Sicherheit beginnt an der Tür

Risikokontrolle 7.3: Sichern von Büros, Räumen und Einrichtungen


Die Risikokontrolle „Sichern von Büros, Räumen und Einrichtungen“ gemäß ISO 27002:2022 (Abschnitt 7.3) zielt darauf ab, die physische Sicherheit von Bürogebäuden, Räumlichkeiten und Einrichtungen zu gewährleisten. Diese Maßnahme umfasst die Planung und Implementierung von Sicherheitsvorkehrungen, um den unbefugten Zutritt zu verhindern, wertvolle Vermögenswerte zu schützen und die Betriebsabläufe abzusichern. Die physische Sicherheit ist ein wesentlicher Bestandteil der Gesamtsicherheitsstrategie einer Organisation und ergänzt technische und administrative Kontrollen. Ohne physische Sicherheitsmaßnahmen können Angreifer leicht Zugang zu IT-Systemen, sensiblen Informationen und anderen kritischen Ressourcen erhalten.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die Hauptgefahren, die durch die physische Sicherheitskontrolle minimiert werden, sind:

  1. Unbefugter Zugang zu sensiblen Bereichen: Ohne angemessene physische Sicherheitsmaßnahmen könnten Eindringlinge unautorisiert Zugang zu Büros, Serverräumen oder Archiven erlangen und vertrauliche Informationen stehlen oder IT-Systeme manipulieren.
  2. Diebstahl von Geräten und Informationen: Laptops, Server oder Festplatten können entwendet werden, wodurch vertrauliche Daten in die falschen Hände gelangen und der Betrieb gestört wird.
  3. Vandalismus und Sabotage: Unbefugte könnten physische Einrichtungen beschädigen oder absichtlich Sabotage betreiben, was zu erheblichen Schäden an der Infrastruktur und Störungen der Geschäftsabläufe führt.
  4. Naturkatastrophen und Unfälle: Der Mangel an Sicherheitsmaßnahmen für Gebäude und Einrichtungen erhöht das Risiko, dass diese nicht ausreichend gegen Feuer, Überschwemmungen oder andere Naturereignisse geschützt sind, was den Betrieb erheblich beeinträchtigen kann.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Die Sicherung von Büros, Räumen und Einrichtungen adressiert mehrere häufige Schwachstellen, die in vielen Organisationen zu Sicherheitsproblemen führen können:

  1. Fehlende Zugangskontrollen: Viele Unternehmen setzen keine klaren physischen Zugangskontrollen um. Dies führt dazu, dass unbefugte Personen leicht Zugang zu geschützten Bereichen erhalten.
  2. Unzureichende Videoüberwachung: Ohne Kameras oder andere Überwachungsmaßnahmen bleibt es oft unbemerkt, wenn Unbefugte ein Gebäude betreten oder sich verdächtig verhalten. So wird es schwer, Vorfälle nachträglich zu analysieren oder Verantwortliche zu identifizieren.
  3. Mangel an physischen Barrieren: Oftmals fehlen in den Gebäuden angemessene physische Barrieren wie verschlossene Türen, Zäune oder Sicherheitsschleusen, die unbefugte Personen daran hindern könnten, in kritische Bereiche zu gelangen.
  4. Keine Notfallpläne: Organisationen haben häufig keine Pläne zur Sicherung ihrer physischen Einrichtungen im Falle von Notfällen wie Feuer, Hochwasser oder anderen Katastrophen. Ohne solche Vorkehrungen kann ein Vorfall den Betrieb komplett lahmlegen.


Beispiel für die Umsetzung der Risikokontrolle

Ein passendes Beispiel stammt aus der Finanzindustrie, insbesondere von einer großen Bank mit mehreren Niederlassungen und Rechenzentren. In diesem Fall steht der Schutz sensibler Finanzdaten sowie die physische Sicherheit der IT-Infrastruktur im Vordergrund. Die Bank hat folgende Maßnahmen implementiert, um die physische Sicherheit ihrer Büros, Serverräume und anderer kritischer Bereiche zu gewährleisten:

  1. Zugangskontrollsysteme: An den Eingängen zu allen sensiblen Bereichen, wie Rechenzentren und Verwaltungsbüros, wurden elektronische Zugangskontrollsysteme installiert, die nur autorisierten Mitarbeitern Zutritt gewähren. Hierbei werden Ausweise mit RFID-Chips verwendet, die die Identität der Mitarbeiter prüfen. Zusätzlich gibt es eine biometrische Authentifizierung in besonders sensiblen Bereichen, wie Serverräumen.
  2. Videoüberwachung: Die Bank hat in und um ihre Büros sowie Rechenzentren ein hochmodernes Videoüberwachungssystem implementiert. Die Kameras erfassen alle Aktivitäten und sind mit Bewegungserkennungssoftware ausgestattet, die verdächtiges Verhalten automatisch meldet.
  3. Sicherheitspersonal: An den wichtigsten Standorten der Bank sind rund um die Uhr Sicherheitsteams im Einsatz, die verdächtige Aktivitäten überwachen und auf Notfälle schnell reagieren können.
  4. Physische Barrieren: Alle sensiblen Einrichtungen sind durch Zäune und Sicherheitsschleusen geschützt. Zusätzliche Barrieren wie gesicherte Server-Racks und Brandschutztüren schützen die kritische Infrastruktur vor physischen Schäden oder Sabotage.

Diese Maßnahmen halfen, einen versuchten physischen Angriff zu verhindern, bei dem Kriminelle versucht hatten, in ein Rechenzentrum der Bank einzubrechen, um Server zu stehlen. Dank der Zugangskontrollen und der sofortigen Alarmierung des Sicherheitspersonals wurde der Versuch frühzeitig entdeckt und gestoppt, bevor ein Schaden entstehen konnte.


Notwendige Ressourcen

Die Implementierung und Wartung von physischen Sicherheitsmaßnahmen erfordert finanzielle Investitionen und eine gewisse Zeit, um sicherzustellen, dass die Maßnahmen korrekt und umfassend umgesetzt werden. Die notwendigen Ressourcen hängen dabei von der Größe und den spezifischen Anforderungen der Organisation ab.

  1. Kosten für Technologie und Infrastruktur: Der Kauf und die Installation von physischen Sicherheitssystemen wie Zugangskontrollen, Videoüberwachung und Sicherheitsschleusen können zwischen einigen zehntausend und mehreren hunderttausend Euro kosten, abhängig von der Anzahl der Standorte und der Komplexität der Infrastruktur.
  2. Zeitaufwand: Die Planung und Umsetzung physischer Sicherheitsmaßnahmen erfordert in der Regel mehrere Monate. Dies umfasst die Bedarfsanalyse, die Auswahl der geeigneten Technologien, die Installation und die Integration in bestehende Systeme. Insbesondere bei größeren Unternehmen kann der Rollout über mehrere Standorte hinweg noch länger dauern.
  3. Einfachheit vs. Komplexität: Einfache Sicherheitsmaßnahmen, wie das Installieren von Schlössern oder der Einsatz von Videoüberwachung, können relativ schnell umgesetzt werden. Die Komplexität steigt jedoch erheblich, wenn biometrische Systeme, verschlüsselte Zugangskontrollen oder umfassende Notfallpläne eingeführt werden müssen. Hier erfordert die Integration technisches Know-how und enge Zusammenarbeit zwischen IT- und Sicherheitsabteilungen.
  4. Personal und Wartung: Physische Sicherheitsmaßnahmen erfordern kontinuierliche Wartung und regelmäßige Überprüfungen. Dies kann durch interne Sicherheitsteams oder externe Dienstleister geschehen, wobei regelmäßige Schulungen des Personals ebenfalls notwendig sind. Die laufenden Kosten für Wartung und Personal hängen von der Größe der Organisation und der Komplexität der eingesetzten Systeme ab und belaufen sich auf mehrere tausend Euro pro Jahr.


Fazit

Die Risikokontrolle „Sichern von Büros, Räumen und Einrichtungen“ nach ISO 27002:2022 ist ein wesentlicher Bestandteil jeder umfassenden Sicherheitsstrategie. Sie schützt physische Einrichtungen und Informationen vor unbefugtem Zugriff, Diebstahl, Vandalismus und anderen Bedrohungen. Die Implementierung erfordert Investitionen in Technologie, Personal und Zeit, bietet jedoch erheblichen Schutz für die betrieblichen Abläufe und die Integrität der IT-Systeme. Eine gut durchdachte physische Sicherheitsstrategie reduziert nicht nur das Risiko von Vorfällen, sondern sorgt auch für eine sichere Arbeitsumgebung für alle Mitarbeiter.