Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.4 — Physische Sicherheitsüberwachung

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.7.4 ISO 27001ISO 27002BSI INF.1

Freitagabend, 22 Uhr. Ein Alarm am Hintereingang schlägt an. Der Wachdienst prüft die Kameraaufzeichnung und sieht eine Person, die versucht, die Tür aufzuhebeln. Polizei wird verständigt, die Person gefasst. Ohne Alarmanlage und Kamera wäre der Einbruch erst Montagmorgen aufgefallen — mit unklarem Schadensausmass. A.7.4 verlangt eine kontinuierliche Überwachung der Räumlichkeiten, um unbefugten physischen Zugang zu erkennen und abzuschrecken.

Als einzige detektive Kontrolle unter den physischen Maßnahmen ergänzt A.7.4 die präventiven Kontrollen A.7.1 bis A.7.3. Prävention kann umgangen werden — Überwachung stellt sicher, dass Verstöße erkannt werden.

Was verlangt die Norm?

  • Kontinuierliche Überwachung. Die Räumlichkeiten werden durchgehend überwacht — durch Kameras, Alarmanlagen, Bewegungsmelder oder vergleichbare Systeme.
  • Kritische Bereiche innen und außen abdecken. Die Überwachung umfasst Eingänge, Ausgänge, Fenster, Außengelände und die Sicherheitsbereiche selbst.
  • Regelmäßig testen. Die Überwachungssysteme werden periodisch getestet, um Funktionsfähigkeit und Manipulationsschutz sicherzustellen.
  • Gesetzliche Anforderungen einhalten. Überwachung von Personen und Speicherung von Aufnahmen unterliegen den lokalen Datenschutzgesetzen (in Deutschland: DSGVO, BDSG, Betriebsverfassungsgesetz).
  • Details vertraulich behandeln. Die technischen Einzelheiten der Überwachung (Kamerastandorte, Sensortypen) bleiben vertraulich, um die Wirksamkeit nicht zu gefährden.

In der Praxis

Überwachungskonzept erstellen. Dokumentiere, welche Bereiche mit welchen Mitteln überwacht werden: Kamerastandorte, Sensortypen, Alarmschwellen, Eskalationswege. Markiere blinde Flecken und begründe, warum dort keine Überwachung erforderlich ist oder welche kompensierenden Maßnahmen greifen.

Datenschutz-Folgenabschätzung durchführen. Videoüberwachung am Arbeitsplatz erfordert in Deutschland regelmäßig eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Beziehe den Datenschutzbeauftragten und — falls vorhanden — den Betriebsrat frühzeitig ein.

Wartungs- und Testplan aufsetzen. Kameras, Bewegungsmelder und Alarmanlagen werden regelmäßig getestet (z. B. monatlich). Firmware-Updates und Manipulationsschutz (Tamper-Alarm) sind Teil des Plans. Dokumentiere jeden Test und jeden Ausfall.

Eskalationsprozess definieren. Was passiert, wenn ein Alarm ausgelöst wird? Wer wird informiert, in welcher Reihenfolge? Wer hat Zugang zu den Aufnahmen? Wie schnell muss reagiert werden? Diese Fragen müssen vorab beantwortet und dokumentiert sein.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.4 typischerweise diese Nachweise:

  • Überwachungskonzept — dokumentierte Beschreibung aller Überwachungsmaßnahmen (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • Datenschutz-Folgenabschätzung — Nachweis der datenschutzrechtlichen Prüfung
  • Betriebsratsvereinbarung — sofern ein Betriebsrat besteht
  • Test- und Wartungsprotokolle — Nachweis der regelmäßigen Funktionsprüfung
  • Eskalationsplan — dokumentierter Alarmierungs- und Reaktionsprozess

KPI

Anteil der Sicherheitsbereiche mit physischer Sicherheitsüberwachung

Gemessen als Prozentsatz: Wie viele deiner definierten Sicherheitsbereiche werden durch mindestens ein Überwachungssystem (Kamera, Alarm, Sensor, Wachdienst) abgedeckt? Ziel: 100%. Typische Lücken: Nebeneingänge, Fenster im Erdgeschoss, Lieferbereiche.

Ergänzende KPIs:

  • Anteil der Überwachungssysteme mit dokumentiertem Test innerhalb der letzten 30 Tage
  • Mittlere Reaktionszeit bei Alarmauslösung
  • Anzahl der Fehlalarme pro Monat (hohe Fehlalarmrate untergräbt die Aufmerksamkeit)

BSI IT-Grundschutz

A.7.4 mappt auf die Überwachungs-Anforderungen der Infrastruktur-Bausteine:

  • INF.1.A26 (Überprüfung bestehender Verbindungen) — Regelmäßige Kontrolle der physischen Sicherheitsmaßnahmen.
  • INF.1.A27 (Einbruchschutz)Einbruchmeldeanlage mit Aufschaltung auf Wachdienst oder Polizei.
  • INF.1.A34, INF.1.A35 — Anforderungen bei erhöhtem Schutzbedarf: Perimetererkennung und erweiterte Überwachung.
  • INF.2.A13 (Planung und Installation von Gefahrenmeldeanlagen) — Technische Anforderungen an Alarmsysteme in Rechenzentren.
  • INF.2.A24, INF.2.A28 — Überwachung von Rechenzentren durch Kameras und Sensoren.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauchen wir Videoüberwachung, um A.7.4 zu erfüllen?

Videoüberwachung ist eine Möglichkeit, aber keine Pflicht. Die Norm verlangt kontinuierliche Überwachung — das kann auch durch Alarmanlagen, Bewegungsmelder, Zutrittsprotokolle oder Wachdienst erfolgen. Entscheidend ist, dass unbefugter Zutritt erkannt wird.

Wie lange dürfen wir Videoaufnahmen speichern?

Das hängt von der nationalen Gesetzgebung ab. In Deutschland empfiehlt die DSGVO-Aufsicht in der Regel eine Speicherdauer von 48 bis 72 Stunden, in begründeten Fällen bis zu zehn Tage. Dokumentiere die Speicherdauer und die Rechtsgrundlage in deinem Überwachungskonzept.

Müssen wir die Überwachungsdetails geheim halten?

Die Norm empfiehlt, die technischen Details (Kamerastandorte, Sensortypen, blinde Flecken) vertraulich zu behandeln. Die Tatsache, dass überwacht wird, muss hingegen transparent sein — DSGVO und BDSG verlangen Hinweisschilder.