A.7.6 — Arbeiten in sicheren Bereichen

Der Serverraum ist abgeschlossen, die Zutrittskontrolle funktioniert. Trotzdem fotografiert ein Wartungstechniker das Rack-Layout mit seinem Smartphone und postet es auf LinkedIn — „Tolles Projekt abgeschlossen”. A.7.6 regelt das Verhalten innerhalb von Sicherheitsbereichen: Wer darf was mitbringen, was ist erlaubt, was verboten, und wer kontrolliert das.

Technische Perimeterschutzmaßnahmen (A.7.1 bis A.7.4) verlieren ihre Wirkung, wenn die Regeln für die Arbeit innerhalb der geschützten Bereiche fehlen oder nicht kommuniziert werden. A.7.6 schließt diese Lücke mit organisatorischen Maßnahmen.

Was verlangt die Norm?

Kenntnis beschränken. Über die Existenz und den Zweck von Sicherheitsbereichen werden nur Personen informiert, die diese Information benötigen (Need-to-know).
Alleinarbeit vermeiden. In Sicherheitsbereichen sollte grundsätzlich nicht allein gearbeitet werden — aus Gründen der Sicherheit und des Vier-Augen-Prinzips.
Leerstehende Bereiche prüfen. Sicherheitsbereiche werden regelmäßig inspiziert, wenn sie unbesetzt sind, um unbefugte Veränderungen oder Manipulationen zu erkennen.
Aufzeichnungsgeräte kontrollieren. Kameras, Mobiltelefone und andere Aufnahmegeräte dürfen in Sicherheitsbereichen grundsätzlich nicht eingesetzt werden, sofern keine ausdrückliche Genehmigung vorliegt.
Notfallverfahren aushängen. Notfall- und Evakuierungspläne sind in Sicherheitsbereichen gut sichtbar angebracht.

In der Praxis

Verhaltensregeln schriftlich festlegen. Für jeden Sicherheitsbereich existiert ein Regelwerk: Was darf mitgebracht werden, welche Tätigkeiten sind erlaubt, wie wird der Raum verlassen? Die Regeln werden am Eingang ausgehängt und in die Einweisung neuer Mitarbeitender aufgenommen.

Einweisungsprozess für Externe. Jede externe Person (Wartungstechniker, Auditor, Reinigungskraft) erhält vor dem Zutritt eine dokumentierte Einweisung. Sie umfasst die geltenden Verhaltensregeln, die erlaubten Bereiche und die Begleitpflicht. Die Einweisung wird quittiert.

Kontrollrundgänge durchführen. Sicherheitsbereiche werden regelmäßig inspiziert — besonders nach Feierabend und am Wochenende. Prüfpunkte: Sind alle Türen verschlossen? Liegen Unterlagen offen? Stehen Geräte offen herum? Die Ergebnisse werden protokolliert.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.6 typischerweise diese Nachweise:

Arbeitsregeln für Sicherheitsbereiche — dokumentierte Verhaltensregeln pro Bereich (→ Physische Sicherheitsrichtlinie im Starter Kit)
Einweisungsprotokolle — quittierte Einweisungen für externes Personal
Kontrollrundgang-Protokolle — Nachweis regelmäßiger Inspektionen
Genehmigungen für Aufzeichnungsgeräte — falls Ausnahmen vom Fotografierverbot bestehen
Notfall- und Evakuierungspläne — sichtbar ausgehängt in Sicherheitsbereichen

KPI

Anteil der Sicherheitsbereiche mit durchgesetzten und dokumentierten Arbeitsregeln

Gemessen als Prozentsatz: Für wie viele deiner Sicherheitsbereiche existieren schriftliche Arbeitsregeln, die kommuniziert und kontrolliert werden? Ziel: 100%. Typische Lücke: Der Serverraum hat Regeln, aber der Netzwerkverteilerraum, das Archiv und der Tresorraum nicht.

Ergänzende KPIs:

Anteil der externen Zutritte mit dokumentierter Einweisung
Anzahl der durchgeführten Kontrollrundgänge pro Monat
Anzahl der Verstöße gegen die Arbeitsregeln pro Quartal

BSI IT-Grundschutz

A.7.6 mappt auf folgende BSI-Anforderungen:

INF.1.A9 (Nutzung und Betrieb von Räumen) — Regelungen zur Nutzung von Räumen mit besonderem Schutzbedarf, einschließlich Sauberkeits- und Ordnungsregeln.
INF.1.A23 (Bildung von Sicherheitszonen) — Verknüpft die Zonenbildung mit den Verhaltensregeln pro Zone.
INF.2.A1 (Festlegung von Anforderungen an Rechenzentren) — Spezifische Arbeitsregeln für Rechenzentren: Begleitpflicht, Protokollierung, Vier-Augen-Prinzip.
SYS.3.3.A15 — Einschränkung der Nutzung von Mobiltelefonen in sicherheitsrelevanten Bereichen.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.7.6 — Arbeiten in sicheren Bereichen
ISO/IEC 27002:2022 Abschnitt 7.6 — Umsetzungshinweise zum Arbeiten in sicheren Bereichen
BSI IT-Grundschutz, INF.1 — Allgemeines Gebäude

Häufig gestellte Fragen

Dürfen Mitarbeitende alleine im Serverraum arbeiten?

Die Norm empfiehlt, in Sicherheitsbereichen grundsätzlich nicht allein zu arbeiten — sowohl aus Sicherheits- als auch aus Sicherheitsgründen (Vier-Augen-Prinzip und Unfallschutz). Für reine Routinetätigkeiten (z. B. Festplattenwechsel) kann eine Ausnahme mit Kameraüberwachung dokumentiert werden.

Muss das Fotografieverbot für den gesamten Standort gelten?

Das Verbot muss für Sicherheitsbereiche gelten, in denen vertrauliche Informationen oder sensible Geräte sichtbar sind. In allgemeinen Bürobereichen reicht eine Sensibilisierung. Entscheidend: Definiere klar, in welchen Räumen welche Regeln gelten.

Wie kommunizieren wir die Verhaltensregeln an Wartungstechniker?

Vor dem Zutritt zum Sicherheitsbereich erhält jede externe Person eine kurze Einweisung: Welche Bereiche darf sie betreten, welche Geräte darf sie mitbringen, wer begleitet sie. Diese Einweisung wird mit Unterschrift quittiert und archiviert.

Responsible	Facility Manager
Accountable	ISB / (C)ISO
Consulted	Asset-Eigentümer, Facility Manager, HR, IT-Leitung, Rechtsberatung
Informed	Alle Beschäftigten, Asset-Eigentümer