A.7.2 — Physischer Zugang

Montag, 8:15 Uhr. Ein Techniker steht am Empfang und sagt, er müsse „an den Server”. Niemand hat einen Auftrag erteilt, aber der Empfang lässt ihn durch — er trägt schließlich eine Warnweste und hat einen Werkzeugkoffer. A.7.2 verlangt, dass der Zugang zu Sicherheitsbereichen kontrolliert und dokumentiert wird — unabhängig davon, wie überzeugend jemand auftritt.

Die Kontrolle regelt drei Aspekte: Wer darf Sicherheitsbereiche betreten, wie wird der Zutritt technisch und organisatorisch kontrolliert, und wie werden Zutrittsrechte vergeben, überprüft und entzogen. Besucher, Lieferanten und Wartungstechniker unterliegen zusätzlichen Regeln.

Was verlangt die Norm?

Zutrittskontrolle einrichten. Sicherheitsbereiche dürfen nur von autorisierten Personen betreten werden. Die Organisation legt fest, wer Zugang erhält, und setzt technische oder organisatorische Maßnahmen um.
Authentifizierung am Eingang. Der Zutritt wird durch geeignete Mittel authentifiziert — Schlüsselkarten, PIN-Codes, biometrische Verfahren oder eine Kombination.
Zutrittsprotokollierung. Wer wann welchen Bereich betreten hat, wird protokolliert. Die Protokolle werden regelmäßig ausgewertet.
Besuchermanagement. Besucher werden registriert, identifiziert und in Sicherheitsbereichen begleitet, sofern keine ausdrückliche Genehmigung für unbegleiteten Zutritt vorliegt.
Liefer- und Ladebereiche isolieren. Diese Bereiche werden von Sicherheitsbereichen getrennt. Eingehende Sendungen werden auf Manipulation und Gefahrstoffe geprüft.

In der Praxis

Zutrittsmatrix aufbauen. Analog zur Zugriffskontrollmatrix (A.5.15) erstellst du eine Matrix, die Rollen und Sicherheitszonen kreuzt. Jede Zelle definiert, ob die Rolle Zutritt hat, unter welchen Bedingungen und mit welcher Authentifizierung.

Besucherprozess formalisieren. Jeder Besuch wird vorab angemeldet, am Empfang registriert (Name, Firma, Zeitstempel) und mit einem Besucherausweis versehen. In Sicherheitsbereichen werden Besucher begleitet. Bei Abreise wird der Ausweis zurückgegeben und die Abgangszeit dokumentiert.

Schlüssel- und Kartenverwaltung. Ein zentrales Register dokumentiert, wer welchen Schlüssel oder welche Zutrittskarte besitzt. Bei Verlust wird die Karte sofort gesperrt. Beim Austritt eines Mitarbeiters werden alle physischen Zutrittsmittel am letzten Arbeitstag zurückgegeben — idealerweise als Pflichtschritt im Offboarding-Prozess.

Zutrittsrechte regelmäßig überprüfen. Mindestens einmal jährlich gleicht die verantwortliche Person die vergebenen Zutrittsrechte mit dem aktuellen Bedarf ab. Personen, die einen Bereich nicht mehr betreten müssen, verlieren den Zutritt.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.2 typischerweise diese Nachweise:

Zutrittskontrollrichtlinie — dokumentierte Regelung für physischen Zugang (→ Physische Sicherheitsrichtlinie im Starter Kit)
Zutrittsmatrix — Rolle-Zone-Zuordnung mit Authentifizierungsanforderungen
Zutrittsprotokolle — elektronische Logs oder manuelles Register
Besucherregister — Nachweis der Besucherregistrierung und Begleitung
Schlüssel-/Kartenregister — Zuordnung aller physischen Zutrittsmittel zu Personen
Review-Protokolle — Nachweis der regelmäßigen Überprüfung von Zutrittsrechten

KPI

Anteil der Sicherheitsbereiche mit funktionierenden Zutrittskontrollsystemen

Gemessen als Prozentsatz: Wie viele deiner definierten Sicherheitsbereiche verfügen über ein aktives, dokumentiertes Zutrittskontrollsystem? Ziel: 100%. Häufig fehlt die Kontrolle in Nebenräumen wie Archiv, Druckerraum oder Technikraum.

Ergänzende KPIs:

Anteil der Zutrittsrechte, die innerhalb der letzten 12 Monate überprüft wurden
Mittlere Dauer zwischen Austritt und Entzug aller physischen Zutrittsmittel
Anzahl unbegleiteter Besuchereintritte pro Quartal

BSI IT-Grundschutz

A.7.2 mappt auf mehrere BSI-Bausteine:

INF.1.A7 (Zutrittskontrolle und Zutrittsberechtigung) — Kernbaustein. Fordert ein Zutrittskontrollkonzept, Ausweissystem und Besuchermanagement.
INF.1.A12, INF.1.A13 — Schlüsselverwaltung und Zugangsregelungen für Versorgungsbereiche.
INF.2.A6, INF.2.A7 — Zutrittskontrolle für Serverräume und Rechenzentren, einschließlich Protokollierung und Überwachung.
ORP.4.A5 — Vergabe von Zutrittsberechtigungen nach dem Minimalprinzip.
ORP.1.A3 — Beaufsichtigung oder Begleitung von Fremdpersonen.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.7.2 — Physischer Zugang
ISO/IEC 27002:2022 Abschnitt 7.2 — Umsetzungshinweise zum physischen Zugang
BSI IT-Grundschutz, INF.1 — Allgemeines Gebäude

Häufig gestellte Fragen

Reicht ein Schlüsselsystem, oder brauchen wir ein elektronisches Zutrittskontrollsystem?

Ein Schlüsselsystem reicht grundsätzlich aus, solange du dokumentieren kannst, wer welchen Schlüssel hat und wann Schlüssel ausgegeben oder zurückgenommen wurden. Elektronische Systeme haben den Vorteil automatischer Protokollierung und einfacher Sperrung bei Verlust.

Wie gehen wir mit Besuchern um?

Besucher müssen registriert, identifiziert und in Sicherheitsbereichen begleitet werden. Ein Besucherbuch oder ein elektronisches System dokumentiert Name, Firma, Ankunfts- und Abgangszeit. Besucherausweise sollten sich optisch von Mitarbeiterausweisen unterscheiden.

Müssen wir Lieferzonen separat kontrollieren?

Ja. Liefer- und Ladebereiche sollen von Sicherheitsbereichen isoliert sein. Lieferanten erhalten Zugang nur zum Ladebereich, eingehende Sendungen werden auf Manipulation geprüft, bevor sie weiterverteilt werden.

Responsible	Facility Manager
Accountable	ISB / (C)ISO
Consulted	Asset-Eigentümer, Abteilungsleitung, Facility Manager, HR, IT-Leitung, Rechtsberatung, Risikoeigentümer, Lieferkettenverantwortung
Informed	Alle Beschäftigten, Facility Manager, IT-Leitung, Geschäftsführung