ISO 27001 A.7.1-7.14: Physische Sicherheit - was der Standard fordert

Warum physische Sicherheit immer noch zählt

Es gibt einen Witz unter Penetrationstestern: „Warum sollte ich deine Firewall angreifen, wenn ich einfach durch die offene Hintertür in den Serverraum spazieren kann?" So lustig das klingt, in der Praxis ist physischer Zugang zu Systemen einer der effektivsten Angriffsvektoren. Wer physischen Zugriff auf einen Server hat, kann Festplatten ausbauen, USB-Sticks anschließen, Netzwerkkabel umstecken oder schlicht den Stecker ziehen.

Die Controls A.7.1 bis A.7.14 adressieren die physische Sicherheit umfassend. Die ISO 27001:2022 fasst sie unter „Physical controls" zusammen und deckt dabei alles ab: vom Schutz des Gebäudeperimeters über die Zutrittskontrolle bis hin zur sicheren Entsorgung von Datenträgern und dem Schutz der Verkabelung.

Für ein Unternehmen mit rund 100 Mitarbeitenden geht es dabei nicht um Fort-Knox-Level-Sicherheit. Es geht um angemessene Maßnahmen, die zum Schutzbedarf passen. Ein Bürogebäude in einem Gewerbegebiet braucht andere Maßnahmen als ein Rechenzentrum, aber es braucht Maßnahmen.

Das Zonenkonzept

Das Fundament der physischen Sicherheit ist das Zonenkonzept. Du unterteilst dein Gebäude in Zonen mit unterschiedlichem Schutzbedarf, und für jede Zone definierst du Zutrittsbeschränkungen und Schutzmaßnahmen.

Zone 0: Öffentlicher Bereich

Der Bereich vor dem Gebäude, der Parkplatz, der Empfangsbereich. Hier hat prinzipiell jeder Zutritt. Die Schutzmaßnahmen beschränken sich auf allgemeine Sicherheit: Beleuchtung, Videoüberwachung (wo rechtlich zulässig), Einzäunung des Geländes bei Bedarf.

Zone 1: Allgemeiner Bürobereich

Der Bereich, in dem Mitarbeitende arbeiten. Zutritt nur für Mitarbeitende und angemeldete Besucher. Besucher werden begleitet. Schutzmaßnahmen: Zutrittskontrolle am Eingang (Transponder, Schlüssel, Code), Besuchermanagement, Clean-Desk-Regelung.

Zone 2: Sensible Bereiche

Bereiche mit erhöhtem Schutzbedarf: Serverraum, Netzwerkverteiler, Archivräume mit vertraulichen Unterlagen, Räume der Geschäftsleitung. Zutritt nur für autorisierte Personen. Schutzmaßnahmen: Separate Zutrittskontrolle, Protokollierung der Zutritte, Fenster gesichert, Tür mit automatischem Schloss.

Zone 3: Hochsicherheitsbereich

Falls vorhanden: Tresorräume, besonders geschützte Rechenzentren, Räume für geheime Projekte. Zutrittskontrolle mit Zwei-Faktor (Transponder + PIN oder biometrisch), lückenlose Protokollierung, Videoüberwachung.

Für die meisten Unternehmen mit rund 100 Mitarbeitenden reichen drei Zonen (0 bis 2). Zone 3 ist typischerweise nur relevant, wenn du ein eigenes Rechenzentrum betreibst oder besonders schützenswerte Informationen verarbeitest.

A.7.1-A.7.2: Perimeter und physischer Zutritt

Was der Standard fordert

A.7.1 fordert die Definition und den Schutz von Sicherheitsperimetern. A.7.2 fordert, dass physische Eintrittspunkte durch angemessene Zutrittskontrollmechanismen geschützt werden.

Umsetzung für rund 100 Mitarbeitende

Gebäudeeingang: Ein kontrollierter Haupteingang mit Transponder-System oder Schlüssel. Außerhalb der Geschäftszeiten ist das Gebäude verschlossen. Ein Klingelanlage oder Gegensprechanlage für Besucher.

Nebenausgänge und Liefereingänge: Notausgänge dürfen nicht von außen geöffnet werden können (nur Panikstange von innen). Liefereingänge werden nur bei Bedarf geöffnet und nicht dauerhaft offen gelassen.

Fenster im Erdgeschoss: Fenster in sensiblen Bereichen (Serverraum, Archiv) im Erdgeschoss sollten gesichert sein, z.B. durch Sicherheitsverglasung oder Gitter. Zumindest sollten sie nach Feierabend geschlossen sein.

Schlüssel- und Transponderverwaltung: Ein dokumentiertes Verzeichnis, wer welche Schlüssel und Transponder besitzt. Bei Verlust sofortige Sperrung und Ersatz. Bei Austritt eines Mitarbeitenden Rückgabe aller Zutrittsmittel.

A.7.3-A.7.4: Büros, Räume und Überwachung

A.7.3: Securing offices, rooms and facilities

Büros und Räume sollen angemessen gesichert sein. Das bedeutet nicht, dass jedes Büro eine Sicherheitstür braucht, aber sensible Bereiche müssen geschützt werden.

Serverraum: Eigener Raum mit stabiler Tür (keine Gipskartonwand, über die man klettern kann) und separater Zutrittskontrolle. Keine Fenster oder, falls vorhanden, gesicherte Fenster. Rauchmelder und ggf. Brandmeldeanlage. Klimatisierung. Kein Durchgangsverkehr. Keine Lagerung von brennbarem Material.

Netzwerkverteiler: Verteilerräume oder -schränke müssen verschlossen sein. Offene Patchpanels in Fluren, an die jeder ein Gerät anschließen kann, sind ein klassisches Audit-Finding.

Besprechungsräume: Wenn in Besprechungsräumen regelmäßig vertrauliche Informationen besprochen werden, sollten sie akustisch angemessen geschützt sein und keine Whiteboards mit vertraulichen Notizen sichtbar für Besucher hinterlassen werden.

A.7.4: Physical security monitoring

Der Schutz sollte durch Überwachungsmaßnahmen ergänzt werden. In Deutschland ist Videoüberwachung am Arbeitsplatz ein sensibles Thema (DSGVO, Betriebsverfassungsgesetz). Was in der Regel zulässig und sinnvoll ist:

• Videoüberwachung von Eingängen und Außenbereichen (mit Hinweisschildern und angemessener Speicherdauer)
• Einbruchmeldeanlage mit Alarmierung an einen Sicherheitsdienst oder Polizei
• Zutrittsprotokolle am Transponder-System

Was problematisch ist und sorgfältig geprüft werden muss:

• Videoüberwachung im Bürobereich (nur in begründeten Ausnahmefällen)
• Verdeckte Überwachung (nur bei konkretem Verdacht einer Straftat und nach Rücksprache mit dem Datenschutzbeauftragten und dem Betriebsrat)

A.7.5-A.7.6: Schutz vor Umweltgefahren und Arbeiten in Sicherheitszonen

A.7.5: Protecting against physical and environmental threats

Neben menschlichen Bedrohungen müssen auch Umweltgefahren adressiert werden: Brand, Wasser, Überhitzung, Stromausfall.

Brandschutz: Rauchmelder in allen Räumen, Feuerlöscher in greifbarer Nähe, Brandschutzordnung, regelmäßige Evakuierungsübungen. Im Serverraum idealerweise eine Brandfrüherkennung und ein Löschsystem, das IT-Geräte nicht beschädigt (Gaslöschanlage oder Sprühwasserlöschanlage mit Vorsteuerung).

Wasserschutz: Server nicht im Keller aufstellen (Überflutungsrisiko) und nicht direkt unter Wasserrohren. Wassermelder im Serverraum.

Klimatisierung: Der Serverraum braucht eine Klimaanlage, die die Temperatur konstant hält (idealerweise 18-24°C). Temperatursensoren mit Alarmierung bei Überschreitung.

Stromversorgung: USV (unterbrechungsfreie Stromversorgung) für den Serverraum, die bei Stromausfall genug Zeit gibt, um die Server kontrolliert herunterzufahren. Bei höheren Verfügbarkeitsanforderungen ein Notstromaggregat.

A.7.6: Working in secure areas

In sensiblen Bereichen gelten zusätzliche Regeln:

• Keine unbeaufsichtigten Besucher
• Kein Fotografieren ohne Genehmigung
• Keine persönlichen Aufnahmegeräte (Smartphones), sofern es der Schutzbedarf erfordert
• Wartungsarbeiten durch externe Dienstleister nur unter Aufsicht

Für ein Unternehmen mit rund 100 Mitarbeitenden sind diese Regelungen vor allem für den Serverraum relevant. Im normalen Bürobereich wäre ein Smartphone-Verbot unverhältnismäßig.

A.7.7: Clear Desk and Clear Screen

Was der Standard fordert

Regelungen für das Aufräumen des Schreibtischs und das Sperren des Bildschirms bei Abwesenheit.

Warum dieses Control so häufig bemängelt wird

Clean Desk und Clear Screen klingen trivial, sind aber in der Praxis schwer durchzusetzen. Die Regeln sind einfach:

Clear Desk: Vertrauliche Unterlagen dürfen nicht offen auf dem Schreibtisch liegen, wenn der Mitarbeitende den Arbeitsplatz verlässt. Sie gehören in verschlossene Schränke oder Schubladen. Am Ende des Arbeitstages ist der Schreibtisch aufgeräumt.

Clear Screen: Der Bildschirm wird gesperrt, wenn der Mitarbeitende den Arbeitsplatz verlässt, auch wenn es nur für einen Kaffee ist. Automatische Bildschirmsperre nach maximal 5 bis 10 Minuten Inaktivität als technische Absicherung.

Das Problem: Viele Mitarbeitende empfinden diese Regeln als lästig und vergessen sie im Alltag. Der Auditor macht dann gern einen „Rundgang" und schaut, ob Bildschirme ungesperrt und Dokumente offen herumliegen.

Umsetzungstipps

• Automatische Bildschirmsperre technisch erzwingen (Gruppenrichtlinie, MDM)
• Abschließbare Rollcontainer oder Schränke für jeden Arbeitsplatz bereitstellen
• Regelmäßige Sensibilisierung in Awareness-Schulungen
• Stichprobenartige Begehungen durch den ISB, freundlich und nicht als „Polizeikontrolle"
• Positive Verstärkung: Loben statt nur bemängeln

A.7.8: Equipment Siting and Protection

Geräte müssen so aufgestellt und geschützt werden, dass sie vor Umweltgefahren und unbefugtem Zugriff sicher sind.

Konkret bedeutet das:

• Server stehen im Serverraum, nicht unter dem Schreibtisch des Admins
• Drucker mit vertraulichen Ausdrucken stehen in geschützten Bereichen, nicht im Flur
• Netzwerk-Switches sind in verschlossenen Schränken, nicht offen auf dem Boden
• Laptops sind gegen Diebstahl gesichert (Kensington-Lock, abschließbarer Schrank)

A.7.9-A.7.10: Assets außerhalb des Gebäudes und Speichermedien

A.7.9: Security of assets off-premises

Geräte und Informationen, die außerhalb des Gebäudes verwendet werden (Laptops im Homeoffice, mobile Geräte auf Dienstreisen), brauchen zusätzlichen Schutz:

• Festplattenverschlüsselung auf allen mobilen Geräten
• Keine Aufbewahrung im unbeaufsichtigten Auto (zumindest nicht sichtbar)
• Keine Nutzung an öffentlichen Orten ohne Sichtschutz
• Meldepflicht bei Verlust oder Diebstahl

A.7.10: Storage media

Speichermedien (USB-Sticks, externe Festplatten, Backup-Bänder) müssen über ihren gesamten Lebenszyklus geschützt werden:

• Klassifizierung und Kennzeichnung nach Schutzbedarf
• Verschlüsselung bei Transport oder Lagerung außerhalb gesicherter Bereiche
• Sichere Aufbewahrung
• Dokumentierte Ausgabe und Rückgabe
• Sichere Entsorgung am Lebensende (siehe A.7.14)

A.7.11-A.7.12: Versorgungseinrichtungen und Verkabelung

A.7.11: Supporting utilities

Versorgungseinrichtungen wie Strom, Klimatisierung, Telekommunikation und Wasser müssen gegen Ausfall und Sabotage geschützt sein.

Stromversorgung: USV für den Serverraum, regelmäßige Tests der USV (mindestens halbjährlich), dokumentierte Wartung. Die USV-Kapazität muss ausreichen, um entweder die Zeit bis zum Anspringen des Notstromaggregats zu überbrücken oder einen kontrollierten Shutdown der Server zu ermöglichen.

Klimatisierung: Redundante Klimaanlage im Serverraum bei hohen Verfügbarkeitsanforderungen. Mindestens Temperaturüberwachung mit Alarmierung.

A.7.12: Cabling security

Die Verkabelung ist ein oft unterschätzter Aspekt der physischen Sicherheit. Netzwerkkabel, die offen durch Flure laufen, können angezapft werden. Beschädigte Kabel können Ausfälle verursachen.

Netzwerkkabel: Kabel sollten in Kabelkanälen, Doppelböden oder abgehängten Decken verlaufen und nicht frei zugänglich sein. Netzwerkdosen in öffentlich zugänglichen Bereichen sollten deaktiviert sein, wenn sie nicht benötigt werden.

Stromkabel: Getrennte Führung von Netzwerk- und Stromkabeln, um elektromagnetische Interferenzen zu vermeiden.

Patchpanels und Verteiler: In verschlossenen Schränken, dokumentierte Patchung, keine unbeschrifteten Kabel.

A.7.13-A.7.14: Wartung und sichere Entsorgung

A.7.13: Equipment maintenance

Geräte müssen regelmäßig gewartet werden, um ihre Verfügbarkeit und Integrität sicherzustellen. Das betrifft vor allem USV-Anlagen, Klimaanlagen, Brandmeldeanlagen und Zutrittskontrollsysteme. Wartungsverträge mit definierten Intervallen und dokumentierte Wartungsprotokolle sind der Nachweis für den Auditor.

Wichtig: Wenn externe Dienstleister Wartungsarbeiten durchführen, gelten die Regeln für Arbeiten in Sicherheitszonen (A.7.6). Bei Wartung an IT-Systemen muss sichergestellt sein, dass der Dienstleister keinen unbefugten Zugriff auf Daten erhält.

A.7.14: Secure disposal or re-use of equipment

Die sichere Entsorgung von Geräten und Datenträgern ist das letzte Glied in der Kette der physischen Sicherheit und eines, an dem überraschend viele Unternehmen scheitern.

Festplatten und SSDs: Vor der Entsorgung oder Weitergabe müssen alle Daten unwiederbringlich gelöscht werden. Ein einfaches Formatieren reicht nicht. Für HDDs: mehrfaches Überschreiben oder physische Zerstörung. Für SSDs: Secure Erase per Herstellertool oder physische Zerstörung (Schredder). Dokumentiere den Löschvorgang mit Seriennummer, Datum und angewandtem Verfahren.

Papier: Vertrauliche Papierdokumente gehören in den Aktenvernichter, nicht in den Papierkorb. DIN-66399 definiert Sicherheitsstufen für die Vernichtung. Für die meisten Unternehmensdokumente ist Sicherheitsstufe P-4 (Partikelschnitt, max. 160 mm² Partikelfläche) angemessen.

Sonstige Datenträger: CDs, DVDs, USB-Sticks, Backup-Bänder, Smartphone-Speicherkarten. Alle müssen vor der Entsorgung sicher gelöscht oder physisch zerstört werden.

Altgeräte: Wenn Geräte an Mitarbeitende weitergegeben, gespendet oder verkauft werden, muss vorher eine vollständige Datenlöschung stattfinden. Idealerweise mit Nachweis.

Typische Audit-Findings bei A.7

Finding 1: Serverraum nicht ausreichend gesichert

Der Serverraum hat eine einfache Zimmertür, keine separate Zutrittskontrolle, und mehrere Personen haben unkontrolliert Zugang.

Finding 2: Keine Besucherregelung

Besucher bewegen sich frei im Gebäude, ohne angemeldet, registriert oder begleitet zu werden – ein funktionierendes Besuchermanagement fehlt.

Finding 3: Clear Desk wird nicht eingehalten

Beim Rundgang findet der Auditor vertrauliche Dokumente auf Schreibtischen, ungesperrte Bildschirme und Post-its mit Passwörtern am Monitor.

Finding 4: Keine dokumentierte Entsorgung

Festplatten werden entsorgt, aber es gibt keine Dokumentation über die sichere Löschung. Es kann nicht nachgewiesen werden, dass die Daten vor der Entsorgung unwiederbringlich gelöscht wurden.

Finding 5: Schlüsselverwaltung nicht dokumentiert

Es gibt keine Übersicht, wer welche Schlüssel oder Transponder besitzt. Bei Verlust oder Austritt fehlt die Grundlage für eine vollständige Rückforderung.

Wie ISMS Lite bei A.7 unterstützt

Controls mit Umsetzungsempfehlungen: ISMS Lite enthält die Controls A.7.1 bis A.7.14 mit praxisnahen Empfehlungen, die dir zeigen, welche Maßnahmen für dein Unternehmen angemessen sind – vom Perimeter bis zur Entsorgung.

Richtlinien per KI generieren: Die lokale KI erstellt dir eine physische Sicherheitsrichtlinie, die Zonenkonzept, Zutrittsregelungen und Verantwortlichkeiten abdeckt – als Ausgangspunkt, den du an deine Gegebenheiten anpasst.

Versionierung und Freigabe: Jede Änderung an deinen Richtlinien wird versioniert und durchläuft einen Freigabe-Workflow. Im Audit kannst du jederzeit nachweisen, wer wann was genehmigt hat.

Erinnerungen an Überprüfungen: Setze Erinnerungen für regelmäßige Begehungen, USV-Tests oder die Überprüfung der Schlüsselverwaltung, damit nichts in Vergessenheit gerät.

Weiterführende Artikel

• Zugangs- und Zutrittskontrolle: Richtlinie erstellen und umsetzen
• IT-Asset-Management im ISMS: Inventar, Verantwortlichkeiten und Lifecycle
• Sichere Remote-Arbeit und Homeoffice: Richtlinien und technische Maßnahmen
• Datensicherung nach dem 3-2-1-Prinzip: BSI-Empfehlung umsetzen
• Schutzbedarfsfeststellung: Systematisch bewerten, was schützenswert ist