Logo der activeMind AG

ISO 27002Kapitel 7.1 Physische Sicherheitsperimeter

Eine der einfachsten und zugleich wichtigsten Maßnahmen, um Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu schützen, ist es, diese Informationen wegzusperren bzw. Unbefugte davon fernzuhalten. Gleiches gilt für andere Werte der Organisation.

Was so simpel klingt, entpuppt sich in der Praxis häufig als Problem. Wo befinden sich die schützenswerten Informationen oder anderen Werte? Ist eine sinnvolle Abgrenzung der entsprechenden Räumlichkeiten möglich? Bieten diese Orte angemessen sichere Verschlussmöglichkeiten?

Das Kapitel 7.1 der ISO 27002:2022 enthält Ratschläge, wie solche Sicherheitsperimeter festgelegt und verwendet werden können.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Warum Sicherheitsbereiche?

Dass es sinnvoll ist, bestimmte Werte wegzusperren, liegt auf der Hand. Was sicher verwahrt ist, kann nicht mehr ohne weiteres gestohlen oder verändert bzw. beschädigt werden. Und ein verschlossen aufbewahrtes Geheimnis bleibt im Zweifelsfall auch geheim.

Besondere Sicherheitsbereiche können auch dazu dienen, Protokollierung und Monitoring zu unterstützen. Wenn beispielsweise Kaffee über einem zentralen IT-System verschüttet wird, kann zwar überwacht und festgestellt werden, dass das System ausgefallen ist. Wer der Verursacher dieser ungewollten Aktion war, wird jedoch nicht erfasst. Ist der entsprechende Raum allerdings mit einem Zutrittssystem geschützt, das aufzeichnet, wer ihn zu einer gewissen Zeit betreten hat, kann auch in solchen Fällen eine Zuordnung erfolgen.

Was ist bei der Festlegung von Sicherheitsbereichen zu berücksichtigen?

Ausgangspunkt sind stets die Werte, die es zu schützen gilt. Welche schutzbedürftigen Informationen und andere Werte sind vorhanden? Wo werden diese aktuell aufbewahrt? Bei Informationen muss zusätzlich berücksichtigt werden, von wo aus auf diese zugegriffen werden darf. Auch diese Örtlichkeiten müssen berücksichtigt werden.

Ist bestimmt, welche Informationen und Werte es zu schützen gilt, muss festgelegt werden, wie hoch der konkrete Sicherheitsbedarf in Abhängigkeit der Informationen und Werte ist. Auch hinsichtlich dieser Frage ist es sinnvoll, passende Kategorien einzuführen und für diese konkrete Maßnahmen vorzusehen.

Umsetzung von Sicherheitsbereichen

Folgende Gesichtspunkte sind bei der Umsetzung von Sicherheitsbereichen relevant:

  • Bereiche unterschiedlicher Sicherheit müssen voneinander abgegrenzt und geeignete Zutrittsbeschränkungen müssen vorhanden sein. Stockwerks- und andere Gebäude- bzw. Geländepläne können hierbei hilfreich sein.
  • Sicherheitsperimeter dürfen keine Lücken oder Schwächen aufweisen.
  • Die Zugangshürden für einen bestimmten Sicherheitsbereich müssen dem Schutzbedarf der darin befindlichen Werte entsprechen. Auf der einen Seite kann es quasi-öffentliche Bereiche geben, in denen sich Besucher oder Kunden aufhalten dürfen. Auf der anderen Seite wird es aber auch Örtlichkeiten geben, die vollständig gegen Einbruch und Brand geschützt umschlossen sind, nur von bestimmten und vereinzelten Personen betreten werden können und gegebenenfalls auch laufend überwacht werden; erforderlichenfalls mit automatischer Alarmierung etwa von Sicherheitsdienst und/oder Polizei bzw. Feuerwehr. Und es wird Zwischenbereiche geben, in denen es genügt, Besucher zu begleiten und bei Abwesenheit alle Fenster und Türen zu schließen.
  • Gegebenenfalls sind auch organisatorische Änderungen notwendig. So ist es beispielsweise selten sinnvoll, mehrere Bereiche der Organisation baulich auf höchste Sicherheit anzupassen. Wesentlich einfacher und günstiger ist es, dafür zu sorgen, dass alle Werte und Informationen mit einem entsprechend hohen Schutzbedarf innerhalb möglichst eines oder weniger Bereiche aufbewahrt werden. Mitunter wird es wirtschaftlich sinnvoller sein, entsprechende Dienstleistungen einzukaufen; insbesondere etwa im Bereich professioneller Rechenzentren, die einem selbst aufgebauten und betriebenen Serverraum regelmäßig überlegen sein werden.

Fazit: Sicherheitsperimeter klingen einfach, sind aber oft aufwändig

Die Schritte zur Planung und Umsetzung geeigneter Sicherheitsperimeter sind überschaubar, aber möglicherweise nicht ganz einfach zu nehmen:

  1. Festlegung der notwendigen physischen Sicherheit in Abhängigkeit der konkret zu schützenden Informationen und Werte.
  2. Tatsächliche Sicherstellung, dass sich sämtliche Informationen und Werte in einem Sicherheitsbereich befinden, der ihrem Schutzbedarf entspricht.
  3. Sicherstellung, dass zwischen Sicherheitsbereichen angemessene Hürden für den Zutritt bestehen.
  4. Angemessene Überwachung, ebenfalls in Abhängigkeit des Schutzbedarfs.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG erstellt für ihre Mandanten im Rahmen einer Zertifizierung nach ISO 27001 Konzepte und Leitlinien für Zutrittskontrolle sowie abgestufte Abschirmung von Räumlichkeiten, in denen schützenswerte Informationen und andere Werte lagern bzw. be- und verarbeitet werden.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.