Physischer Objektschutz unter NIS2

Physischer Objektschutz unter NIS2
Perimeter, Zutritt, Räume und Resilienz — auditfähig umgesetzt. Von Jörg Weidemann.
Vorwort
Die übersehene Seite von NIS2
NIS2 ist in Deutschland seit Oktober 2024 in Kraft. Die Debatte dreht sich fast ausschließlich um IT-Sicherheit: Netzwerke, Systeme, Datenschutz, Incident Response. Das ist richtig — aber nicht vollständig.
NIS2 verlangt ausdrücklich auch physische Sicherheitsmaßnahmen. Artikel 21 der Richtlinie nennt physische Sicherheit und Umgebungssicherheit als eigenständige Anforderungskategorie. Diese Anforderung wird in der Praxis häufig übersehen, falsch bewertet oder auf ein Mindestmaß reduziert, das im Auditfall nicht standhält.
Dieses Buch schließt diese Lücke. Es richtet sich an Sicherheitsverantwortliche, Facility Manager, Compliance-Beauftragte und Berater, die NIS2-pflichtige Einrichtungen betreuen.
Auditfähigkeit
Viele Unternehmen erfüllen Anforderungen, können das aber nicht belegen. Im Audit zählt nur, was dokumentiert ist.
Praxisstruktur
Jedes Kapitel folgt dem Schema: NIS2-Anforderung → physische Umsetzung → Praxisstandard → Dokumentationsnachweis → häufige Fehler.
Herstellerneutral
Keine Produktempfehlungen. Auditfähigkeit entsteht durch Struktur und Dokumentation, nicht durch Produktauswahl.
Kapitel E1
NIS2 und physischer Objektschutz: Warum das zusammengehört
Ein Rechenzentrum, das digital abgesichert ist, aber physisch zugänglich für Unbefugte bleibt, erfüllt NIS2 nicht. Ein Serverraum ohne Zutrittskontrolle und Dokumentation ist ein Auditrisiko — unabhängig davon, wie gut die Firewall konfiguriert ist.
Artikel 21 NIS2
Benennt physische Sicherheit und Umgebungssicherheit als verbindliche Anforderungskategorie — keine Kann-Bestimmung, sondern Pflicht.
Leitungshaftung (Art. 20)
Geschäftsführer und Vorstände müssen Maßnahmen billigen und überwachen. Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes.
Allgefahrenansatz
Bedrohungen werden nach ihrer Wirkung bewertet, nicht nach ihrer Herkunft. Physisch und digital sind keine Silos.
Betroffene Einrichtungen
Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung sowie mittlere und große Unternehmen in erweiterten Sektoren.
Kapitel 1
Schutzziele physisch denken
NIS2 schreibt keine Einzelmaßnahmen vor, sondern Schutzziele. Diese gelten nicht mehr nur für IT-Systeme — sie gelten für alle Prozesse, Infrastrukturen und Umgebungen, einschließlich der physischen.
Vertraulichkeit
Unbefugte erhalten keinen Zutritt zu Räumen, Systemen oder Informationen. Ein Serverraum ohne Zutrittskontrolle verletzt dieses Schutzziel — die Maßnahme ist physischer, nicht logischer Natur.
Integrität
Systeme und Infrastrukturen dürfen nicht unbemerkt manipuliert werden. Schutz entsteht durch Zugangssicherung, Überwachung und Beweissicherung — nicht durch Verschlüsselung.
Verfügbarkeit
Kritische Systeme müssen betriebsbereit bleiben. Ausfall durch Einbruch, Brand oder Stromausfall ist ein Verfügbarkeitsversagen — die Antwort liegt in Brandabschnitten, Notstrom und Redundanz.
Praxis-Impuls: Gehen Sie jede Schutzzieldimension für einen kritischen Raum durch. Welche physische Maßnahme schützt das Ziel? Ist sie dokumentiert? Würde ein Auditor zustimmen?
Kapitel 2
Bedrohungsbild Mittelstand
Schutzmaßnahmen ohne Bedrohungsanalyse sind Maßnahmen ohne Begründung. NIS2 verlangt eine objektspezifische Analyse — erst Bedrohungsidentifikation, dann Bewertung, dann Maßnahmenableitung.
Einbruch und physischer Zugangsmissbrauch
Ein Angreifer mit Zugang zum Serverraum kann in Minuten Schadsoftware einspielen, Backupmedien entwenden oder Hardware manipulieren — ohne Programmierkenntnisse. Physischer Zugang hebt logische Sicherheit aus.
Insider-Bedrohungen
Vorsätzlich oder fahrlässig: Mitarbeitende mit legitimem Zugang, nicht eingezogene Karten ausgeschiedener Dienstleister, Reinigungspersonal mit Generalschlüssel in Technikräumen.
Sabotage
Zielt auf Betriebsstillstand, nicht auf Datendiebstahl. Besonders kritisch: cyberphysische Angriffe über vernetzte Gebäudetechnik, die digitale Systeme ohne Netzwerkpenetration kompromittieren.
Versorgungsausfall
Strom, Klima, Wasser — technisches Versagen ohne menschlichen Angreifer. Zutrittskontrollanlagen, die bei Stromausfall auf Durchlass schalten, öffnen das Objekt genau dann, wenn die Überwachung ebenfalls ausfällt.
Kapitel 3
Zonenkonzept und Schutzbedarfsfeststellung
Nicht jeder Raum hat dasselbe Schadenspotenzial. Das Zonenkonzept ist die methodisch sauberste Antwort auf den risikobasierten NIS2-Ansatz — es zeigt, dass eine Einrichtung strukturiert priorisiert hat.
Schutzbedarfsfeststellung in 5 Schritten
Inventar der schutzbedürftigen Systeme und Objekte
Schadenspotenzial je System bewerten
Schutzbedarf festlegen (Maximum-Prinzip)
Schutzbedarf auf Zonen übertragen
Maßnahmen aus dem Schutzbedarf ableiten
Dokumentationspflicht
Ein auditfähiges Zonenkonzept enthält: Lageplan mit Zoneneinteilung, Beschreibung jeder Zone, Schutzbedarfsfeststellung, implementierte Maßnahmen und das Berechtigungskonzept. Das Dokument muss versioniert und aktuell sein.
Kapitel 4
Schnellcheck: 10 häufige physische Schwachstellen
Die zehn Schwachstellen, die in der Gutachterpraxis am häufigsten auftreten und im NIS2-Audit am zuverlässigsten zu Befunden führen. Eine Nein-Antwort ohne belastbare Dokumentation gilt im Audit als nicht nachgewiesene Maßnahme.
01
Fehlende Zutrittskontrolle zu kritischen Räumen
Serverraum nur mit einfachem Schlüssel gesichert?
02
Kein schriftliches Zonenkonzept
Zugangsentscheidungen werden ad hoc getroffen?
03
Keine Protokollierung von Zutritten
Im Schadensfall fehlt jede Spurensicherung?
04
Kein geregeltes Offboarding
Zugangsmittel werden nicht systematisch entzogen?
05
Ungesicherte Nebeneingänge
Lieferanten- und Kellerzugänge nicht im Zonenkonzept?
01
Kein Umgebungsmonitoring im Serverraum
Keine automatische Temperatur- und Feuchteüberwachung?
02
Keine USV für kritische Systeme
Zutrittskontrolle schaltet bei Stromausfall auf Durchlass?
03
Fremdfirmen ohne Begleitung und Dokumentation
Wer wann im Serverraum war, ist nicht nachvollziehbar?
04
Mangelhafte Videoüberwachung
Kritische Zugangspunkte nicht oder unzureichend erfasst?
05
Keine regelmäßige Überprüfung der Schutzmaßnahmen
Keine Begehungsberichte, keine Wartungsnachweise?
Kapitel 5
Perimeterschutz
Der Perimeter ist die erste Verteidigungslinie — und der Bereich, den viele Einrichtungen am schlechtesten dokumentieren. Unter NIS2 ist das keine Bagatelle mehr.
Einfriedung
Stabgitterzaun mind. 2 m bei hohem Schutzbedarf, Übersteigschutz, Untergrundschutz. Lückenfreiheit ist Pflicht — jede Unterbrechung ist eine potenzielle Zutrittsmöglichkeit.
Tore und Durchfahrten
Motorisiert, Fail-Secure-Logik, Torstatus-Meldung. Tore müssen entweder gesperrt oder unter aktiver Aufsicht geöffnet sein. „Offen und unbeaufsichtigt" ist nicht akzeptabel.
Beleuchtung
Gleichmäßige Ausleuchtung ohne Schattenzonen, mind. 20 Lux als Orientierungswert. Notstromgesichert. Bewegungsmelder ergänzen, ersetzen aber keine Grundbeleuchtung.
Perimeterdetektion
Zaundetektionssystem oder KI-basierte Videoanalyse mit dokumentierter Reaktionskette. Falschalarmquote unter 5 %, quartalsweise Kalibrierungsprotokoll.
Häufigster Fehler: Detektionssystem vorhanden, aber auf eine nicht mehr besetzte Zentrale aufgeschaltet. Alarme gehen ins Leere — im Audit sofort erkennbar.
Kapitel 6 & 7
Gebäudehülle und physische Zutrittskontrolle
Gebäudehülle
Türen nach DIN EN 1627: RC 2 für alle Außentüren, RC 3 für Serverraum und Leitwarte. Widerstandsklasse gilt für das Gesamtsystem: Türblatt, Rahmen, Schloss und Bänder.
Schließsysteme: Sicherheitszylinder Klasse 5–6 nach DIN EN 1303. Schlüsselausgabeliste als Pflichtdokument. Verlust unverzüglich melden, Zylinder austauschen.
Empfang: Besetzt oder durch elektronisches Zugangssystem ersetzt. Vollständige Besucherliste, Ausweise, Begleitpflicht in kritischen Zonen.
Fluchtwege: Panikbeschläge nach EN 1125, Türkontakt mit Alarm. Aktueller Fluchtwegplan nach ASR A2.3 — kein Dekorationselement.
Physische Zutrittskontrolle
Berechtigungskonzept: Zonenbasiert, minimale Rechtevergabe (Need-to-Access). Keine Pauschalberechtigungen für ganze Abteilungen.
Authentifizierung: RFID (mind. DESFire-Standard) für interne Zonen. MFA (Karte + PIN) für hochkritische Bereiche. Mifare Classic gilt als geknackt — Migration erforderlich.
Protokollierung: Jeder Zutritt zu kritischen Räumen mit Zeitstempel und Personenidentifikation. Regelmäßige Auswertung auf Anomalien.
Offboarding: Sofortige Deaktivierung am letzten Arbeitstag. Rückgabe aller Medien mit Quittung. Jährliche Berechtigungsrevision dokumentieren.
Kapitel 8
Kritische Räume: Serverraum, Leitwarte, Technikräume
In kritischen Räumen kumulieren alle Anforderungen auf ihrer höchsten Stufe. Zugang, Klimatisierung, Brandschutz, Wassereintrittschutz und Notstrom sind fünf gleichrangige Schutzebenen.
Zugang
RC-3-Tür, MFA (Karte + PIN), vollständige Protokollierung, Berechtigte auf Minimum beschränkt, Türschließer. Für KRITIS: Vieraugenprinzip oder Schleuse erwägen.
Klimatisierung
Redundante Klimatisierung N+1 mit automatischer Umschaltung. Temperatursensor mit Fernalarmierung: Warnschwelle 25 °C, Alarmschwelle 28 °C. Ohne Kühlung: Überhitzung in 15–20 Minuten.
Brandschutz
Brandabschnitt F90, Türen T90 + RC 3, Kabeleinführungen abgedichtet. Ansaugrauchmelder (VESDA) statt konventioneller Rauchmelder. Gaslöschanlage — kein Wasser-Sprinkler.
Notstrom
USV für alle Systeme, mind. 15 Minuten Kapazität, jährliche Lastprüfung. Notstromaggregat mit 72 Stunden Kraftstoffvorrat, monatlicher Prüflauf dokumentiert.
„Ein Serverraum ohne MFA, eine Klimaanlage ohne Redundanz, eine USV ohne Lasttest — jeder dieser Punkte ist ein eigenständiger Auditbefund."
Kapitel 9 & 10
Videoüberwachung, Alarmmanagement und Environmental Security
Videoüberwachung & Alarmmanagement
Kamerastandorte folgen dem Zonenkonzept. Alle Zugangsbereiche zu kritischen Zonen werden erfasst. Speicherdauer aus Zweck, Risiko und datenschutzrechtlicher Verhältnismäßigkeit herleiten und dokumentieren.
Die Alarmanlage (EMA nach DIN VDE 0833-3) muss USV-gesichert sein. Eskalationskette mit drei Stufen: lokale Sofortreaktion → interne Alarmierung → externe Alarmierung (Polizei/NSL). Jährliche Alarmprobe mit Protokoll.
Häufiger Fehler: NSL-Aufschaltvertrag abgelaufen, Eskalationskette veraltet, Videoanlage zeichnet wegen vollem Speicher nicht auf.
Environmental Security
Brandschutz: Kritische Räume als F90/EI90-Brandabschnitt. Ansaugrauchmeldesystem. Gaslöschanlage mit automatischer Abschaltsequenz vor Auslösung.
Wasserschutz: Kein Serverraum im Keller mit Grundwasserrisiko. Wassermelder im Doppelboden und unter Klimaanlage. Kondensatablauf in gesichertes Abwassersystem.
Notstrom: USV-Lasttest jährlich unter realer Betriebslast — nicht im Leerlauf. NEA mit 72 Stunden Kraftstoffvorrat. Kritische und unkritische Lasten auf getrennten Stromkreisen.
Redundanz: N+1-Klimatisierung mit automatischer Umschaltung. Zwei physisch getrennte Netzleitungen über zwei Gebäudeeinführungspunkte.
Kapitel 11
Cyberphysische Schnittstellen: IoT, BMS, Schließsysteme
Gebäude sind heute informationstechnische Systeme. Ein Angreifer mit Zugang zum Building Management System kann ohne physisches Eindringen Türen öffnen, Klimaanlage abschalten und Videoaufzeichnungen löschen.
1
Inventarisierung
Vollständiges Verzeichnis aller vernetzten Geräte: IP-Adresse, Firmware-Version, Standort, letztes Update. Was nicht bekannt ist, kann nicht geschützt werden.
2
Segmentierung
IoT, BMS und Schließsystem in getrennten VLANs, durch Firewalls vom Kernnetz isoliert. BACnet, Modbus und KNX kommunizieren standardmäßig ohne Authentifizierung oder Verschlüsselung.
3
Härtung
Standardpasswörter ersetzen, nicht benötigte Dienste deaktivieren, Firmware aktuell halten. Geräte ohne aktive Herstellerpflege sind in sicherheitsrelevanten Bereichen nicht einsetzbar.
4
Fremdzugänge
BMS-Fernwartungszugänge nur für den Wartungszeitraum aktivieren, danach sofort sperren. Jede Sitzung protokollieren. Dauerhaft offene Dienstleisterzugänge sind ein bevorzugtes Angriffsziel.
Kapitel 12
Fremdfirmen, Dienstleister und Lieferkette vor Ort
Kein Unternehmen betreibt sein Objekt ohne externe Dienstleister. Jede dieser Personen hat zu einem bestimmten Zeitpunkt legitimen physischen Zugang zu Bereichen, die regulären Mitarbeitern oft verschlossen sind. NIS2 Art. 21 Abs. 2 lit. d verpflichtet ausdrücklich zur Lieferkettensicherheit — auch für physische Dienstleistungsbeziehungen.
Vertragsanforderungen
Geheimhaltungsvereinbarung (NDA) über Vertragsende hinaus
Einhaltung der Sicherheitsrichtlinien als Vertragsanlage
Meldepflicht bei Sicherheitsvorfällen und Verlust von Zugangsmitteln
Hintergrundprüfung des Personals für sensible Tätigkeiten
Typischer Fehler aus der Praxis
Ein Gebäudereinigungsunternehmen erhält eine Generalschlüsselkarte für alle Büroflächen. Erst nach einem internen Sicherheitsaudit stellt die Einrichtung fest, dass das Reinigungspersonal damit auch Zugang zu einem Technikraum mit aktiven Netzwerkkomponenten hat — über Monate unbemerkt.
Auditfähigkeit: Das entscheidende Ziel
Nicht Perfektion, nicht maximaler Schutz um jeden Preis — sondern die nachweisbare Erfüllung der Anforderungen mit verhältnismäßigen Mitteln. Das ist es, was ein Auditor prüft.
Schutzziele
Vertraulichkeit, Integrität, Verfügbarkeit — der Ausgangspunkt jeder Maßnahme.
Bedrohungen
Einbruch, Insider, Sabotage, Versorgungsausfall — definieren den Druck.
Maßnahmen
Perimeter, Zugang, Räume, Umgebung, Lieferkette — beantworten den Druck.
Dokumentation
Konzepte, Protokolle, Prüfnachweise — beweisen die Antwort im Audit.
10
Schwachstellen
im Schnellcheck — alle mit verhältnismäßigem Aufwand behebbar
10M€
Max. Bußgeld
für wesentliche Einrichtungen bei fehlenden Schutzmaßnahmen
8
Kapitel
zu physischen Schutzbereichen in Teil II — direkt in der Praxis anwendbar
Amazon.de
Physischer Objektschutz unter NIS2: Perimeter, Zutritt, Räume und Resilienz auditfähig umsetzen