Physische Sicherheit ist IT-Sicherheit: IAM, SOC und das Zonenkonzept zusammendenken
Wer Serverräume, Zutritt und Verkabelung als reine Gebäudetechnik behandelt, lässt eine Flanke offen. Wie physische Sicherheit, IAM, SOC und ein sauberes Zonenkonzept zu einer durchgängigen, auditierbaren Sicherheitsarchitektur zusammenwachsen.
Die meisten Sicherheitsstrategien beginnen beim Login – und hören an der Eingangstür auf. Zutrittskontrolle, Videoüberwachung und Serverraum gelten als Gebäudetechnik, nicht als Teil der IT-Sicherheit. Das ist ein Trugschluss: Nahezu jeder ernsthafte Angriff hat irgendwo einen menschlichen und oft auch einen physischen Anknüpfungspunkt. Wer diese Ebene ausklammert, verteidigt sein Netzwerk mit einer offenen Flanke.
Wo physischer und digitaler Angriff ineinandergreifen
Die Übergänge sind fließender, als es getrennte Zuständigkeiten vermuten lassen. Ein Unbefugter, der sich hinter einer berechtigten Person durch die Schleuse bewegt (Tailgating), steht plötzlich vor frei zugänglicher Netzwerktechnik. Ein präpariertes USB-Gerät oder ein untergeschobener Mini-Rechner am Switch verschafft dauerhaften Zugang. Backup-Medien, die offen im Regal liegen, sind eine vollständige Kopie Ihrer Daten. Und der Werksausweis eines längst ausgeschiedenen Dienstleisters öffnet oft noch Monate später Türen.
• Tailgating und Mitlaufen durch gesicherte Bereiche
• Manipulation frei zugänglicher Netzwerk- und Serverhardware
• Eingeschleuste Fremdgeräte (USB, Rogue Devices)
• Ungeschützte Backup-Medien und Datenträger
• Weiter gültige Ausweise und Konten ausgeschiedener Personen
Defense in Depth beginnt an der Tür
Das Prinzip der gestaffelten Verteidigung ist in der IT längst etabliert – es endet aber nicht an der Firewall. Jede zusätzliche physische Schicht erhöht den Aufwand für Angreifer und die Wahrscheinlichkeit, dass ein Versuch auffällt. Entscheidend ist, dass IT-Sicherheit, Gebäudemanagement und externe Spezialisten nicht nebeneinanderher arbeiten, sondern mit klar verteilten Rollen an einer gemeinsamen Architektur. Physische und logische Kontrollen müssen dieselbe Sprache sprechen.
IAM: ein Identitätsmodell für Tür und Login
Der größte Hebel liegt darin, physischen Zutritt und digitalen Zugriff über dieselbe Identität zu steuern. Wird eine Person angelegt, versetzt oder verlässt das Unternehmen (Joiner–Mover–Leaver), sollten sich Gebäudezutritt und Systemrechte automatisch und synchron mitverändern. Ein Offboarding, das das Active-Directory-Konto deaktiviert, aber den Werksausweis vergisst, ist nur halb erledigt. Rollenbasierte Vergabe nach dem Least-Privilege-Prinzip – für Türen wie für Anwendungen – sorgt dafür, dass Menschen nur dorthin gelangen, wo sie hingehören.
SOC: physische und logische Ereignisse zusammen auswerten
Richtig wertvoll wird die Verknüpfung, wenn ein Security Operations Center beide Ereignisströme korreliert. Erst im Zusammenspiel entstehen Anomalien, die einzeln unauffällig bleiben: eine Systemanmeldung, ohne dass zuvor jemand das Gebäude betreten hat. Gleichzeitige Zutritte derselben Identität an zwei Standorten. Zugriffe außerhalb der üblichen Zeiten. Wiederholt fehlgeschlagene Badge-Versuche an einer sensiblen Tür. Solche Muster sind starke Frühindikatoren – aber nur, wenn Zutritts- und Anmeldedaten in derselben Auswertung zusammenlaufen.
Das Zonenkonzept: vier Schichten, abgestufte Kontrollen
Ein bewährtes Ordnungsmodell teilt Liegenschaften in vier Sicherheitszonen mit steigenden Anforderungen ein:
• Zone 1 – Öffentlich: Empfang und Besucherbereiche, Identitätsprüfung am Eingang.
• Zone 2 – Intern: nur für Beschäftigte, personalisierter Zutritt und Protokollierung.
• Zone 3 – Sensibel: nur für ausdrücklich berechtigte Personen, mehrstufige bzw. biometrische Kontrolle.
• Zone 4 – Hochsicher: Serverraum und Kern, Mehr-Faktor-Zutritt, minimaler Personenkreis, lückenlose Aufzeichnung.
Der Reiz liegt in der Konsequenz: Je tiefer eine Zone, desto strenger die Kontrolle – und desto enger die Kopplung an die digitale Berechtigung.
Compliance macht daraus eine Pflicht
Was gute Praxis ist, wird zunehmend zur Vorgabe. NIS-2 hebt die Cybersicherheits-Grundanforderungen europaweit an und bezieht physische Sicherheit ausdrücklich mit ein. Der BSI IT-Grundschutz, die KRITIS-Anforderungen für kritische Infrastrukturen und – gerade in Automobil- und Zulieferbranche – TISAX verlangen im Kern dasselbe: systematische Risikoerhebung, dokumentierte Zutritts- und Zugriffskontrollen und jederzeitige Auditfähigkeit. Wer physische und digitale Kontrollen getrennt dokumentiert, produziert Lücken, die im Audit auffallen.
Datenschutz von Anfang an mitdenken
Zutrittsprotokolle, Videoaufnahmen und biometrische Merkmale sind personenbezogene Daten – teils besonders sensible. Eine tragfähige Architektur definiert klare Zwecke, begrenzt Speicherfristen, beschränkt den Zugriff auf das Nötige und informiert Beschäftigte wie Besucher transparent. Der Verhältnismäßigkeitsgrundsatz ist dabei kein Hindernis, sondern Qualitätsmerkmal: Sicherheit und DSGVO-Konformität schließen sich nicht aus, sie bedingen einander.
Unser Blick bei KAEMI
Physische Sicherheit ist kein Kostenfaktor der Gebäudetechnik, sondern Teil einer belastbaren, auditierbaren Sicherheits-Governance – besonders in hybriden Umgebungen, in denen Edge- und On-Premise-Systeme in Ihrer Verantwortung bleiben. Wir denken Zutritt und Zugriff identitätszentriert: Zero-Trust-Prinzipien, Mikrosegmentierung des Netzwerks und SASE/SSE sorgen dafür, dass eine einmal überwundene Tür nicht gleich das ganze Netz öffnet. Technologieoffen und an Ihren Anforderungen ausgerichtet verbinden wir die physische mit der digitalen Ebene – von der Zonenlogik bis zur Ereigniskorrelation im SOC. Sprechen Sie uns an, wenn Sie beide Welten zu einer Architektur zusammenführen möchten.