Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Physische Sicherheit in der Informationssicherheit: Server, Büro und Zugangskontrolle

Physische Sicherheit ist das oft unterschätzte Fundament der Informationssicherheit. Dieser Artikel behandelt Serverraum-Sicherheit, Zutrittskontrollsysteme, Clean Desk Policy, Laptop-Diebstahl-Schutz, physische Angriffsvektoren (Evil Maid, USB-Drops) und wie physische Maßnahmen mit ISO 27001 und BSI IT-Grundschutz zusammenhängen.

Inhaltsverzeichnis (6 Abschnitte)

Physische Sicherheit ist der Bereich der Informationssicherheit, der am häufigsten unterschätzt wird. Alle technischen Sicherheitsmaßnahmen versagen, wenn ein Angreifer physischen Zugang zu Servern, Workstations oder sensiblen Bereichen erhält. ISO 27001 widmet physischer Sicherheit daher eigene Kontrollen (A.7.1-A.7.14).

Warum physische Sicherheit kritisch ist

Physische Angriffsvektoren sind vielfältig und hängen stark davon ab, ob ein Angreifer Zugang zu einem eingeschalteten oder ausgeschalteten Gerät hat.

Bei einem eingeschalteten PC ermöglicht physischer Zugang DMA-Angriffe via Thunderbolt/FireWire (direktes Lesen des Arbeitsspeichers), Cold-Boot-Attacks (RAM-Inhalte einfrieren und auslesen - der Entropie-Schlüssel für BitLocker liegt im RAM), Umgehung des Sperrbildschirms durch Social Engineering sowie USB-Drop-Angriffe mit präparierten Sticks (BadUSB, Rubber Ducky, O.MG Cable).

Bei einem ausgeschalteten PC kann ein Angreifer von USB booten um Passwort-Hashes zu extrahieren, die Festplatte ausbauen und in einem anderen System mounten (alle Daten lesbar ohne Festplattenverschlüsselung) oder BIOS-Einstellungen manipulieren.

Die Evil Maid Attack nutzt kurzen physischen Zugang (Hotelzimmer, unbeaufsichtigtes Büro) aus: Der Bootsector wird manipuliert, sodass beim nächsten Login das Passwort abgegriffen wird. Alternativ wird Hardware-Keylogger-Equipment zwischen Tastatur und PC installiert oder ein Schnittstellen-Dongle für späteren Fernzugriff eingesteckt.

Gegenmaßnahmen für jede dieser Bedrohungen: BitLocker mit Pre-Boot-PIN macht den Zugriff auf einen PC ohne PIN unmöglich. Ein BIOS-Passwort verhindert das Booten von USB. Laptop-Kensington-Schlösser verhindern Diebstahl im Büro. Server in abgesperrten Racks blockieren physischen Zugang. Deaktivierte USB-Ports auf Servern verhindern USB-Drop-Angriffe.

Serverraum-Sicherheit

Die BSI IT-Grundschutz-Anforderungen (INF.2) für Serverräume umfassen mehrere Bereiche:

Standort: Der Serverraum sollte nicht im Erdgeschoss liegen (Einbruchrisiko), nicht über Wasserrohren (Wassereinbruchrisiko), nicht direkt an Außenwänden (Temperaturschwankungen) und nicht mit einem auffälligen Schild gekennzeichnet sein. Räumliche Trennung von Publikumsbereichen ist erforderlich.

Zutritt: Transponder- oder Chip-basierte Zugangskontrolle ist mechanischen Schlüsseln vorzuziehen. Eine vollständige Protokollierung (wer, wann, Betreten/Verlassen) ist Pflicht. Lieferanten und Reinigungspersonal dürfen keinen unkontrollierten Zutritt haben; externe Personen sind immer zu begleiten. Videoüberwachung am Eingang ist zulässig (DSGVO beachten).

Physische Einbruchhemmung: Türen sollten Sicherheitsklasse SK3 für wichtige Server bzw. SK4 für kritische Bereiche aufweisen. Wände, Boden und Decke sind auf Schwachstellen zu prüfen (Doppelboden, abgehängte Decke als möglicher Zugangspunkt). Eine Einbruchmeldeanlage (EMA) und Zylinder mit Schutzbeschlag sind Standard.

Server-Racks: Verschlossene Racks (Schlüssel nur bei IT-Admins), keine zugänglichen Hot-Plug-Ports außerhalb des Racks, Schlösser für Racks (numerisch oder elektronisch), Front- und Rückseite verschlossen.

Umgebungsbedingungen: Temperatur 18-24°C (redundante Klimaanlage), Luftfeuchtigkeit 40-60%, Gaslöschanlage (kein Wasser-Sprinkler) mit Brandmelder, USV mit mindestens 15-30 Minuten Überbrückung, Notstromaggregat für längere Ausfälle, Wassermelder unter Doppelboden.

Dokumentation für ISO-27001-Audits: Zutrittsprotokoll (wer, wann, warum), Besucherbuch für externe Personen, Wartungsprotokolle für Klimaanlage und USV sowie Grundrissplan mit Sicherheitsbereichen.

Zutrittskontrollsysteme

Transponder/RFID-Systeme sind der Standard für Unternehmen: Kartenleser an Türen, Mitarbeiter-Badge mit RFID-Chip, zentrale Verwaltung mit einfachem Rechtsentzug bei Austritt, vollständiger Audit-Trail. Kosten liegen bei ca. 500-2.000 EUR pro Tür zuzüglich Verwaltungssoftware. Bekannte Schwachstelle: Mifare Classic kann geklont werden; für höhere Sicherheit sind Mifare DESFire EV3 oder SEOS einzusetzen.

PIN-Tastaturen sind einfach und kartenlos, haben aber wesentliche Nachteile: PINs werden weitergegeben (kein Audit-Trail wer tatsächlich eingetreten ist) und sind anfällig für Schulter-Surfen. Sie eignen sich nur für weniger kritische Bereiche.

Biometrie (Fingerabdruck, Iris, Handvene, Gesichtserkennung) bietet die höchste Sicherheit und ist nicht übertragbar. DSGVO-Anforderung: Biometrische Daten sind eine besondere Kategorie - eine Datenschutz-Folgenabschätzung ist Pflicht. Der Einsatz empfiehlt sich für besonders kritische Bereiche (Rechenzentrum-Core, Safe).

Zwei-Faktor-Systeme kombinieren Karte + PIN oder Karte + Fingerabdruck für sehr hohe Sicherheit bei entsprechendem Schutzbedarf.

Die empfohlene Zonierung: Zone A (normal, Bürobereiche) mit mechanischem Schloss oder einfachem RFID; Zone B (erhöht, Serverraum-Vorraum) mit RFID und Protokollierung; Zone C (hoch, Serverraum-Kernbereich) mit RFID + PIN oder Biometrie; Zone D (kritisch, Schaltschränke, Tresor) mit mechanischer und elektronischer Sicherung plus Biometrie.

Laptop und Mobile Device Sicherheit

Festplattenverschlüsselung ist obligatorisch. Unter Windows ist BitLocker über Intune konfigurierbar (Device Configuration → Endpoint Protection → BitLocker, "Require device encryption: Yes" und "BitLocker startup authentication: Require PIN"). Unter macOS übernimmt FileVault diese Rolle (Systemeinstellungen → Privatsphäre & Sicherheit → FileVault). Unter Linux kommt LUKS (Linux Unified Key Setup) zum Einsatz. Ohne Festplattenverschlüsselung bedeutet ein gestohlener Laptop vollständig lesbare Daten und eine DSGVO-Meldepflicht bei Datenpanne.

BitLocker mit Pre-Boot-PIN ist der entscheidende Unterschied gegen Evil-Maid-Angriffe: Ohne PIN entriegelt das TPM automatisch beim Booten und ein gestohlener Laptop startet. Mit PIN ist das Gerät ohne Kenntnis der PIN vollständig unbrauchbar. Die Konfiguration erfolgt per GPO unter "Computerkonfiguration → BitLocker Drive Encryption → Startup PIN konfigurieren: Require PIN at startup".

Remote Wipe via MDM (Intune/JAMF) ermöglicht das Löschen des Geräts beim nächsten Online-Zeitpunkt. Als sofortige Maßnahme ist eine BitLocker-Key-Rotation aus der Ferne möglich.

Clean Desk Policy: Keine sensiblen Dokumente auf dem Schreibtisch hinterlassen, Bildschirm bei Verlassen sperren (Windows+L bzw. Ctrl+Command+Q auf macOS), Schredder nach DIN 66399 mindestens P-4 für sensible Dokumente, abschließbarer Rollcontainer für sensible Unterlagen.

Physische Angriffe in Penetrationstests

USB-Drops: Ein präparierter USB-Stick mit verlockendem Label ("Gehaltsübersicht Q4") wird auf dem Parkplatz oder im Eingangsbereich platziert. Laut einer IBM-Security-Studie (2016) stecken 45% der Menschen gefundene USB-Sticks ein. Schutz: USB-Ports im BIOS deaktivieren oder USB-Whitelist mit nur autorisierten Geräten.

Tailgating: Das Folgen autorisierter Personen durch gesicherte Türen ohne eigene Berechtigung - oft begleitet von "Ich hab meine Karte vergessen" oder dem Bild eines Lieferanten mit vollen Händen. Schutz: Schulung ("niemanden ohne Karte einlassen") und Schleusen (Mantrap).

Social Engineering physisch: IT-Techniker für Wartung oder uniformiertes Personal erzeugen Vertrauen und ermöglichen das Durchqueren von Gebäuden. Schutz: alle Externen eskortieren, Identität verifizieren, Anmeldung erforderlich.

Dumpster Diving: Dokumente aus dem Papierkorb statt dem Schredder können Kundendaten, interne Memos oder Zugangsdaten auf Post-its enthalten. Schutz: Schredder-Pflicht für alle sensiblen Dokumente.

AWARE7 bietet physische Penetrationstests an: Ziel ist ein Bericht mit gefundenen Schwachstellen und konkreten Verbesserungsvorschlägen.

ISO 27001 Kontrollen physische Sicherheit (A.7.x)

ISO 27001 Annex A, Abschnitt 7 adressiert physische Sicherheit mit folgenden Kontrollen: A.7.1 (physische Sicherheitsbereiche), A.7.2 (Eingangskontrollen), A.7.3 (Absicherung von Büros, Räumen und Anlagen), A.7.4 (physische Sicherheitsüberwachung), A.7.5 (Schutz vor physischen Bedrohungen), A.7.6 (Arbeiten in Sicherheitsbereichen), A.7.7 (Clean Desk und klarer Bildschirm), A.7.8 (Platzierung und Schutz von Anlagen), A.7.9 (Sicherheit von Assets außerhalb der Geschäftsräume - mobile Geräte), A.7.10 (Speichermedien: Entsorgung und Weitergabe), A.7.11 (Versorgungseinrichtungen: Strom und Klimaanlage), A.7.12 (Verkabelungssicherheit), A.7.13 (Wartung von Anlagen) und A.7.14 (sichere Entsorgung oder Weiterverwendung von Anlagen).

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de