Ein Leitfaden zum Anhang A.11 - physische und Umgebungssicherheit

Physische und Umgebungssicherheit ist entscheidend, um Informationssicherheit in einer Organisation zu etablieren und beizubehalten. In Anhang A.11 (Annex A.11) der ISO 27001 wird erläutert, wie es in der physischen Infrastruktur einer Organisation zu Datenpannen kommt und wie man dem vorbeugen kann.

Solide Firewalls und ISO 27001-konforme Abläufe und Methoden sind wichtig, schützen aber nicht vor physischen Bedrohungen. Deswegen geht die ISO 27001 über die Implementierung technischer Maßnahmen hinaus.

In diesem Artikel besprechen wir den Anhang zu physischer Sicherheit sowie seine Ziele und Controls. Außerdem sehen wir uns an, wie die darin enthaltenen Informationen Ihnen helfen, Informationssicherheit in Ihrem Unternehmen zu etablieren.

Was ist Annex A.11? 

Anhang A.11 behandelt die physische und Umgebungssicherheit in Ihrer Organisation. In Unternehmen herrscht häufig die Annahme, dass Datenpannen und -verluste sowie Cyberbedrohungen auf Technologie beschränkt sind. Anhang A.11 der ISO 27001 ist der oft übersehenen physischen Infrastruktur von Organisationen gewidmet.

Er deckt eine Reihe von Maßnahmen ab, mit denen sich Unternehmen vor bestimmten physischen Ereignissen schützen können, darunter folgende: 

  • Naturkatastrophen
  • Diebstahl
  • Vorsätzliche Zerstörung
  • Unbeabsichtigte Zerstörung
  • Hardwarefehler
  • Stromausfälle

Ereignisse wie Diebstahl und vorsätzliche Zerstörung können unter anderem aufgrund unbefugten Zutritts, nachlässigen Umgangs mit Unterlagen oder unangemessener Entsorgung von Unterlagen auftreten. 

Vorfälle dieser Art lassen sich durch frühzeitige Implementierung ausreichender physischer Sicherheitsmaßnahmen sowie regelmäßige Kontrollen der physischen Infrastruktur der Organisation vermeiden. 

Anhang A.11 umfasst zwei zentrale Controls oder Maßnahmen zum Schutz von Unternehmensdaten auf physischer Ebene.  

Was ist das Ziel von Anhang A.11? 

Die Ziele der beiden Hauptmaßnahmen in Anhang A.11 sind ähnlich, aber nicht identisch. Die Controls sind: A.11.1 Abgesicherte Bereiche und A 11.2. Ausrüstung.

Ziel von A.11.1 Abgesicherte Bereiche

Physische und Umgebungssicherheit ist das zentrale Element von Annex A.11.1. Ziel dieser Control ist es, unbefugten physischen Zugang zu Unternehmensdaten sowie deren Beschädigung zu verhindern.

Ziel von A.11.2 Ausrüstung

Ausrüstung ist ebenso wichtig wie die abgesicherten Bereiche aus Anhang A.11.1. Ziel dieser Control ist es, den Verlust, die Beschädigung und den Diebstahl von Assets sowie Störungen geschäftlicher Aktivitäten zu verhindern.

Was ist physische und Umgebungssicherheit? 

Physische und Umgebungssicherheit bezeichnet die Maßnahmen, die ein Unternehmen ergreift, um Systeme, Gebäude und Ausrüstung vor physischen Bedrohungen zu schützen. Genauer gesagt geht es um den Schutz von Mitarbeiterdaten, Immobiliendaten und physischen Assets vor Ereignissen wie Naturkatastrophen, Diebstahl und vorsätzlicher Zerstörung. 

Laut ISO 27001 wird physische und Umgebungssicherheit oft übersehen, obwohl sie ein wichtiger Aspekt der Informationssicherheit in Unternehmen ist.

Für Organisationen gibt es in diesem Bereich drei Konzepte zu beachten: physische Abschreckung, Erkennung von Eindringlingen und Risikobehandlung.

In den folgenden Abschnitten werden diese Konzepte, die in den Controls von Anhang A.11 wiederholt vorkommen, genauer beschrieben.

 

 

Welche Controls umfasst Anhang A.11? 

A.11.1.1 Physische Sicherheitsperimeter

Sicherheitsperimeter und deren Position müssen angegeben werden. Um die Perimeter festzulegen, kann Ihre Organisation sich an den Ergebnissen der Risikobewertung orientieren – und daran, wie sensibel die Assets innerhalb des Perimeters sind.

In der ISO 27001 werden physische Sicherheitsperimeter als „jegliche Grenze am Übergang zwischen zwei Orten mit unterschiedlicher Schutzwürdigkeit“ definiert. Deswegen können Mitarbeiter sowohl im Büro als auch im Homeoffice Zugriff auf Daten haben, die sich innerhalb eines designierten Sicherheitsperimeters befinden. 

A.11.1.2 Physische Eingangskontrollen

Nach Einrichtung der Sicherheitsperimeter müssen Eingangskontrollen installiert werden, um zu steuern, wer Zugang zu welchen gesicherten Bereichen des Gebäudes hat.

Metalldetektoren (Handheld-Gerät oder zum Durchgehen), Magnetstreifenkarten und Tastencodes sind mögliche Eingangskontrollen für den Zugang zu verschiedenen Bereichen Ihrer Organisation. Unterschiedliche Bereiche eines Unternehmens können verschiedene Schutzniveaus erfordern. Welche Art der Eingangsbeschränkung Sie wählen sollten, hängt von der Bedeutung der im jeweiligen Bereich aufbewahrten Daten ab. 

A.11.1.3 Sicherung von Büros, Räumen und anderen Einrichtungen

Der Fokus von Anhang A.11 ist die Sicherheit der physischen Infrastruktur eines Unternehmens. Das heißt, es geht nicht nur um die Daten, die dort aufbewahrt werden, sondern auch um die Orte, an denen sich diese Daten befinden.

Geräte mit vertraulichen Informationen werden in verschiedenen Räumen, Büros und anderen Einrichtungen aufbewahrt. Und oft sind diese Orte nicht so sicher, wie wir glauben. Auch wenn die Informationen auf diesen Geräten von geringerer Wichtigkeit sind, ist jede Art unberechtigten Zugriffs schädlich für die Organisation. 

Als Erstes sollten die Geräte sowie die darauf gespeicherten Daten an diesen Orten identifiziert werden. Anschließend muss die Organisation die Bedeutung der Daten auf den verschiedenen Geräten bewerten und die jeweils angemessenen Sicherheitskontrollen implementieren.

A.11.1.4 Schutz vor externen Bedrohungen und Naturkatastrophen

Bei dieser Komponente geht es um Naturkatastrophen wie Brände, Erdbeben, Tsunamis, Schneestürme und Fluten, die die Räumlichkeiten und Infrastruktur einer Organisation beschädigen und zum Verlust von Datenspeicherorten wie Akten, Festplatten oder USB-Sticks führen können.

Um Ihre Organisation für solche Szenarien abzusichern, müssen die physische Umgebung analysiert und externe Bedrohungen auf Mikro- und Makroebene identifiziert werden.

Auf Grundlage dieser Analyse sollten die erforderlichen Schritte und Maßnahmen eingeleitet werden, um von Naturkatastrophen verursachte Schäden einzuschränken oder ganz zu vermeiden.

A.11.1.5 Arbeit in abgesicherten Bereichen

Dieser Abschnitt betrifft Arbeitsschritte in Organisationen, die leitenden Angestellten vorbehalten sind. In solchen Fällen kann es erforderlich sein, diese Angestellten vom Rest der Belegschaft zu isolieren, sodass sie die Arbeitsschritte an einem unbekannten Ort ausführen können.

Verdächtiges Verhalten und unbefugter Zutritt (von innerhalb und außerhalb des Gebäudes) können mithilfe von Überwachungskameras und -monitoren erkannt werden.

A.11.1.6 Liefer- und Ladezonen

Diese Control ist nicht auf Unternehmen in der Herstellungsindustrie beschränkt. Auch bei Dienstleistungsanbietern gibt es in der Regel mindestens eine Liefer- oder Ladezone auf dem Unternehmensgelände.

In diesen Bereichen werden vielleicht neue Elektrogadgets, Möbel, Essen und andere Gegenstände entladen, die Ihr Unternehmen bestellt hat. Unbefugte Personen können sich dort unter Umständen unbemerkt Zutritt zum Unternehmensgelände verschaffen und die physische und Umgebungssicherheit Ihrer Organisation gefährden.

Deswegen ist es wichtig, diese Lade- und Lieferzonen zu identifizieren und Sicherheitspersonal und Überwachungskameras dort zu platzieren. Außerdem sollte ein Mitarbeiter des Unternehmens die Lieferung bzw. den Ladevorgang überwachen.

Wenn Ihre Organisation sich einen Arbeitsbereich mit anderen Unternehmen teilt, z. B. in einem Coworking-Space, sind Sie möglicherweise auf die am Gebäudeeingang vorhandenen Sicherheitsmaßnahmen beschränkt. Trotzdem sollte zu jeder Zeit jemand im Büro sein, der verdächtiges Verhalten sofort erkennen und entsprechende Maßnahmen ergreifen kann, bevor dem Unternehmen Schaden entsteht.

Warum ist physische und Umgebungssicherheit wichtig für Ihr Unternehmen?

Damit Unternehmensabläufe reibungslos funktionieren, ist Kontrolle auf administrativer, technologischer und physischer Ebene nötig. Neben digitalen Assets und der Systeminfrastruktur sollten deswegen auch die physischen Bereiche eines Unternehmens geschützt sein. Dazu gehören unter anderem:

  • Büros, Räume und andere Einrichtungen
  • Liefer- und Ladezonen
  • Ein- und Ausgänge von Gebäuden
  • Physische Datenspeichergeräte wie Computer, Festplatten und USB-Sticks

Die Absicherung dieser physischen Komponenten trägt zur allgemeinen Informationssicherheit im Unternehmen und zum Schutz (alter und neuer) Mitarbeiter- und Kundendaten bei.

Das Hauptziel besteht darin, die wertvollsten Assets Ihres Unternehmens zu schützen: Mitarbeiter und Kunden. 

Fazit

In Annex A.11 werden einige der 114 Controls der ISO 27001, die Organisationen im Rahmen ihrer Informationssicherheitsstrategie implementieren können, beschrieben. Er umfasst Maßnahmen im Bereich physische und Umgebungssicherheit, mit denen Sie Ihr Unternehmen langfristig vor physischen Sicherheitsverletzungen schützen können.

Die in Anhang A.11 detaillierten Maßnahmen sind ebenso wie die anderen Controls wichtige Bestandteile der ISO 27001-Implementierung Ihres Unternehmens. Eine ISO 27001-Zertifizierung zeigt nicht nur, dass Ihr Unternehmen strenge Sicherheitsprotokolle einhält, sie verschafft Ihnen auch Wettbewerbsvorteile.

DataGuard unterstützt Unternehmen bei der Implementierung von ISO 27001-Maßnahmen und der Zertifizierung. Möchten Sie die Informationssicherheit in Ihrem Unternehmen verbessern? Vereinbaren Sie noch heute einen Termin und setzen Sie sich mit unseren Experten in Verbindung.

 
ISo 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Über den Autor

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur ISO 27001 und TISAX-Zertifizierung
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000