M 2.212 Organisatorische Vorgaben für die Gebäudereinigung
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Innerer Dienst
Die Gebäudereinigung erfordert im Normalfall den Zutritt von Betriebsfremden. Dies kann insbesondere in Bereichen mit höheren Sicherheitsanforderungen wie Rechenzentren, Serverräumen, Technikräumen oder Kommunikationszentralen problematisch sein und daher zusätzliche Sicherheitsmaßnahmen erfordern.
Bereits in der Ausschreibung und der Vertragsformulierung ist die Sonderbehandlung sensitiver Bereiche einzubeziehen. Zum Beispiel sind bei Rechenzentren stichprobenartige Kontrollen von Taschen oder Transportgut im Zugangs- oder Zufahrtsbereich für betriebsfremdes Personal in den Verträgen festzuschreiben.
Da bei Reinigungskräften IT-Kenntnisse nicht vorausgesetzt werden können, sollten diese daher in allen Bereichen mit geschäftskritischen IT-Systemen dahingehend eingewiesen werden, welche Tätigkeiten zu Schäden an IT-Einrichtungen oder Problemen beim IT-Betrieb führen können. Beispiele für solche Problemfelder sind:
- Bei der Reinigung von Tastaturen können unbeabsichtigt Eingaben an Servern oder anderen zentralen Komponenten erfolgen, die den IT-Betrieb beeinträchtigen.
- IT-Systeme können versehentlich ausgeschaltet werden.
- Stromversorgungs- oder Kommunikationskabel können durch Staubsauger beschädigt oder aus den Endpunkten gerissen werden.
- Durch Wasser oder Reinigungsflüssigkeit können Kurzschlüsse in Hardware-Komponenten verursacht werden.
Wenn Vertrauen in die Reinigungsfirma besteht, sollte der Zutritt der Reinigungskräfte über die vorhandene Zutrittskontrolle bzw. das Schließsystem geregelt werden. Jedoch können dies nur wirksame Sicherungsmaßnahmen sein, wenn z. B. Ausweis oder Schlüssel gegen Unterschrift und nur zeitlich begrenzt benannten bzw. bekannten Mitarbeitern der Reinigungsfirma ausgegeben werden. Bei der Vereinbarung über die Verwendung von Stammpersonal kann über das Ausweissystem eine wirksame Kontrolle der Vertragseinhaltung erreicht werden.
Für die Koordination, aber auch bei auftretenden Problemen ist vom Auftragnehmer ein Objektverantwortlicher zu benennen, der jederzeit ansprechbar ist. Er muss Entscheidungsbefugnis über das einzusetzende (vor allem auch über nicht mehr einzusetzendes, weil unerwünschtes) Personal haben.
Bereiche mit einem erhöhten Sicherungsbedarf wie Maschinensaal oder Datenträgerarchiv sind nur unter Anwesenheit von Verantwortlichen des Auftraggebers oder in einigen Fällen auch unter Anwesenheit einer Vertrauensperson des Auftragnehmers, z. B. im Vier-Augen-Prinzip, zu reinigen.
Ergänzende Kontrollfragen:
- Wird kontrolliert, ob die Mitarbeiter der beauftragten Reinigungsfirma die ausgegebenen Schlüssel bzw. Ausweise vertragsgemäß verwenden?
- Sind die Reinigungskräfte über den Umgang mit der IT ausreichend informiert?
- Werden die Reinigungskräfte in besonders sensitiven Bereichen bei der Arbeit beaufsichtigt?