In der ISO 27001 wird im Anhang A u.a. auf die physische Sicherheit eingegangen. Mit den aufgeführten Maßnahmen wird das Ziel verfolgt, unbefugten Personen den Zutritt, die Beschädigung und die Beeinträchtigung von Informationen und informationsverarbeitenden Einrichtungen der Organisation, unmöglich zu machen. In der Praxis gibt es sicherlich noch mehr Punkte, die die Norm nicht abschließend aufzählt.
Der BSI IT-Grundschutz ist ähnlich strukturiert. In der Schicht INF wird beispielsweise in den Bausteinen INF.1 und INF.12 beschrieben, welche Anforderungen an die physische Sicherheit erfüllt werden müssen, um eine umfängliche Absicherung der Gebäude und Räume zu gewährleisten. Die zentralen Handlungsfelder und Maßnahmen an die physische Sicherheit der beiden Rahmenwerke sowie die daraus resultierenden Chancen für Organisationen werden nachfolgend beispielhaft erläutert.
1. Definition des Geltungsbereiches
Um die Absicherung konkret planen zu können, ist es wichtig, dass der Betrachtungsgegenstand konkretisiert und abgegrenzt wird. Am Beispiel der Absicherung von Betriebsstätten und Liegenschaften sollte somit die Frage gestellt werden, welche Standorte im In- und Ausland, welche Gebäude, welche Räume mit welcher Funktion für die Absicherung in den Fokus genommen werden sollen. Will die Organisation z. B. nur den Hauptstandort absichern oder auch kleinere Nebenstandorte oder nur Standorte, die einem gewissen Bereich in der Organisation zugeordnet werden? Zusätzlich sollte geklärt werden, wo sich welche Assets mit welcher Kritikalität befinden, um den entsprechenden Schutzbedarf des Standortes einstufen zu können. Damit dies gelingt, steht am Anfang der Umsetzung des BSI IT-Grundschutzes oder der ISO 27001 die Festlegung des Geltungsbereiches (Scope). Die Organisation bestimmt den Betrachtungsgegenstand. Im BSI IT-Grundschutz wird dies als Informationsverbund bezeichnet.
2. Standortanalyse
Nachdem der Geltungsbereich grob festgelegt wurde, empfiehlt sich eine Analyse des Standortes. Hierbei sollten die geografische Lage und die Rahmenbedingungen des Standortes betrachtet werden. Leider sind immer wieder Regionen durch Elementarschäden wie Hochwasser oder Stürme betroffen. Um derartige Schäden und Bedrohungen, die oft zu vernichtenden physischen Schäden am Standort führen, vorzubeugen, empfiehlt es sich, alle zur Verfügung stehenden Daten aus der Vergangenheit oder Prognosen aller möglichen Institutionen für diese Standort-Region entsprechend zu sammeln und auszuwerten. Die größten Bedrohungen lassen sich hierbei schnell identifizieren.
Eine Begehung des Standortes für Zwecke der Sicherheit ist unerlässlich. Mit ihr verschafft man sich einen genauen Überblick, wie und wo der Standort betreten werden kann, wer, wie, wann das Gebäude betreten darf, wie Zufahrten geregelt und wie viele Ein- und Ausgänge vorhanden sind. Zudem werden hierbei nicht nur die physischen Bedrohungen identifiziert. Weiter wird geschaut, ob z. B. unbefugte Personen in einem öffentlichen Bereich Informationen abgreifen können. Nicht unwichtig ist auch das Händeln von Besprechungsräumen:
- Können z. B. Besprechungsräume von fremden Personen betreten werden?
- Kann man sich aus dem Besprechungsraum heraus mit dem internen Firmennetzwerk verbinden?
- Können sich Unbefugte ins interne Firmennetz einwählen?
Sollten sich bei der Begehung des Standortes Auffälligkeiten ergeben, werden diese schriftlich dokumentiert und in einer Gap-Analyse zusammengefasst. Somit erhält das Unternehmen eine genaue Übersicht der Schwachstellen.
Sind die Begehung des Standortes und die Analyse abgeschlossen, sollten die Besitzverhältnisse, die Zuständigkeiten und Verantwortlichkeiten geprüft werden. Wem gehört das Gebäude? Wer ist Mieter? Wer kommt z. B. für einen Schaden am Gebäude auf, wenn Gebäudeteile durch Elementarschäden beschädigt oder zerstört wurden? Eine Liste mit einer entsprechenden Übersicht erleichtert es den Mitarbeitenden, sofort die zuständigen Personen oder Dienstleister zu finden. Sinnvoll wäre ebenfalls die Erstellung von internen Richtlinien, die festlegen, unter welchen Voraussetzungen Reparaturen selbst durchzuführen und ab wann externe Dienstleister zu beauftragen sind. In dieser Liste sollte ebenfalls ein Ansprechpartner im Notfall benannt sein. Dieser ist bei Notfällen, wie z. B. einem Feuer, zu kontaktieren. Auch der Brandschutzbeauftragte ist in dieser Liste aufzuführen, da dieser bei Wartungsarbeiten oder baulichen Maßnahmen grundsätzlich zu kontaktieren ist. Gleiches gilt für einen vorhandenen Wachschutz bei entsprechender Größe des Objektes und weiteren wichtigen Verantwortlichen.
3. Schutzbedarfsfeststellung und Sicherheitszonen
Die entsprechenden Zuständigkeiten und Verantwortlichkeiten bringen es mit sich, dass ein Zutrittskontrollsystem für den physischen Zutritt eingerichtet sein sollte, um unterscheiden zu können, welche Personen auf welche Bereiche Zutritt haben.
Alle Mitarbeitenden erhalten demnach eine Zugangskarte, die elektronisch programmierbar ist. Bei Organisationen, die kein elektronisches Zutrittskontrollsystem haben und Schlüssel ausgeben, ist die Vorgehensweise ähnlich. In beiden Fällen ist für die Schlüsselverwaltung ein Prozess einzuführen, der nicht nur die Ausgabe und den Einzug der Schlüssel, sondern auch die sichere und zentrale Lagerung der Schlüssel oder Zutrittskarten regelt. Die Lagerung sollte an einer zentralen Stelle vorgenommen werden, die entsprechenden Schutz vor Einbruch oder Feuer bietet.
Durch den Einsatz von Zutrittskontrollsystemen wird z. B. eine Trennung eines öffentlichen Bereiches zu einem nicht öffentlichen Bereich erreicht. Diese Unterteilung lässt sich weiter fortsetzen, indem der nächste Bereich nur für zutrittsberechtigte Mitarbeitende zugänglich ist. In der nächsten Stufe, z. B. den Bereich der Serverräume, haben wiederum nur bestimmte Mitarbeitende des IT-Bereiches Zutritt. So werden die Berechtigungen beliebig weit nach unten kaskadiert (Zwiebelschalenprinzip), um genau festzulegen, wer wann und wohin Zutritt hat. Diese Bereiche mit immer beschränkter werdendem Zutritt werden als Sicherheitszonen bezeichnet.
Die Einteilung der Bereiche in Sicherheitszonen ist für die Bestimmung wichtig, welche Informationen in welchem Bereich zur Verfügung stehen bzw. welche Zonen wie abzusichern sind. Nicht elementar wichtige Informationen, wie z. B. das Menü der Kantine, können in eine Sicherheitszone mit wenig Beschränkungen zur Verfügung stehen. Handelt es sich jedoch beispielsweise um die neuesten Konstruktionspläne eines Bauteils, so ist eine Sicherheitszone zu wählen, die nur einem bestimmten Personenkreis zugänglich ist, weil hier ein erhöhter Schutzbedarf besteht.
In diesem Zusammenhang gilt grundsätzlich für alle externen Dritten, dass diese sich an der Pforte oder am Empfang in ein Besucherbuch einzutragen haben. Hier wird dokumentiert, wer wann erschienen und gegangen ist, wer besucht wurde und von welcher Firma oder Institution die/der Besucher*in war.
4. Gebäudeabsicherung
Aufgrund des unterschiedlich eingestuften Schutzbedarfes der Informationen und Daten ergeben sich unterschiedliche Anforderungen an die Absicherung des Gebäudes. Zuerst müssen die gesetzlichen Anforderungen eingehalten werden. Dabei steht die Einhaltung der Brandschutzordnung im Vordergrund. Diese beinhaltet eine regelmäßige Brandschau von dafür zertifizierten Unternehmen. Sie begehen den Standort und überprüfen, ob die gesetzlichen Anforderungen eingehalten werden. Hierbei wird auch die Funktionsfähigkeit einer Brandmeldeanlage getestet. Mängel, die bei der Brandschau festgestellt wurden, werden dokumentiert und müssen in der Verantwortung des Brandschutzbeauftragten beseitigt werden.
Um diese Mängel beseitigen zu können müssen oftmals Dienstleister das Gelände der Organisation betreten. Aus diesem Grund sollte der Zutritt für externe Dritte genau geregelt sein, zumal diese beim Betreten des Geländes an Informationen kommen können, die nur für die internen Mitarbeitenden bestimmt sind.
5. Definition und Nachverfolgung von Maßnahmen zur Erfüllung der Sicherheit
Die Identifizierung von Sicherheitslücken ist von elementarer Bedeutung. Entsprechende interne oder externe Expert*innen können diese Lücken mit der bereits erwähnten Gap-Analyse aufdecken. Hierbei werden alle Anforderungen der physischen Sicherheit des jeweils zugrunde gelegten Standards geprüft. Für Unternehmen hat sich hierbei die ISO 27001 Norm als Best-Practice-Standard herauskristallisiert. Für Bundesbehörden und einige Landesbehörden in Deutschland gilt u.a. der BSI IT-Grundschutz. Unternehmen sind in ihrer Wahl frei und können sich auch nach dem BSI IT-Grundschutz richten oder auch zertifizieren lassen. Interne oder externe Expert*innen wissen, welcher Standard für das jeweilige Unternehmen bzw. in der jeweiligen Branche anzuwenden ist und mit welchem Vorgehen die Gap-Analyse die besten Ergebnisse bringt. So kann genau identifiziert werden, welche Lücken es in der Organisation gibt. Diese sogenannten Feststellungen werden in einer Maßnahmenliste dokumentiert. In dieser Maßnahmenliste werden zu jeder Feststellung die entsprechenden Maßnahmen zur Behebung der Sicherheitslücke definiert, so dass diese Lücke nach Durchführung der Maßnahmen nicht mehr existiert und für das Unternehmen keine Gefahr mehr darstellt.
Beispiel für den Inhalt einer Maßnahmenliste: Bei der Begehung des Standortes wurde herausgefunden, dass ein kleineres Eisentor im Außenbereich des Firmengeländes defekt ist und sich nicht mehr verschließen lässt (Schwachstelle). Die dazu definierte Maßnahme ist, die Tür von der ortsansässigen Schlosserei bis zum ersten des nächsten Monats reparieren zu lassen. Verantwortlich für die Umsetzung dieser Maßnahme ist unternehmensintern das Facility Management.
An diesem Beispiel ist erkennbar, wie das Risikomanagement funktioniert. Es werden in der Maßnahmenliste nicht nur die Maßnahmen betr. der Feststellungen festgehalten, sondern auch wer für die Umsetzung der Maßnahme verantwortlich ist, wer diese Maßnahme umsetzt (Schlosserei) und bis wann diese Maßnahme umgesetzt sein soll. In der Maßnahmenliste wird dies alles dokumentiert, und einmal im Jahr oder auch in kürzeren regelmäßigen Zeitintervallen wird diese Maßnahmenliste durch Audits überprüft. Diese sorgen mit diesem Review für eine zusätzliche Kontrolle und prüfen nicht nur die Liste selbst, sondern auch die Umsetzung der Maßnahmen. Sie gleichen ab, ob der anzuwendende Standard eingehalten wird oder ob an der ein oder anderen Stelle noch einmal nachgebessert werden muss.
Welche Maßnahmen notwendig sind und mit welchem Aufwand diese umgesetzt werden, entscheidet die Organisation für sich selbst, ggf. unter Hinzunahme von Expert*innen.