Bundesamt für Sicherheit in der Informationstechnik

M 1.79 Bildung von Sicherheitszonen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Planer, Leiter Innerer Dienst

Verantwortlich für Umsetzung: Innerer Dienst

Der Schutzbedarf von Räumen in einem Gebäude hängt von ihrer Nutzung ab. Die erforderlichen Sicherheitsmaßnahmen müssen diesem Schutzbedarf angepasst sein. Entsprechend muss die bauliche Ausführung von Wänden, Fenstern und Türen sein und die ergänzende Ausstattung mit Sicherheits- und Überwachungstechnik. Bei der Planung eines neuen Gebäudes oder der Bewertung eines Bestandsgebäudes sollten deshalb Räume ähnlichen Schutzbedarfs in Zonen zusammengefasst werden. Damit lassen sich vergleichbare Risiken einheitlich behandeln und die Kosten der Umsetzung von Maßnahmen werden reduziert.

Um z. B. nicht jeden einzelnen Raum im Gebäude permanent abschließen oder überwachen zu müssen, sollten Zonen mit Besucherverkehr von schutzbedürftigen Bereichen getrennt werden. Öffentliche Räume wie eine Kantine, die externes Publikum anzieht, oder halb-öffentliche Räume wie Besprechungs-, Schulungs- oder Veranstaltungsräume sollten in der Nähe des Gebäudeeingangs angeordnet sein. Der Zugang zu Gebäudeteilen mit internen Bereichen wie den Büros kann dann z. B. von einem Pförtner einfach überwacht werden. Besonders sensitive Bereiche wie eine Entwicklungsabteilung, Räume der Gebäudetechnik oder IT -Räume sollten mit einer zusätzlichen Zugangskontrolle abgesichert werden.

Zur physischen Sicherung eines Gebäudes und gegebenenfalls des umgebenden Grundstücks hat es sich bewährt, ein Sicherungskonzept mit tiefengestaffelten Sicherheitsmaßnahmen (Zwiebelschalenprinzip) zu planen und umzusetzen. Bewährt ist eine Aufteilung in vier Sicherheitszonen, Außenbereich, kontrollierter Innenbereich, interner Bereich und Hochsicherheitsbereich:

Die Sicherheitszone 0, also der Außenbereich, wird von der Grundstücksgrenze umfasst. Wenn die Situation es zulässt, sollte diese juristische Grenze deutlich durch eine Einfriedung angezeigt werden. Hier kann bereits die erste Zutritts- und Zufahrtskontrolle vorgenommen werden. Öffentliche Gebäudebereiche sind dieser Zone zuzurechnen.

Die Sicherheitszone 1 ist der kontrollierte Innenbereich. Durch eine angemessene Zutrittskontrolle, z. B. einen Pförtner oder ein Zutrittskontrollsystem, erhalten nur Berechtigte (Mitarbeiter, geladene Besucher) Zutritt zu dieser Zone. Bei hohem Schutzbedarf sollte in dieser Zone bereits die Verpflichtung bestehen, stets sichtbar Ausweise zu tragen. Die Außenhaut der Zone 1 (Gebäudeaußenhaut) sollte durch bauliche und technische Maßnahmen gegen Sabotage und Einbruch geschützt werden.

Die Zone 2 als interner Bereich ist nur für einen eingeschränkten Kreis von Berechtigten zu betreten. Hier gibt es definierte Zutrittsberechtigungen. Räume oder Gebäudeabschnitte der Zone 2 sollten jeweils nur einen Zugang aufweisen. Weitere Zuwegungen dienen ausschließlich als Flucht- und Rettungswege und sind im Betrieb immer geschlossen zu halten. Sie sind permanent zu überwachen und durch elektromechanische Sicherungseinrichtungen (Fluchtwegsicherungssysteme) gegen missbräuchliche Nutzung zu sichern.

Die Zone 3 bildet den Hochsicherheitsbereich ( z. B. Vorstandsbereiche, kritische IT -Räume). Der Kreis der Zutrittsberechtigten ist sehr eingeschränkt. Die Sicherheitsmaßnahmen sollten entsprechend hoch sein. Beispiel: Der Zutritt ist nur über eine Sicherheitsschleuse mit Zwei-Faktor-Authentisierung und Vereinzelung, der Austritt mit Ein-Faktor-Authentisierung und Vereinzelung möglich. Es erfolgt eine Bilanzierung des Zutritts, sobald keine Personen mehr als anwesend gemeldet sind, erfolgt die automatische Scharfschaltung der Einbruchmeldeanlage.

Poststellen, Anlieferungs- und Ladezonen sollten sich in Sicherheitszone 1 befinden. Sie sollten so gestaltet sein, dass Lieferungen angenommen werden können, ohne dass die Lieferanten weitere Bereiche des Gebäudes betreten müssen. Die Türen in diesen Bereichen sollten nicht über längere Zeit offenstehen. Bei höherem Schutzbedarf sollte sich entweder nur die Außentür oder die Tür zu den inneren Bereichen öffnen lassen. Eingehende Lieferungen sollten in der Lieferzone daraufhin untersucht werden, ob damit Risiken verbunden sein könnten (siehe M 2.90 Überprüfung der Lieferung ). Die Art und Tiefe der Überprüfungen ist abhängig vom jeweiligen Gefährdungspotential ( z. B. Briefbomben). Ein- und ausgehende Lieferungen sollten möglichst getrennt voneinander aufbewahrt werden.

Prüffragen:

  • Wurde ein Sicherheitszonenkonzept für Gebäude und Grundstück entwickelt und dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK