Richtlinien

Zugangs- und Zutrittskontrollrichtlinie: Physisch und logisch

15 Min. Lesezeit
TL;DR
  • Zutrittskontrolle (physisch) und Zugangskontrolle (logisch) sind zwei verschiedene Disziplinen, die in einer gemeinsamen Richtlinie zusammengeführt werden sollten.
  • Das Least-Privilege-Prinzip und rollenbasierte Zugriffskontrolle (RBAC) sind die Kernmechanismen, um Berechtigungen sicher und verwaltbar zu halten.
  • Serverräume brauchen ein mehrstufiges Schutzkonzept: Zutrittskontrollsystem, Protokollierung, Begleitpflicht für Externe und regelmäßige Überprüfung der Zutrittsrechte.
  • Remote-Zugriff per VPN muss in der Richtlinie klar geregelt sein: Wer darf von wo auf was zugreifen, und welche Authentifizierung ist erforderlich.

Warum Zugangs- und Zutrittskontrolle zusammengehören

Wenn über Informationssicherheit gesprochen wird, denken die meisten sofort an Firewalls, Verschlüsselung und Passwörter. Dabei beginnt Sicherheit viel grundlegender: Wer darf wohin, und wer darf auf was zugreifen? Diese beiden Fragen bilden das Fundament jedes Sicherheitskonzepts, und sie hängen enger zusammen, als es auf den ersten Blick scheint.

Ein Beispiel: Du kannst die beste Passwort-Richtlinie der Welt betreiben, aber wenn jemand physisch an den Server gelangt, kann er die Festplatte ausbauen und offline auslesen. Umgekehrt nützt die sicherste Serverraumtür nichts, wenn ein Angreifer über einen ungeschützten VPN-Zugang auf alle Systeme kommt. Physische und logische Kontrolle müssen zusammen gedacht und zusammen geregelt werden.

Die ISO 27001 spiegelt das wider. Im Annex A finden sich Controls für physische Sicherheit (A.7-Gruppe) direkt neben Controls für logische Zugangssteuerung (A.5.15-A.5.18, A.8-Gruppe). Eine gemeinsame Richtlinie, die beide Aspekte abdeckt, ist deshalb sinnvoller als zwei getrennte Dokumente, die sich gegenseitig nicht referenzieren.

Begriffe klären: Zutritt, Zugang, Zugriff

Im Deutschen werden die Begriffe häufig durcheinandergeworfen, obwohl sie Verschiedenes meinen. Eine saubere Unterscheidung ist wichtig, weil deine Richtlinie sonst missverständlich wird.

Zutrittskontrolle (physisch)

Zutrittskontrolle regelt, wer physisch in Räume, Gebäude oder Bereiche gelangen darf. Es geht um den Schutz vor unbefugtem Betreten.

Beispiele: Gebäudezugang per Schlüsselkarte, Serverraumtür mit PIN-Code und Protokollierung, Besucherregistrierung am Empfang, Zaunanlage mit Schranke.

Zugangskontrolle (logisch)

Zugangskontrolle regelt, wer sich an IT-Systemen anmelden darf. Es geht um den Schutz vor unbefugter Nutzung von Systemen.

Beispiele: Login am Arbeitsplatz-PC, VPN-Verbindung ins Firmennetz, Anmeldung am E-Mail-System, SSH-Zugang zum Server.

Zugriffskontrolle (logisch, feingranular)

Zugriffskontrolle regelt, was ein angemeldeter Benutzer innerhalb eines Systems tun darf. Es geht um Berechtigungen nach der Authentifizierung.

Beispiele: Lese- und Schreibrechte auf Dateien, Zugriffsrechte auf Datenbanktabellen, Administrations-Funktionen im ERP, API-Berechtigungen.

Die drei Ebenen bauen aufeinander auf: Erst der Zutritt zum Gebäude, dann der Zugang zum System, dann der Zugriff auf die Daten. Deine Richtlinie sollte alle drei Ebenen adressieren.

Das Least-Privilege-Prinzip

Das Prinzip der minimalen Rechtevergabe (Least Privilege) ist das wichtigste Konzept der gesamten Zugangssteuerung. Es besagt: Jeder Benutzer, jedes System und jeder Prozess erhält nur die Berechtigungen, die für die jeweilige Aufgabe zwingend erforderlich sind. Nicht mehr, nicht weniger.

Warum Least Privilege so wichtig ist

Ohne Least Privilege wachsen Berechtigungen über die Zeit unkontrolliert an. Ein typisches Szenario: Eine Mitarbeiterin wechselt innerhalb des Unternehmens von der Buchhaltung in den Vertrieb. Sie bekommt Zugriff auf das CRM-System, behält aber ihre alten Buchhaltungsrechte. Nach drei Positionswechseln hat sie Zugang zu Systemen, die mit ihrer aktuellen Rolle nichts zu tun haben. Das nennt man „Privilege Creep" oder „Rechteakkumulation", und es ist eines der häufigsten Audit-Findings.

Die Konsequenzen sind real: Jedes überflüssige Recht vergrößert den Schaden, den ein kompromittiertes Konto anrichten kann. Wenn ein Angreifer ein Konto mit minimalen Rechten übernimmt, ist der Radius begrenzt. Übernimmt er ein Konto mit historisch gewachsenen Vollzugriffen, liegt das gesamte Unternehmen offen.

Least Privilege in der Praxis umsetzen

Deine Richtlinie sollte Least Privilege als verbindliches Prinzip verankern und konkrete Umsetzungsregeln definieren:

  • Neue Konten werden ohne Berechtigungen angelegt. Rechte werden erst auf Antrag vergeben und von der zuständigen Führungskraft genehmigt.
  • Bei Abteilungswechsel werden alte Rechte entzogen, bevor neue vergeben werden. Nicht nachher, nicht parallel, sondern vorher.
  • Administratorrechte werden nicht dauerhaft vergeben. Für administrative Aufgaben wird ein separates Admin-Konto genutzt (Privileged Access Management).
  • Berechtigungen werden regelmäßig überprüft (mindestens halbjährlich) und nicht mehr benötigte Rechte werden entzogen.
  • Temporäre Berechtigungen erhalten ein automatisches Ablaufdatum.

Rollenbasierte Zugriffskontrolle (RBAC)

In einem Unternehmen mit 50 oder 500 Mitarbeitenden wird die individuelle Rechtevergabe schnell unüberschaubar. Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) löst dieses Problem, indem Berechtigungen nicht einzelnen Personen, sondern Rollen zugewiesen werden. Mitarbeitende werden dann einer oder mehreren Rollen zugeordnet und erben deren Berechtigungen.

Wie RBAC funktioniert

Die Grundidee: Du definierst Rollen, die typische Aufgabenprofile abbilden. Jede Rolle enthält genau die Berechtigungen, die für dieses Aufgabenprofil erforderlich sind. Mitarbeitende werden einer Rolle zugeordnet, nicht individuellen Berechtigungen.

Beispiel:

Rolle Systeme Berechtigungen
Vertrieb-Innendienst CRM, E-Mail, Dokumentenportal Lesen/Schreiben im CRM, Lesen im Dokumentenportal
Vertrieb-Teamleitung Wie Innendienst + Reporting Zusätzlich: Berichte erstellen, Angebote freigeben
Buchhaltung ERP (Finanzen), E-Mail, Banking Lesen/Schreiben in Finanzbuchhaltung, Zahlungen bis Limit
IT-Administration Alle Systeme (Admin-Zugang) Vollzugriff über dediziertes Admin-Konto
Geschäftsführung ERP, CRM, Reporting, Dashboards Lesen auf alle Bereiche, Freigaben

RBAC in der Richtlinie verankern

Deine Richtlinie sollte folgende Punkte zu RBAC festlegen:

  • Ein Rollenkonzept wird gepflegt und dokumentiert. Es enthält alle definierten Rollen mit ihren Berechtigungen. In ISMS Lite lässt sich das Rollenkonzept zentral pflegen und mit den zugehörigen Richtlinien und Controls verknüpfen.
  • Jede Rolle wird von einem Verantwortlichen (Role Owner) betreut, der für die Aktualität der Berechtigungen sorgt.
  • Die Zuordnung von Mitarbeitenden zu Rollen erfolgt durch die Führungskraft und wird von der IT umgesetzt.
  • Individuelle Berechtigungen außerhalb der definierten Rollen sind Ausnahmen, die genehmigt und befristet werden müssen.
  • Das Rollenkonzept wird mindestens jährlich überprüft und an organisatorische Veränderungen angepasst.
  • Bei Rollenkonflikten (Separation of Duties) wird sichergestellt, dass kritische Funktionen getrennt bleiben (z.B. darf dieselbe Person nicht Bestellungen anlegen und Zahlungen freigeben).

Separation of Duties

Ein wichtiger Aspekt von RBAC ist die Funktionstrennung (Separation of Duties, SoD). Bestimmte Berechtigungskombinationen sind riskant und müssen verhindert werden:

  • Wer Benutzerkonten anlegt, sollte nicht die Berechtigungen vergeben
  • Wer Bestellungen auslöst, sollte nicht die Zahlungen freigeben
  • Wer Änderungen an Produktionssystemen vornimmt, sollte nicht die Freigabe erteilen
  • Wer Audit-Logs schreibt, sollte sie nicht löschen können

Deine Richtlinie sollte die kritischen SoD-Konflikte für dein Unternehmen identifizieren und verbindlich regeln.

Physische Zutrittskontrolle

Die physische Zutrittskontrolle schützt Gebäude, Räume und Bereiche vor unbefugtem Betreten. Für ein ISMS ist sie ein zentraler Baustein, weil physischer Zugang zu Hardware den stärksten denkbaren Angriff ermöglicht.

Sicherheitszonen definieren

Ein bewährtes Konzept ist die Einteilung des Unternehmens in Sicherheitszonen mit steigendem Schutzniveau:

Zone 1: Öffentlicher Bereich

  • Eingangshalle, Empfang, Besucherparkplatz
  • Keine besonderen Zutrittskontrollen erforderlich
  • Videoüberwachung möglich (Datenschutz beachten)

Zone 2: Allgemeiner Unternehmensbereich

  • Büros, Besprechungsräume, Teeküchen
  • Zutritt nur für Mitarbeitende und registrierte Besucher
  • Schlüsselkarte oder Badge-System
  • Besucher werden am Empfang registriert und begleitet

Zone 3: Eingeschränkter Bereich

  • IT-Arbeitsplätze, Netzwerkverteilerschränke, Archivräume
  • Zutritt nur für berechtigte Mitarbeitende
  • Elektronisches Zutrittskontrollsystem mit Protokollierung
  • Besucher nur in Begleitung eines Berechtigten

Zone 4: Hochsicherheitsbereich

  • Serverraum, Rechenzentrum, Tresorraum
  • Zutritt nur für namentlich autorisierte Personen
  • Zwei-Faktor-Zutrittskontrolle (Badge + PIN oder Badge + Biometrie)
  • Vollständige Protokollierung aller Zutritte
  • Begleitpflicht für Externe, Vier-Augen-Prinzip bei kritischen Arbeiten
  • Videoüberwachung

Serverraum: Besondere Anforderungen

Das Absichern des Serverraums verdient in jeder Zutrittskontrollrichtlinie ein eigenes Kapitel, weil er das physische Herz der IT-Infrastruktur beherbergt. Ein unbefugter Zugang kann zu Datenverlust, Manipulation, Sabotage oder dem physischen Diebstahl von Datenträgern führen.

Mindestanforderungen für den Serverraum:

Bauliche Maßnahmen:

  • Massive Wände und Decke (kein Leichtbau, keine abgehängte Decke, durch die man klettern kann)
  • Keine Fenster, oder Fenster mit Sicherheitsverglasung und Einbruchschutz
  • Feuerhemmende Tür mit selbstständiger Schließfunktion
  • Unabhängige Klimatisierung
  • Brandmeldeanlage und geeignetes Löschsystem (Gas, kein Wasser)
  • Wassermelder am Boden (Schutz vor Leitungsschäden)

Zutrittskontrolle:

  • Elektronisches Zutrittskontrollsystem mit Protokollierung (wer, wann, wie lange)
  • Zwei-Faktor-Authentifizierung (Badge + PIN als Minimum)
  • Zutrittsrechte nur für namentlich autorisierte Personen (keine Team- oder Abteilungspauschale)
  • Regelmäßige Überprüfung der Zutrittsberechtigungsliste (mindestens vierteljährlich)
  • Automatische Türverriegelung bei Nichtnutzung

Organisatorische Maßnahmen:

  • Externe Dienstleister (Wartungstechniker, Lieferanten) nur in Begleitung eines autorisierten Mitarbeitenden
  • Vier-Augen-Prinzip bei kritischen Arbeiten (z.B. Austausch von Datenträgern)
  • Verbot von Mobiltelefonen mit Kamerafunktion im Serverraum (optional, je nach Schutzbedarf)
  • Schlüsselmanagement: physische Notschlüssel im Tresor mit dokumentierter Entnahme

Besuchermanagement

Jede Zutrittskontrollrichtlinie braucht einen Abschnitt zum Umgang mit Besuchern:

  • Voranmeldung durch den einladenden Mitarbeitenden
  • Registrierung am Empfang mit Name, Unternehmen, Besuchszweck und besuchter Person
  • Ausgabe eines sichtbar zu tragenden Besucherausweises
  • Begleitung durch den einladenden Mitarbeitenden in allen Bereichen ab Zone 2
  • Rückgabe des Besucherausweises beim Verlassen
  • Dokumentation der Besucherprotokolle mit Aufbewahrungsfrist

Logische Zugangskontrolle

Die logische Zugangskontrolle regelt den Zugang zu IT-Systemen, Netzwerken und Daten. Sie baut auf der physischen Zutrittskontrolle auf und ergänzt sie um die digitale Dimension.

Identitätsmanagement (Identity Management)

Bevor du Zugangsrechte vergeben kannst, brauchst du eine saubere Identitätsverwaltung:

  • Jeder Benutzer hat eine eindeutige, persönliche Kennung. Gruppenkonten sind zu vermeiden.
  • Die Erstellung von Benutzerkonten erfolgt über einen dokumentierten Prozess (Onboarding).
  • Die Deaktivierung erfolgt sofort bei Ausscheiden oder Freistellung (Offboarding).
  • Service-Accounts und technische Konten werden separat verwaltet und dokumentiert.
  • Ein zentraler Verzeichnisdienst (Active Directory, LDAP, Identity Provider) ist die Single Source of Truth für Identitäten.

Authentifizierungsverfahren

Deine Richtlinie sollte festlegen, welche Authentifizierungsverfahren für welche Systeme und Risikoklassen gelten:

Risikoklasse Authentifizierung Beispiele
Standard Passwort gemäß Passwort-Richtlinie E-Mail, Intranet, Standard-Anwendungen
Erhöht Passwort + MFA VPN, Cloud-Dienste, Remote-Zugriff
Hoch MFA + Zertifikat oder Hardware-Token Administrative Konsolen, Produktionssysteme
Kritisch MFA + Privileged Access Management Domain Controller, Backup-Systeme, Firewalls

VPN und Remote-Zugriff

Remote-Arbeit ist in den meisten Unternehmen Alltag. Deine Richtlinie muss klar regeln, wie der Zugriff von außerhalb des Firmennetzwerks funktioniert:

Grundsätzliche Regeln:

  • Remote-Zugriff auf interne Ressourcen ist ausschließlich über das Unternehmens-VPN gestattet.
  • Die VPN-Verbindung erfordert mindestens Passwort + MFA.
  • Split-Tunneling (nur Firmenverkehr geht durch das VPN, der Rest direkt ins Internet) muss explizit geregelt werden. Für Geräte mit Zugriff auf sensible Daten empfiehlt sich Full-Tunnel.
  • VPN-Zertifikate haben eine begrenzte Gültigkeitsdauer und werden zentral verwaltet.
  • Bei Ausscheiden eines Mitarbeitenden wird der VPN-Zugang sofort deaktiviert.

Zusätzliche Regelungen:

  • Zugriff auf administrative Konsolen ist über VPN nur von verwalteten Geräten erlaubt.
  • RDP- und SSH-Zugriffe werden protokolliert.
  • Zugriff aus dem Ausland kann eingeschränkt oder gesondert genehmigungspflichtig sein (Geo-Blocking oder Geo-Alerting).
  • Saisonale oder projektbezogene Remote-Zugänge werden befristet.

Netzwerksegmentierung

Netzwerksegmentierung ist die logische Entsprechung zu den physischen Sicherheitszonen. Sie stellt sicher, dass ein Angreifer, der in ein Netzwerksegment eindringt, nicht automatisch auf alle anderen Segmente zugreifen kann.

Typische Segmente:

  • Büro-Netzwerk (Arbeitsplätze)
  • Server-Netzwerk (getrennt vom Büro-Netz)
  • DMZ (öffentlich erreichbare Dienste)
  • Gäste-WLAN (strikt getrennt, kein Zugang zu internen Ressourcen)
  • Management-Netzwerk (für die Verwaltung von Netzwerkkomponenten, nur für Administratoren)
  • IoT/OT-Netzwerk (wenn vorhanden, strikt isoliert)

Deine Richtlinie sollte die Segmentierung als Prinzip verankern und festlegen, welche Kommunikation zwischen Segmenten erlaubt ist (Firewall-Regeln nach dem Whitelist-Prinzip).

Berechtigungsprozesse: Beantragen, Genehmigen, Entziehen

Eine Zugangsrichtlinie ist unvollständig, wenn sie nur beschreibt, welche Rechte es gibt, aber nicht, wie sie vergeben und entzogen werden. Die Prozesse sind mindestens so wichtig wie die Regeln selbst.

Beantragung

  • Der Mitarbeitende (oder dessen Führungskraft) stellt einen Antrag auf Zugangsrechte.
  • Der Antrag enthält: welche Rechte, für welches System, mit welcher Begründung, für welchen Zeitraum.
  • Standardrechte (basierend auf der Rolle) können automatisiert vergeben werden.
  • Erweiterte Rechte erfordern eine explizite Genehmigung.

Genehmigung

  • Die Genehmigung erfolgt durch den Datenverantwortlichen (Data Owner) oder die Führungskraft.
  • Für kritische Systeme kann eine zusätzliche Genehmigung durch den ISB oder die IT-Leitung erforderlich sein.
  • Die Genehmigung wird dokumentiert und ist nachvollziehbar.
  • Automatisierte Workflows (Ticketsystem, ITSM-Tool) beschleunigen den Prozess und schaffen Nachvollziehbarkeit.

Umsetzung

  • Die IT setzt die genehmigten Rechte um.
  • Die Umsetzung wird im Ticketsystem dokumentiert.
  • Der Antragsteller wird über die Umsetzung informiert.

Entzug

  • Bei Abteilungswechsel: alte Rechte werden entzogen, neue gemäß neuer Rolle vergeben.
  • Bei Ausscheiden: alle Rechte werden am letzten Arbeitstag deaktiviert (nicht gelöscht, sondern deaktiviert, für den Fall, dass eine Nachfrage kommt).
  • Bei Freistellung: sofortige Deaktivierung aller Zugänge.
  • Temporäre Rechte laufen automatisch ab.

Regelmäßige Überprüfung (Access Review)

  • Mindestens halbjährlich überprüfen Führungskräfte und Data Owner die vergebenen Rechte in ihrem Verantwortungsbereich.
  • Nicht mehr benötigte Rechte werden entzogen.
  • Der Review wird dokumentiert und dient als Audit-Nachweis.
  • Automatisierte Tools können den Review unterstützen, indem sie inaktive Accounts oder ungewöhnliche Berechtigungskombinationen identifizieren. Mit ISMS Lite dokumentierst du Access Reviews nachvollziehbar und hast im Audit jederzeit den Nachweis parat.

Beispielrichtlinie: Gliederung

Hier eine vollständige Gliederung für eine kombinierte Zugangs- und Zutrittskontrollrichtlinie:

1. Einleitung und Zweck

  • Ziel: Schutz von Räumlichkeiten, IT-Systemen und Daten vor unbefugtem Zugang
  • Bezug zur Informationssicherheitsleitlinie
  • Geltungsbereich (alle Standorte, alle IT-Systeme, alle Nutzergruppen)

2. Begriffe und Definitionen

  • Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle
  • Authentifizierung, Autorisierung
  • RBAC, Least Privilege, Separation of Duties

3. Grundprinzipien

  • Least Privilege
  • Need-to-Know
  • Separation of Duties
  • Default Deny (alles ist verboten, was nicht explizit erlaubt ist)

4. Physische Zutrittskontrolle

  • Sicherheitszonen und deren Schutzanforderungen
  • Zutrittskontrollsysteme und -verfahren
  • Serverraum und Rechenzentrum
  • Schlüssel- und Badge-Management
  • Besuchermanagement
  • Protokollierung und Aufbewahrungsfristen

5. Logische Zugangskontrolle

  • Identitätsmanagement und Benutzerkonten
  • Authentifizierungsverfahren je Risikoklasse
  • VPN und Remote-Zugriff
  • Netzwerksegmentierung

6. Rollenbasierte Zugriffskontrolle

  • Rollenkonzept und Rollendokumentation
  • Zuordnung von Mitarbeitenden zu Rollen
  • Umgang mit Sonderrechten und Ausnahmen
  • Separation of Duties

7. Berechtigungsprozesse

  • Beantragung und Genehmigung
  • Umsetzung und Dokumentation
  • Entzug und Deaktivierung
  • Regelmäßiger Access Review

8. Privilegierte Zugänge

  • Separate Admin-Konten (kein Admin-Zugriff über den Standard-Account)
  • Privileged Access Management (PAM)
  • Just-in-Time-Zugriff (Rechte werden nur für die Dauer der Aufgabe vergeben)
  • Protokollierung aller administrativen Tätigkeiten

9. Service-Accounts und technische Konten

  • Dokumentation aller Service-Accounts
  • Eigentümer (Account Owner) für jeden Service-Account
  • Automatisierte Passwortrotation
  • Keine interaktive Nutzung von Service-Accounts

10. Externe Dienstleister und temporäre Zugänge

  • Vertragliche Absicherung (NDA, Auftragsverarbeitung)
  • Befristung aller externen Zugänge
  • Begleitpflicht bei physischem Zutritt
  • Entzug bei Vertragsende

11. Monitoring und Protokollierung

  • Protokollierung erfolgreicher und fehlgeschlagener Anmeldeversuche
  • Protokollierung physischer Zutritte
  • Alerting bei Anomalien (Brute Force, Zugriff außerhalb der Arbeitszeit, unmögliche Reisegeschwindigkeit)
  • Aufbewahrungsfristen für Protokolle

12. Verantwortlichkeiten

  • IT: Technische Umsetzung, MDM, Account-Verwaltung
  • ISB: Richtlinien-Pflege, Access Reviews, Ausnahme-Genehmigung
  • Führungskräfte: Genehmigung von Rechten, Review im eigenen Bereich
  • Facility Management: Physische Zutrittskontrollsysteme
  • Mitarbeitende: Einhaltung, Meldung von Auffälligkeiten

13. Verstöße und Konsequenzen

14. Review und Aktualisierung

Häufige Audit-Findings bei Zugangs- und Zutrittskontrolle

Damit du weißt, worauf Auditoren besonders achten, hier die häufigsten Findings:

Privilege Creep

Mitarbeitende sammeln über die Jahre Berechtigungen an, die sie längst nicht mehr brauchen. Das passiert typischerweise bei Abteilungswechseln. Die Lösung: verpflichtende Access Reviews und ein Joiner-Mover-Leaver-Prozess, der bei jedem Positionswechsel die Rechte zurücksetzt.

Geteilte Admin-Konten

Ein einzelnes Admin-Konto, das von mehreren IT-Mitarbeitenden genutzt wird, macht individuelle Nachvollziehbarkeit unmöglich. Jeder Administrator braucht ein persönliches Admin-Konto. Shared Accounts sind höchstens als Break-Glass-Accounts mit dokumentierter Nutzung akzeptabel.

Fehlende Protokollierung im Serverraum

Viele Unternehmen haben eine Zutrittskontrolle am Serverraum, protokollieren die Zutritte aber nicht oder bewahren die Protokolle nicht lang genug auf. Ein Auditor wird nach den Zutrittsprotokollen der vergangenen sechs Monate fragen.

Kein Prozess für das Ausscheiden von Mitarbeitenden

Wenn Accounts nicht am letzten Arbeitstag deaktiviert werden, existieren „Geister-Accounts", die ein Sicherheitsrisiko darstellen. Der Offboarding-Prozess muss die Account-Deaktivierung als zwingenden Schritt enthalten und die Durchführung dokumentieren.

VPN-Zugänge ohne MFA

VPN-Zugänge, die nur mit Benutzername und Passwort funktionieren, sind ein klassisches Finding. MFA ist für Remote-Zugänge inzwischen Standard und wird von Auditoren erwartet.

Keine regelmäßigen Access Reviews

Die Richtlinie sagt „halbjährlich", aber der letzte Review liegt zwei Jahre zurück. Oder die Reviews werden zwar durchgeführt, aber nicht dokumentiert. Beides ist problematisch. Plane feste Termine, nutze ein Tool für die Dokumentation und mache die Ergebnisse nachvollziehbar.

Zutrittskontrolle im Homeoffice

Seit Remote-Arbeit zur Normalität geworden ist, stellt sich eine neue Frage: Wie regelt man die physische Sicherheit des Arbeitsplatzes, wenn dieser in der Privatwohnung liegt?

Deine Richtlinie sollte mindestens folgende Punkte für das Homeoffice adressieren:

  • Der Arbeitsplatz ist so einzurichten, dass Unbefugte (Familienangehörige, Besucher, Mitbewohner) keinen Einblick in Unternehmensdaten haben.
  • Bildschirme müssen bei Abwesenheit gesperrt werden, auch wenn man nur kurz den Raum verlässt.
  • Ausdrucke mit sensiblen Inhalten sind sicher zu verwahren und ordnungsgemäß zu vernichten.
  • Geschäftliche Telefonate mit vertraulichem Inhalt sollten nicht in Anwesenheit Dritter geführt werden.
  • Das WLAN des Heimnetzwerks muss mit WPA3 oder mindestens WPA2 verschlüsselt sein, und das Standardpasswort des Routers muss geändert sein.

Diese Anforderungen lassen sich naturgemäß schwerer kontrollieren als die Sicherheit in Unternehmensräumen. Deshalb ist die Sensibilisierung der Mitarbeitenden besonders wichtig. Es geht nicht darum, die Privatwohnung zu inspizieren, sondern darum, dass Mitarbeitende ein Bewusstsein für die Risiken entwickeln.

Technische Umsetzung: Tools und Systeme

Damit die Richtlinie nicht nur auf dem Papier steht, braucht sie technische Umsetzung:

Zutrittskontrollsysteme:

  • Elektronische Schließanlagen mit Badge-Lesern
  • PIN-Pads oder biometrische Systeme für Hochsicherheitsbereiche
  • Zentrale Verwaltungssoftware für die Vergabe und den Entzug von Zutrittsrechten
  • Protokollierung aller Zutrittsereignisse mit Zeitstempel

Identity and Access Management (IAM):

  • Zentraler Verzeichnisdienst (Active Directory, Azure AD, Okta)
  • Automatisierte Provisionierung und Deprovisionierung von Accounts
  • Self-Service-Portal für Passwort-Reset und Berechtigungsanträge
  • Integration mit HR-System für automatisiertes Onboarding und Offboarding

Privileged Access Management (PAM):

  • Separate Verwaltung privilegierter Zugänge
  • Session-Recording für administrative Zugriffe
  • Just-in-Time-Zugriff: Admin-Rechte werden nur für die Dauer einer Aufgabe freigeschaltet
  • Automatische Passwortrotation für privilegierte Konten

SIEM und Monitoring:

  • Zentrale Sammlung und Auswertung von Zugriffsprotokollen
  • Korrelation physischer und logischer Zutrittsereignisse
  • Automatisches Alerting bei Anomalien

Fazit

Zugangs- und Zutrittskontrolle sind keine isolierten Themen, sondern zwei Seiten derselben Medaille. Eine gemeinsame Richtlinie, die physische und logische Kontrolle verbindet, das Least-Privilege-Prinzip als Leitgedanken verankert und RBAC als operatives Werkzeug nutzt, schafft eine solide Grundlage für dein ISMS.

Weiterführende Artikel

Der Schlüssel liegt in der konsequenten Umsetzung: Definierte Sicherheitszonen, technisch durchgesetzte Zugangsbeschränkungen, dokumentierte Berechtigungsprozesse und regelmäßige Access Reviews sorgen dafür, dass die Richtlinie nicht nur existiert, sondern lebt. Und genau das ist es, was ein Auditor sehen will: nicht perfekte Dokumente, sondern gelebte Prozesse mit nachvollziehbaren Nachweisen.

Zutrittskontrolle Richtlinie Zugangskontrollen ISO 27001 RBAC Least Privilege Serverraum Sicherheit VPN Richtlinie ISMS Richtlinien

Zugangs- und Zutrittskontrolle dokumentieren?

ISMS Lite liefert dir die relevanten Controls zu physischer Zutrittskontrolle, RBAC und Remote-Zugriff – mit konkreten Umsetzungsempfehlungen. Generiere deine Zugangs- und Zutrittskontrollrichtlinie per KI direkt aus den gewählten Controls, versioniere sie und steuere die Freigabe über den integrierten Approval-Workflow.

Jetzt installieren