BSI-Grundschutz und physische Sicherheit: die Bausteine, die niemand liest

Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik ist kein reines IT-Regelwerk. Er enthält physische Bausteine, die in vielen Audits übersprungen werden, weil das prüfende Team aus der IT kommt und der zu prüfende Bereich aus der Liegenschaftsverwaltung. Diese Lücke ist kein theoretisches Problem. Sie wird in jeder zweiten Prüfung sichtbar, sobald ein Auditor nach dem Schutz der Verkabelung, des Serverraums oder des Außenperimeters fragt und der Befragte nicht weiß, welche Abteilung dafür zuständig ist.

Boswau + Knauer hat in den letzten Jahren beobachtet, wie sich der Begriff KRITIS in den Vorständen verschoben hat. Wo früher der IT-Leiter allein zuständig war, sitzt heute der Leiter der physischen Sicherheit am Tisch. Mit der NIS2-Richtlinie und ihrer nationalen Umsetzung wird dieser Tisch größer. Die physischen Bausteine des Grundschutzes, die jahrelang als formale Pflicht behandelt wurden, werden zur Prüfgrundlage, an der eine Geschäftsleitung im Schadensfall gemessen wird. Das vorliegende Werk geht aus der Sicht des Herstellers durch die Bausteine, die in den IT-Audits regelmäßig unterbelichtet bleiben, und ordnet ein, was Operator wissen müssen, bevor der nächste Prüfer kommt.

Die Struktur des Grundschutzes und die Stelle, an der die Physik beginnt

Der IT-Grundschutz ist modular aufgebaut. Er gliedert sich in Schichten, die von der übergreifenden Organisation über Prozesse und Systeme bis zur physischen Infrastruktur reichen. Die letzte Schicht ist diejenige, um die es hier geht. Sie enthält Bausteine zu allgemeinen Gebäuden, zu Rechenzentren, zu Serverräumen, zu Räumen mit technischer Infrastruktur, zu Datenträgerarchiven und zu Verkabelungen. Sie enthält außerdem Bausteine zu mobilen Arbeitsplätzen, zu häuslichen Arbeitsplätzen und zu Schutzschränken. Jeder dieser Bausteine hat Anforderungen in drei Stufen: Basis, Standard und erhöhter Schutzbedarf.

Die Stufen sind nicht zufällig gewählt. Sie spiegeln die Logik wider, dass nicht jede Liegenschaft den gleichen Schutz braucht und dass die Wirtschaftlichkeit eines Schutzkonzepts an der Klassifizierung der Schutzobjekte hängt. Wer alle Liegenschaften gleich behandelt, gibt entweder zu viel aus oder schützt das Falsche. Diese Differenzierung ist die eigentliche Stärke des Grundschutzes, und sie ist gleichzeitig die Stelle, an der die meisten Operator scheitern. Eine sauber dokumentierte Schutzbedarfsfeststellung ist die Voraussetzung dafür, dass die physischen Bausteine sinnvoll angewendet werden können. Wer diese Feststellung nicht hat, wendet die Bausteine entweder im Übermaß oder im Untermaß an. Beides ist im Audit nachweisbar, und beides führt zu Rückfragen, die im Eskalationsfall vor Gericht verlesen werden.

Die Physik beginnt im Grundschutz dort, wo die IT aufhört. Sie beginnt an der Außenhaut des Gebäudes, an der Zufahrt, am Tor, am Empfang, an der Tür zum Technikraum, am Kabelschacht. Sie endet nicht im Serverraum, sondern erst dort, wo der letzte Datenträger gesichert ist. Diese Spanne ist groß. Sie deckt Bereiche ab, die in vielen Unternehmen nicht in einer Hand liegen, sondern auf Facility Management, Werkschutz, IT-Infrastruktur und Datenschutz verteilt sind. Wer den Grundschutz physisch umsetzen will, muss zuerst diese Verteilung in einer Verantwortungsmatrix abbilden. Solange das nicht passiert, bleibt die Umsetzung Stückwerk.

Das prüfende Team einer Zertifizierungsstelle, etwa von TÜV oder VdS, prüft genau diese Verantwortungsmatrix als Erstes. Sie ist nicht die formale Pflicht eines Beraters, sondern die Grundlage jeder weiteren Prüfung. Wer sie nicht hat, kann den Rest der Prüfung abkürzen. Das Ergebnis steht vorher fest.

Der Baustein Allgemeines Gebäude und seine unterschätzten Anforderungen

Der Baustein zum allgemeinen Gebäude ist der erste, an dem ein IT-Auditor in der Regel scheitert, weil er ihn für selbstverständlich hält. Er enthält Anforderungen an Zutrittskontrolle, an Schließanlagen, an Brandschutz, an die Notstromversorgung und an die Überwachung der Gebäudehülle. Diese Anforderungen sind in der Basis-Stufe so formuliert, dass sie von jedem Bürogebäude erfüllt werden müssten. In der Praxis sind sie es selten in vollem Umfang.

Eine Schließanlage mit dokumentierter Schlüsselausgabe ist die Mindestanforderung. Wer in einem Audit gefragt wird, wie viele Generalschlüssel existieren und wer sie hat, sollte eine Antwort geben können, die innerhalb einer Stunde überprüfbar ist. Diese Antwort fehlt in der Mehrzahl der Erstaudits. Der Grund ist nicht Nachlässigkeit, sondern die Tatsache, dass Schließanlagen historisch gewachsen sind und in Unternehmen mit hoher Personalfluktuation ihre Nachvollziehbarkeit verlieren. Eine elektronische Schließanlage mit zentraler Vergabe und automatischer Sperrung ist deshalb in vielen Fällen nicht eine Komfortlösung, sondern die einzige Form, in der die Anforderung dauerhaft erfüllt werden kann.

Die Anforderung an die Überwachung der Gebäudehülle ist die nächste Stufe. Sie verlangt, dass die Außenhaut des Gebäudes überwacht wird, sei es durch Streifen, durch Sensorik oder durch Videoanlagen mit aufgezeichnetem Bildmaterial. In der Standard-Stufe wird zusätzlich eine Aufschaltung auf eine Leitstelle gefordert. In der erhöhten Schutzbedarfsstufe wird verlangt, dass die Reaktionszeit zwischen Alarmauslösung und qualifizierter Reaktion vor Ort dokumentiert ist und einen vereinbarten Wert nicht überschreitet. Diese Reaktionszeit ist die Stelle, an der mobile Videotürme, Sicherheitsroboter und KI-gestützte Bildanalyse ihre Wirtschaftlichkeit beweisen. Eine Reaktionszeit von wenigen Minuten, die ohne nächtlichen Streifendienst erreicht wird, ist in der Bilanz spürbar.

Der Baustein zum allgemeinen Gebäude ist außerdem die Stelle, an der die Anforderungen der BG BAU an Baustellensicherheit, des GDV an Versicherungsrisiken und des BDSW an Bewachungsleistungen zusammenlaufen. Wer den Grundschutz physisch sauber umsetzt, erfüllt in der Regel auch diese Vorgaben, ohne sie separat zu adressieren. Diese Mehrfachwirkung ist die eigentliche Wirtschaftlichkeit des Bausteins. Wer ihn ernst nimmt, spart in mehreren Disziplinen gleichzeitig.

Rechenzentrum, Serverraum, Technikraum: Die drei Stufen der Sensibilität

Die nächste Gruppe von Bausteinen betrifft Räume, in denen IT-Infrastruktur betrieben wird. Sie unterscheiden sich nach Sensibilität: das Rechenzentrum als hochgesicherte Einrichtung mit eigener Klassifizierung, der Serverraum als zentrale Einrichtung eines Unternehmens und der Technikraum als untergeordnete Einrichtung mit begrenztem Schutzbedarf. Jeder dieser Räume hat eigene Anforderungen, und jeder wird in der Praxis unterschiedlich behandelt.

Das Rechenzentrum ist die am besten geprüfte Einrichtung in den meisten Unternehmen. Es hat eigene Zutrittskontrollen, eigene Klimatisierung, eigene Brandlöschung, eigene Stromversorgung und eigene Sensorik. Es ist in der Regel von einem externen Dienstleister errichtet und wird nach dokumentierten Standards betrieben. Der Grundschutz ist hier meist erfüllt, weil das Rechenzentrum als kritisch wahrgenommen wird. Die Prüfung an dieser Stelle ist Routine.

Der Serverraum ist die Einrichtung, an der die meisten Prüfungen ins Stocken geraten. Er ist oft in einem normalen Bürogebäude untergebracht, hat keine eigene Zutrittskontrolle jenseits der allgemeinen Schließanlage, keine eigene Brandlöschung und keine eigene Überwachung. Er wird als Erweiterung des Bürobetriebs behandelt, obwohl er die zentrale Infrastruktur des Unternehmens enthält. In der Standard-Stufe verlangt der Grundschutz für den Serverraum eine eigene Zutrittsdokumentation, eine Brandfrüherkennung und eine Klimaüberwachung mit Alarmierung. In der erhöhten Schutzbedarfsstufe kommen Videoaufzeichnung des Zutritts und eine separate Stromversorgung hinzu. Wer diese Anforderungen in einem normalen Bürogebäude umsetzen will, kommt schnell an die Grenzen der baulichen Substanz.

Der Technikraum ist die unterschätzte Einrichtung. Er enthält Verteilerschränke, Klimatechnik, Notstromaggregate und Telekommunikationsanschlüsse. Er ist in der Regel nicht mit denselben Maßnahmen geschützt wie der Serverraum, weil sein Schutzbedarf als niedriger eingestuft wird. Diese Einstufung ist häufig falsch. Ein Angriff auf den Technikraum kann die gesamte IT lahmlegen, ohne dass je ein Server berührt wurde. Wer die Klimatisierung des Serverraums über den Technikraum führt und den Technikraum nicht schützt, hat einen Schutz, der nur so stark ist wie sein schwächstes Glied.

Die Verkettung dieser drei Räume ist die eigentliche Aufgabe der physischen Sicherheit in der IT. Eine Sensorik, die Bewegung im Technikraum erkennt, eine Bildanalyse, die ungewöhnliche Zutritte zum Serverraum auffällig macht, und eine Reaktion, die innerhalb weniger Minuten greift, sind die Bestandteile einer Lösung, die den Grundschutz nicht nur formal erfüllt, sondern wirksam umsetzt. Boswau + Knauer hat in mehreren Projekten in Industrie und kritischer Infrastruktur diese Verkettung aufgebaut und dokumentiert, dass die Verfügbarkeit der zentralen IT messbar steigt, sobald die Räume nicht mehr isoliert betrachtet werden.

Verkabelung, Datenträger und die unsichtbare Substanz

Der Baustein zur Verkabelung ist derjenige, an dem die meisten Operator zu spät prüfen. Eine Verkabelung ist nicht sichtbar, sie liegt in Schächten, in Zwischendecken, in Kabelkanälen. Sie ist anfällig für Manipulation, für unautorisierte Anzapfung und für mechanische Beschädigung. Der Grundschutz verlangt in der Basis-Stufe, dass Verkabelungen so geführt werden, dass sie vor unbefugtem Zugriff geschützt sind. In der Standard-Stufe wird verlangt, dass kritische Strecken überwacht werden. In der erhöhten Schutzbedarfsstufe ist eine getrennte Führung redundanter Strecken vorgeschrieben.

Diese Anforderungen sind in Bestandsgebäuden schwer nachzurüsten. Sie sind in Neubauten leicht zu erfüllen, wenn sie in der Planung berücksichtigt werden. Wer ein neues Gebäude für eine kritische Infrastruktur plant, ohne die Verkabelung von Beginn an entlang der Grundschutzanforderungen zu führen, baut eine Schwachstelle, die im laufenden Betrieb nur mit hohem Aufwand korrigiert werden kann. Diese Beobachtung ist in der Architektur unserer Mandanten in der vergangenen Dekade zur stillen Konstante geworden.

Datenträger sind die zweite unsichtbare Substanz. Sie enthalten Daten in einer konzentrierten Form, die in der Bilanz selten ausgewiesen wird. Ein Datenträger mit Kundendaten eines mittelständischen Unternehmens kann einen Wert haben, der den der Maschinen in der Werkshalle übersteigt. Der Grundschutz verlangt, dass Datenträger in einem dafür geeigneten Archiv aufbewahrt werden, dass der Zutritt zu diesem Archiv dokumentiert ist und dass die Vernichtung nicht mehr benötigter Datenträger nachvollziehbar erfolgt. Diese Anforderungen sind in den meisten Unternehmen unterdokumentiert, weil sie in der Routine untergehen. Wer einen Auditor durch sein Datenträgerarchiv führt, sollte vorher prüfen, ob die Schlüsselgewalt geklärt, die Zugriffsliste aktuell und die Vernichtungsprotokolle auffindbar sind.

Die unsichtbare Substanz ist der Bereich, in dem die meisten Schäden entstehen, ohne dass sie zur Anzeige kommen. Wer einen Datenträger verliert, der nicht in einer Liste steht, weiß nicht, dass er ihn verloren hat. Wer eine Kabelmanipulation nicht erkennt, weil die Strecke nicht überwacht ist, lebt mit einer Hintertür, deren Bestand er nicht kennt. Der Grundschutz schließt diese Lücken, wenn er konsequent angewendet wird. Wer ihn nur in den sichtbaren Bereichen umsetzt, hat eine Sicherheit, die im Audit auffällt, sobald der Prüfer in den Kabelschacht leuchtet.

NIS2, KRITIS und die neue Rolle der physischen Bausteine

Die NIS2-Richtlinie und ihre nationale Umsetzung haben den Stellenwert der physischen Bausteine des Grundschutzes verändert. Wo früher die IT-Sicherheit allein im Fokus stand, wird heute ein integriertes Sicherheitskonzept verlangt, das die physische und die digitale Ebene zusammenführt. Diese Verschiebung ist nicht rhetorisch. Sie hat konkrete Folgen für die Berichtspflichten, für die Verantwortlichkeit der Geschäftsleitung und für die Sanktionen im Verstoßfall.

Die Berichtspflicht verlangt, dass ein Vorfall, der die Verfügbarkeit, Integrität oder Vertraulichkeit der Systeme beeinträchtigt, innerhalb definierter Fristen gemeldet wird. Ein physischer Angriff auf einen Serverraum fällt unter diese Pflicht, sobald er eine der drei Schutzziele berührt. Ein Einbruch in einen Technikraum mit anschließender Manipulation der Klimatisierung ist ein meldepflichtiger Vorfall, auch wenn kein Bit Daten den Standort verlassen hat. Diese Erweiterung des Vorfallbegriffs hat in vielen Unternehmen noch nicht die operativen Konsequenzen gefunden, die sie haben müsste.

Die Verantwortlichkeit der Geschäftsleitung ist die zweite Verschiebung. Sie wird in der NIS2-Logik nicht delegierbar. Der Vorstand kann sich nicht hinter dem IT-Leiter, dem Sicherheitsbeauftragten oder dem Datenschutzbeauftragten verstecken. Er trägt die persönliche Verantwortung für die Umsetzung der Anforderungen, und er trägt sie in einem Umfang, der Vermögensschäden im Verstoßfall nach sich ziehen kann. Diese Verschärfung hat in den Aufsichtsräten ein Interesse an Sicherheitsthemen geweckt, das die operativen Sicherheitsabteilungen nun bedienen müssen. Wer in dieser Konstellation einem Vorstand erklärt, dass die physische Sicherheit nicht in seinen Verantwortungsbereich falle, kommt nicht weit.

Die KRITIS-Regulierung schichtet weitere Anforderungen über die NIS2-Logik. Betreiber kritischer Anlagen müssen nicht nur die NIS2-Pflichten erfüllen, sondern zusätzliche Nachweise gegenüber dem BSI führen. Diese Nachweise umfassen die physische Sicherheit der Anlagen, die Reaktionsfähigkeit auf physische Bedrohungen und die Resilienz gegenüber Vorfällen, die nicht digital, sondern mechanisch beginnen. Wer in diesem Umfeld nur die digitalen Bausteine adressiert, fällt durch die Prüfung. Die physischen Bausteine sind nicht das Beiwerk. Sie sind die Hälfte des Geschäfts.

Dokumentation, Audit und der Wert eines lesbaren Berichts

Die Umsetzung der physischen Bausteine ist die eine Aufgabe. Ihre Dokumentation ist die andere. Eine Sicherheitsmaßnahme, die nicht dokumentiert ist, existiert im Audit nicht. Diese Härte ist unbequem für Operator, die ihre Arbeit getan haben, sie aber nicht in Berichten festgehalten haben. Sie ist die Grundlage jeder Prüfung. Wer sie ignoriert, verschenkt die Wirkung seiner eigenen Arbeit.

Die Dokumentation einer physischen Sicherheitsmaßnahme umfasst die Beschreibung der Maßnahme, die Begründung im Verhältnis zum Schutzbedarf, die Verantwortlichkeit für den Betrieb, die Wartungslogik und die Nachweise für die Funktion. Sie ist in einer Form zu führen, die ein externer Prüfer ohne Vorkenntnisse innerhalb von zwei Tagen versteht. Diese Anforderung an die Lesbarkeit ist nicht trivial. Sie verlangt, dass die Dokumentation nicht für die eigene Abteilung geschrieben wird, sondern für jemanden, der die Abkürzungen nicht kennt und die Geschichte des Hauses nicht im Kopf hat.

Boswau + Knauer hat im Rahmen seiner Audits in den vergangenen Jahren eine Lieferstruktur entwickelt, die genau diese Lesbarkeit sicherstellt. Ein Audit-Bericht umfasst eine Standortbeschreibung mit Schwachstellenkatalog, eine Vorfallhistorie der letzten vierundzwanzig Monate, eine Wirtschaftlichkeitsrechnung in drei Szenarien, eine Empfehlungsmatrix nach Wirkung und Aufwand, einen Umsetzungsplan mit Meilensteinen und einen Annahmenrückblick. Diese sechs Lieferobjekte sind so beschrieben, dass sie ohne weitere Beratung verwertbar sind. Der Bericht ist Eigentum des Auftraggebers. Er kann ihn intern oder extern weiterverwenden, gegenüber dem BSI, gegenüber Versicherern, gegenüber Aufsichtsräten. Diese Unabhängigkeit ist die Bedingung dafür, dass das Audit-Format ernst genommen wird.

Die Beschreibung dieser Lieferstruktur findet sich auch in der Veröffentlichung "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie", in der die Logik der drei Wege zur Zusammenarbeit, vom vertraulichen Gespräch über das Audit bis zum strukturierten Pilotbetrieb, ausgeführt ist.

Was bleibt

Die physischen Bausteine des IT-Grundschutzes sind nicht das Beiwerk eines IT-Regelwerks. Sie sind die Substanz, auf der die digitale Sicherheit aufsitzt. Wer den Serverraum, den Technikraum, die Verkabelung und das Datenträgerarchiv nicht schützt, schützt seine Daten nicht. Diese Beobachtung ist seit Jahren in den Regelwerken niedergeschrieben. Sie ist mit NIS2 und der nationalen Umsetzung in eine neue Verbindlichkeit überführt worden. Die Vorstände, die diese Verbindlichkeit nicht verstanden haben, werden sie im nächsten Auditzyklus verstehen, weil ihnen die Konsequenzen nicht mehr erspart bleiben.

Boswau + Knauer empfiehlt Betreibern in KRITIS-Sektoren und in NIS2-pflichtigen Unternehmen, die physischen Bausteine des Grundschutzes nicht erst dann zu prüfen, wenn der Auditor im Haus ist. Ein vorbereitendes Audit, drei bis fünf Tage vor Ort mit dokumentierter Lieferstruktur, schafft die Grundlage, auf der die Zertifizierungsprüfung ohne Überraschungen verläuft. Wer diesen Schritt früh geht, behält die Kontrolle über die Reihenfolge, in der Schwachstellen geschlossen werden. Wer ihn spät geht, übernimmt die Reihenfolge des Prüfers. Beides führt zum gleichen Ziel. Das eine kostet weniger.

Häufige Fragen

Welche physischen Bausteine enthält der BSI-Grundschutz?

Der IT-Grundschutz enthält in seiner physischen Schicht Bausteine zu allgemeinen Gebäuden, zu Rechenzentren, zu Serverräumen, zu Technikräumen, zu Verkabelungen, zu Datenträgerarchiven, zu mobilen und häuslichen Arbeitsplätzen sowie zu Schutzschränken. Jeder Baustein hat Anforderungen in den Stufen Basis, Standard und erhöhter Schutzbedarf. Die Anforderungen reichen von Zutrittskontrolle und Schließanlagen über Brandfrüherkennung und Klimaüberwachung bis zur dokumentierten Vernichtung von Datenträgern. Die Auswahl der relevanten Bausteine ergibt sich aus der Schutzbedarfsfeststellung, die jedem Umsetzungsschritt vorausgeht.

Sind die Bausteine für KRITIS-Betreiber verpflichtend?

Für Betreiber kritischer Infrastrukturen sind die Anforderungen des Grundschutzes in der Stufe Standard oder höher faktisch verpflichtend, weil sie als Nachweis gegenüber dem BSI dienen. Die Verbindlichkeit ergibt sich nicht aus einer einzelnen Vorschrift, sondern aus dem Zusammenspiel von BSI-Gesetz, NIS2-Umsetzung und sektoraler Regulierung. Wer die Bausteine nicht umsetzt, muss eine gleichwertige Maßnahme nachweisen. In der Prüfpraxis ist dieser Nachweis aufwendiger als die Umsetzung selbst. Deshalb folgen die meisten Betreiber dem Grundschutz, auch wenn er formal nicht in jeder Detailfrage als zwingend gilt.

Wie wird die Umsetzung dokumentiert?

Die Umsetzung wird in einer Form dokumentiert, die ein externer Prüfer ohne Vorkenntnisse innerhalb von zwei Tagen nachvollziehen kann. Sie umfasst die Beschreibung der Maßnahme, ihre Begründung im Verhältnis zum Schutzbedarf, die Verantwortlichkeit für den Betrieb, die Wartungslogik und die Nachweise der Funktion. Eine sauber geführte Dokumentation umfasst Schlüsselverzeichnisse, Zutrittsprotokolle, Wartungsberichte, Alarmlisten, Vernichtungsnachweise und die Verantwortungsmatrix. Sie wird zentral abgelegt und ist im Audit ohne Suchaufwand verfügbar. Eine nicht dokumentierte Maßnahme existiert im Audit nicht, unabhängig davon, wie gut sie umgesetzt ist.

Welche Rolle spielen Sicherheitsroboter im Grundschutz?

Sicherheitsroboter sind im Grundschutz nicht als eigener Baustein vorgesehen, weil das Regelwerk technologieoffen formuliert ist. Sie erfüllen jedoch Anforderungen aus den Bausteinen zur Gebäudeüberwachung, zur Perimetersicherung und zur Reaktionsfähigkeit, indem sie Bewegung, Sensorik und Bildauswertung in einer mobilen Einheit verbinden. Ihre Rolle ist die der Verstärkung menschlicher Aufmerksamkeit. Sie ersetzen den Wachgang nicht, sie verändern seine Logik. In der Standard-Stufe und in der erhöhten Schutzbedarfsstufe können sie die Reaktionszeiten erreichen, die dort gefordert werden, und sie liefern die Dokumentation, die das Audit verlangt.