Der physische Zutritt zu Gebäuden, Räumen und Bereichen mit Informationsverarbeitungseinrichtungen stellt ein zentrales Risiko für die Informationssicherheit dar. Unkontrollierter oder unbefugter Zutritt kann zu Diebstahl, Sabotage, Manipulation oder unbefugter Einsicht in Informationen führen. Dieses Control stellt sicher, dass der physische Zutritt systematisch geregelt, kontrolliert und überwacht wird.
Zweck des Controls
A 7.2 soll gewährleisten, dass nur berechtigte Personen Zutritt zu physischen Bereichen erhalten, in denen sich schutzbedürftige Informationen, Systeme oder Infrastrukturen befinden. Ziel ist es, unbefugten physischen Zugriff zu verhindern und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
Anforderungen und Maßnahmen
1. Festlegung von Zutrittsbereichen und -stufen
Organisationen müssen physische Bereiche definieren und klassifizieren, zum Beispiel:
öffentlich zugängliche Bereiche
eingeschränkt zugängliche Arbeitsbereiche
besonders gesicherte Bereiche (z. B. Serverräume)
Bereiche mit kritischer Infrastruktur
Die Zutrittsstufen müssen sich am Schutzbedarf orientieren.
2. Definition von Zutrittsrechten
Zutrittsrechte müssen klar geregelt sein:
Vergabe nach dem Need-to-know- und Least-Privilege-Prinzip
rollen- oder funktionsbezogene Berechtigungen
zeitliche Begrenzung von Zutrittsrechten
Dokumentation der Berechtigungen
So wird ein kontrollierter Zutritt gewährleistet.
3. Einsatz geeigneter Zutrittskontrollmechanismen
Geeignete technische und organisatorische Maßnahmen müssen eingesetzt werden:
mechanische oder elektronische Zutrittskontrollen
Ausweise, Schlüssel oder elektronische Identifikationsmittel
Protokollierung von Zutritten, sofern angemessen
Schutz vor Weitergabe oder Missbrauch von Zutrittsmitteln
Dies verhindert unbefugten Zutritt.
4. Regelungen für Besucher und externe Personen
Der Zutritt von Besuchern muss geregelt sein:
Registrierung und Identifikation
Begleitung in sicherheitsrelevanten Bereichen
zeitlich begrenzte Zutrittsberechtigungen
klare Verhaltensregeln
So werden Risiken durch externe Personen reduziert.
5. Schutz vor Umgehung und Manipulation
Zutrittskontrollen müssen vor Umgehung geschützt sein:
sichere Installation von Zutrittssystemen
regelmäßige Überprüfung auf Manipulation
Schutz vor unbefugtem Einsatz von Zutrittsmitteln
Maßnahmen gegen Tailgating oder Social Engineering
Dies erhöht die Wirksamkeit der Kontrollen.
6. Anpassung bei Änderungen von Rollen oder Beschäftigung
Zutrittsrechte müssen bei Änderungen angepasst werden:
Entzug von Rechten bei Austritt
Anpassung bei Rollenwechsel
Überprüfung temporärer Berechtigungen
zeitnahe Umsetzung der Änderungen
So werden veraltete Berechtigungen vermieden.
7. Überwachung und regelmäßige Überprüfung
Die Wirksamkeit der Zutrittskontrollen muss überprüft werden:
regelmäßige Kontrollen und Begehungen
Überprüfung von Zutrittsprotokollen
Bewertung von Auffälligkeiten oder Vorfällen
Anpassung der Maßnahmen bei Bedarf
Dies stellt eine dauerhafte Wirksamkeit sicher.
8. Dokumentation und Integration ins ISMS
Regelungen zum physischen Zutritt müssen dokumentiert sein:
Beschreibung der Zutrittsbereiche und -regelungen
Verantwortlichkeiten für Verwaltung und Kontrolle
Integration in Risiko- und Sicherheitsprozesse
Bereitstellung für Audits und Prüfungen
Die Dokumentation unterstützt Nachvollziehbarkeit und Compliance.
Zusammenfassung
A 7.2 fordert, dass Organisationen den physischen Zutritt zu schutzbedürftigen Bereichen systematisch regeln und kontrollieren. Durch klare Definition von Zutrittsbereichen, rollenbasierte Vergabe von Rechten, Einsatz geeigneter Zutrittskontrollen, geregelten Umgang mit Besuchern sowie regelmäßige Überprüfung wird sichergestellt, dass unbefugter physischer Zugriff wirksam verhindert wird. Das Control ist ein zentraler Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
