Physische Absicherung - schützen Sie Ihre Daten und Informationen!
Um eine erfolgreiche und nachhaltige Digitalisierung in Unternehmen und Behörden gewährleisten zu können, ist nicht nur die Absicherung von technischen und organisatorischen Maßnahmen in Bezug auf IT-Systeme und Prozesse essenziell, sondern auch eine adäquate Absicherung der Gebäude und Räumlichkeiten von höchster Wichtigkeit.
Der Lagebericht 2021 des BSI zeigt „Informationssicherheit ist die Voraussetzung für eine erfolgreiche und nachhaltige Digitalisierung“. Auch BSI-Präsident Arne Schönbohm teilte mit, dass wir im Bereich der Informationssicherheit - zumindest in Teilbereichen - Alarmstufe Rot haben.
So wurde in den letzten Jahren festgestellt, dass Angriffe und Datendiebstahl nicht nur über IT-Systeme erfolgten, sondern Daten und Informationen auch physisch entwendet wurden, also durch Eindringen Unbefugter in den internen physischen Bereich einer Organisation.
Mängel im Bereich der physischen und umgebungsbezogenen Sicherheit können elementare Folgen für ein Unternehmen oder eine Behörde haben. Dieser Artikel hat nicht den Anspruch einer vollständigen Auflistung aller möglichen Gefahren, sondern soll auf die grundsätzlichen Gefahren hinweisen und dahingehend sensibilisieren, rechtzeitig entsprechende Maßnahmen zur Abwehr von Gefahren auch und gerade gegen physische Bedrohungen im IT-Bereich zu ergreifen. Meist wird der Fokus auf die Absicherung der IT-Systeme und Daten gelegt; der Zutritt in die Liegenschaften und die daraus entstehenden Risiken stehen leider meist im Schatten.
Welche organisatorischen und technischen Maßnahmen können Organisationen umsetzen, um einen besseren Schutz ihrer Informationen zu gewährleisten?
Um sich dagegen abzusichern, dass ein Angreifer durch Eindringen in das Gebäude Daten entwendet oder Informationen auf anderem Wege verloren gehen, gibt es diverse Aspekte, die betrachtet werden sollten. Von entscheidender Bedeutung sind die Identifikation und Bewertung von Risiken sowie die Absicherung und Gewährleistung der physischen und umgebungsbezogenen Sicherheit. Bei der Absicherung helfen Sicherheitsstandards wie z. B. die ISO 27001, der BSI IT-Grundschutz und TISAX (Trusted Information Security Assessment Exchange). Wichtig ist nicht nur die Nutzung dieser Standards, sondern auch ihre nachhaltige Integration in die Kultur und Abläufe der Organisation.
Jedes Gebäude ist verschiedensten Bedrohungen ausgesetzt wie u. a. Naturkatastrophen, Bränden oder Stromausfällen. Um die Auswirkungen auf das Unternehmen bei Eintreten eines solchen Ereignisses besser einschätzen zu können, empfiehlt es sich, ein standardisiertes Vorgehen zur Analyse und Bewertung zu nutzen. Mit dem Einsatz z. B. eines Risikomanagements im Unternehmen werden Bedrohungen identifiziert und mögliche Schwachstellen analysiert. Eine individuelle Bewertung verschiedener Szenarien ermöglicht die zielgerichtete Absicherung sowie einen adäquaten Ressourceneinsatz.
Bei einem möglichen „Einbruch“ stellen sich diverse Fragen, z. B in welchem Umfang können Informationen entwendet werden, wenn sich jemand unerlaubt physischen Zutritt zum Gebäude verschafft. Kommt die Person unmittelbar an Informationen oder sind die Akten verschlossen? Welcher Schaden würde entstehen, wenn wichtige Informationen analoger oder digitaler Form entwendet und / oder missbraucht werden? Zieht das einen finanziellen Schaden nach sich? Erleidet die Organisation einen Reputationsverlust?
Bei all diesen Fragen bietet das Risikomanagement eine wirksame Methode, angemessene Einschätzungen und Entscheidungen treffen zu können, um größeren Schaden zu verhindern. Schaden, der dadurch entsteht, dass Informationen verloren gehen. Da die Sicherheit der Informationen an erster Stelle stehen muss, sollte das Gebäude physisch so abgesichert werden, dass ein unbefugtes Eindringen oder ein anderweitiger Verlust von Informationen erst gar nicht auftreten kann. Wie diese Absicherung im Detail funktioniert, wird nachfolgend skizziert.
Physische und umgebungsbezogene Absicherung nach ISO 27001 und BSI IT-Grundschutz
In der ISO 27001 wird im Anhang A u.a. auf die physische Sicherheit eingegangen. Mit den aufgeführten Maßnahmen wird das Ziel verfolgt, unbefugten Personen den Zutritt, die Beschädigung und die Beeinträchtigung von Informationen und informationsverarbeitenden Einrichtungen der Organisation, unmöglich zu machen. In der Praxis gibt es sicherlich noch mehr Punkte, die die Norm nicht abschließend aufzählt.
Der BSI IT-Grundschutz ist ähnlich strukturiert. In der Schicht INF wird beispielsweise in den Bausteinen INF.1 und INF.12 beschrieben, welche Anforderungen an die physische Sicherheit erfüllt werden müssen, um eine umfängliche Absicherung der Gebäude und Räume zu gewährleisten. Die zentralen Handlungsfelder und Maßnahmen an die physische Sicherheit der beiden Rahmenwerke sowie die daraus resultierenden Chancen für Organisationen werden nachfolgend beispielhaft erläutert.
1. Definition des Geltungsbereiches
Um die Absicherung konkret planen zu können, ist es wichtig, dass der Betrachtungsgegenstand konkretisiert und abgegrenzt wird. Am Beispiel der Absicherung von Betriebsstätten und Liegenschaften sollte somit die Frage gestellt werden, welche Standorte im In- und Ausland, welche Gebäude, welche Räume mit welcher Funktion für die Absicherung in den Fokus genommen werden sollen. Will die Organisation z. B. nur den Hauptstandort absichern oder auch kleinere Nebenstandorte oder nur Standorte, die einem gewissen Bereich in der Organisation zugeordnet werden? Zusätzlich sollte geklärt werden, wo sich welche Assets mit welcher Kritikalität befinden, um den entsprechenden Schutzbedarf des Standortes einstufen zu können. Damit dies gelingt, steht am Anfang der Umsetzung des BSI IT-Grundschutzes oder der ISO 27001 die Festlegung des Geltungsbereiches (Scope). Die Organisation bestimmt den Betrachtungsgegenstand. Im BSI IT-Grundschutz wird dies als Informationsverbund bezeichnet.
2. Standortanalyse
Nachdem der Geltungsbereich grob festgelegt wurde, empfiehlt sich eine Analyse des Standortes. Hierbei sollten die geografische Lage und die Rahmenbedingungen des Standortes betrachtet werden. Leider sind immer wieder Regionen durch Elementarschäden wie Hochwasser oder Stürme betroffen. Um derartige Schäden und Bedrohungen, die oft zu vernichtenden physischen Schäden am Standort führen, vorzubeugen, empfiehlt es sich, alle zur Verfügung stehenden Daten aus der Vergangenheit oder Prognosen aller möglichen Institutionen für diese Standort-Region entsprechend zu sammeln und auszuwerten. Die größten Bedrohungen lassen sich hierbei schnell identifizieren.
Eine Begehung des Standortes für Zwecke der Sicherheit ist unerlässlich. Mit ihr verschafft man sich einen genauen Überblick, wie und wo der Standort betreten werden kann, wer, wie, wann das Gebäude betreten darf, wie Zufahrten geregelt und wie viele Ein- und Ausgänge vorhanden sind. Zudem werden hierbei nicht nur die physischen Bedrohungen identifiziert. Weiter wird geschaut, ob z. B. unbefugte Personen in einem öffentlichen Bereich Informationen abgreifen können. Nicht unwichtig ist auch das Händeln von Besprechungsräumen:
- Können z. B. Besprechungsräume von fremden Personen betreten werden?
- Kann man sich aus dem Besprechungsraum heraus mit dem internen Firmennetzwerk verbinden?
- Können sich Unbefugte ins interne Firmennetz einwählen?
Sollten sich bei der Begehung des Standortes Auffälligkeiten ergeben, werden diese schriftlich dokumentiert und in einer Gap-Analyse zusammengefasst. Somit erhält das Unternehmen eine genaue Übersicht der Schwachstellen.
Sind die Begehung des Standortes und die Analyse abgeschlossen, sollten die Besitzverhältnisse, die Zuständigkeiten und Verantwortlichkeiten geprüft werden. Wem gehört das Gebäude? Wer ist Mieter? Wer kommt z. B. für einen Schaden am Gebäude auf, wenn Gebäudeteile durch Elementarschäden beschädigt oder zerstört wurden? Eine Liste mit einer entsprechenden Übersicht erleichtert es den Mitarbeitenden, sofort die zuständigen Personen oder Dienstleister zu finden. Sinnvoll wäre ebenfalls die Erstellung von internen Richtlinien, die festlegen, unter welchen Voraussetzungen Reparaturen selbst durchzuführen und ab wann externe Dienstleister zu beauftragen sind. In dieser Liste sollte ebenfalls ein Ansprechpartner im Notfall benannt sein. Dieser ist bei Notfällen, wie z. B. einem Feuer, zu kontaktieren. Auch der Brandschutzbeauftragte ist in dieser Liste aufzuführen, da dieser bei Wartungsarbeiten oder baulichen Maßnahmen grundsätzlich zu kontaktieren ist. Gleiches gilt für einen vorhandenen Wachschutz bei entsprechender Größe des Objektes und weiteren wichtigen Verantwortlichen.
3. Schutzbedarfsfeststellung und Sicherheitszonen
Die entsprechenden Zuständigkeiten und Verantwortlichkeiten bringen es mit sich, dass ein Zutrittskontrollsystem für den physischen Zutritt eingerichtet sein sollte, um unterscheiden zu können, welche Personen auf welche Bereiche Zutritt haben.
Alle Mitarbeitenden erhalten demnach eine Zugangskarte, die elektronisch programmierbar ist. Bei Organisationen, die kein elektronisches Zutrittskontrollsystem haben und Schlüssel ausgeben, ist die Vorgehensweise ähnlich. In beiden Fällen ist für die Schlüsselverwaltung ein Prozess einzuführen, der nicht nur die Ausgabe und den Einzug der Schlüssel, sondern auch die sichere und zentrale Lagerung der Schlüssel oder Zutrittskarten regelt. Die Lagerung sollte an einer zentralen Stelle vorgenommen werden, die entsprechenden Schutz vor Einbruch oder Feuer bietet.
Durch den Einsatz von Zutrittskontrollsystemen wird z. B. eine Trennung eines öffentlichen Bereiches zu einem nicht öffentlichen Bereich erreicht. Diese Unterteilung lässt sich weiter fortsetzen, indem der nächste Bereich nur für zutrittsberechtigte Mitarbeitende zugänglich ist. In der nächsten Stufe, z. B. den Bereich der Serverräume, haben wiederum nur bestimmte Mitarbeitende des IT-Bereiches Zutritt. So werden die Berechtigungen beliebig weit nach unten kaskadiert (Zwiebelschalenprinzip), um genau festzulegen, wer wann und wohin Zutritt hat. Diese Bereiche mit immer beschränkter werdendem Zutritt werden als Sicherheitszonen bezeichnet.
Die Einteilung der Bereiche in Sicherheitszonen ist für die Bestimmung wichtig, welche Informationen in welchem Bereich zur Verfügung stehen bzw. welche Zonen wie abzusichern sind. Nicht elementar wichtige Informationen, wie z. B. das Menü der Kantine, können in eine Sicherheitszone mit wenig Beschränkungen zur Verfügung stehen. Handelt es sich jedoch beispielsweise um die neuesten Konstruktionspläne eines Bauteils, so ist eine Sicherheitszone zu wählen, die nur einem bestimmten Personenkreis zugänglich ist, weil hier ein erhöhter Schutzbedarf besteht.
In diesem Zusammenhang gilt grundsätzlich für alle externen Dritten, dass diese sich an der Pforte oder am Empfang in ein Besucherbuch einzutragen haben. Hier wird dokumentiert, wer wann erschienen und gegangen ist, wer besucht wurde und von welcher Firma oder Institution die/der Besucher*in war.
4. Gebäudeabsicherung
Aufgrund des unterschiedlich eingestuften Schutzbedarfes der Informationen und Daten ergeben sich unterschiedliche Anforderungen an die Absicherung des Gebäudes. Zuerst müssen die gesetzlichen Anforderungen eingehalten werden. Dabei steht die Einhaltung der Brandschutzordnung im Vordergrund. Diese beinhaltet eine regelmäßige Brandschau von dafür zertifizierten Unternehmen. Sie begehen den Standort und überprüfen, ob die gesetzlichen Anforderungen eingehalten werden. Hierbei wird auch die Funktionsfähigkeit einer Brandmeldeanlage getestet. Mängel, die bei der Brandschau festgestellt wurden, werden dokumentiert und müssen in der Verantwortung des Brandschutzbeauftragten beseitigt werden.
Um diese Mängel beseitigen zu können müssen oftmals Dienstleister das Gelände der Organisation betreten. Aus diesem Grund sollte der Zutritt für externe Dritte genau geregelt sein, zumal diese beim Betreten des Geländes an Informationen kommen können, die nur für die internen Mitarbeitenden bestimmt sind.
5. Definition und Nachverfolgung von Maßnahmen zur Erfüllung der Sicherheit
Die Identifizierung von Sicherheitslücken ist von elementarer Bedeutung. Entsprechende interne oder externe Expert*innen können diese Lücken mit der bereits erwähnten Gap-Analyse aufdecken. Hierbei werden alle Anforderungen der physischen Sicherheit des jeweils zugrunde gelegten Standards geprüft. Für Unternehmen hat sich hierbei die ISO 27001 Norm als Best-Practice-Standard herauskristallisiert. Für Bundesbehörden und einige Landesbehörden in Deutschland gilt u.a. der BSI IT-Grundschutz. Unternehmen sind in ihrer Wahl frei und können sich auch nach dem BSI IT-Grundschutz richten oder auch zertifizieren lassen. Interne oder externe Expert*innen wissen, welcher Standard für das jeweilige Unternehmen bzw. in der jeweiligen Branche anzuwenden ist und mit welchem Vorgehen die Gap-Analyse die besten Ergebnisse bringt. So kann genau identifiziert werden, welche Lücken es in der Organisation gibt. Diese sogenannten Feststellungen werden in einer Maßnahmenliste dokumentiert. In dieser Maßnahmenliste werden zu jeder Feststellung die entsprechenden Maßnahmen zur Behebung der Sicherheitslücke definiert, so dass diese Lücke nach Durchführung der Maßnahmen nicht mehr existiert und für das Unternehmen keine Gefahr mehr darstellt.
Beispiel für den Inhalt einer Maßnahmenliste: Bei der Begehung des Standortes wurde herausgefunden, dass ein kleineres Eisentor im Außenbereich des Firmengeländes defekt ist und sich nicht mehr verschließen lässt (Schwachstelle). Die dazu definierte Maßnahme ist, die Tür von der ortsansässigen Schlosserei bis zum ersten des nächsten Monats reparieren zu lassen. Verantwortlich für die Umsetzung dieser Maßnahme ist unternehmensintern das Facility Management.
An diesem Beispiel ist erkennbar, wie das Risikomanagement funktioniert. Es werden in der Maßnahmenliste nicht nur die Maßnahmen betr. der Feststellungen festgehalten, sondern auch wer für die Umsetzung der Maßnahme verantwortlich ist, wer diese Maßnahme umsetzt (Schlosserei) und bis wann diese Maßnahme umgesetzt sein soll. In der Maßnahmenliste wird dies alles dokumentiert, und einmal im Jahr oder auch in kürzeren regelmäßigen Zeitintervallen wird diese Maßnahmenliste durch Audits überprüft. Diese sorgen mit diesem Review für eine zusätzliche Kontrolle und prüfen nicht nur die Liste selbst, sondern auch die Umsetzung der Maßnahmen. Sie gleichen ab, ob der anzuwendende Standard eingehalten wird oder ob an der ein oder anderen Stelle noch einmal nachgebessert werden muss.
Welche Maßnahmen notwendig sind und mit welchem Aufwand diese umgesetzt werden, entscheidet die Organisation für sich selbst, ggf. unter Hinzunahme von Expert*innen.
Branchenspezifische Anforderungen
Je nach Branche und Organisationsform müssen weitere gesetzliche, regulatorische und sonstige externe Anforderungen sowie interne Vorschriften eingehalten und beachtet werden. Die Nichteinhaltung externer und interner Anforderungen kann zu erheblichen finanziellen Nachteilen, rechtlichen Sanktionen und Reputationsschäden für die Organisation und zusätzlich zu persönlichen Folgen für die Geschäftsleitung, der Führungskräfte und den Beschäftigten führen. Um bei der physischen Absicherung compliant zu sein, ist es erforderlich, dass die etablierten Standards, Rahmenwerke, Prüfungen und Zertifizierungen eingehalten werden. Je nach Branche und Organisationsgröße müssen z. B. Standards (B3S, Bafin-Anforderungen, BSI IT-Grundschutz, ISO-Normen, TISAX, IDW PS 330 etc.) umgesetzt werden.
Gesundheitssektor – Krankenhaus
§ 75c SGB V bringt eine Verschärfung für IT-Sicherheit im Krankenhaus ab dem 01.01.2022 mit sich. Dabei liegt ein besonderer Fokus auf der Digitalisierung der Krankenhäuser. Alle Krankenhäuser in Deutschland werden bezüglich der Informationssicherheit aufgefordert, ein sog. Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um damit u.a. Maßnahmen im Bereich der physischen Absicherung umzusetzen.
Finanzsektor – Banken
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die neue Fassung ihrer bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die Aufsicht hält in der BAIT fest, welche Rahmenbedingungen für eine sichere Informationsverarbeitung und Informationstechnik einzuhalten sind.
In Kapitel 4 „Informationssicherheitsmanagement“ in der BAIT wird gefordert, dass die Organisation bzw. der Bereich „Informationssicherheitsmanagement“ Vorgaben zur Informationssicherheit machen muss (vgl. AT 7.2 Tz. 2 MaRisk). In Tz. 4.3 BAIT wird konkretisiert, dass organisatorische Maßnahmen für die physische Sicherheit (z. B. Perimeter- und Gebäudeschutz, Zutrittskontrolle) durch das Institut umgesetzt werden müssen.
Wirtschaftsprüfung – IT-Prüfung im Rahmen der Jahresabschlussprüfung
Der Prüfungsstandard IDW PS 330 vom Institut der Wirtschaftsprüfer in Deutschland (IDW e.V.) gebietet verbindliche IT-Systemprüfungen im Rahmen von Jahresabschlussprüfungen.
Im Rahmen der Jahresabschlussprüfung muss u.a. der Wirtschaftsprüfer bzw. die Wirtschaftsprüferin (WP) eine Aussage über die Ordnungsmäßigkeit und Angemessenheit der Informations- und IT-Sicherheit treffen. Im Prüfungskontext wird in der Regel der IT-Prüfer bzw. die IT-Prüferin vom WP beauftragt, die Organisation in den definierten Prüfungsfeldern gem. IDW PS 330 Standard zu prüfen (u.a. IT-Umfeld und IT-Organisation, IT-Infrastruktur und IT-Anwendungen, IT-gestützte Geschäftsprozesse). Als Basis für die Prüfung und Prüfungsdokumentation kann die vom IDW erstellte „Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie“ (IDW PH 9.330.1) dienen.
Im Prüfungsfeld 2 IT-Infrastruktur und IT-Anwendungen werden u.a. die physischen Sicherungsmaßnahmen geprüft. Im Rahmen der Aufbau- und Wirksamkeitsprüfung (Funktionsprüfung) werden die Dokumentation und der Ist-Zustand der physischen Absicherung abgefragt. Zur Prüfung der Wirksamkeit der Maßnahmen im Rahmen der Funktionsprüfung muss der IT-Prüfer bzw. die IT-Prüferin u.a. eine Begehung der Standorte, der Gebäude, des Rechenzentrums bzw. Rechnerraums/Verteilerraums durchführen.
Dieser Artikel soll im August ebenfalls in der Security Insider sowie in der Fachzeitschrift PRev August Ausgabe (Journal für Revisoren, Wirtschaftsprüfer, IT-Sicherheits- und Datenschutzbeauftragte) veröffentlicht werden.