(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Physische Sicherheitsüberwachung dient dazu, unbefugte Zugriffe, sicherheitsrelevante Ereignisse oder ungewöhnliche Aktivitäten in physischen Bereichen frühzeitig zu erkennen. Ohne geeignete Überwachungsmaßnahmen können Eindringversuche, Manipulationen oder Sabotage unentdeckt bleiben. Dieses Control stellt sicher, dass physische Bereiche mit erhöhtem Schutzbedarf angemessen überwacht werden, um Risiken für die Informationssicherheit zu reduzieren.

Zweck des Controls

A 7.4 soll gewährleisten, dass sicherheitsrelevante physische Bereiche überwacht werden, um unbefugte Aktivitäten frühzeitig zu erkennen und darauf reagieren zu können. Ziel ist es, die Wirksamkeit physischer Schutzmaßnahmen zu erhöhen, Vorfälle zu verhindern oder deren Auswirkungen zu begrenzen und die Sicherheit von Informationen, Systemen und Personen zu unterstützen.

Anforderungen und Maßnahmen

1. Identifikation überwachungsbedürftiger Bereiche

Organisationen müssen festlegen, welche physischen Bereiche überwacht werden sollen, insbesondere:

• Eingangs- und Zugangsbereiche
• Server- und Technikräume
• Bereiche mit kritischer Infrastruktur
• Lager- und Archivräume
• Außenbereiche mit Zugang zu Gebäuden

Die Auswahl muss risikoorientiert erfolgen.

2. Einsatz geeigneter Überwachungsmaßnahmen

Geeignete Überwachungsmaßnahmen müssen eingesetzt werden, zum Beispiel:

• Videoüberwachung
• Alarmsysteme
• Einbruchmeldeanlagen
• Überwachung von Zutrittskontrollsystemen

Art und Umfang der Maßnahmen müssen dem Schutzbedarf entsprechen.

3. Einhaltung rechtlicher und datenschutzrechtlicher Anforderungen

Physische Sicherheitsüberwachung muss rechtskonform erfolgen:

• Einhaltung datenschutzrechtlicher Vorgaben
• Wahrung der Persönlichkeitsrechte
• transparente Information betroffener Personen
• Zweckbindung und Verhältnismäßigkeit der Maßnahmen

Die rechtliche Zulässigkeit ist sicherzustellen.

4. Regelung von Zugriff und Nutzung der Überwachungsdaten

Der Zugriff auf Überwachungsdaten muss kontrolliert sein:

• Festlegung berechtigter Rollen
• Schutz vor unbefugtem Zugriff oder Manipulation
• klare Regelungen zur Nutzung der Daten
• Protokollierung von Zugriffen, sofern erforderlich

So wird Missbrauch verhindert.

5. Aufbewahrung und Löschung von Überwachungsdaten

Überwachungsdaten müssen geregelt aufbewahrt werden:

• Festlegung von Aufbewahrungsfristen
• sichere Speicherung der Daten
• fristgerechte Löschung oder Anonymisierung
• Dokumentation der Aufbewahrung

Dies unterstützt Datenschutz und Compliance.

6. Reaktion auf sicherheitsrelevante Ereignisse

Erkannte Ereignisse müssen angemessen behandelt werden:

• Bewertung der Beobachtungen
• Einleitung geeigneter Maßnahmen
• Eskalation bei sicherheitsrelevanten Vorfällen
• Integration in Incident-Management-Prozesse

So wird eine schnelle Reaktion ermöglicht.

7. Regelmäßige Überprüfung der Überwachungsmaßnahmen

Die Wirksamkeit der Überwachungsmaßnahmen muss überprüft werden:

• regelmäßige Funktionsprüfungen
• Bewertung von Fehlalarmen oder Blindstellen
• Anpassung an veränderte Risiken
• Überprüfung der rechtlichen Zulässigkeit

Dies stellt eine nachhaltige Wirksamkeit sicher.

8. Dokumentation und Integration ins ISMS

Physische Sicherheitsüberwachung muss dokumentiert sein:

• Beschreibung der überwachten Bereiche
• eingesetzte Maßnahmen und Systeme
• Verantwortlichkeiten für Betrieb und Kontrolle
• Integration in Risiko- und Sicherheitsprozesse

Die Dokumentation unterstützt Nachvollziehbarkeit und Audits.

Zusammenfassung

A 7.4 fordert, dass Organisationen physische Sicherheitsüberwachung risikoorientiert und rechtskonform einsetzen. Durch die Identifikation überwachungsbedürftiger Bereiche, den gezielten Einsatz geeigneter Überwachungsmaßnahmen, klare Regelungen zur Nutzung von Überwachungsdaten sowie regelmäßige Überprüfung wird sichergestellt, dass physische Sicherheitsrisiken frühzeitig erkannt und wirksam behandelt werden. Das Control ist ein wichtiger Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.