Bundesamt für Sicherheit in der Informationstechnik

M 1.78 Sicherheitskonzept für die Gebäudenutzung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Planer

Um ein praxistaugliches und wirtschaftliches Sicherheitskonzept für die Nutzung eines Gebäudes zu erarbeiten, sind der Schutzbedarf der dort betriebenen Geschäftsprozesse und die grundsätzlichen Schutzziele, die sich häufig aus der Geschäftstätigkeit ergeben, zu ermitteln. Solche Schutzziele können zum Beispiel der Schutz der Wirtschaftsgüter, besonderer Schutz einiger oder aller Mitarbeiter gegen Angriffe oder der Zutritts- oder Inhaltsschutz für besondere Bereiche oder einzelne Räume des Gebäudes sein.

Bei einem Gebäude müssen viele verschiedene Sicherheitsaspekte beachtet werden, von Brandschutz über Elektrik bis hin zur Zutrittskontrolle. Je nach Größe der Institution und der Gebäude kann es hierfür unterschiedliche Zuständige geben. Daher müssen die verschiedenen Rollen und Aufgaben abgestimmt werden. Die zuständigen Personen sollten sich untereinander abstimmen, um aufbauend auf den Schutzzielen angemessene Sicherheitsmaßnahmen für die verschiedenen Bereiche auszuwählen.

Es ist bewährte Praxis, zur Planung von Gebäuden zunächst Zonen zu betrachten (siehe M 1.79 Bildung von Sicherheitszonen ). Viele Schutzziele lassen sich dadurch erreichen, dass es weder nötig noch möglich ist, von einer Zone mit geringem Sicherheitsniveau direkt in eine mit höherem Sicherheitsniveau zu gelangen. Dabei sollte zunächst die räumliche Aufteilung mit der vorgesehenen Nutzung des Gebäudes abgestimmt werden (siehe M 1.13 Anordnung schützenswerter Gebäudeteile ). Zwischen verschiedenen Sicherheitszonen sollten klar erkennbare und möglichst einfach abzusichernde Übergänge geschaffen werden. Zulässige Übergänge zwischen den Zonen werden dann angepasst an den Schutzbedarf ausgeführt. Unzulässige Übergänge werden entweder unterbunden oder besonders abgesichert. So müssen Fluchttüren aus Sicherheitszonen mit höherem Sicherheitsniveau in den Außenbereich so gesichert werden, dass der unberechtigte Zutritt von außen nach innen verhindert wird. Fenster und Zugänge müssen entsprechend ihres Schutzbedarfs abgesichert sein (siehe M 1.10 Sichere Türen und Fenster ).

In jeder Sicherheitszone sollten nur Geschäftsprozesse betrieben werden, deren Schutzbedarf dem der Sicherheitszone entspricht. Es sollten auch nur die Personen Zutritt haben, deren Aufgaben dies erfordern. Die Zugänge zu den Sicherheitszonen müssen entsprechend ihres Schutzbedarfs kontrolliert werden, so dass keine Unbefugten diese Bereiche betreten können.

Ergänzt werden muss diese Betrachtung fast immer um weitere Maßnahmen gegen unerlaubtes Eindringen oder Einschleichen. Einen Überblick dazu bildet die Maßnahme M 1.19 Einbruchsschutz .

Wenn das Gebäude öffentliche oder halböffentliche Bereiche aufweist oder wenn z. B. durch Fensterfronten im Straßenbereich Einblick in das Gebäude möglich ist, ist die M 1.12 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile zu prüfen.

Überall wo der Schutz der Inhalte des Gebäudes, seien es Waren, sei es die technische Infrastruktur, in besonderer Weise gefordert ist, muss das Sicherheitskonzept den Schutz vor Wasser betrachten. Hinweise dazu gibt die Maßnahme M 1.14 Selbsttätige Entwässerung .

Alle auf die Schutzziele abgestimmten vorbeugenden oder schadensmindernden Maßnahmen müssen schließlich noch um detektierende Maßnahmen (siehe M 1.18 Gefahrenmeldeanlage ) ergänzt werden. Das Gebäude-Schutzkonzept ist erst dann vollständig, wenn durch Planung und Ausführung den relevanten Gefährdungen entgegengewirkt wird und durch überwachende Maßnahmen sichergestellt wird, dass schadenbringende Ereignisse oder zufällige oder vorsätzliche Versuche, Schutz- und Sicherungsmaßnahmen zu überwinden möglichst frühzeitig bemerkt werden. Nur dann ist es möglich, Gegenmaßnahmen einzuleiten.

Das Sicherheitskonzept für das Gebäude muss mit dem Gesamt-Sicherheitskonzept der Institution abgestimmt sein. Es sollte regelmäßig aktualisiert werden, vor allem wenn sich Änderungen in der Gebäudenutzung ergeben, also beispielsweise nach organisatorischen Änderungen in der Institution.

Prüffragen:

  • Gibt es ein Sicherheitskonzept für das Gebäude?

  • Werden alle Zugänge kontrolliert, damit keine Unbefugten geschützte Bereiche betreten können?

Stand: 13. EL Stand 2013