Viele Unternehmen lesen ISO 27001 A.7.4 und denken zuerst an eine Kamera im Eingangsbereich oder an die Alarmanlage im Büro. Das ist als Einstieg nicht falsch, aber für die Norm zu kurz gedacht. Denn hier geht es nicht bloß darum, dass irgendwo Technik hängt. Es geht darum, dass Räumlichkeiten auf unbefugten physischen Zugang überwacht werden und zwar dauerhaft, nicht nur dann, wenn zufällig jemand hinschaut. Dass physische Zutrittskontrolle und physische Überwachung heute als eigenständige, systematisch zu steuernde Schutzmaßnahmen verstanden werden, findet sich auch in aktuellen Leitfäden zu Facility Security und OT-Sicherheit wieder.
Gerade deshalb ist diese Anforderung in der Praxis oft bodenständiger als es zunächst klingt. Auditoren wollen hier selten eine Hochsicherheitsanlage sehen. Aber sie wollen sehr wohl erkennen, dass Ihre Organisation sich Gedanken gemacht hat, wie unbefugter Zutritt erkannt wird, wie eine Reaktion ausgelöst wird und wer dafür verantwortlich ist, dass die gewählte Lösung auch morgen noch funktioniert. Physische Sicherheit ist ein Zusammenspiel präventiver und schützender Maßnahmen, die je nach Objekt und Risiko passend ausgestaltet werden müssen.
Die kurze Antwort
ISO 27001 A.7.4 verlangt in der Praxis kein bestimmtes Fabrikat und auch keine Pflicht zur Videoüberwachung. Es verlangt aber eine verlässliche Form der Überwachung gegen unbefugten physischen Zugang. Das kann je nach Umgebung über Alarmanlagen, Einbruchmeldeanlagen, Bewegungsmelder, Glasbruchsensoren, Fenster- und Türöffnungssensoren, Zutrittskontrollsysteme, Videoüberwachung, Wachdienst, Aufschaltung auf eine Leitstelle oder andere geeignete Maßnahmen gelöst werden. Entscheidend ist nicht die Show im Audit, sondern die dauerhafte Wirksamkeit. Diese risikoorientierte und für das Unternehmen angemesesene Auswahl von Schutzmaßnahmen entspricht genau der Logik moderner Facility-Security-Leitlinien.
Noch praktischer formuliert: Es reicht nicht, im Audit zu sagen "Ja, da ist eine Alarmanlage". Die interessantere Frage lautet: Wo ist festgelegt, was mindestens vorhanden sein muss? Wer prüft die Funktion? Wer reagiert bei Ausfall? Und wie wird bemerkt, wenn die bisherige Lösung still und leise nicht mehr tut, was sie soll? Dass physische Zugangssysteme und Überwachungssysteme als eigene technische Systeme mit Risiken, Schwachstellen und Schutzbedarf behandelt werden sollten, betont auch NIST im OT-Kontext ausdrücklich.
Was "ständig" praktisch bedeutet
Der wichtige Punkt an A.7.4 ist das Wort "ständig". Das heißt in der Praxis nicht zwingend, dass 24 Stunden am Tag ein Mensch an einem Monitor sitzen muss. Aber es heißt sehr wohl: Ihr Schutzkonzept darf nicht davon abhängen, dass zufällig jemand am Empfang sitzt oder dass der Hausmeister gerade noch einmal durchs Gebäude läuft. Wenn Überwachung nur in Anwesenheitszeiten funktioniert, dann ist das keine ständige Überwachung, sondern eine zeitweise Beobachtung. Die Kontrolllogik zielt gerade darauf, unbefugten Zugang auch dann erkennbar zu machen, wenn niemand vor Ort aktiv hinschaut.
Das ist der Punkt, an dem viele Unternehmen zu klein denken. Der freundliche Empfang ist gut. Ein Schlüsselschrank ist auch gut. Aber hier geht es nicht nur um Nettigkeit, sondern auch Verlässlichkeit. Ein besetzter Empfang kann Teil der Lösung sein. Er ist allein aber selten die ganze Lösung.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Wir haben doch Räumlichkeiten, die nicht jeder einfach betritt. Das wird schon reichen."
Das ist nicht zu empfehlen. Zutrittsschwelle und Überwachung sind nicht dasselbe. Eine verschlossene Tür ohne erkennbare Überwachung merkt nicht, ob jemand ein sie aufhebelt, manipuliert oder sich abends einschließen lässt. Genau deshalb beschreiben CISA-Leitlinien Facility Access Control als einen durchgängigen Prozess vom Mitarbeiter- und Besucherzugang bis zum ersten Authentisierungspunkt in nicht öffentlichen Bereichen und nicht als bloßes Vorhandensein einer Tür.
Der zweite Denkfehler lautet: "Hauptsache, wir können im Audit zeigen, dass es irgendeine Technik gibt." Auch das ist zu kurz. Ein Bewegungsmelder mit leerer Batterie, eine Kamera mit blindem Winkel, eine Alarmanlage ohne Aufschaltung oder ein System, dessen Störung niemand bemerkt, schützt nur auf dem Papier. Dass solche physischen Zugangssysteme und Überwachungssysteme als eigenständige technische Systeme mit Risiken und Gegenmaßnahmen zu verstehen sind, ist genau der Gedanke hinter den einschlägigen NIST-Leitlinien zu OT und physischen Zugangssystemen.
Welche Möglichkeiten es gibt
Die Bandbreite ist größer, als viele denken. Klassische Alarmanlagen und Einbruchmeldeanlagen sind der naheliegende Einstieg. Dazu kommen Bewegungsmelder, Glasbruchsensoren, Fenster- und Türöffnungssensoren, Überwachungskameras, fernüberwachte Alarme, Sicherheitsdienst oder auch Kombinationen.
Wichtig ist dabei nicht, dass jeder alles braucht. Ein kleiner Beratungsbetrieb mit zwei Büroräumen braucht etwas anderes als ein Rechenzentrum, eine Werkhalle oder ein Unternehmen mit Publikumsverkehr. Genau deshalb ist A.7.4 kein Katalog mit Pflichttechnik, sondern eine Aufforderung zu einer vernünftigen, risikoabhängigen Lösung.
Wenn Kameras Teil der Lösung sind, kommt noch ein zweites Thema dazu: Datenschutz. Die Datenschutzaufsichtsbehörden und der BfDI weisen darauf hin, dass Videoüberwachung personenbezogene Daten verarbeitet und deshalb rechtlich sauber begründet, ausgestaltet und dokumentiert werden muss. Kamera drauf und fertig ist also keine gute Idee. Schon gar nicht, wenn aus Unachtsamkeit oder "sicherheitshalber mal" auch der öffentliche Raum mitgefilmt wird.
Nachhaltige Sicherheit statt Audit-Theater
Der entscheidende Punkt bei A.7.4 ist aber nicht die reine Existenz irgendeiner Maßnahme, sondern ihre Verlässlichkeit im Betrieb. Genau hier trennt sich eine gute Lösung von Audit-Theater. Wer physische Sicherheitsüberwachung ernst nimmt, legt fest, welches Mindestniveau für welche Räumlichkeiten gilt, welche Technik oder organisatorischen Maßnahmen dafür vorgesehen sind, wie Störungen erkannt werden und wer sich um Wartung, Prüfungen und Reaktion kümmert. Das ist keine exotische Zusatzforderung, sondern die naheliegende betriebliche Übersetzung einer Maßnahme, die ausdrücklich auf ständige Überwachung abzielt.
Auch ungewöhnliche Lösungen können funktionieren
Nicht jede brauchbare Lösung muss geschniegelt und katalogreif aussehen. Ich habe schon von einem Unternehmen gehört, dessen Firmenzentrale in einem Anbau des Privathauses des Geschäftsführers lag. Dort gab es ohnehin einen Wachhund, der das Gelände gleich mit im Blick hatte.
Die Anekdote ist deshalb interessant, weil sie den eigentlichen Punkt gut zeigt: Die Norm verlangt kein Prospektbild. Sie verlangt eine wirksame Lösung. Ein Wachhund kann in einem ganz bestimmten Setting ein gute Lösung sein. Er ersetzt aber in der Regel kein sauber geregeltes Konzept. Denn auch dort stellen sich dieselben Fragen: Wann ist der Hund tatsächlich vor Ort? Wer ist verantwortlich? Reicht das nachts, tagsüber, im Urlaub, bei Krankheit, bei Abwesenheit? Und wo ist festgelegt, ob das wirklich das Mindestniveau der Überwachung abdecken soll? Eine originelle Maßnahme ist nicht automatisch schlecht. Sie ist nur dann schlecht, wenn sie nicht verlässlich ist.
Was will der Auditor sehen?
Ein Auditor will hier selten hören: "Wir haben da irgendwas installiert." Er will sehen, dass Sie ein tragfähiges Konzept haben. Dazu gehören typischerweise eine Festlegung, welche Bereiche überwacht werden müssen, welche Mindestmaßnahmen dort gelten, wer zuständig ist, wie Funktionsfähigkeit sichergestellt wird und wie mit Störungen oder Ausfällen umgegangen wird. Genau diese dauerhafte Steuerung macht aus einer Maßnahme ein System.
Als Nachweise helfen zum Beispiel eine kurze Regelung oder Arbeitsanweisung, ein Lageplan oder eine Zuordnung überwachter Bereiche, Wartungs- oder Testnachweise, Zuständigkeiten für Störungsmeldungen, Verträge mit Errichtern oder Sicherheitsdiensten und gegebenenfalls datenschutzbezogene Unterlagen zur Videoüberwachung. Der Auditor sucht kein Sicherheitsmuseum. Er sucht belastbare Verantwortung.
Wenn Sie ein Unternehmen sind, das rein remote arbeitet, also keine klassische "Firmenzentrale" hat, können Sie auch risikobasiert überlegen, die Anforderung A.7.4 von der Anwendung auszuschließen. Klären Sie dies aber bitte rechtzeitig vor dem Zertifizierungsaudit mit Ihrem Zertifizierungsunternehmen ab. Das Zertifizierungsunternehmen muss die Vorgaben der jeweiligen Akkreditierungsstelle umsetzen und hier kann es Vorgaben geben, die besagen, dass bestimmte Anforderungen nicht von der Anwendung ausgeschlossen werden dürfen. In dem Fall könnten Sie das Weglassen der physischen Überwachung so gut begründen wie Sie wollten: es wäre von vorneherein klar, dass es nicht akzeptiert wird.
FAQ
Nein. A.7.4 verlangt eine ständige Überwachung gegen unbefugten physischen Zugang, aber nicht zwingend Videoüberwachung. Je nach Risiko können auch Alarmanlagen, Einbruchmeldeanlagen, Sensorik, Zutrittskontrolle oder andere geeignete Maßnahmen passend sein. Facility-Security-Leitlinien stellen ausdrücklich auf passende, risikobasierte Schutzmaßnahmen ab und nicht auf eine einzige Pflichttechnik.
Meistens nicht allein. Ein Empfang kann ein sinnvoller Baustein sein, aber A.7.4 zielt auf eine verlässliche Überwachung auch dann, wenn dort gerade niemand aktiv hinschaut oder niemand mehr da ist. Zutrittssteuerung und ständige Überwachung sind nicht identisch.
Die Norm sagt nicht in Form eines einzelnen Satzes "Prüfen Sie alle x Wochen", aber praktisch ist genau das der richtige Gedanke. Wenn eine Überwachungslösung ausfallen kann, müssen Sie erkennen können, dass sie ausgefallen ist, und jemand muss dafür verantwortlich sein.
Nein, nicht automatisch. Sobald Kameras Personen erfassen können, ist Datenschutz mitzudenken. Der BfDI und die Datenschutzkonferenz weisen ausdrücklich darauf hin, dass Videoüberwachung personenbezogene Daten verarbeiten kann und rechtlich sauber ausgestaltet werden muss.
Grundsätzlich ja, solange die Maßnahme im konkreten Umfeld wirksam, verlässlich und in ein klares Sicherheitskonzept eingebettet ist. Das Problem ist selten die Kreativität der Lösung, sondern ihre fehlende Planbarkeit und fehlende Verantwortlichkeit.
Der beste erste Schritt ist meist nicht der Kauf der größten Anlage, sondern eine nüchterne Festlegung: Welche Bereiche müssen überhaupt überwacht werden, welches Mindestniveau gilt dort und wer ist für Betrieb, Prüfung und Reaktion verantwortlich? Auf dieser Basis lässt sich die passende Technik viel sauberer auswählen. Diese risikoorientierte Vorgehensweise entspricht auch den Leitlinien zur Facility Security.
Unser Tipp
Machen Sie A.7.4 nicht zu einem Technik-Schaufenster. Starten Sie lieber mit drei sauberen Entscheidungen: Welche Bereiche sind kritisch, was ist dort das Mindestniveau der Überwachung und wer trägt die Verantwortung dafür, dass die Lösung dauerhaft funktioniert? Wenn diese drei Punkte klar sind, wird die Auswahl der passenden Maßnahmen viel einfacher und das Audit deutlich entspannter.
Interesse geweckt?
Wenn Sie die physische Sicherheitsüberwachung im Rahmen einer ISO 27001-Einführung sauber regeln wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!