Ein Leitfaden zum Anhang A.11 - physische und Umgebungssicherheit

Firewalls und ISO-Zertifizierung – reicht das? Physische und Umgebungssicherheit spielen oft die zweite Geige in der IT-Security. Doch ein Blick in Anhang A.11 (Annex A.11) der ISO 27001  zeigt: Hackerangriffe sind nicht die einzige Bedrohung für Ihre Daten.

Achtung: Der Anhang A wurde überarbeitet. Einen Überblick über die neue Version finden Sie in unserem Blog Post zur ISO 27001 Anhang A Controls und zu den physischen Controls

Was ist Annex A.11? 

Anhang A.11 behandelt die physische und Umgebungssicherheit in Ihrer Organisation. In Unternehmen herrscht häufig die Annahme, dass Datenpannen und -verluste sowie Cyberbedrohungen auf Technologie beschränkt sind. Anhang A.11 der ISO 27001 ist der oft übersehenen physischen Infrastruktur von Organisationen gewidmet.

Er deckt eine Reihe von Maßnahmen ab, mit denen sich Unternehmen vor bestimmten physischen Ereignissen schützen können, darunter folgende: 

  • Naturkatastrophen
  • Diebstahl
  • Vorsätzliche Zerstörung
  • Unbeabsichtigte Zerstörung
  • Hardwarefehler
  • Stromausfälle

Ereignisse wie Diebstahl und vorsätzliche Zerstörung können unter anderem aufgrund unbefugten Zutritts, nachlässigen Umgangs mit Unterlagen oder unangemessener Entsorgung von Unterlagen auftreten. 

Vorfälle dieser Art lassen sich durch frühzeitige Implementierung ausreichender physischer Sicherheitsmaßnahmen sowie regelmäßige Kontrollen der physischen Infrastruktur der Organisation vermeiden. 

Anhang A.11 umfasst zwei zentrale Controls oder Maßnahmen zum Schutz von Unternehmensdaten auf physischer Ebene.  

Was ist das Ziel von Anhang A.11? 

Die Ziele der beiden Hauptmaßnahmen in Anhang A.11 sind ähnlich, aber nicht identisch. Die Controls sind: A.11.1 Abgesicherte Bereiche und A 11.2. Ausrüstung.

Ziel von A.11.1 Abgesicherte Bereiche

Physische und Umgebungssicherheit ist das zentrale Element von Annex A.11.1. Ziel dieser Control ist es, unbefugten physischen Zugang zu Unternehmensdaten sowie deren Beschädigung zu verhindern.

Ziel von A.11.2 Ausrüstung

Ausrüstung ist ebenso wichtig wie die abgesicherten Bereiche aus Anhang A.11.1. Ziel dieser Control ist es, den Verlust, die Beschädigung und den Diebstahl von Assets sowie Störungen geschäftlicher Aktivitäten zu verhindern.

Was ist physische und Umgebungssicherheit? 

Physische und Umgebungssicherheit bezeichnet die Maßnahmen, die ein Unternehmen ergreift, um Systeme, Gebäude und Ausrüstung vor physischen Bedrohungen zu schützen. Genauer gesagt geht es um den Schutz von Mitarbeiterdaten, Immobiliendaten und physischen Assets vor Ereignissen wie Naturkatastrophen, Diebstahl und vorsätzlicher Zerstörung. 

Laut ISO 27001 wird physische und Umgebungssicherheit oft übersehen, obwohl sie ein wichtiger Aspekt der Informationssicherheit in Unternehmen ist.

Für Organisationen gibt es in diesem Bereich drei Konzepte zu beachten: physische Abschreckung, Erkennung von Eindringlingen und Risikobehandlung.

In den folgenden Abschnitten werden diese Konzepte, die in den Controls von Anhang A.11 wiederholt vorkommen, genauer beschrieben.

 

DataGuard Newsletter

Sichern Sie Ihren Erfolg.

Abonnieren Sie praxisnahe Experten-Tipps!

Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.

Jetzt abonnieren

 

Welche Controls umfasst Anhang A.11? 

A.11.1.1 Physische Sicherheitsperimeter

Sicherheitsperimeter und deren Position müssen angegeben werden. Um die Perimeter festzulegen, kann Ihre Organisation sich an den Ergebnissen der Risikobewertung orientieren – und daran, wie sensibel die Assets innerhalb des Perimeters sind.

In der ISO 27001 werden physische Sicherheitsperimeter als „jegliche Grenze am Übergang zwischen zwei Orten mit unterschiedlicher Schutzwürdigkeit“ definiert. Deswegen können Mitarbeiter sowohl im Büro als auch im Homeoffice Zugriff auf Daten haben, die sich innerhalb eines designierten Sicherheitsperimeters befinden. 

A.11.1.2 Physische Eingangskontrollen

Nach Einrichtung der Sicherheitsperimeter müssen Eingangskontrollen installiert werden, um zu steuern, wer Zugang zu welchen gesicherten Bereichen des Gebäudes hat.

Metalldetektoren (Handheld-Gerät oder zum Durchgehen), Magnetstreifenkarten und Tastencodes sind mögliche Eingangskontrollen für den Zugang zu verschiedenen Bereichen Ihrer Organisation. Unterschiedliche Bereiche eines Unternehmens können verschiedene Schutzniveaus erfordern. Welche Art der Eingangsbeschränkung Sie wählen sollten, hängt von der Bedeutung der im jeweiligen Bereich aufbewahrten Daten ab. 

A.11.1.3 Sicherung von Büros, Räumen und anderen Einrichtungen

Der Fokus von Anhang A.11 ist die Sicherheit der physischen Infrastruktur eines Unternehmens. Das heißt, es geht nicht nur um die Daten, die dort aufbewahrt werden, sondern auch um die Orte, an denen sich diese Daten befinden.

Geräte mit vertraulichen Informationen werden in verschiedenen Räumen, Büros und anderen Einrichtungen aufbewahrt. Und oft sind diese Orte nicht so sicher, wie wir glauben. Auch wenn die Informationen auf diesen Geräten von geringerer Wichtigkeit sind, ist jede Art unberechtigten Zugriffs schädlich für die Organisation. 

Als Erstes sollten die Geräte sowie die darauf gespeicherten Daten an diesen Orten identifiziert werden. Anschließend muss die Organisation die Bedeutung der Daten auf den verschiedenen Geräten bewerten und die jeweils angemessenen Sicherheitskontrollen implementieren.

A.11.1.4 Schutz vor externen Bedrohungen und Naturkatastrophen

Bei dieser Komponente geht es um Naturkatastrophen wie Brände, Erdbeben, Tsunamis, Schneestürme und Fluten, die die Räumlichkeiten und Infrastruktur einer Organisation beschädigen und zum Verlust von Datenspeicherorten wie Akten, Festplatten oder USB-Sticks führen können.

Um Ihre Organisation für solche Szenarien abzusichern, müssen die physische Umgebung analysiert und externe Bedrohungen auf Mikro- und Makroebene identifiziert werden.

Auf Grundlage dieser Analyse sollten die erforderlichen Schritte und Maßnahmen eingeleitet werden, um von Naturkatastrophen verursachte Schäden einzuschränken oder ganz zu vermeiden.

A.11.1.5 Arbeit in abgesicherten Bereichen

Dieser Abschnitt betrifft Arbeitsschritte in Organisationen, die leitenden Angestellten vorbehalten sind. In solchen Fällen kann es erforderlich sein, diese Angestellten vom Rest der Belegschaft zu isolieren, sodass sie die Arbeitsschritte an einem unbekannten Ort ausführen können.

Verdächtiges Verhalten und unbefugter Zutritt (von innerhalb und außerhalb des Gebäudes) können mithilfe von Überwachungskameras und -monitoren erkannt werden.

A.11.1.6 Liefer- und Ladezonen

Diese Control ist nicht auf Unternehmen in der Herstellungsindustrie beschränkt. Auch bei Dienstleistungsanbietern gibt es in der Regel mindestens eine Liefer- oder Ladezone auf dem Unternehmensgelände.

In diesen Bereichen werden vielleicht neue Elektrogadgets, Möbel, Essen und andere Gegenstände entladen, die Ihr Unternehmen bestellt hat. Unbefugte Personen können sich dort unter Umständen unbemerkt Zutritt zum Unternehmensgelände verschaffen und die physische und Umgebungssicherheit Ihrer Organisation gefährden.

Deswegen ist es wichtig, diese Lade- und Lieferzonen zu identifizieren und Sicherheitspersonal und Überwachungskameras dort zu platzieren. Außerdem sollte ein Mitarbeiter des Unternehmens die Lieferung bzw. den Ladevorgang überwachen.

Wenn Ihre Organisation sich einen Arbeitsbereich mit anderen Unternehmen teilt, z. B. in einem Coworking-Space, sind Sie möglicherweise auf die am Gebäudeeingang vorhandenen Sicherheitsmaßnahmen beschränkt. Trotzdem sollte zu jeder Zeit jemand im Büro sein, der verdächtiges Verhalten sofort erkennen und entsprechende Maßnahmen ergreifen kann, bevor dem Unternehmen Schaden entsteht.

Warum ist physische und Umgebungssicherheit wichtig für Ihr Unternehmen?

Damit Unternehmensabläufe reibungslos funktionieren, ist Kontrolle auf administrativer, technologischer und physischer Ebene nötig. Neben digitalen Assets und der Systeminfrastruktur sollten deswegen auch die physischen Bereiche eines Unternehmens geschützt sein. Dazu gehören unter anderem:

  • Büros, Räume und andere Einrichtungen
  • Liefer- und Ladezonen
  • Ein- und Ausgänge von Gebäuden
  • Physische Datenspeichergeräte wie Computer, Festplatten und USB-Sticks

Die Absicherung dieser physischen Komponenten trägt zur allgemeinen Informationssicherheit im Unternehmen und zum Schutz (alter und neuer) Mitarbeiter- und Kundendaten bei.

Das Hauptziel besteht darin, die wertvollsten Assets Ihres Unternehmens zu schützen: Mitarbeiter und Kunden. 

Fazit

In Annex A.11 werden einige der 93 Controls der ISO 27001, die Organisationen im Rahmen ihrer Informationssicherheitsstrategie implementieren können, beschrieben. Er umfasst Maßnahmen im Bereich physische und Umgebungssicherheit, mit denen Sie Ihr Unternehmen langfristig vor physischen Sicherheitsverletzungen schützen können.

Die in Anhang A.11 detaillierten Maßnahmen sind ebenso wie die anderen Controls wichtige Bestandteile der ISO 27001-Implementierung Ihres Unternehmens. Eine ISO 27001-Zertifizierung zeigt nicht nur, dass Ihr Unternehmen strenge Sicherheitsprotokolle einhält, sie verschafft Ihnen auch Wettbewerbsvorteile.

DataGuard unterstützt Unternehmen bei der Implementierung von ISO 27001-Maßnahmen und der Zertifizierung. Möchten Sie die Informationssicherheit in Ihrem Unternehmen verbessern? Vereinbaren Sie noch heute einen Termin und setzen Sie sich mit unseren Experten in Verbindung.

ISo 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000