Die Cybersicherheit hat sich in den letzten zehn Jahren erheblich weiterentwickelt. Beim physischen Zutritt ist das nicht im gleichen Maß passiert. Das beginnt sich zu ändern.
Was wir gehört haben
In den letzten Monaten habe ich mich auf Landes- und Bundesebene mit der australischen Regierung dazu ausgetauscht, wie der physische Zutritt zu Einrichtungen gesteuert wird.
Auf Landesebene habe ich das Thema in einem Community Cabinet-Termin mit dem Queensland Minister for Customer Services angesprochen und mit einem Briefing-Papier nachgesetzt, das physische Zutrittskontrollen gegen die Vorgaben von IS18 und ISO 27001 abgleicht.
Auf Bundesebene habe ich dieselbe Frage Andrew Wallace MP bei einem Defence Forum gestellt, konkret zu AUKUS und alliiertem Personal an gemeinsam genutzten australischen Standorten.
Die Antworten waren einheitlich. Die zentralen Einrichtungen sind in der Regel gut aufgestellt. Im weiteren Umfeld jedoch, also bei Dienstleistern, geteilten Standorten und behördenübergreifenden Umgebungen, ist das Zutrittsmanagement uneinheitlich und nicht so ausgereift wie die Cybersicherheit.
Was die Standards tatsächlich verlangen
Anhang A der ISO 27001:2022 umfasst 14 physische Sicherheitsmaßnahmen. Die vier wichtigsten für das Zutrittsmanagement (A.7.1 bis A.7.4) sind eindeutig: Der physische Zutritt muss personenbezogen dokumentiert sein, die Zutrittsrechte müssen rollenbasiert vergeben und regelmäßig überprüft werden, jeder Ein- und Austritt muss erfasst und mit Zeitstempel versehen sein, und die Aufzeichnungen müssen auf Anforderung abrufbar sein.
Das sind keine Wunschvorstellungen. Es sind Anforderungen, deren Erfüllung Organisationen im Audit bestätigen. Die Frage ist, ob die operative Infrastruktur das hergibt.
Was typischerweise vorhanden ist
Vier Muster wiederholen sich in großen Organisationen.
Die Lücke beim Austritt. Wenn jemand das Unternehmen verlässt, wird der elektronische Zutritt irgendwann deaktiviert. Mechanische Schlüssel kommen so gut wie nie am letzten Tag zurück. Über Standorte mit unterschiedlichen Zutrittssystemen hinweg gibt es keinen Gesamtüberblick darüber, was eine ausscheidende Person noch in Händen hält.
Die Karte als gemeinsamer Schlüssel. Ausweise werden wie mechanische Schlüssel behandelt, von einer Person zur nächsten weitergereicht, ohne sie neu zu programmieren. Die Tür öffnet sich. Im Audit-Protokoll steht eine Kartennummer, keine Person.
Die Rekonstruktion dauert Tage, nicht Minuten. Wenn am vergangenen Dienstag um 2 Uhr morgens ein sicherheitsrelevanter Vorfall stattfand und jemand fragt, wer zu dieser Zeit Zutritt zu diesem Bereich hatte, ist die Antwort in den meisten Organisationen nicht sofort verfügbar. Bei elektronischem Zutritt müssen Protokolle aus mehreren Systemen zusammengeführt und mit Personaldaten abgeglichen werden. Bei mechanischen Schlüsseln gibt es die Antwort möglicherweise gar nicht.
Das Audit als Auslöser. Organisationen entdecken ihre Lücken im physischen Zutritt selten durch eigene Prüfung. Die Diskrepanz zwischen Richtlinie und Praxis wird erst sichtbar, wenn jemand eine Frage stellt, die die vorhandenen Systeme nicht beantworten können.
Wohin das führt
Das Muster ist bekannt. IT, HR und Finanzen haben alle eine Phase durchlaufen, in der Daten in Silos lagen, Prozesse manuell waren und Integration als optional galt. Regulatorischer Druck und operative Skalierung haben dann zur Zusammenführung gezwungen.
Beim physischen Zutritt ist dieser Punkt erreicht. AUKUS erhöht die Komplexität, wer in gemeinsam genutzten Einrichtungen worauf Zutritt braucht. Vorgaben wie das NIS2-Umsetzungsgesetz, DORA und die strenger werdenden Anforderungen der ISO 27001 machen es zunehmend schwer, getrennte Systeme zu rechtfertigen. Die Aufmerksamkeit des Staates folgt.
Die Lösung erfordert keinen Austausch der Hardware. Sie erfordert, das Vorhandene über eine Ebene zu verbinden, die drei Fragen verlässlich beantwortet: Wer hat worauf Zutritt, ist dieser Zutritt noch gerechtfertigt, und können wir ihn belegen.
English (Australia) 
Deutsch 
Français 
Nederlands