- Jeder Besucher muss sich anmelden, einen Besucherausweis tragen und in sicherheitsrelevanten Bereichen begleitet werden.
- Das Zutrittsprotokoll erfasst Name, Firma, Ansprechpartner, Zutritts- und Verlassenszeit und muss DSGVO-konform aufbewahrt werden.
- ISO 27001 (A.7.2) und der BSI IT-Grundschutz fordern dokumentierte Besucherregeln als Teil der physischen Zutrittskontrolle.
- Digitale Besuchermanagementsysteme ersetzen das Papierbuch, bieten Voranmeldung, automatische Benachrichtigung und revisionssichere Protokolle.
- Begleitregeln müssen differenziert sein: Empfangsbereich frei, Büroflächen mit Begleitung, Serverraum und Archiv nur mit expliziter Genehmigung.
Warum Besuchermanagement mehr ist als ein Gästebuch
Besucher gehören zum Geschäftsalltag: Kunden, Lieferanten, Bewerber, Wartungstechniker, Prüfer, Behördenvertreter. Sie alle betreten dein Firmengelände und bewegen sich in Bereichen, in denen vertrauliche Informationen verarbeitet werden. Ein Besucher, der unbeaufsichtigt durch die Büroflure läuft, kann Dokumente auf Schreibtischen lesen, Gespräche mithören, Bildschirme einsehen, Fotos machen oder im schlimmsten Fall Hardware entwenden oder manipulieren.
Das klingt dramatisch, passiert aber regelmäßig. Social Engineering, also die Manipulation von Menschen, um an vertrauliche Informationen zu gelangen, beginnt häufig mit einem "Besuch". Penetrationstester berichten immer wieder, wie einfach es ist, sich als Handwerker, Lieferant oder IT-Techniker auszugeben und unkontrolliert durch Gebäude zu laufen.
Ein strukturiertes Besuchermanagement verhindert diese Risiken, ohne dass du dein Unternehmen in eine Festung verwandelst. Es geht darum, den Überblick zu behalten: Wer ist gerade im Gebäude, warum, und wer ist dafür verantwortlich?
Was die Normen verlangen
Die ISO 27001:2022 fordert in Kontrolle A.7.2 (Physical Entry): "Secure areas shall be protected by appropriate entry controls and access points." Die dazugehörige Implementierungsanleitung der ISO 27002 konkretisiert, dass Besucher überwacht, begleitet und ihre Zutritte protokolliert werden müssen.
Kontrolle A.7.1 (Physical Security Perimeters) verlangt zudem, dass physische Sicherheitszonen definiert werden und der Zutritt zu diesen Zonen kontrolliert wird. Besucher müssen wissen, welche Bereiche sie betreten dürfen und welche nicht.
Der BSI IT-Grundschutz adressiert das Thema im Baustein ORP.1 (Organisation), in INF.1 (Allgemeines Gebäude) und spezifisch in den Maßnahmen zur Zutrittskontrolle. Er fordert unter anderem eine Besucherregelung, die Begleitung von Besuchern in sensiblen Bereichen und die Protokollierung von Besuchen.
Die DSGVO kommt ins Spiel, weil du beim Besuchermanagement personenbezogene Daten verarbeitest: Name, Firma, Zeitstempel, eventuell Ausweiskopien. Du brauchst eine Rechtsgrundlage (berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO), eine angemessene Speicherfrist und einen Datenschutzhinweis für Besucher.
Der Besucherprozess von A bis Z
Ein vollständiger Besucherprozess umfasst fünf Phasen: Voranmeldung, Empfang, Begleitung, Aufenthalt und Verabschiedung.
Phase 1: Voranmeldung
Idealerweise wird jeder Besucher vorab angemeldet. Der interne Ansprechpartner teilt dem Empfang (oder der zuständigen Stelle) mit, wer wann kommt, von welcher Firma, zu welchem Zweck und welche Bereiche besucht werden. Bei regelmäßigen Besuchern wie Wartungstechnikern kann die Voranmeldung für wiederkehrende Termine pauschal erfolgen.
Die Voranmeldung hat mehrere Vorteile: Der Empfang ist vorbereitet und der Besucher muss nicht warten. Der Besucherausweis kann vorab vorbereitet werden. Nicht vorangemeldete Besucher fallen sofort auf und werden besonders aufmerksam behandelt.
Phase 2: Empfang und Anmeldung
Am Empfang wird der Besucher registriert. Das Minimum, das du erfassen solltest, sind Name und Vorname des Besuchers, Firma oder Organisation, Name des internen Ansprechpartners, Zweck des Besuchs und Zeitpunkt des Zutritts.
Der Besucher erhält einen sichtbar zu tragenden Besucherausweis. Dieser Ausweis dient zwei Zwecken: Erstens erkennen Mitarbeiter auf einen Blick, dass es sich um einen Besucher handelt. Zweitens macht er den Besucher darauf aufmerksam, dass er sich in einem kontrollierten Bereich befindet.
Die Besucherausweise sollten sich farblich deutlich von Mitarbeiterausweisen unterscheiden und nach dem Besuch zurückgegeben werden. Verlorene oder nicht zurückgegebene Ausweise müssen dokumentiert und bei elektronischen Ausweisen sofort gesperrt werden.
Optional, aber empfehlenswert: Lege dem Besucher eine Kurzfassung deiner Sicherheitsregeln vor, die er unterschreibt. Diese kann Punkte enthalten wie "Ich betrete nur die Bereiche, die mir zugewiesen sind", "Ich fotografiere nicht ohne Genehmigung" und "Ich folge den Anweisungen meines Begleiters". Bei Besuchern, die Zugang zu besonders sensiblen Informationen erhalten, kann zusätzlich eine Geheimhaltungsvereinbarung (NDA) erforderlich sein.
Phase 3: Begleitung
Nicht jeder Besucher braucht eine Begleitung in jedem Bereich. Differenziere nach Zonen:
Öffentlicher Bereich (Empfang, Wartebereich, Konferenzräume im Eingangsbereich): Keine Begleitung erforderlich. Diese Bereiche sind so gestaltet, dass keine vertraulichen Informationen einsehbar sind.
Allgemeine Büroflächen: Begleitung durch den internen Ansprechpartner. Der Besucher wird abgeholt und zum Besprechungsraum gebracht, statt allein durch die Flure zu laufen.
Sicherheitsbereiche (Serverraum, Archiv, Entwicklungsabteilung, Geschäftsführung): Zutritt nur mit expliziter Genehmigung und ständiger Begleitung durch eine berechtigte Person. Der Zutritt wird separat protokolliert.
Sperrgebiete: Für Besucher grundsätzlich nicht zugänglich. Ausnahmen nur mit Genehmigung der Geschäftsführung oder des ISB.
Die Begleitpflicht muss den Mitarbeitern bekannt sein und von ihnen auch durchgesetzt werden. Wenn ein Mitarbeiter einen unbegleiteten Besucher im Gang trifft, sollte er freundlich nachfragen, ob er helfen kann, und den Besucher zum Ansprechpartner bringen.
Phase 4: Während des Aufenthalts
Während des Besuchs gelten folgende Grundregeln: Der Besucher hält sich nur in den Bereichen auf, die für seinen Besuch vorgesehen sind. Der Besucherausweis wird sichtbar getragen. Der interne Ansprechpartner ist für den Besucher verantwortlich und stellt sicher, dass die Sicherheitsregeln eingehalten werden. Bei technischen Arbeiten (z. B. Wartung der Klimaanlage im Serverraum) bleibt eine berechtigte Person anwesend.
Phase 5: Verabschiedung und Abmeldung
Am Ende des Besuchs wird der Besucher zum Empfang zurückbegleitet. Er gibt den Besucherausweis zurück und der Zeitpunkt des Verlassens wird im Besucherprotokoll erfasst. Der interne Ansprechpartner bestätigt, dass der Besuch ordnungsgemäß beendet wurde. Bei Besuchern, die Arbeiten durchgeführt haben (z. B. Wartungstechniker), wird zusätzlich dokumentiert, was gemacht wurde.
Das Besucherprotokoll: Inhalt und Aufbewahrung
Das Besucherprotokoll ist das zentrale Dokument deines Besuchermanagements. Es muss folgende Informationen enthalten:
Pflichtangaben: Datum und Uhrzeit des Zutritts, Name und Vorname des Besuchers, Firma oder Organisation, interner Ansprechpartner, Zweck des Besuchs und Uhrzeit des Verlassens.
Optionale Angaben: Besuchte Bereiche, Fahrzeugkennzeichen (bei Zufahrt zum Firmengelände), Ausweisnummer und Unterschrift des Besuchers.
Aufbewahrungsfrist: Die Aufbewahrung muss verhältnismäßig sein. Eine Speicherfrist von drei bis sechs Monaten ist in den meisten Fällen angemessen. Längere Fristen musst du begründen können. Stimme die Frist mit deinem Datenschutzbeauftragten ab.
Zugriff: Das Besucherprotokoll enthält personenbezogene Daten und darf nur von berechtigten Personen eingesehen werden (Empfang, ISB, Geschäftsführung, bei Bedarf Auditor). Es gehört nicht auf den Empfangstresen, wo jeder nachfolgende Besucher die Namen der vorherigen Besucher lesen kann.
DSGVO-konformer Datenschutzhinweis: Informiere die Besucher bei der Anmeldung darüber, dass du ihre Daten erfasst, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange die Daten gespeichert werden und welche Rechte sie haben. Ein Aushang am Empfang oder ein Hinweis auf dem Anmeldeformular erfüllt diese Pflicht.
Papier versus digital: Das richtige System wählen
Das klassische Besucherbuch auf Papier hat ausgedient, jedenfalls aus Sicht des Datenschutzes und der Informationssicherheit. Wenn Besucher ihren Namen in ein offenes Buch schreiben, kann jeder nachfolgende Besucher sehen, wer vorher da war. Das ist ein DSGVO-Verstoß und eine Informationsleckage zugleich.
Papierlösung mit Einzelblättern
Wenn du eine Papierlösung bevorzugst, verwende Einzelblätter oder einzelne Karten statt eines durchgehenden Buchs. Jeder Besucher füllt ein eigenes Formular aus, das anschließend in einem verschlossenen Behälter aufbewahrt wird. Das vermeidet, dass Besucher die Daten anderer Besucher sehen.
Digitale Besuchermanagementsysteme
Digitale Lösungen bieten erhebliche Vorteile: Voranmeldung per E-Mail oder App mit automatischer Einladung und Wegbeschreibung, Self-Check-in am Empfangsterminal (Tablet oder Kiosk), automatische Benachrichtigung des Ansprechpartners per E-Mail oder Chat, automatische Erfassung von Zutritts- und Verlassenszeiten, revisionssichere Protokolle mit automatischer Löschung nach Ablauf der Speicherfrist und optionaler Druck von Besucherausweisen mit Foto.
Viele dieser Systeme lassen sich mit der elektronischen Zutrittskontrolle koppeln, sodass der Besucherausweis gleichzeitig als Zutrittskarte für definierte Bereiche fungiert. Das vereinfacht den Prozess und erhöht die Sicherheit, weil der Besucher nur die Türen öffnen kann, die für seinen Besuch freigeschaltet sind.
Auswahlkriterien
Bei der Auswahl eines digitalen Systems solltest du auf folgende Punkte achten: DSGVO-Konformität (Serverstandort, Auftragsverarbeitungsvertrag, Löschkonzept), Integration mit deiner bestehenden Zutrittskontrolle, Benutzerfreundlichkeit für Empfangspersonal und Besucher, Offline-Fähigkeit (was passiert bei Internetausfall?), Kosten (Lizenzmodell, Hardwarekosten für Terminals) und Reporting-Funktionen für Audits.
Sonderfälle und häufige Fragen
Handwerker und Wartungstechniker
Handwerker und Wartungstechniker kommen regelmäßig und brauchen oft Zugang zu sensiblen Bereichen (Serverraum, Technikräume). Behandle sie wie jeden anderen Besucher: Anmeldung, Ausweis, Begleitung in sensiblen Bereichen. Wenn ein Techniker regelmäßig kommt, kann eine Rahmenvereinbarung die Anmeldung vereinfachen, befreit aber nicht von der Begleitpflicht im Serverraum.
Lieferanten und Paketdienste
Lieferanten, die nur den Wareneingang betreten, brauchen in der Regel keinen vollständigen Besucherprozess. Definiere aber eine klare Grenze: Bis hierhin darf der Lieferant, ab hier beginnt der kontrollierte Bereich. Eine einfache Dokumentation (Lieferschein mit Zeitstempel) reicht für den Wareneingang meistens aus.
Besucher außerhalb der Geschäftszeiten
Besuche außerhalb der regulären Geschäftszeiten sind grundsätzlich genehmigungspflichtig. Stelle sicher, dass der Empfang oder die Zutrittskontrolle auch außerhalb der Bürozeiten funktioniert, etwa durch ein elektronisches Anmeldesystem, eine Rufbereitschaft oder eine Videogegensprechanlage.
Großveranstaltungen
Bei Firmenevents, Tagen der offenen Tür oder größeren Kundenveranstaltungen ist eine individuelle Anmeldung oft nicht praktikabel. Definiere für solche Anlässe eigene Regeln: abgesperrte Bereiche, die nicht betreten werden dürfen, reduzierte Erfassung (z. B. nur Teilnehmerliste statt individueller Anmeldung), zusätzliches Personal in sensiblen Bereichen und temporäre Zugangsbeschränkungen für kritische Räume.
Nicht abgemeldete Besucher
Was passiert, wenn ein Besucher abends noch im Besucherprotokoll als "anwesend" geführt wird? Das kann bedeuten, dass er das Gebäude ohne Abmeldung verlassen hat oder dass er tatsächlich noch im Gebäude ist. Definiere einen Prozess: Am Ende des Arbeitstages prüft eine verantwortliche Person, ob alle Besucher abgemeldet sind. Bei fehlenden Abmeldungen wird der interne Ansprechpartner kontaktiert.
Integration ins ISMS
Das Besuchermanagement ist keine isolierte Maßnahme, sondern Teil deines gesamten Sicherheitskonzepts. Integriere es wie folgt:
Risikobewertung: Bewerte das Risiko durch unkontrollierte Besucher in deiner Risikoanalyse. Berücksichtige dabei Social Engineering, Informationsabfluss und physische Bedrohungen.
Richtlinie: Dokumentiere die Besucherregelung als eigenständige Richtlinie oder als Teil der physischen Sicherheitsrichtlinie – in ISMS Lite kannst du Zutrittsregelungen und Besucherprozesse strukturiert erfassen und mit deinen Sicherheitszonen verknüpfen. Stelle sicher, dass sie allen Mitarbeitern bekannt ist.
Schulung: Nimm das Thema Besuchermanagement in die Security-Awareness-Schulung auf. Besonders wichtig: Mitarbeiter müssen wissen, dass sie unbegleitete Besucher ansprechen dürfen und sollen.
Audit: Prüfe die Einhaltung des Besuchermanagements bei internen Audits. Kontrolliere die Vollständigkeit der Protokolle, die Rückgabe von Besucherausweisen und die tatsächliche Begleitung in sensiblen Bereichen.
Kennzahlen: Erhebe Kennzahlen wie die Anzahl der Besucher pro Monat, die Quote nicht zurückgegebener Besucherausweise, die Anzahl nicht abgemeldeter Besucher und die Ergebnisse von Stichproben zur Begleitpflicht.
Typische Schwachstellen in der Praxis
Tailgating: Ein Besucher folgt einem Mitarbeiter durch eine gesicherte Tür, ohne sich selbst zu authentifizieren. Gegenmaßnahme: Vereinzelungsanlagen (Drehkreuze, Schleusen) in sensiblen Bereichen und Sensibilisierung der Mitarbeiter, die Tür nicht für Unbekannte aufzuhalten.
Ausweismissbrauch: Ein Besucherausweis wird nicht zurückgegeben und bei einem späteren, unbefugten Zutritt verwendet. Gegenmaßnahme: elektronische Ausweise, die nach dem Besuch automatisch gesperrt werden, und eine Prüfung am Ende jedes Tages.
Gefälligkeitsbegleitung: Der interne Ansprechpartner "begleitet" den Besucher zum Serverraum, lässt ihn dann aber allein, weil er selbst etwas anderes zu tun hat. Gegenmaßnahme: Klare Regel, dass Begleitung ständige Anwesenheit bedeutet, und Kontrolle durch den ISB.
Social Engineering: Ein Angreifer gibt sich als Lieferant, Techniker oder Bewerber aus, um Zugang zu erhalten. Gegenmaßnahme: Voranmeldung prüfen, im Zweifel den internen Ansprechpartner anrufen und nie Zutritt gewähren, "weil er doch einen Termin haben muss".
Besuchermanagement klingt nach Verwaltungsaufwand. In der Praxis ist es ein Prozess, der einmal aufgesetzt wenig Aufwand verursacht, aber einen erheblichen Beitrag zur physischen Sicherheit leistet. Und bei jedem Audit wirst du froh sein, dass du ein sauberes Protokoll vorlegen kannst.
Checkliste für die Einführung
Wenn du ein Besuchermanagement von Grund auf aufbaust oder ein bestehendes verbessern willst, hilft die folgende Reihenfolge:
Schritt 1 - Zonierung: Definiere die Sicherheitszonen in deinem Gebäude: öffentlicher Bereich, allgemeine Büroflächen, Sicherheitsbereiche und Sperrgebiete. Kennzeichne die Grenzen eindeutig.
Schritt 2 - Besucherregelung: Erstelle eine schriftliche Besucherregelung, die Voranmeldung, Empfang, Begleitung, Aufenthalt und Verabschiedung regelt. Definiere Sonderregelungen für Handwerker, Lieferanten und Großveranstaltungen.
Schritt 3 - Infrastruktur: Beschaffe Besucherausweise, Anmeldeformulare oder ein digitales Besuchermanagementsystem. Richte einen Empfangsbereich ein, der die Registrierung ermöglicht.
Schritt 4 - Schulung: Schule das Empfangspersonal und alle Mitarbeiter in der Besucherregelung. Besonders wichtig: Mitarbeiter müssen wissen, dass sie unbegleitete Besucher ansprechen dürfen und sollen.
Schritt 5 - Kommunikation: Informiere alle Mitarbeiter über die neue Regelung. Hänge eine Kurzfassung der Besucherregeln am Empfang aus.
Schritt 6 - Kontrolle: Führe regelmäßige Stichproben durch. Prüfe, ob Besucherausweise getragen werden, Begleitregeln eingehalten werden und das Besucherprotokoll vollständig geführt wird.
Schritt 7 - Verbesserung: Werte die Ergebnisse aus und passe die Regelung an. Wenn bestimmte Regeln regelmäßig nicht eingehalten werden, frage nach den Ursachen, statt auf strengeren Kontrollen zu beharren.