Wie entwickeln Sie ein Zutrittszonen-Modell?

Deutsche Rahmenbedingungen

Die DIN EN 50131-Normreihe für Einbruchmeldeanlagen verwendet eine Zonenklassifikation, die mit dem Zutrittszonen-Modell kompatibel ist. Die VdS-Schadenverhütungs-Richtlinien (VdS 2311 ff.) beschreiben risikobasierte Anforderungen an physische Sicherheit. ASIS Deutschland und die VdS veröffentlichen Empfehlungen für eine risikoorientierte Zonenplanung. Das BSI IT-Grundschutz-Kompendium (Baustein INF.1 bis INF.9) beschreibt detaillierte Anforderungen an Gebäude- und Serverraum-Sicherheit.

Schlüsselbegriffe

Zone 0 – Öffentlich

Frei zugänglicher Bereich rund um das Gebäude: Außenanlagen, Foyer bis Empfang, öffentliche Gastronomie.

Zone 1 – Kontrolliert

Bereich hinter dem Empfang mit einfacher Zugangskontrolle: Büroetagen, Besprechungsräume.

Zone 2 – Eingeschränkt

Bereich mit erhöhter Sicherheit: Serverraum, Archivraum, Vorstandsflur. Zugang nur für bestimmte Funktionen.

Zone 3 – Hochgesichert

Bereich mit strengster Zugangskontrolle: Tresor, Rechenzentrum, Labor. Meist Zwei-Faktor-Authentisierung und permanente Protokollierung.

Zonengrenze

Physischer Punkt, an dem das Sicherheitsniveau wechselt: eine Tür, Schranke oder Schleuse. Jede Zonengrenze erfordert eine Kontrollmaßnahme.

Schritt-für-Schritt-Vorgehen

Beginnen Sie mit einem Grundriss des Gebäudes und markieren Sie die vorhandenen physischen Trennungen: Eingangstüren, Treppenhausabschnitte, Etagentüren. Bestimmen Sie je Bereich das erforderliche Sicherheitsniveau auf Basis einer Risikobeurteilung: Was befindet sich in dem Bereich (Personen, Geräte, Informationen, Wertgegenstände) und welche Folgen hätte ein unbefugter Zutritt?

Weisen Sie jeden Bereich einer Zone zu. Die meisten Bürogebäude kommen auf drei bis vier Zonen. Vermeiden Sie Überkomplexität: Jede zusätzliche Zone bedeutet mehr Türen mit Lesern, mehr Berechtigungsregeln und höheren Verwaltungsaufwand. Tragen Sie die Zonengrenzen in den Grundriss ein und überprüfen Sie, ob jede Grenze eine physische Abgrenzung aufweist. Eine Zone ohne physische Abschirmung bietet keine Sicherheit.

Validieren Sie das Modell mit der Sicherheitsabteilung, der IT (für den Rechenzentrumsbereich) und dem Management (für Vorstandsbereiche). Übersetzen Sie das Zonenmodell in eine Berechtigungsmatrix: Welche Funktionsgruppen erhalten Zugang zu welchen Zonen? Halten Sie die Matrix so einfach wie möglich – arbeiten Sie mit Gruppenberechtigungen statt Einzelrechten. Testen Sie das Modell mit einem Rundgang: Gehen Sie als 'Unbefugter' durch das Gebäude und prüfen Sie, ob Sie an jeder Zonengrenze tatsächlich aufgehalten werden.