Welche Maßnahmen im Einzelfall zu treffen sind, richtet sich nach dem Schutzbedarf der verarbeiteten Daten. Es liegt auf der Hand, dass bei Konto- und Kreditkartendaten oder bei biometrischen Daten erhöhte Anforderungen an die Zutrittskontrolle gestellt werden müssen. Aber auch organisatorische Maßnahmen können zur Risikominimierung beitragen. So kann beispielsweise das getrennte Lagern von IT-Ersatzteilen und Datenträgern verhindern, dass Wartungstechniker unerlaubt auf Datenträger zugreifen. Bei der Implementierung von Zutrittskontrollen empfiehlt es sich, zweistufig vorzugehen:

1. Sicherheitsbereiche definieren: Zunächst sollten Sie sich einen Überblick darüber verschaffen, welche schutzbedürftigen Bereiche in einem Bürogebäude vorhanden sind. Dies können beispielsweise das Rechenzentrum beziehungsweise der Serverraum, das Datenträgerarchiv oder Switch-Räume sein, die jeweils als eigene Sicherheitsbereiche festzulegen sind.
2. Wer darf rein? (Berechtigungskonzept): Im Anschluss ist zu definieren, wer Zutritt zu diesen Bereichen benötigt. Im Rahmen eines Berechtigungskonzeptes kann so festgelegt werden, welchen Personen ständig beziehungsweise zeitweise ein Zutrittsrecht zu den vorab definierten Bereichen eingeräumt wird. Grundsätzlich ist die Zahl zutrittsberechtigter Personen in Sicherheitsbereiche möglichst gering zu halten, wobei erteilte sowie entzogene Berechtigungen beziehungsweise ausgegebene sowie zurückgenommene Schlüssel (ob mechanisch oder elektronisch) zu dokumentieren sind. Neben dem Zeitpunkt der Berechtigungsvergabe und der Berechtigungsänderung ist auch festzuhalten, durch wen diese erfolgt.

Kontrolle der Zutrittsberechtigungen
Die Kontrolle von Zutrittsberechtigungen kann durch Mitarbeiter (am Werkseingang etwa durch den Pförtner) oder durch technische Einrichtungen (durch Kartenlesegeräte oder biometrische Verfahren wie Fingerprint) erfolgen. Hierbei ist eine funktionierende Schlüsselverwaltung samt Protokollierung einzelner Zutritte in Sicherheitsbereiche essentieller Bestandteil einer funktionierenden Zutrittskontrolle. Zudem ist eine Regelung für Besucher oder Fremdpersonal zu schaffen. Hierin ist zu regeln, dass diese Personengruppen bestimmte Sicherheitsbereiche nur in Begleitung zutrittsberechtigter Personen betreten und sich unter keinen Umständen unbeaufsichtigt in diesen aufhalten dürfen. In diesen Bereich fällt auch eine klare Regelung für Reinigungskräfte, die sensible Bereiche wie HR oder Buchhaltung nur zu Bürozeiten, also nicht ohne Kontrolle, reinigen sollten.

Organisatorisch trägt auch die Vorgabe, Mitarbeiterausweise offen und erkennbar am Körper zu tragen, zu einer besseren Identifizierung von Besuchern oder nicht zutrittsberechtigten Personen bei. Für Besucher können etwa andersfarbige Ausweise eingesetzt werden. Sofern eigene Mitarbeiter oder Besucher ihren Ausweis nicht erkennbar am Körper tragen, sind diese auf die bestehende Tragepflicht anzusprechen und Mitarbeiter im Rahmen von Mitarbeiterschulungen daraufhin zu sensibilisieren.

Merkblatt samt Verlustregelung für die Mitarbeiter
Bei der Schlüsselausgabe empfiehlt es sich, die Ausgabe einzelner Schlüssel zu dokumentieren und den Mitarbeitern ein Merkblatt zum Umgang mit Firmenschlüsseln auszuhändigen. Neben allgemeinen Hinweisen zum Umgang mit Firmeneigentum ist hierbei auch der Verlust einzelner Schlüssel so zu regeln, dass in einem solchen Fall unverzüglich der Arbeitgeber zu informieren ist. Die entsprechenden Kontaktdaten – idealerweise samt Telefonnummer – des zuständigen Mitarbeiters sind hier zu vermerken.

Fazit
Die Implementierung einer funktionierenden Zutrittskontrolle erfordert eine Vielzahl organisatorischer Maßnahmen, die oftmals auch mit technischen Maßnahmen kombiniert werden müssen. Neben dem hierzu erforderlichen Initialaufwand ist insbesondere auch die Pflege von Zutrittsberechtigungen – gerade im elektronischen Bereich – ein nicht zu unterschätzender Faktor, der bei professioneller Umsetzung maßgeblich zu mehr Unternehmenssicherheit beiträgt, bei unzureichender und nur unregelmäßiger Aktualisierung jedoch auch ein immenses Risikopotenzial für Unternehmen darstellt.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.

  <<Vorherige Seite                Seite 2 von 2

Giovanni Brugugnone/jp/ln