{"id":12671,"date":"2026-05-14T09:00:11","date_gmt":"2026-05-13T23:00:11","guid":{"rendered":"https:\/\/portierglobal.com\/?p=12671"},"modified":"2026-05-18T18:57:22","modified_gmt":"2026-05-18T08:57:22","slug":"physischer-zugang-von-regierungen","status":"publish","type":"post","link":"https:\/\/portierglobal.com\/de\/governments-physical-access\/","title":{"rendered":"Regierungen nehmen den physischen Zutritt in den Blick"},"content":{"rendered":"
<\/div>\n\n\n\n

Die Cybersicherheit hat sich in den letzten zehn Jahren erheblich weiterentwickelt. Beim physischen Zutritt ist das nicht im gleichen Ma\u00df passiert. Das beginnt sich zu \u00e4ndern.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Was wir geh\u00f6rt haben<\/h3>\n\n\n\n

In den letzten Monaten habe ich mich auf Landes- und Bundesebene mit der australischen Regierung dazu ausgetauscht, wie der physische Zutritt zu Einrichtungen gesteuert wird.<\/p>\n\n\n\n

Auf Landesebene habe ich das Thema in einem Community Cabinet-Termin mit dem Queensland Minister for Customer Services angesprochen und mit einem Briefing-Papier nachgesetzt, das physische Zutrittskontrollen gegen die Vorgaben von IS18 und ISO 27001 abgleicht.<\/p>\n\n\n\n

Auf Bundesebene habe ich dieselbe Frage Andrew Wallace MP bei einem Defence Forum gestellt, konkret zu AUKUS und alliiertem Personal an gemeinsam genutzten australischen Standorten.<\/p>\n\n\n\n

Die Antworten waren einheitlich. Die zentralen Einrichtungen sind in der Regel gut aufgestellt. Im weiteren Umfeld jedoch, also bei Dienstleistern, geteilten Standorten und beh\u00f6rden\u00fcbergreifenden Umgebungen, ist das Zutrittsmanagement uneinheitlich und nicht so ausgereift wie die Cybersicherheit.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Was die Standards tats\u00e4chlich verlangen<\/h3>\n\n\n\n

Anhang A der ISO 27001:2022 umfasst 14 physische Sicherheitsma\u00dfnahmen. Die vier wichtigsten f\u00fcr das Zutrittsmanagement (A.7.1 bis A.7.4) sind eindeutig: Der physische Zutritt muss personenbezogen dokumentiert sein, die Zutrittsrechte m\u00fcssen rollenbasiert vergeben und regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden, jeder Ein- und Austritt muss erfasst und mit Zeitstempel versehen sein, und die Aufzeichnungen m\u00fcssen auf Anforderung abrufbar sein.<\/p>\n\n\n\n

Das sind keine Wunschvorstellungen. Es sind Anforderungen, deren Erf\u00fcllung Organisationen im Audit best\u00e4tigen. Die Frage ist, ob die operative Infrastruktur das hergibt.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Was typischerweise vorhanden ist<\/h3>\n\n\n\n

Vier Muster wiederholen sich in gro\u00dfen Organisationen.<\/p>\n\n\n\n

Die L\u00fccke beim Austritt.<\/strong> Wenn jemand das Unternehmen verl\u00e4sst, wird der elektronische Zutritt irgendwann deaktiviert. Mechanische Schl\u00fcssel kommen so gut wie nie am letzten Tag zur\u00fcck. \u00dcber Standorte mit unterschiedlichen Zutrittssystemen hinweg gibt es keinen Gesamt\u00fcberblick dar\u00fcber, was eine ausscheidende Person noch in H\u00e4nden h\u00e4lt.<\/p>\n\n\n\n

Die Karte als gemeinsamer Schl\u00fcssel.<\/strong> Ausweise werden wie mechanische Schl\u00fcssel behandelt, von einer Person zur n\u00e4chsten weitergereicht, ohne sie neu zu programmieren. Die T\u00fcr \u00f6ffnet sich. Im Audit-Protokoll steht eine Kartennummer, keine Person.<\/p>\n\n\n\n

Die Rekonstruktion dauert Tage, nicht Minuten.<\/strong> Wenn am vergangenen Dienstag um 2 Uhr morgens ein sicherheitsrelevanter Vorfall stattfand und jemand fragt, wer zu dieser Zeit Zutritt zu diesem Bereich hatte, ist die Antwort in den meisten Organisationen nicht sofort verf\u00fcgbar. Bei elektronischem Zutritt m\u00fcssen Protokolle aus mehreren Systemen zusammengef\u00fchrt und mit Personaldaten abgeglichen werden. Bei mechanischen Schl\u00fcsseln gibt es die Antwort m\u00f6glicherweise gar nicht.<\/p>\n\n\n\n

Das Audit als Ausl\u00f6ser.<\/strong> Organisationen entdecken ihre L\u00fccken im physischen Zutritt selten durch eigene Pr\u00fcfung. Die Diskrepanz zwischen Richtlinie und Praxis wird erst sichtbar, wenn jemand eine Frage stellt, die die vorhandenen Systeme nicht beantworten k\u00f6nnen.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Wohin das f\u00fchrt<\/h3>\n\n\n\n

Das Muster ist bekannt. IT, HR und Finanzen haben alle eine Phase durchlaufen, in der Daten in Silos lagen, Prozesse manuell waren und Integration als optional galt. Regulatorischer Druck und operative Skalierung haben dann zur Zusammenf\u00fchrung gezwungen.<\/p>\n\n\n\n

Beim physischen Zutritt ist dieser Punkt erreicht. AUKUS erh\u00f6ht die Komplexit\u00e4t, wer in gemeinsam genutzten Einrichtungen worauf Zutritt braucht. Vorgaben wie das NIS2-Umsetzungsgesetz, DORA und die strenger werdenden Anforderungen der ISO 27001 machen es zunehmend schwer, getrennte Systeme zu rechtfertigen. Die Aufmerksamkeit des Staates folgt.<\/p>\n\n\n\n

Die L\u00f6sung erfordert keinen Austausch der Hardware. Sie erfordert, das Vorhandene \u00fcber eine Ebene zu verbinden, die drei Fragen verl\u00e4sslich beantwortet: Wer hat worauf Zutritt, ist dieser Zutritt noch gerechtfertigt, und k\u00f6nnen wir ihn belegen.<\/p>\n\n\n\n

<\/div>","protected":false},"excerpt":{"rendered":"

Physische Zutrittskontrollen fallen in den Geltungsbereich von ISO 27001 und beh\u00f6rdlichen Compliance-Vorgaben. Die meisten Organisationen k\u00f6nnen nicht belegen, was die Standards verlangen. Diese L\u00fccke ist immer schwerer zu \u00fcbergehen.<\/p>","protected":false},"author":3,"featured_media":12685,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"rank_math_focus_keyword":"physical access","rank_math_title":"Physical Access Is Getting Government Attention | portier","rank_math_description":"Physical access to facilities is under new scrutiny. portier CEO on what governments are signalling and what it means for operators.","rank_math_robots":"","footnotes":""},"categories":[100,244],"tags":[201,178,205,154,202],"class_list":["post-12671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-resources","category-letters","tag-access-governance","tag-critical-infrastructure-compliance","tag-enterprise-it","tag-iso-27001","tag-physical-access-control"],"acf":{"read_time":"","lede":""},"_links":{"self":[{"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/posts\/12671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/comments?post=12671"}],"version-history":[{"count":7,"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/posts\/12671\/revisions"}],"predecessor-version":[{"id":12709,"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/posts\/12671\/revisions\/12709"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/media\/12685"}],"wp:attachment":[{"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/media?parent=12671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/categories?post=12671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/portierglobal.com\/de\/wp-json\/wp\/v2\/tags?post=12671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}