Zutrittskontrolle

Zutrittskontrolle

Nach einem erfolgreichen Penetrationstest von Felix Lindner – wie auch in unserem Blog Cyberangriff über lokales physisches Netzwerk erwähnt – hat man gesehen, wie schnell man sich auch einen lokalen Zugang zu den essentiellen Daten eines Unternehmens verschaffen kann. Offen stehende Büros und Meetingräume, die angebundene Netzwerkdosen bereit halten, sind durchaus potentielle Angriffspunkte. Selbst Kameramasten bestückt mit IP Kameras, können einen Zugang von außen verschaffen. Neben den essentiellen Daten eines Unternehmens, gibt es natürlich auch andere wichtige Unternehmenswerte die abgesichert werden sollten.

Eine wichtige Maßnahme zur Gefahrenminderung ist die Definition von Sicherheitszonen für eine starke Zutrittskontrolle 

Wie die einzelnen Schalen einer Zwiebel, schützen die äußeren Schalen den inneren Kern. Ein Angreifer muss die einzelnen Zonen erst überwinden, bevor er sein Ziel erreicht.

Der Schutzbedarf von Räumen in einem Gebäude hängt von ihrer Nutzung ab.

Räume mit ähnlichen Schutzbedarf werden in Zonen zusammengefasst und den Berechtigungsgruppen zugeordnet. Die bauliche Ausführung des Gebäudes ist bei der Definition der Schutzzonen zu beachten. Das gilt auch für die im Brandschutzkonzept festgelegten Flucht- und Rettungswege.

Der Besucherverkehr sollte von den schutzbedürftigen Sicherheitszonen getrennt sein und erst nach Freigabe von vertrauenswürdigen Mitarbeitern eine ggf. zeitbeschränkte Zutrittsberechtigung erhalten.

Von einfacher Schlüsselvergabe bis hin zu intelligenten Identifizierungssystemen

Neben den digitalen Offline- und Online-Systemen, stellt die Nutzung von mechanischen Schlüsseln und Schlössern auch eine Zutrittsregelung dar. Die Vorteile des digitalen Systems liegen dabei klar auf der Hand:

  • Vereinfachte Berechtigungsverwaltung
  • Schnelles Sperren bei Verlust
  • Automatische Dokumentation der Ereignisse

Bei beidem gilt: Die Anzahl der berechtigten Personen auf ein Mindestmaß reduzieren. Mitarbeiter sollten gegenseitig ihre Berechtigungen kennen (z.B. durch Kennzeichnungen auf Ausweisen), um unberechtigte Personen als solche erkennen zu können.  

Hochsicherheitsbereiche erfordern starke Zutrittskontrollmechanismen

Im Betrieb eines Rechenzentrums oder einer kritischen Infrastruktur, ist die Absicherung durch starke Zutrittskontrollmechanismen zwingend erforderlich.

Als Identifikations- und Authentifikationskennzeichnung kommen dabei

  • Besitz (z.B. Karte oder Schlüssel)
  • Wissen (Eingabe eines Passcodes)
  • Biometrie (Fingerabdruck, Handvenen, Iris)

infrage. Eine starke Zutrittskontrolle muss mindestens zwei dieser Kennzeichnungen auswerten. Die Kombination mit Biometrieleser ist immer die sicherste Variante.

Organisation ist ebenso gefragt wie die Technik die eingesetzt wird

Die Vergabe der Zutrittsberechtigungen allein reicht nicht aus. Die Einhaltung und die Überschreitung von Berechtigungen, sollten regelmäßig überprüft werden. Dies kann man praktisch erreichen, in dem man beispielsweise

  • die berechtigten Personen unterweist,
  • die Ausweise sichtbar tragen lässt,
  • nicht Einhaltung von Verhaltensregeln bzw. Berechtigungsüberschreitungen ahndet und
  • einen zentralen Verantwortlichen für die Zutrittskontrolle wählt.

Die verantwortliche Person, eine gewählter, vertrauenswürdiger Mitarbeiter, regelt den Ausgang und Eingang der Schlüssel und Karten und lässt sich dies von dem jeweiligen Mitarbeiter oder Besucher quittieren.

In Hochsicherheitsbereichen oder auch in anderen sensiblen Bereichen, sollten Besucher stets begleitet werden. Die Zutrittsberechtigung für Besucher und Mitarbeiter können auch zeitlich begrenzt werden. In einer Ausnahmesituation wie z.B. bei einem Feueralarm ist sicherzustellen, dass alle Personen die betroffenen Zonen rasch verlassen können.

Festgelegte Maßnahmen sorgen für eine schnelle Wiederherstellung des Sicherheitsniveaus  

Beim Verlust einer Zugangskarte, kann man diese in einer Zutrittskontrollanlage in der Regel schnell sperren. Bei einem Verlust eines Schlüssels, sieht die Sache anders aus.

Ein vorgefertigter Maßnahmenkatalog, soll bei einem Verlust schnelle Abhilfe schaffen.

Diese Punkte sollten im Vorfeld abgestimmt bzw. dokumentiert werden:

  • Austausch des Schlosses oder der Schließgruppe
  • Anzahl der Schlösser und Schlüssel festhalten
  • Meldung an die Geschäftsführung
  • Regressfragen bei mangelnder Sorgfaltspflicht klären
  • Für Hochsicherheitsbereiche regelmäßige Kontrollgänge durch einen Wachdienst einleiten

Die Zutrittskontrolle ist ein umfangreiches Thema. Kleinere Maßnahmen lassen sich durch die Sensibilisierung der Mitarbeiter bereits sofort umsetzen. So könnte man beispielsweise

  • Büros und Meetingräume beim verlassen stets abschließen
  • Besucheranmeldung einrichten
  • Besucher in den sensiblen Bereichen stets begleiten
  • Ausweise verteilen

Wie sicher ist Ihre Zutrittskontrolle? Machen Sie einen Test mit unserer Checkliste Zutrittskontrolle 

 

Autor: Peter Dupach