Cluster 4 - "Resilienz und physische Sicherheit"

Warum Resilienz und physische Sicherheit heute so wichtig sind

Ein produzierendes Unternehmen im Rheinland: Ein Unwetter legt die Stromversorgung lahm, der Serverraum kühlt nicht mehr, zentrale Systeme fahren ungeplant herunter. Produktion, Logistik und Abrechnung stehen still – und das, obwohl die IT gegen Cyberangriffe bestens abgesichert war.    

Solch ein Szenario zeigt: Informationssicherheit bedeutet nicht nur Firewalls und Verschlüsselung. Auch physische Ereignisse wie Stromausfälle, Brände, Einbrüche oder technische Defekte können die Handlungsfähigkeit eines Unternehmens gefährden. Genau deshalb hat die überarbeitete ISO/IEC 27001:2022 das Thema Resilienz und physische Sicherheit gestärkt. Zwei Controls sind hierbei besonders relevant: IKT-Bereitschaft für Business Continuity (5.30) und Physische Überwachung (7.4).  

Was fordert die ISO-Norm konkret?

5.30 IKT-Bereitschaft für Business Continuity

Die Norm verlangt, dass Informations- und Kommunikationstechnologien auch im Krisenfall verfügbar bleiben. Unternehmen sollen also Vorkehrungen treffen, damit kritische Systeme nach Störungen schnell wieder anlaufen können.

  • Praktisch bedeutet das: Notfallpläne, redundante Systeme, getestete Backup- und Wiederherstellungsprozesse.
  • Ziel ist, Ausfallzeiten zu minimieren und die Geschäftskontinuität zu sichern.  

Wichtig ist dabei auch, dass Unternehmen im Rahmen einer Business Impact Analyse (BIA) festlegen, welche Systeme wie schnell (Recovery Time Objective, RTO) wieder verfügbar sein müssen und welche Datenstände (Recovery Point Objective, RPO) kritisch sind. Nur so lassen sich Notfallkonzepte realistisch planen und priorisieren.  

7.4 Physische Sicherheitsüberwachung

Hier fordert die ISO den Schutz kritischer Bereiche durch geeignete Überwachungsmaßnahmen. Das umfasst z. B.:

  • Zutrittskontrollen, Kameras oder Alarmsysteme für Serverräume und Rechenzentren,
  • definierte und dokumentierte Verfahren zur Auswertung und Reaktion auf Vorfälle.  

In der Praxis umfasst das mehr als Kameras – auch Bewegungsmelder, Glasbruchsensoren oder Kontaktmelder können notwendig sein. Entscheidend ist, dass diese Systeme regelmäßig geprüft und manipulationssicher betrieben werden, damit sie im Ernstfall verlässlich funktionieren. Ereignisse aus der physischen Sicherheit sollten in das zentrale Monitoring einfließen (vgl. Beitrag 04 „Bedrohungserkennung und Monitoring“).    

Was bedeutet das für Unternehmen?

5.30 IKT-Bereitschaft für Business Continuity

  • Ein ERP-System ohne getestete Wiederanlaufpläne kann bei einem Stromausfall länger ausfallen.
  • Backups, die zwar geschrieben, aber nie zurückgespielt wurden, sind im Ernstfall nicht belastbar.
  • Auch Mittelständler brauchen daher klare Notfallkonzepte und regelmäßige Tests, nicht nur Konzernstrukturen.  

7.4 Physische Sicherheitsüberwachung

  • Ein Serverraum mit Kameraüberwachung ist wenig wirksam, wenn niemand die Aufzeichnungen prüft oder wenn Speicherdauer & Datenschutz nicht geregelt sind.
  • Zutrittskontrollen scheitern oft daran, dass Schlüssel oder Karten nicht konsequent eingezogen werden, wenn Mitarbeiter ausscheiden.
  • Hier zeigt sich: Physische Sicherheit ist genauso prozessorientiert wie technische IT-Sicherheit.  

Umsetzungsschritte im ISMS

Damit Resilienz und physische Sicherheit wirksam umgesetzt werden, sollten Unternehmen:

  1. Bestandsaufnahme machen: Welche Notfallpläne und Überwachungsmaßnahmen existieren bereits, welche Nachweise fehlen?
  2. Schnittstellen zum Business Continuity Management (BCM) schaffen – gerade relevant, wenn die Organisation nach ISO 22301 arbeiten will.
  3. Übungen und Tests durchführen: Notfallpläne, Wiederanlaufzeiten und Überwachungsprozesse regelmäßig überprüfen.
  4. Datenschutz mitdenken: Überwachung darf nicht zu Konflikten mit DSGVO oder Betriebsvereinbarungen führen.  

Wie unterstützt die dhpg Sie bei der Umsetzung?

Resilienz und physische Sicherheit sind für viele Unternehmen Neuland – oft fehlen Zeit und Ressourcen, um Anforderungen aus ISO 27001/27002 wirksam umzusetzen. Hier setzen wir an:

  • Notfall- und Wiederanlaufkonzepte: Wir entwickeln gemeinsam mit Ihnen praxisnahe Pläne und begleiten Testläufe.
  • Physische Sicherheitsüberwachung: Wir prüfen vorhandene Maßnahmen, beraten zur DSGVO-konformen Umsetzung und unterstützen bei der Integration ins ISMS.
  • Audit-Vorbereitung: Wir sorgen dafür, dass Prozesse dokumentiert und nachweisbar sind – von der Gap-Analyse bis zum Audit.
  • Mehrwert dhpg: Wir verbinden technische Expertise mit unserer Erfahrung als Wirtschaftsprüfer und Berater – das heißt: Informationssicherheit plus rechtliche und regulatorische Absicherung.  

Ausblick – Von der Anforderung zur Umsetzung

Mit Resilienz und physischer Sicherheit schließt sich der Kreis unserer Blogserie: Von Cloud-Nutzung über sichere Entwicklung bis hin zu Monitoring und Notfallvorsorge. Im nächsten Beitrag zeigen wir Ihnen, wie aus all diesen Anforderungen eine umsetzbare ISMS-Roadmap entsteht – und wie ein Praxisbeispiel aus dem Mittelstand aussehen kann.

Ähnliche Beiträge

17. November 2025

ISMS im Wandel: Was die ISO/IEC 27001:2022 für Unternehmen jetzt bedeutet

Cyberangriffe, Datenpassen, Systemausfälle - das sind keine Ausnahmen mehr, sondern tägliche Realität. Angreifer nutzen automatisierte Tools, KI und globale Infrastrukturen. Dabei treffen sie längst nicht nur Großkonzerne.
Cyber Security
IT-Sicherheit
Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Felicitas Kellermann

Certified Information Security Manager (ISACA)

Zum Profil von Felicitas Kellermann

ISMS

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden