Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Physische Sicherheit in der Informationssicherheit: Server, Büro und Zugangskontrolle

Physische Sicherheit ist das oft unterschätzte Fundament der Informationssicherheit. Dieser Artikel behandelt Serverraum-Sicherheit, Zutrittskontrollsysteme, Clean Desk Policy, Laptop-Diebstahl-Schutz, physische Angriffsvektoren (Evil Maid, USB-Drops) und wie physische Maßnahmen mit ISO 27001 und BSI IT-Grundschutz zusammenhängen.

Inhaltsverzeichnis (5 Abschnitte)

Physische Sicherheit ist der Bereich der Informationssicherheit, der am häufigsten unterschätzt wird. Alle technischen Sicherheitsmaßnahmen versagen, wenn ein Angreifer physischen Zugang zu Servern, Workstations oder sensiblen Bereichen erhält. ISO 27001 widmet physischer Sicherheit daher eigene Kontrollen (A.7.1-A.7.14).

Warum physische Sicherheit kritisch ist

Physische Angriffsvektoren - was passiert bei physischem Zugang:

Angreifer hat physischen Zugang zu einem eingeschalteten PC:
  → DMA-Angriff via Thunderbolt/FireWire: Speicher direkt lesen
  → Cold Boot Attack: RAM-Inhalte einfrieren, auslesen
    (Entropie-Schlüssel für Bitlocker im RAM!)
  → Screensaver/Sperrbildschirm: Social Engineering, Tailgating
  → USB-Drop: präparierter USB-Stick → Malware bei Einstecken
    (BadUSB, Rubber Ducky, O.MG-Cable)

Angreifer hat Zugang zu einem ausgeschalteten PC:
  → Boot von USB: Passwort-Hashes extrahieren
  → HDD ausbauen, in anderem System mounten: alle Daten lesbar
    (ohne Festplattenverschlüsselung!)
  → BIOS-Zugang: Sicherheitseinstellungen ändern

Evil Maid Attack:
  → Angreifer hat kurzen physischen Zugang (Hotelzimmer, Büro)
  → Bootsector manipulieren → nächstes Login → Passwort geleakt
  → Keylogger-Hardware zwischen Tastatur und PC
  → Schnittstellen-Dongle installiert → Fernzugriff nach Rückkehr

Physische Schutzmaßnahmen verhindern das:
  → Bitlocker mit Pre-Boot-PIN: Zugang zu PC ohne PIN unmöglich
  → BIOS-Passwort: kein Booten von USB ohne Passwort
  → Laptop-Kensington-Schloss: verhindert Diebstahl im Büro
  → Server im abgesperrten Rack: physischer Zugang blockiert
  → Keine USB-Ports am Server: kein USB-Drop möglich

Serverraum-Sicherheit

Serverraum-Sicherheitsanforderungen (BSI IT-Grundschutz INF.2):

Standort:
  □ Nicht im Erdgeschoss (Einbruch-Risiko)
  □ Nicht über Wasserrohren (Wassereinbruch-Risiko)
  □ Nicht neben Außenwand (Temperatur-Schwankungen)
  □ Kein auffälliges Schild "SERVER ROOM" an der Tür!
  □ Räumlich getrennt von Publikumsbereichen

Zutritt:
  □ Zugangskontrolle: Transponder/Chip, kein mechanischer Schlüssel
  □ Protokollierung: wer hat wann betreten/verlassen
  □ Kein unkontrollierter Zutritt für Lieferanten, Reinigungspersonal
  □ Begleitung: externe Personen immer in Begleitung
  □ Videoüberwachung an Eingang (DSGVO beachten!)

Physische Einbruchhemmung:
  □ Tür: Sicherheitsklasse (SK3 für wichtige Server, SK4 für kritische)
  □ Wände/Boden/Decke: keine Schwachstellen (Doppelboden, abgehängte Decke → Zugang?)
  □ Einbruchmeldeanlage (EMA)
  □ Schlösser: Zylinder mit Schutzbeschlag

Server-Racks:
  □ Verschlossene Racks (Schlüssel nur bei IT-Admins)
  □ Keine Hot-Plug-Ports außerhalb des Racks zugänglich
  □ Nummern-Schlösser oder elektronische Schlösser für Racks
  □ Front- und Rückseite verschlossen

Umgebungsbedingungen:
  □ Temperatur: 18-24°C (Klimaanlage redundant!)
  □ Luftfeuchtigkeit: 40-60%
  □ Brandschutz: Gaslöschanlage (kein Wasser-Sprinkler!), Brandmelder
  □ USV (Unterbrechungsfreie Stromversorgung): min. 15-30 Minuten Überbrückung
  □ Notstromaggregat für längere Ausfälle
  □ Wassermelder unter Doppelboden

Dokumentation (für ISO 27001-Audit):
  □ Zutrittsprotokoll: wer, wann, warum
  □ Besucherbuch für externe Personen
  □ Wartungsprotokolle für Klimaanlage, USV
  □ Grundrissplan mit Sicherheitsbereichen

Zutrittskontrollsysteme

Typen von Zutrittskontrollsystemen:

Transponder/RFID-Systeme:
  → Kartenleser an Türen, Mitarbeiter-Badge mit RFID-Chip
  → Zentrale Verwaltung: Berechtigungen einfach entziehen bei Austritt
  → Protokollierung: vollständiger Audit-Trail
  → Kosten: ~500-2000 EUR/Tür + Verwaltungssoftware
  → Bekannte Schwachstellen: RFID kann geklont werden (Mifare Classic)
    → Lösung: Mifare DESFire EV3 oder SEOS für höhere Sicherheit

PIN-Tastaturen:
  → Einfach, keine Karte nötig
  → Nachteil: PINs werden weitergegeben (kein Audit-Trail wer rein!)
  → Nachteil: Schulter-Surfen (Kamera-basierter Angriff)
  → Nur für weniger kritische Bereiche geeignet

Biometrie:
  → Fingerabdruck, Iris, Handvene, Gesichtserkennung
  → Höchste Sicherheit, nicht übertragbar
  → DSGVO: biometrische Daten = besondere Kategorie → Datenschutz-Folgenabschätzung!
  → Kosten: deutlich höher als RFID
  → Einsatz: für besonders kritische Bereiche (RZ-Core, Safe)

Kombiniert (Zwei-Faktor physisch):
  → Karte + PIN = zwei Faktoren
  → Karte + Fingerabdruck = sehr hohe Sicherheit
  → Für Bereiche mit sehr hohem Schutzbedarf

Empfehlung für Zonierung:
  Zone A (normal): Bürobereiche → mechanisches Schloss oder einfaches RFID
  Zone B (erhöht): Serverraum-Vorraum → RFID mit Protokollierung
  Zone C (hoch):   Serverraum-Kernbereich → RFID + PIN oder Biometrie
  Zone D (kritisch): Schaltschränke, Tresor → Mechanisch + Elektronisch + Biometrie

Laptop und Mobile Device Sicherheit

Schutz mobiler Geräte:

Festplattenverschlüsselung - obligatorisch:
  Windows: Bitlocker
  → Vollständige Laufwerkverschlüsselung via TPM
  → Aktivierung über Intune:
    Device Configuration → Endpoint Protection → Bitlocker
    → Require device encryption: Yes
    → BitLocker startup authentication: Require PIN

  macOS: FileVault
  → Systemeinstellungen → Privatsphäre & Sicherheit → FileVault aktivieren
  → Recovery Key sicher aufbewahren (Intune kann verwalten)

  Linux: LUKS (Linux Unified Key Setup)
  cryptsetup luksFormat /dev/sda2  # Partition verschlüsseln

Ohne Festplattenverschlüsselung:
  Laptop gestohlen → alle Daten lesbar!
  DSGVO: Meldepflicht bei Datenpanne!

Bitlocker mit Pre-Boot-PIN (gegen Evil Maid):
  Ohne PIN: TPM entriegelt automatisch beim Booten → gestohlener Laptop bootet!
  Mit PIN: Laptop benötigt PIN vor jedem Booten → gestohlener Laptop unbrauchbar

  GPO: Computerkonfiguration → Bitlocker Drive Encryption
    → Startup PIN konfigurieren: "Require PIN at startup"

Remote Wipe:
  → MDM (Intune/JAMF) kann Gerät remote löschen
  → Voraussetzung: Gerät beim nächsten Online-Zeitpunkt
  → Für sofortigen Schutz: Bitlocker-Key-Rotation aus der Ferne

Kensington-Schlösser:
  → Mechanische Diebstahlsicherung im Büro
  → Sinnvoll für öffentlich zugängliche Bereiche
  → Empfehlung: Kensington ClickSafe 2.0 oder MiniSaver

Clean Desk Policy:
  → Keine sensiblen Dokumente auf dem Schreibtisch hinterlassen
  → Bildschirm sperren bei Verlassen des Arbeitsplatzes (Windows+L, Ctrl+Command+Q)
  → Schredder für sensible Dokumente (DIN 66399 P-4 oder höher)
  → Abschließbarer Rollcontainer für sensible Unterlagen

Physische Angriffe in Penetrationstests

Physische Angriffsvektoren im Red-Team-Kontext:

USB-Drops:
  → Präparierter USB-Stick auf dem Parkplatz / Eingangsbereich liegen lassen
  → Vorgefertigte Beschriftung: "Gehaltsübersicht Q4" oder "Bewerbungsunterlagen"
  → 45% der Menschen stecken gefundene USB-Sticks ein (IBM Security, 2016)
  → Schutz: USB-Ports in BIOS deaktivieren oder nur autorisierte Geräte (USB Whitelist)

Tailgating:
  → Folgen autorisierter Personen durch gesicherte Türen ohne eigene Berechtigung
  → Oft: "Ich hab meine Karte vergessen", Lieferant mit Paketen in Händen
  → Schutz: Schulung (niemanden ohne Karte einlassen!), Schleusen (Mantrap)

Social Engineering physisch:
  → "IT-Techniker" für Wartung → findet Wege durch Gebäude
  → Uniformen, Werkzeuge: Vertrauen erzeugen
  → Schutz: alle Externen eskortieren, Identität verifizieren, Anmeldung erforderlich

Dumpster Diving:
  → Dokumente aus dem Papierkorb statt Schredder
  → Gefundenes: Kundendaten, interne Memos, Zugangsdaten auf Post-its
  → Schutz: Schredder-Pflicht für alle sensiblen Dokumente

Physisches Testen (in Pentest-Scope):
  → AWARE7 bietet physische Penetrationstests an
  → Test: wie einfach ist Zutritt zum Serverraum für Fremde?
  → Ergebnis: Bericht mit gefundenen Schwachstellen + Verbesserungsvorschläge

ISO 27001 Kontrollen physische Sicherheit (A.7.x):
  A.7.1: Physische Sicherheitsbereiche
  A.7.2: Eingangskontrollen
  A.7.3: Absicherung von Büros, Räumen und Anlagen
  A.7.4: Physische Sicherheitsüberwachung
  A.7.5: Schutz vor physischen Bedrohungen
  A.7.6: Arbeiten in Sicherheitsbereichen
  A.7.7: Klarer Schreibtisch und klarer Bildschirm (Clean Desk Policy)
  A.7.8: Platzierung und Schutz von Anlagen
  A.7.9: Sicherheit von Assets außerhalb der Geschäftsräume (mobile Geräte!)
  A.7.10: Speichermedien (Entsorgung, Weitergabe)
  A.7.11: Versorgungseinrichtungen (Strom, Klimaanlage)
  A.7.12: Verkabelungssicherheit
  A.7.13: Wartung von Anlagen
  A.7.14: Sichere Entsorgung oder Weiterverwendung von Anlagen

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung