ISO 27002 - Kapitel 7.1 Physische Sicherheitsperimeter

Warum Sicherheitsbereiche?

Dass es sinnvoll ist, bestimmte Werte wegzusperren, liegt auf der Hand. Was sicher verwahrt ist, kann nicht mehr ohne weiteres gestohlen oder verändert bzw. beschädigt werden. Und ein verschlossen aufbewahrtes Geheimnis bleibt im Zweifelsfall auch geheim.

Besondere Sicherheitsbereiche können auch dazu dienen, Protokollierung und Monitoring zu unterstützen. Wenn beispielsweise Kaffee über einem zentralen IT-System verschüttet wird, kann zwar überwacht und festgestellt werden, dass das System ausgefallen ist. Wer der Verursacher dieser ungewollten Aktion war, wird jedoch nicht erfasst. Ist der entsprechende Raum allerdings mit einem Zutrittssystem geschützt, das aufzeichnet, wer ihn zu einer gewissen Zeit betreten hat, kann auch in solchen Fällen eine Zuordnung erfolgen.

Was ist bei der Festlegung von Sicherheitsbereichen zu berücksichtigen?

Ausgangspunkt sind stets die Werte, die es zu schützen gilt. Welche schutzbedürftigen Informationen und andere Werte sind vorhanden? Wo werden diese aktuell aufbewahrt? Bei Informationen muss zusätzlich berücksichtigt werden, von wo aus auf diese zugegriffen werden darf. Auch diese Örtlichkeiten müssen berücksichtigt werden.

Ist bestimmt, welche Informationen und Werte es zu schützen gilt, muss festgelegt werden, wie hoch der konkrete Sicherheitsbedarf in Abhängigkeit der Informationen und Werte ist. Auch hinsichtlich dieser Frage ist es sinnvoll, passende Kategorien einzuführen und für diese konkrete Maßnahmen vorzusehen.

Umsetzung von Sicherheitsbereichen

Folgende Gesichtspunkte sind bei der Umsetzung von Sicherheitsbereichen relevant:

• Bereiche unterschiedlicher Sicherheit müssen voneinander abgegrenzt und geeignete Zutrittsbeschränkungen müssen vorhanden sein. Stockwerks- und andere Gebäude- bzw. Geländepläne können hierbei hilfreich sein.
• Sicherheitsperimeter dürfen keine Lücken oder Schwächen aufweisen.
• Die Zugangshürden für einen bestimmten Sicherheitsbereich müssen dem Schutzbedarf der darin befindlichen Werte entsprechen. Auf der einen Seite kann es quasi-öffentliche Bereiche geben, in denen sich Besucher oder Kunden aufhalten dürfen. Auf der anderen Seite wird es aber auch Örtlichkeiten geben, die vollständig gegen Einbruch und Brand geschützt umschlossen sind, nur von bestimmten und vereinzelten Personen betreten werden können und gegebenenfalls auch laufend überwacht werden; erforderlichenfalls mit automatischer Alarmierung etwa von Sicherheitsdienst und/oder Polizei bzw. Feuerwehr. Und es wird Zwischenbereiche geben, in denen es genügt, Besucher zu begleiten und bei Abwesenheit alle Fenster und Türen zu schließen.
• Gegebenenfalls sind auch organisatorische Änderungen notwendig. So ist es beispielsweise selten sinnvoll, mehrere Bereiche der Organisation baulich auf höchste Sicherheit anzupassen. Wesentlich einfacher und günstiger ist es, dafür zu sorgen, dass alle Werte und Informationen mit einem entsprechend hohen Schutzbedarf innerhalb möglichst eines oder weniger Bereiche aufbewahrt werden. Mitunter wird es wirtschaftlich sinnvoller sein, entsprechende Dienstleistungen einzukaufen; insbesondere etwa im Bereich professioneller Rechenzentren, die einem selbst aufgebauten und betriebenen Serverraum regelmäßig überlegen sein werden.

Fazit: Sicherheitsperimeter klingen einfach, sind aber oft aufwändig

Die Schritte zur Planung und Umsetzung geeigneter Sicherheitsperimeter sind überschaubar, aber möglicherweise nicht ganz einfach zu nehmen:

1. Festlegung der notwendigen physischen Sicherheit in Abhängigkeit der konkret zu schützenden Informationen und Werte.
2. Tatsächliche Sicherstellung, dass sich sämtliche Informationen und Werte in einem Sicherheitsbereich befinden, der ihrem Schutzbedarf entspricht.
3. Sicherstellung, dass zwischen Sicherheitsbereichen angemessene Hürden für den Zutritt bestehen.
4. Angemessene Überwachung, ebenfalls in Abhängigkeit des Schutzbedarfs.