Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.1 — Physische Sicherheitsgrenzen

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.1 ISO 27001ISO 27002BSI INF.1

Ein Unternehmen zieht in ein neues Büro. Der Serverraum liegt direkt neben dem Empfang, die Tür hat kein Schloss, und die abgehängte Decke reicht über die Trennwand hinweg. Drei Monate nach Einzug stellt die IT fest, dass Reinigungskräfte regelmäßig im Serverraum ihren Wagen abstellen. A.7.1 verlangt, dass Organisationen physische Grenzen definieren und durchsetzen, die sensible Bereiche wirksam abschirmen.

Die Kontrolle fordert ein gestaffeltes Zonenkonzept: Öffentlicher Bereich, allgemein zugänglicher Bürobereich, eingeschränkter Bereich und Hochsicherheitsbereich. Jede Zone braucht definierte Grenzen, angemessene Barrieren und dokumentierte Schutzmaßnahmen. Die Stärke der Barrieren richtet sich nach dem Schutzbedarf der Informationen und Vermögenswerte innerhalb der Zone.

Was verlangt die Norm?

  • Sicherheitszonen identifizieren. Die Organisation muss Bereiche bestimmen, in denen sich schutzbedürftige Informationen und Vermögenswerte befinden, und für diese Bereiche Sicherheitsperimeter definieren.
  • Physische Barrieren errichten. Die Perimeter müssen durch physische Barrieren geschützt sein — massive Wände, verschlossene Türen, Fenster mit Schlössern. Die Stärke der Barrieren orientiert sich am Schutzbedarf.
  • Brandschutztüren und Lüftungsöffnungen sichern. Schwachstellen wie Brandschutztüren, Lüftungsschächte und abgehängte Decken müssen in das Perimeterkonzept einbezogen werden.
  • Regelmäßig überprüfen. Die Perimeter werden periodisch auf Wirksamkeit geprüft, insbesondere in Bereichen mit erhöhter Einbruchgefahr.
  • Abstufung nach Risiko. Höherer Schutzbedarf erfordert stärkere Barrieren. Ein Serverraum braucht andere Maßnahmen als ein allgemeiner Bürobereich.

In der Praxis

Zonenkonzept erstellen und visualisieren. Zeichne einen Grundriss des Gebäudes und markiere die Sicherheitszonen farbig. Jede Zone bekommt eine Klassifizierung, definierte Grenzen und zugeordnete Schutzmaßnahmen. Dieser Plan ist das zentrale Artefakt für den Audit.

Schwachstellen systematisch erfassen. Abgehängte Decken, Doppelböden, Lüftungskanäle, Fenster im Erdgeschoss — all das sind potenzielle Umgehungswege für physische Barrieren. Ein Begehungsprotokoll dokumentiert diese Punkte und die gewählten Gegenmaßnahmen.

Außengrenzen des Gebäudes einbeziehen. Die Perimeter beginnen an der Grundstücksgrenze: Zaun, Tor, Beleuchtung, Kameraüberwachung. Viele Organisationen konzentrieren sich auf den Serverraum und vergessen den Hintereingang, der nachts offen steht.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.1 typischerweise diese Nachweise:

  • Zonenkonzept / Sicherheitszonenplan — dokumentierte Klassifizierung aller Bereiche mit Grundriss (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • Begehungsprotokolle — Nachweis regelmäßiger Überprüfung der physischen Barrieren
  • Bau- und Ausstattungsdokumentation — Spezifikationen der Wände, Türen, Schlösser und Fenster in Sicherheitsbereichen
  • Risikobeurteilung für physische Bedrohungen — Bewertung der Einbruchgefahr und Umgebungsrisiken
  • Maßnahmenplan — dokumentierte Gegenmaßnahmen für identifizierte Schwachstellen

KPI

Anteil der Sicherheitsbereiche mit definierten und dokumentierten physischen Perimetern

Gemessen als Prozentsatz: Wie viele deiner identifizierten Sicherheitsbereiche haben ein dokumentiertes Perimeterkonzept mit nachweislich wirksamen Barrieren? Ziel: 100%. In der Startphase liegt der Wert oft bei 30–50%, weil Serverräume geschützt sind, Archivräume und Druckerbereiche aber übersehen werden.

Ergänzende KPIs:

  • Anzahl offener Schwachstellen aus Begehungsprotokollen
  • Anteil der Sicherheitsbereiche mit Decke-zu-Decke-Bauweise
  • Durchschnittliche Dauer zwischen Identifikation einer Schwachstelle und Behebung

BSI IT-Grundschutz

A.7.1 mappt auf die BSI-Bausteine der Schicht Infrastruktur:

  • INF.1 (Allgemeines Gebäude) — Kernbaustein für physische Sicherheit. Fordert Sicherheitszonen (A6), Zutrittsregelung (A7), Schutz gegen Einbruch (A22, A23) und Überwachung (A26, A27).
  • INF.2 (Rechenzentrum sowie Serverraum) — Erweiterte Anforderungen für Räume mit IT-Infrastruktur: Perimeterschutz (A1, A7), Zutrittskontrolle (A12) und Überwachung (A24, A28).
  • INF.1.A34, INF.1.A35 — Anforderungen bei erhöhtem Schutzbedarf, z. B. Einbruchmeldeanlage und Perimetererkennung.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauchen wir als reines Büro-Unternehmen physische Sicherheitsgrenzen?

Ja. Auch in einem Büro gibt es Bereiche mit unterschiedlichem Schutzbedarf — Serverraum, Archiv, Druckerraum. Ein gestaffeltes Zonenkonzept muss dokumentiert sein, auch wenn die äußere Grenze nur die Eingangstür ist.

Wie definiere ich Sicherheitszonen, wenn wir in einem Coworking-Space sitzen?

Identifiziere die Bereiche, die du kontrollieren kannst: dein Büro, abschließbare Schränke, der Serverraum des Providers. Für Bereiche außerhalb deiner Kontrolle dokumentierst du die Restrisiken und kompensierenden Maßnahmen (z. B. Verschlüsselung aller Geräte).

Muss jeder Sicherheitsbereich eine feste Wand haben?

Eine feste Wand ist nicht zwingend. Die Norm verlangt physische Barrieren, die dem Schutzbedarf entsprechen. Für einen Bereich mit geringem Risiko kann eine verschlossene Tür ausreichen, für einen Serverraum sind massive Wände und kontrollierte Zugänge angemessen.