Serverraum absichern: Zutritt, Klima, Brandschutz und Überwachung

Warum der Serverraum mehr als eine Abstellkammer ist

Wenn Unternehmen über Informationssicherheit sprechen, denken die meisten zuerst an Firewalls, Verschlüsselung und Passwort-Richtlinien. Dabei steht die gesamte digitale Sicherheit auf einem physischen Fundament: dem Serverraum. Wenn jemand unkontrolliert an deine Server herankommt, nützt die beste Firewall nichts. Wenn die Klimaanlage ausfällt und die Hardware überhitzt, hilft auch kein Backup. Und wenn ein Schwelbrand den Raum verwüstet, steht dein Unternehmen vor einem Totalschaden, der weit über den Hardwarewert hinausgeht.

Die ISO 27001 widmet der physischen Sicherheit einen eigenen Abschnitt (Annex A, Bereich 7: Physische Kontrollen). Der BSI IT-Grundschutz geht mit dem Baustein INF.2 "Rechenzentrum sowie Serverraum" noch tiefer ins Detail. Beide Rahmenwerke machen deutlich: Physische Sicherheit ist keine nachrangige Disziplin, sondern eine Grundvoraussetzung für alles, was darauf aufbaut.

Dieser Artikel führt dich durch die vier Säulen der Serverraumsicherheit: Zutrittskontrolle, Klimatisierung, Brandschutz und Überwachung. Für jede Säule bekommst du konkrete Maßnahmen, typische Fehler und Hinweise zur Dokumentation.

Standortwahl und bauliche Grundlagen

Bevor du über Zutrittskontrolle und Klimatisierung nachdenkst, beginnt die Sicherheit mit der Wahl des richtigen Raums. Ein Serverraum im Keller mag auf den ersten Blick sinnvoll erscheinen, birgt aber erhebliche Risiken durch Wassereinbruch und Überschwemmung. Ein Raum im Erdgeschoss mit Fenster zur Straße lädt regelrecht zum Einbruch ein.

Idealerweise liegt der Serverraum in einem innenliegenden Raum ohne Außenfenster, nicht im Keller und nicht direkt unter dem Dach. Er sollte keine wasserführenden Leitungen an der Decke haben, nicht an stark frequentierte Bereiche grenzen und keine Doppelfunktion als Lager, Archiv oder Pausenraum erfüllen. Was offensichtlich klingt, sieht in der Praxis oft anders aus: In vielen kleinen und mittleren Unternehmen teilt sich der Server den Raum mit dem Kopierer, dem Putzmittel und dem Weihnachtsschmuck.

Bauliche Mindestanforderungen umfassen eine Wandstärke, die einen definierten Feuerwiderstand bietet (mindestens F30, besser F90), eine Tür mit gleicher Feuerwiderstandsklasse und Selbstschließer, keine Zwischendecken ohne Brandabschottung sowie einen antistatischen Bodenbelag. Kabeleinführungen müssen brandschutzgerecht abgeschottet sein, was oft vergessen wird, wenn nachträglich neue Leitungen verlegt werden.

Dokumentation: Halte den Raumplan mit Angabe aller Durchführungen, Leitungen und angrenzenden Räume aktuell. In ISMS Lite lassen sich Sicherheitszonen, Zutrittsberechtigungen und Wartungsintervalle für den Serverraum strukturiert dokumentieren und automatisch auf Wiedervorlage setzen. Dieser Plan ist auch für die Feuerwehr im Ernstfall relevant.

Zutrittskontrolle: Wer kommt rein und warum?

Die Zutrittskontrolle zum Serverraum ist die erste und wichtigste Verteidigungslinie. Sie beantwortet drei Fragen: Wer darf hinein? Wie wird der Zutritt kontrolliert? Und wie wird er protokolliert?

Berechtigungskonzept

Erstelle eine schriftliche Zutrittsberechtigungsliste, die klärt, welche Personen dauerhaft Zutritt haben und wer nur in Begleitung. Typischerweise haben nur IT-Administratoren und der IT-Leiter dauerhaften Zutritt. Techniker, Reinigungspersonal und externe Dienstleister betreten den Raum nur in Begleitung einer berechtigten Person. Die Geschäftsführung braucht nicht zwingend einen eigenen Schlüssel, wenn sie den Raum im Alltag nicht betritt.

Die Liste muss regelmäßig überprüft werden, mindestens halbjährlich und bei jedem Personalwechsel. Wenn ein Mitarbeiter das Unternehmen verlässt, muss sein Zutrittsmedium sofort gesperrt werden, nicht erst beim nächsten Audit.

Technische Umsetzung

Ein einfaches Schlüsselschloss reicht für einen Serverraum nicht aus, weil du nicht nachvollziehen kannst, wer wann den Raum betreten hat. Setze auf ein elektronisches Zutrittssystem, das jeden Zutritt mit Zeitstempel und Person protokolliert. Übliche Technologien sind RFID-Karten oder -Transponder, PIN-Pads (idealerweise in Kombination mit Karte), biometrische Systeme (Fingerabdruck) als höchste Sicherheitsstufe und Smartphone-basierte Systeme über Bluetooth oder NFC.

Für die meisten KMU ist eine Kombination aus RFID-Karte und PIN-Eingabe ein guter Kompromiss zwischen Sicherheit und Praktikabilität. Biometrische Systeme bieten höhere Sicherheit, erfordern aber eine sorgfältige Bewertung unter Datenschutzgesichtspunkten, weil biometrische Daten besondere personenbezogene Daten nach DSGVO sind.

Die Tür selbst sollte stabil sein (keine Leichtbautür), einen Selbstschließer haben, gegen Aufhebeln gesichert sein und einen Türkontakt besitzen, der meldet, wenn die Tür zu lange offen steht. Ein Alarm bei "Tür offen" nach 60 Sekunden verhindert, dass jemand die Tür versehentlich angelehnt lässt.

Protokollierung und Auswertung

Die Zutrittsprotokolle müssen automatisch und manipulationssicher gespeichert werden. Prüfe regelmäßig, ob ungewöhnliche Zutrittsmuster auftreten: Zutritte außerhalb der Geschäftszeiten, auffällig häufige Zutritte oder Zutritte von Personen, die eigentlich keinen Bedarf haben. Die Protokolle müssen mindestens ein Jahr aufbewahrt werden, wobei du die Aufbewahrungsfrist mit deinem Datenschutzbeauftragten abstimmen solltest.

Schlüsselmanagement

Auch wenn du ein elektronisches Zutrittssystem nutzt, gibt es meistens einen mechanischen Notschlüssel. Dieser gehört in einen versiegelten Umschlag in einem Safe, nicht in die Schreibtischschublade des IT-Leiters. Dokumentiere, wer den Notschlüssel verwahrt, und protokolliere jede Verwendung.

Klimatisierung: Server mögen es kühl und trocken

Serverraum-Klimatisierung ist keine Komfortfrage, sondern eine Frage der Betriebssicherheit. Überhitzung ist eine der häufigsten Ursachen für Hardwareausfälle und verkürzt die Lebensdauer von Festplatten, Netzteilen und Prozessoren erheblich.

Zielwerte

Die ASHRAE (American Society of Heating, Refrigerating and Air-Conditioning Engineers) empfiehlt für Serverräume eine Zulufttemperatur zwischen 18 und 27 Grad Celsius und eine relative Luftfeuchtigkeit zwischen 40 und 60 Prozent. Die meisten Experten raten, den unteren Bereich der Temperaturspanne anzustreben, also etwa 20 bis 22 Grad Celsius, weil das mehr Puffer nach oben bietet.

Zu trockene Luft unter 40 Prozent begünstigt elektrostatische Entladungen, die Elektronik beschädigen können. Zu feuchte Luft über 60 Prozent führt zu Kondensation und Korrosion.

Redundanz

Eine einzige Klimaanlage ist ein Single Point of Failure. Wenn sie ausfällt, heizt sich ein kleiner Serverraum innerhalb von Minuten auf kritische Temperaturen auf. Plane mindestens eine redundante Klimaanlage ein, die automatisch übernimmt, wenn die primäre ausfällt. Bei kleineren Serverräumen kann das eine zweite Split-Klimaanlage sein, die im Normalbetrieb als Reserve im Standby steht.

Warm- und Kaltgangeinhausung

Wenn dein Serverraum mehrere Racks beherbergt, solltest du über eine Kaltgang- oder Warmgangeinhausung nachdenken. Das Prinzip ist einfach: Die Vorderseiten der Server zeigen zueinander (Kaltgang), die Rückseiten ebenfalls (Warmgang). Durch physische Trennung von kalter Zuluft und warmer Abluft arbeitest du deutlich effizienter und vermeidest Kurzschlussströmungen, bei denen warme Abluft direkt wieder angesaugt wird.

Wartung

Klimaanlagen brauchen regelmäßige Wartung: Filter reinigen oder tauschen, Kältemittelstand prüfen, Kondensatablauf kontrollieren. Plane Wartungsintervalle alle sechs Monate ein und dokumentiere jede Wartung. Ein verstopfter Filter kann die Kühlleistung um 30 Prozent oder mehr reduzieren, ohne dass du es sofort bemerkst.

Brandschutz: Kein Wasser auf die Server

Brände im Serverraum haben meist elektrische Ursachen: überhitzte Netzteile, defekte USV-Batterien, überlastete Mehrfachsteckdosen oder beschädigte Kabel. Das Tückische: Ein Schwelbrand kann stundenlang unbemerkt bleiben und durch den Rauch mehr Schaden anrichten als durch die Flammen selbst.

Brandfrüherkennung

Herkömmliche Rauchmelder reagieren oft zu spät, weil sie erst ansprechen, wenn bereits eine sichtbare Rauchentwicklung vorliegt. Für Serverräume empfiehlt sich ein Brandfrüherkennungssystem, das über eine aktive Luftansaugung kontinuierlich Luftproben nimmt und bereits kleinste Rauchpartikel erkennt. Systeme wie Vesda (Very Early Smoke Detection Apparatus) können einen Brand erkennen, bevor er sich sichtbar entwickelt, und verschaffen dir wertvolle Minuten für eine Reaktion.

Löschsysteme

Die goldene Regel: Kein Wasser im Serverraum. Ein Sprinkler, der bei einem Fehlalarm auslöst, richtet unter Umständen mehr Schaden an als ein kleiner Brand. Geeignete Löschmittel für Serverräume sind Inertgase wie Stickstoff, Argon oder Mischungen wie Inergen, die den Sauerstoffgehalt auf ein Niveau senken, bei dem Brände erlöschen, Menschen aber noch atmen können. Alternativ kommen chemische Löschmittel wie Novec 1230 oder FM-200 in Frage, die rückstandsfrei sind und die Hardware nicht beschädigen.

Für kleinere Serverräume kann eine stationäre Gaslöschanlage unverhältnismäßig teuer sein. In diesem Fall solltest du mindestens CO2-Handlöscher bereitstellen, die für Brände an elektrischen Anlagen geeignet sind (Brandklasse C). Positioniere sie gut sichtbar und erreichbar außerhalb des Serverraums, damit du im Brandfall nicht in den verrauchten Raum hineingreifen musst.

Baulicher Brandschutz

Ergänzend zur Detektion und Löschung brauchst du bauliche Maßnahmen: Brandschutzwände und -decken mit definierter Feuerwiderstandsklasse, Brandschutztüren mit Selbstschließer, Brandschottung aller Kabeldurchführungen und keine brennbaren Materialien im Serverraum. Kartons, Papier, Verpackungsmaterial und andere brennbare Gegenstände haben in einem Serverraum nichts zu suchen.

Not-Aus-Schalter

Ein Not-Aus-Schalter für die Stromversorgung des Serverraums muss außerhalb des Raums angebracht sein, damit du im Brandfall die Stromzufuhr unterbrechen kannst, ohne den Raum betreten zu müssen. Kennzeichne den Schalter deutlich und stelle sicher, dass er nicht versehentlich betätigt werden kann, zum Beispiel durch eine Schutzkappe.

Überwachung: Sehen, messen, alarmieren

Überwachung im Serverraum geht weit über Kameras hinaus. Du brauchst ein System, das physische Parameter kontinuierlich misst und bei Abweichungen sofort alarmiert.

Umgebungsüberwachung

Installiere Sensoren für Temperatur (an mehreren Punkten im Raum, nicht nur einen), Luftfeuchtigkeit, Wassereinbruch (Bodensensoren an den tiefsten Stellen), Rauch (zusätzlich zum Brandmeldesystem) und Türstatus (offen/geschlossen). Alle Sensoren sollten an ein zentrales Monitoring-System angeschlossen sein, das bei Grenzwertüberschreitungen automatisch alarmiert, per E-Mail, SMS oder Push-Nachricht an die zuständigen Personen.

Schwellenwerte definieren: Lege für jeden Sensor Warn- und Alarmschwellen fest. Bei Temperatur zum Beispiel: Warnung bei 25 Grad, Alarm bei 30 Grad. So hast du die Möglichkeit zu reagieren, bevor eine kritische Situation eintritt.

Videoüberwachung

Kameras im Serverraum sind ein sensibles Thema, weil sie auch Mitarbeiter aufzeichnen. Stimme die Installation mit dem Betriebsrat und dem Datenschutzbeauftragten ab. In der Regel ist eine Videoüberwachung des Serverraums zulässig, wenn sie verhältnismäßig ist und transparent kommuniziert wird. Achte auf eine ausreichende Aufnahmequalität, sodass Personen erkennbar sind, auf eine Speicherdauer, die mit dem Datenschutzbeauftragten abgestimmt ist (typisch sind 72 Stunden bis 30 Tage), auf eine manipulationssichere Speicherung der Aufnahmen und auf Hinweisschilder am Eingang des Raums.

USV und Stromversorgung

Eine unterbrechungsfreie Stromversorgung (USV) überbrückt kurze Stromausfälle und gibt dir Zeit, Server kontrolliert herunterzufahren. Dimensioniere die USV so, dass sie die kritischen Systeme mindestens 15 bis 30 Minuten lang versorgen kann. Wichtig: USV-Batterien altern und verlieren an Kapazität. Plane regelmäßige Batterietests (mindestens halbjährlich) und den Austausch nach Herstellerempfehlung (typischerweise alle drei bis fünf Jahre) ein.

Überwache den USV-Status ebenfalls über dein Monitoring-System: Batteriestatus, Last, Eingangsspannung und Temperatur. Eine USV, die im Ernstfall nicht funktioniert, weil die Batterien defekt sind, ist schlimmer als keine USV, weil sie ein falsches Gefühl der Sicherheit vermittelt.

Erdung und Überspannungsschutz

Eine saubere Erdung und ein mehrstufiger Überspannungsschutz schützen deine Hardware vor Blitzeinschlag und Spannungsspitzen. Der Überspannungsschutz sollte dreistufig sein: Grobschutz am Gebäudeeingang (Typ 1), Mittelschutz in der Unterverteilung (Typ 2) und Feinschutz an den Steckdosen im Serverraum (Typ 3).

Notfallplanung für den Serverraum

Was passiert, wenn trotz aller Maßnahmen etwas schiefgeht? Du brauchst einen spezifischen Notfallplan für den Serverraum, der folgende Szenarien abdeckt:

Klimaanlagenausfall: Wer wird benachrichtigt? Ab welcher Temperatur werden Server heruntergefahren? In welcher Reihenfolge? Gibt es mobile Kühlgeräte als Notlösung?

Wassereinbruch: Wo befinden sich die Absperrventile? Wie werden Server angehoben oder verlagert? Wer ist der Notfall-Kontakt für den Haustechniker?

Brand: Wie wird der Raum evakuiert? Wer betätigt den Not-Aus? Wer alarmiert die Feuerwehr? Wo befindet sich der Sammelplatz?

Einbruch oder unbefugter Zutritt: Wer wird alarmiert? Wie wird der Raum gesperrt? Wie wird der Vorfall dokumentiert?

Für jedes Szenario solltest du die Verantwortlichkeiten, Kontaktdaten und die ersten drei Schritte dokumentieren. Hänge eine kurzgefasste Notfallkarte neben die Tür des Serverraums und stelle sicher, dass die zuständigen Personen wissen, wo sie die vollständige Dokumentation finden.

Regelmäßige Begehung und Wartung

Die beste Ausstattung nützt nichts, wenn sie nicht gepflegt wird. Plane regelmäßige Begehungen des Serverraums ein:

Wöchentlich: Sichtkontrolle auf offensichtliche Mängel wie lose Kabel, ungewöhnliche Geräusche oder Gerüche, offenstehende Türen oder Rack-Türen und herumliegende Gegenstände. Diese Kontrolle dauert fünf Minuten und kann in die tägliche Routine der IT-Abteilung integriert werden.

Monatlich: Prüfung der Zutrittsprotokolle auf Auffälligkeiten, Kontrolle der USV-Anzeigen und Batterietests, Überprüfung der Klimaanlagen-Parameter und Sichtprüfung der Brandschutzeinrichtungen.

Halbjährlich: Professionelle Wartung der Klimaanlagen, Funktionstest der Brandmeldeanlage und Löscheinrichtungen, USV-Batterietest unter Last, Überprüfung und Aktualisierung der Zutrittsberechtigungsliste und Review des Notfallplans.

Jährlich: Umfassende Begehung mit dem Brandschutzbeauftragten, Prüfung der elektrischen Anlage durch einen Elektrofachbetrieb, Review der baulichen Substanz und gegebenenfalls Anpassung der Klimatisierung an geänderte Wärmelasten.

Dokumentiere jede Begehung und Wartung mit Datum, durchführender Person und Ergebnis. Diese Dokumentation ist bei Audits Gold wert und zeigt, dass du physische Sicherheit nicht nur einmalig eingerichtet, sondern als kontinuierlichen Prozess verstanden hast.

Checkliste: Serverraum absichern

Die folgende Checkliste gibt dir einen schnellen Überblick über die wichtigsten Maßnahmen. Sie ersetzt keine individuelle Risikoanalyse, hilft aber, die größten Lücken zu identifizieren.

Baulich: Raum ohne Außenfenster, keine wasserführenden Leitungen über den Racks, Brandschutzwände und -türen, antistatischer Boden, abgeschottete Kabeldurchführungen, keine brennbaren Materialien im Raum.

Zutrittskontrolle: Elektronisches Zutrittssystem mit Protokollierung, schriftliche Berechtigungsliste mit regelmäßiger Überprüfung, Notschlüssel im versiegelten Umschlag im Safe, Besucherregelung mit Begleitpflicht, automatischer Türkontakt mit Alarm.

Klimatisierung: Redundante Klimaanlage, Temperatur- und Feuchtigkeitsüberwachung mit Alarmierung, regelmäßige Wartung alle sechs Monate, Warm-/Kaltgangtrennung bei mehreren Racks.

Brandschutz: Brandfrüherkennungssystem (idealerweise Ansauganlage), geeignete Löschmittel (Inertgas oder Handlöscher Brandklasse C), Not-Aus-Schalter außerhalb des Raums, Brandschottung aller Durchführungen.

Überwachung: Umgebungssensoren (Temperatur, Feuchtigkeit, Wasser, Rauch), zentrales Monitoring mit automatischer Alarmierung, USV mit Monitoring und regelmäßigen Tests, Videoüberwachung (datenschutzkonform).

Organisation: Notfallplan für den Serverraum, regelmäßige Begehungen und Wartung, Dokumentation aller Maßnahmen und Prüfungen, Schulung der berechtigten Personen.

ISO 27001 und BSI-Grundschutz: Was die Normen verlangen

Die ISO 27001 fordert in Annex A 7.1 bis 7.14 eine Reihe physischer Kontrollen. Besonders relevant für den Serverraum sind A.7.2 (Physischer Zutrittsschutz), A.7.3 (Sicherung von Büros, Räumen und Einrichtungen), A.7.4 (Überwachung der physischen Sicherheit), A.7.5 (Schutz vor physischen und umweltbedingten Bedrohungen), A.7.8 (Platzierung und Schutz von Betriebsmitteln), A.7.11 (Unterstützende Versorgungseinrichtungen wie Strom und Klima) und A.7.12 (Sicherheit der Verkabelung).

Der BSI IT-Grundschutz geht mit dem Baustein INF.2 "Rechenzentrum sowie Serverraum" deutlich detaillierter vor und differenziert zwischen Basis-, Standard- und erhöhten Anforderungen. Für KMU sind die Basisanforderungen der Startpunkt, die Standardanforderungen das Ziel.

Beide Rahmenwerke betonen, dass die Maßnahmen dem Schutzbedarf angemessen sein müssen. Ein kleiner Serverraum mit zwei Racks braucht keine Gaslöschanlage für 50.000 Euro, wenn CO2-Handlöscher und ein Brandfrüherkennungssystem den Schutzbedarf angemessen abdecken. Umgekehrt reicht ein Vorhängeschloss nicht, wenn der Server geschäftskritische Daten verarbeitet.

Typische Fehler und wie du sie vermeidest

Serverraum als Abstellkammer: Kartons, alte Monitore und Getränkekisten haben im Serverraum nichts zu suchen. Räume den Raum konsequent frei und kommuniziere eine klare Regel: Nichts, was nicht zur IT-Infrastruktur gehört, darf hinein.

Schlüssel ohne Kontrolle: Wenn fünf Personen einen Schlüssel haben und du nicht weißt, wer davon den Serverraum zuletzt betreten hat, hast du keine Zutrittskontrolle. Wechsle auf ein elektronisches System.

Keine Redundanz bei der Kühlung: Eine einzige Klimaanlage ist ein Ausfallrisiko. Investiere in eine zweite Anlage oder habe zumindest einen Plan B (mobiles Kühlgerät, kontrolliertes Herunterfahren).

Wartung nur bei Problemen: Warte nicht, bis die Klimaanlage ausfällt oder die USV-Batterie versagt. Plane Wartungstermine proaktiv und halte sie ein.

Fehlende Dokumentation: Ohne Dokumentation kannst du nicht nachweisen, dass du die richtigen Maßnahmen ergriffen hast. Im Audit wird nicht gefragt, ob du etwas getan hast, sondern ob du belegen kannst, dass du es getan hast.

Not-Aus unbekannt: Wenn niemand weiß, wo der Not-Aus-Schalter ist oder wie man ihn betätigt, nützt er im Ernstfall nichts. Beschrifte ihn deutlich und informiere alle berechtigten Personen.

Von der Checkliste zum lebenden Prozess

Die Absicherung des Serverraums ist keine Einmalaktion, sondern ein fortlaufender Prozess. Technologien ändern sich, die IT-Infrastruktur wächst, neue Risiken entstehen. Was heute angemessen ist, kann in zwei Jahren unzureichend sein.

Integriere die physische Sicherheit des Serverraums in dein ISMS: Erfasse den Serverraum als Asset in deiner Schutzbedarfsfeststellung, bewerte die Risiken regelmäßig neu und plane Maßnahmen im Rahmen deines PDCA-Zyklus. Wenn du ein neues Rack aufstellst, eine neue USV installierst oder die Klimaanlage tauschst, aktualisiere die Dokumentation zeitnah.

Die physische Sicherheit ist ein Bereich, in dem sich Investitionen direkt auszahlen, weil sie Hardwareausfälle verhindern, Betriebsunterbrechungen reduzieren und im Ernstfall den Unterschied zwischen einem beherrschbaren Vorfall und einem Totalschaden ausmachen können.

Weiterführende Artikel

• Clean Desk Policy: Warum der aufgeräumte Schreibtisch ins ISMS gehört
• Besuchermanagement und Zutrittsprotokollierung
• Zugangs- und Zutrittskontrolle: Richtlinie erstellen
• Schutzbedarfsfeststellung: Vertraulichkeit, Integrität und Verfügbarkeit bewerten
• IT-Notfallkarte: Erste Hilfe bei Sicherheitsvorfällen