Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.3 — Sichern von Büros, Räumen und Einrichtungen

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.7.3 ISO 27001ISO 27002BSI INF.7

Besprechungsraum im Erdgeschoss, Glaswand zur Straße. Auf dem Whiteboard steht die komplette Netzwerkarchitektur, der Beamer zeigt die Kundenliste, und das Fenster ist offen. Jeder Passant kann mitlesen. A.7.3 fordert, dass Büros, Räume und Einrichtungen so gestaltet und genutzt werden, dass vertrauliche Informationen geschützt bleiben.

Diese Kontrolle geht über die Perimetergrenze (A.7.1) und die Zutrittskontrolle (A.7.2) hinaus: Sie adressiert die Gestaltung und Nutzung der Räume selbst — Sichtschutz, Schallschutz, Positionierung sensibler Bereiche und die Vermeidung offensichtlicher Hinweise auf schutzbedürftige Einrichtungen.

Was verlangt die Norm?

  • Sensible Bereiche abseits öffentlicher Zonen platzieren. Räume mit schutzbedürftigen Informationen oder Geräten werden so positioniert, dass Unbefugte keinen direkten Zugang oder Einblick haben.
  • Hinweise auf sensible Nutzung vermeiden. Gebäude und Räume tragen keine Beschilderung, die Außenstehenden signalisiert, was sich darin befindet (z. B. „Serverraum” am Türschild).
  • Sicht- und Schallschutz gewährleisten. Büros werden so eingerichtet, dass vertrauliche Informationen weder von außen eingesehen noch abgehört werden können.
  • Empfindliche Geräte abschirmen. Geräte mit besonderem Schutzbedarf erhalten physische Abschirmung oder werden in geschützten Bereichen aufgestellt.
  • Gebäudeverzeichnisse einschränken. Karten, Verzeichnisse oder Lagepläne, die den Standort sensibler Einrichtungen zeigen, werden nur autorisierten Personen zugänglich gemacht.

In der Praxis

Raumnutzungskonzept dokumentieren. Für jeden Raum mit Sicherheitsrelevanz wird festgehalten: Welche Informationen und Geräte befinden sich dort, welcher Schutzbedarf besteht, welche Maßnahmen sind umgesetzt. Dieses Konzept ergänzt den Zonenplan aus A.7.1.

Sichtschutz systematisch prüfen. Gehe Raum für Raum durch: Kann man von außen auf Bildschirme, Whiteboards oder Dokumente sehen? Glaswände in Besprechungsräumen brauchen Sichtschutzfolien oder Jalousien. Erdgeschossfenster zum öffentlichen Bereich brauchen entsprechende Maßnahmen.

Beschilderung überprüfen. Entferne Türschilder wie „Serverraum”, „IT”, „Archiv” — oder ersetze sie durch neutrale Bezeichnungen. Der interne Orientierungsplan kann die Information enthalten, aber öffentlich einsehbare Wegweiser und Türschilder sollten keine Rückschlüsse auf sensible Nutzung zulassen.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.3 typischerweise diese Nachweise:

  • Raumnutzungskonzept — Zuordnung von Räumen, Schutzbedarf und Maßnahmen (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • Begehungsprotokolle — Nachweis der Prüfung von Sichtschutz, Schallschutz und Beschilderung
  • Fotos / Dokumentation — Nachweis umgesetzter Maßnahmen (Sichtschutzfolien, entfernte Schilder)
  • Grundriss mit Sicherheitsklassifizierung — Ergänzung zum Zonenplan aus A.7.1

KPI

Anteil der Büros und Einrichtungen mit umgesetzten physischen Sicherheitsmaßnahmen

Gemessen als Prozentsatz: Wie viele deiner Räume mit Sicherheitsrelevanz verfügen über alle im Raumnutzungskonzept definierten Maßnahmen? Ziel: 100%. In der Praxis sind Sichtschutz und Beschilderung die häufigsten offenen Punkte.

Ergänzende KPIs:

  • Anzahl der Räume mit offenen Maßnahmen aus Begehungen
  • Anteil der Besprechungsräume mit Sichtschutzmaßnahmen
  • Anzahl der Türschilder mit sensiblen Raumbezeichnungen (Ziel: 0)

BSI IT-Grundschutz

A.7.3 mappt primär auf die Infrastruktur-Bausteine:

  • INF.7 (Büroarbeitsplatz) — Anforderungen an die Einrichtung sicherer Arbeitsplätze, Sichtschutz und Aufbewahrung.
  • INF.1.A9 (Nutzung und Schutz sensibler Räume) — Regelungen zur Nutzung von Räumen mit erhöhtem Schutzbedarf.
  • INF.1.A16 (Vermeidung von Lagehinweisen auf sensible Bereiche) — Explizite Forderung, keine Hinweisschilder auf schützenswerte Räume anzubringen.
  • INF.5 (Raum sowie Schrank für technische Infrastruktur) — Anforderungen an Technikräume: Zutritt, Klimatisierung, Sichtschutz.
  • INF.2.A1 — Festlegung sicherer Bereiche für Rechenzentren und Serverräume.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Müssen wir den Serverraum im Gebäudeverzeichnis verbergen?

Die Norm empfiehlt, keine Hinweisschilder anzubringen, die sensible Bereiche für Außenstehende erkennbar machen. Ein internes Verzeichnis braucht die Information natürlich — aber der Wegweiser im Empfangsbereich sollte keinen Pfeil zum Serverraum zeigen.

Was bedeutet Sichtschutz in der Praxis?

Bildschirme an Fenstern und Glastüren werden so positioniert, dass Passanten keine Inhalte ablesen können. Besprechungsräume mit Glaswänden erhalten Sichtschutzfolien oder Jalousien. In Open-Space-Büros sind Blickschutzfilter für Monitore sinnvoll.

Gilt A.7.3 auch für Homeoffice-Arbeitsplätze?

Ja, allerdings in angemessenem Umfang. Du kannst nicht verlangen, dass Mitarbeitende ihr Arbeitszimmer mit massiven Wänden umbauen. Angemessene Maßnahmen sind: abschließbarer Schrank für Unterlagen, Bildschirmsperre, Sichtschutz am Fenster und Regeln für Telefonate in Anwesenheit Dritter.