ISO 27002Kapitel 7.2 Physischer Zutritt

Kapitel 7.1 der ISO 27002:2022 beschreibt das Vorgehen, wie Sicherheitsbereiche innerhalb einer Organisation festgelegt werden können. Diese Festlegung allein stellt aber noch kein Hindernis dar, Sicherheitsbereiche zu betreten. Praktisch relevant ist es, angemessene und tatsächlich wirksame Hürden zwischen unterschiedlichen Sicherheitsbereichen aufzubauen.

Kapitel 7.2 der ISO 27002:2022 enthält zu dieser Zutrittsbeschränkung und -kontrolle etliche Vorschläge.

Welche Gründe gibt es, Zutritt zu beschränken und zu kontrollieren?

Dass das Wegsperren eine der wirksamsten Maßnahmen ist, Werte zu schützen, bedarf keiner Erklärung. Die tatsächliche Umsetzung ist bereits schwieriger. Nicht alle Werte lassen sich in einem Safe verwahren. Selbst wenn man dies einmal annähme, sollte der Sicherheitsschrank nicht die einzige, sondern die letzte Hürde darstellen.

Den Zutritt zu Bereichen auf bestimmte Personen zu beschränken und gegebenenfalls auch zu protokollieren, welche Person ihn wann betreten und gegebenenfalls auch wieder verlassen haben, kann aber auch aus anderen Gründen sinnvoll bzw. notwendig sein. Vorfälle innerhalb der Bereiche lassen sich gegebenenfalls so noch einem Verursacher zuordnen und bei Notfällen, die eine Räumung oder Rettung notwendig machen, ist es hilfreich zu wissen, wie viele Personen betroffen sind.

Was ist beim Aufbau von Zutrittsbeschränkungen zu beachten?

Bei der Errichtung geeigneter Zutrittsschranken sind mehrere Gesichtspunkte relevant.

  • Die angemessene Barriere gegen unbefugten Zutritt muss zuerst einmal physisch geschaffen werden.
  • Berechtigte müssen in die Lage versetzt werden, den geschützten Bereich zu betreten und die hierfür notwendigen Mittel bereitgestellt bekommen.
  • Unbefugte müssen wirksam abgehalten und gegebenenfalls erkannt werden.
  • Selbst bei berechtigtem Zutritt sind gegebenenfalls Regelungen und Vorgaben für das Verhalten innerhalb von Sicherheitsbereichen notwendig.

Im Einzelnen macht die ISO 27002 in Kapitel 7.2 insbesondere folgende Vorgaben:

Berechtigungskonzept

Wie beim Zugang zu IT-Systemen und Anwendungen auch, ist auch hinsichtlich des räumlichen Zutritts ein Verfahren zu etablieren, welche Berechtigungen vorgesehen sind, wie diese vergeben und gegebenenfalls wieder entzogen werden. In aller Regel wird hiermit auch die Vergabe von Zutrittsmitteln verbunden sein, sei es ein einfacher Schlüssel oder eine personalisierte und gegebenenfalls mit Foto versehene elektronischer Zugangskarte.

Selbstverständlich müssen auch die Bereiche, in denen Berechtigungen und Zutrittsmittel verwaltet werden, entsprechend sicher ausgestaltet sein. Notwendig ist auch eine regelmäßige Kontrolle, beispielsweise durch ein jährliches Schlüsselaudit.

Überwachung

Die Nutzung von Zutrittsberechtigungen muss gegebenenfalls überwacht und protokolliert werden. Von einer händisch geführten Liste bis hin zu einer vollständigen Protokollierung sind hier viele Abstufungen denkbar.

Angemessenheit

Verfahren und eingesetzte technische Mechanismen müssen geeignet sein, um die jeweiligen Sicherheitsanforderungen auch zu gewährleisten. Mechanische Schlüssel werden nur in Ausnahmefällen ausreichend sein. In sensibleren Bereichen wird man an den Einsatz von Biometrie und/oder Multi-Faktor-Authentisierung denken müssen und den Zutritt möglicherweise über eine Schleuse regeln. Überhaupt nutzt das beste Schloss nichts, wenn es nur in einer einfachen Bürotür verbaut wurde. Sicherheit und Widerstandskraft des Schließmechanismus und der zu überwindenden Barriere müssen sich entsprechen und insgesamt angemessen hoch sein.

Geregelter Zutritt

Gelände und Räumlichkeiten der Organisation sollten allgemein nur über vorgesehene Eingänge betreten werden können. Zutritt sollte nicht ungehindert möglich sein, zumindest aber nur überwacht.

Kontrolle

Bei Bereichen mit besonders hohen Sicherheitsanforderungen müssen gegebenenfalls mitgeführte Gegenstände bei Betreten und Verlassen kontrolliert werden oder aber dürfen nicht mitgeführt werden.

Ausweisen

Insbesondere bei einer größeren Anzahl an Mitarbeitern oder sonst Personen, die sich üblicherweise innerhalb einer Organisation aufhalten, ist es hilfreich, sichtbar zu tragende Ausweise einzusetzen, die im Idealfall auch leicht erkennbar zwischen Angehörigen der Organisation und Besuchern unterscheiden.

Zeitliche Beschränkung

Auch Personen, mit denen eine Organisation regelmäßiger zu tun hat, wie Dienstleister und Lieferanten, sollten keine dauerhafte und selbstständige Möglichkeit besitzen, sich jederzeit Zutritt zu verschaffen.

Geteilte Nutzung

Besondere Aufmerksamkeit verdienen Bereiche, die nicht exklusiv von der Organisation, sondern auch von anderen Stellen genutzt werden. Für die Praxis relevant sind hier nicht nur gemeinsame Treppenhäuser, Tiefgaragen und Lifte, sondern auch geteilte Sanitärräume oder Teeküchen oder gar gesamte Flure, etwa bei Untervermietung. Diese Hinweise gelten ganz besonders für Bürosharing oder andere Coworking-Lösungen.

Schwachstellen

Als typische Schwachstellen dürfen auch Notausgänge, Fluchttreppen etc. nicht übersehen werden. In der Praxis werden solche Türen gerne als kurze Weg in die Rauchpause genutzt und durch Keile oder Steine daran gehindert, ins Schloss zu fallen. Manchmal helfen hier nur Türöffnungsmelder.

Liefer- und Ladebereiche

Abschließend sollen auch Liefer- und Ladebereiche kurz erwähnt werden, in denen sich die vorgenannten Probleme entsprechend stellen – aber womöglich in einem weitaus größeren Umfang. So erfordert die Kontrolle einer Anlieferung vorhersehbar deutlich mehr Aufwand als die gelegentliche und kurze Einsicht in eine mitgeführte Tasche.

Fazit: Zutrittskontrolle ist komplex

Die tatsächliche Umsetzung geeigneter physischer Sicherheitsmaßnahmen im Bereich der Zutrittsbeschränkung und -kontrolle setzt Organisationen oft vor erhebliche Probleme.

Bereits die bauliche Planung und Umsetzung kann schwierig und mitunter auch teuer sein. Gelegentlich kommen auch andere Faktoren hinzu, wie beispielsweise in älteren Gebäuden Belange des Denkmalschutzes. Organisationen werden Lösungen finden müssen, wie in sich geschlossene Sicherheitsbereiche hergestellt und wirksam voneinander abgeschottet werden können. Je nach Art des genutzten Gebäudes oder Geländes wird dies mitunter gar nicht möglich sein und es müssen alternative Orte gefunden werden.

Die verlässliche Verwaltung von (erteilten) Zutrittsberechtigungen und den hierfür notwendigen Mitteln ist zudem ein Prozess, den Organisationen gelegentlich mit eher niedriger Priorität betreiben.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG erstellt für ihre Mandanten im Rahmen einer Zertifizierung nach ISO 27001 Konzepte und Leitlinien für Zutrittskontrolle sowie abgestufte Abschirmung von Räumlichkeiten, in denen schützenswerte Informationen und andere Werte lagern bzw. be- und verarbeitet werden.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.