfähigkeit von redundanten Leitungen ist in sinnvollen Zeitabständen durch tatsächliche<br />
Nutzung auf ihre Funktionsfähigkeit hin zu überprüfen. Die Dimensionierung, die<br />
Prüfintervalle und die grundsätzliche Notwendigkeit von redundanten Leitungen ist direkt von der<br />
Verfügbarkeitsanforderung an das Netz abhängig. Ebenso muß man das Verhältnis der<br />
Bereitstellungszeit der redundanten Leitung zur Wiederherstellungszeit der normalen Leitung<br />
berücksichtigen. Es ist allerdings von entscheidender Bedeutung, ob es sich um Leitungen im<br />
öffentlichen Bereich (z. B. Telekom) oder im privaten Bereich handelt.<br />
- Bei Leitungen im öffentlichen Bereich hat der Benutzer keinen Einfluß auf deren Schutz.<br />
Das öffentliche Netz stellt grundsätzlich eine ausreichende Zahl von redundanten Leitungen<br />
zur Verfügung. Meistens reicht es aus, bei Ausfall einer Verbindung (gleichgültig ob<br />
Festverbindung oder Wählleitung) durch Aufbau einer Wählleitung die Verbindung<br />
wiederherzustellen. Die Schaltung von redundanten Festverbindungen ist in der Regel zu<br />
teuer und meistens verzichtbar.<br />
- In einem privaten Netz kann der Betreiber die Sicherheit von Leitungen wesentlich<br />
beeinflussen. Kostenüberlegungen führen meist dazu, daß es keine redundanten Leitungen<br />
gibt. In privaten Netzen verursachen redundante Leitungen jedoch außer den Herstellungskosten<br />
keine laufenden Ausgaben.<br />
Version 1998 Teil 1 - Kapitel 4.2 - Seite 35