ISO 27001 Sicherheitsroboter: Annex-A-Mapping für ISB

ISO 27001 Sicherheitsroboter: warum das Mapping zur Pflicht wird

ISO/IEC 27001:2022 ist die maßgebliche Norm für Informationssicherheits-Managementsysteme. Sie enthält den verbindlichen Annex A mit 93 Controls in vier Themenfeldern: organisatorisch, personell, physisch, technologisch (ISO 27001:2022). Der Block A.7 listet 14 physische Controls (A.7.1 bis A.7.14), die Auditoren bei jedem Re-Zertifizierungsaudit konkret prüfen. Wer hier eine Lücke hat, riskiert Major Non-Conformity.

Patrouillenroboter erzeugen kontinuierliche, manipulationssichere Telemetrie. Track-Logs, Sensorereignisse und Bewegungspfade sind reproduzierbar dokumentiert. Ein menschlicher Wachgänger liefert diese Datenqualität nicht. Wachbücher sind handschriftlich, lückenhaft und oft nachträglich ergänzt.

ISMS-Verantwortliche verlangen ein 1:1-Mapping von Control-Nummer zu technischer Maßnahme. Ohne dieses Mapping bleibt jeder Robotereinsatz Audit-Risiko, weil der Auditor die Wirksamkeit nicht zuordnen kann. Quarero liefert das Mapping als Anhang zum Service Description Document, nicht als Marketing-Beilage. Die Tabelle ist Bestandteil des Vertrags.

Das Mapping ist Voraussetzung für die Anrechnung des Roboters im Statement of Applicability (SoA). Ohne SoA-Eintrag existiert die Maßnahme aus Sicht des ISMS nicht.

Nächster Schritt: QR-2 Außenpatrouille mit Thermalkamera prüfen.

Annex A.7 Physical Controls: das harte Mapping

A.7.1 Physical security perimeters: QR-2 und QR-3 patrouillieren den definierten Perimeter mit GPS-Tracking. Jede Runde wird als Track-Log gespeichert, Zeitstempel und Wegpunktabweichung sind im Bericht sichtbar.

A.7.2 Physical entry: Thermalkamera und Personendetektion erkennen Eindringlinge an Zaun und Tor. Das Event geht innerhalb von 8 Sekunden an die Leitstelle, inklusive Bildanhang und Koordinaten.

A.7.4 Physical security monitoring: 24/7 Live-Stream und ereignisbasierte Aufzeichnung. Retention 90 Tage, Zugriffe protokolliert. Jeder Streaming-Abruf ist im Audit-Log mit User-ID dokumentiert.

A.7.5 Protecting against physical and environmental threats: Der Roboter detektiert Rauch, Temperaturanomalien und Wasserstand. QR-3 für KRITIS mit LiDAR und Drohnenerkennung führt zusätzlich Volumenscans durch, die Veränderungen an Gebäudegeometrie und Lagerbeständen erfassen.

A.7.6 Working in secure areas: Der Roboter ersetzt die menschliche Begehung in Hochsicherheitszonen. Kein Personalrisiko in Sperrbereichen, kein Vier-Augen-Prinzip-Problem bei Nachtschichten.

Was hier nicht abgedeckt ist: A.7.7 Clear desk und A.7.9 Security of assets off-premises. Diese Controls bleiben in der Verantwortung des Kunden. Der Roboter ersetzt nicht das gesamte A.7-Block.

A.8 Technological Controls: der digitale Teil des Roboters

A.8.1 User endpoint devices: Jeder Roboter ist als ISMS-Asset im Inventar geführt. MAC-Adresse, Seriennummer, Firmware-Stand, Standort und Verantwortlicher sind dokumentiert.

A.8.5 Secure authentication: Bedienzugriff via MFA. Keine geteilten Accounts, Session-Logs 12 Monate Retention. Privileged Access wird über separates Konto mit zweitem Faktor abgewickelt.

A.8.9 Configuration management: Golden Image pro Modell, Änderungen über Change Advisory Board. OTA-Updates sind signiert, Hash-Verifikation vor Installation.

A.8.15 Logging: Alle Bewegungen, Detektionen und Befehle in unveränderlichem Log. Hash-Chain pro 24-Stunden-Block, Manipulation wird bei Verifikation sofort sichtbar.

A.8.16 Monitoring activities: SOC-Anbindung über Syslog- oder SIEM-Konnektor. Anomalien (Roboter offline länger als 5 Minuten, untypisches Bewegungsmuster, Authentifizierungsfehler) triggern ein Incident-Ticket.

A.8.24 Use of cryptography: TLS 1.3 für Kommunikation, AES-256 für Speicher. Schlüsselrotation alle 90 Tage, dokumentiert im Krypto-Konzept.

Was im A.8-Block ungelöst bleibt: A.8.28 Secure coding ist Sache des Herstellers. Der Kunde erhält Penetrationstest-Berichte, hat aber keinen direkten Einblick in den Quellcode. Diese Lücke ist im Restrisiko zu dokumentieren.

Statement of Applicability: wie der Roboter dort landet

Pro Control wird die Maßnahme dokumentiert. Beispieltext im SoA: "A.7.4 Physical security monitoring: implementiert durch Quarero QR-2 Patrouille, 4 Runden pro Stunde, Service-ID QR2-2024-0117, Verantwortlicher Werkschutzleiter, Evidence im Telemetrie-Portal."

Das Service Description Document enthält Versionsnummer, Sensorik-Spezifikation, Datenflussdiagramm und Anbieter-Zertifikate (ISO 27001 des Anbieters, C5-Testat des Hosting-Providers). Dieses Dokument liegt dem Auditor vor Beginn der Stage-2-Prüfung vor.

Restrisiko wird quantifiziert: Blinde Flecken durch Topografie, Wetterausfall bei Sturm über 80 km/h, Batteriewechselzeit (12 Minuten autonomes Docking). Diese Werte sind nicht geschönt. Wer sie verschweigt, verliert beim ersten Audit die Glaubwürdigkeit.

Wirksamkeitsmessung über KPI: Mean Time to Detect (MTTD) unter 15 Sekunden, False-Positive-Rate dokumentiert pro Quartal. Beide Werte sind aus dem System exportierbar und Teil des Management-Review-Inputs.

Der Auditor erhält Read-only-Zugriff auf das Telemetrie-Portal während des Audits. Nicht auf Anfrage und nicht über E-Mail-Screenshots. Direkter Zugriff verkürzt die Stichprobenprüfung um Stunden.

Lieferanten-Sicherheit: A.5.19 bis A.5.23

Quarero ist Supplier im Sinne von A.5.19. Der Vertrag enthält Sicherheitsklauseln, eine AVV nach Art. 28 DSGVO und eine offengelegte Subunternehmerliste mit Sitzland und Verarbeitungszweck.

A.5.20 Addressing information security within supplier agreements: SLA mit Verfügbarkeit 99,5 Prozent, Reaktionszeit 4 Stunden bei kritischen Störungen, Pönale-Regelung bei wiederholter Unterschreitung.

A.5.21 Managing information security in the ICT supply chain: SBOM (Software Bill of Materials) für die Roboter-Firmware auf Anfrage. Komponenten von Drittanbietern sind mit Version und Lizenz aufgeführt. CVE-Monitoring durch den Hersteller.

A.5.22 Monitoring, review and change management of supplier services: Vierteljährlicher Service-Review mit dem ISB des Kunden, Protokoll Pflicht. Themen: SLA-Erfüllung, Incidents, Patch-Stand, geplante Änderungen.

A.5.23 Information security for use of cloud services: Hosting in Rechenzentren in Deutschland und der Schweiz mit C5-Testat. Kein Datenexport außerhalb EU/EWR. Vertragsklausel verbietet Subprozessor-Wechsel ohne 30 Tage Vorankündigung.

Für KRITIS-Betreiber ist die Lieferketten-Dokumentation kein optionaler Punkt. Die KritisV definiert Schwellenwerte und Sektoren, für die physische und IT-Schutzmaßnahmen verpflichtend sind. Das BBK ist die zuständige Bundesbehörde für Registrierung und Beratung. Details im Überblick: KRITIS-Anforderungen im Überblick.

Incident Management: A.5.24 bis A.5.28

Roboter-Detektionen werden als Security Events klassifiziert. Eskalationsstufen sind im Runbook festgelegt: Information, Warnung, Alarm, kritisch. Jede Stufe hat eine definierte Reaktion.

A.5.25 Assessment of and decision on information security events: Der Leitstellen-Operator klassifiziert innerhalb von 60 Sekunden. Entscheidungsbaum ist dokumentiert und liegt am Arbeitsplatz vor. Doppelklassifikation bei Stufe Alarm und höher.

A.5.26 Response to information security incidents: Definierte Aktionen je Eventtyp (Drohne, Personenintrusion, Brand, technischer Ausfall) inklusive Polizeibenachrichtigung und interner Eskalationskette.

A.5.27 Learning from information security incidents: Monatliches Lessons-Learned-Meeting. Patrouillenroute und Detection-Schwellen werden angepasst, wenn ein Vorfall eine Lücke aufgezeigt hat. Änderungen sind im Change-Log nachvollziehbar.

A.5.28 Collection of evidence: Video- und Sensorrohdaten forensisch gesichert, Chain of Custody dokumentiert. Hash-Werte der Originaldateien werden bei Übergabe an Strafverfolgungsbehörden im Übergabeprotokoll vermerkt.

Konkretes Beispiel aus der Praxis: Perimeterschutz im Industriepark zeigt, wie eine Drohnen-Detektion durch QR-3 zu einem dokumentierten Incident mit Polizei-Übergabe wurde.

Audit-Vorbereitung: was der ISB konkret braucht

Mapping-Tabelle in Excel oder im ISMS-Tool mit folgenden Spalten: Control-Nummer, Original-Titel, konkrete Maßnahme, Verantwortlicher, Evidence-Pfad, Prüffrequenz, letzter Prüftermin. Diese Tabelle ist der Einstiegspunkt für den Auditor.

Drei Beispiel-Incidents aus dem letzten Quartal mit vollständiger Dokumentation. Der Auditor zieht Stichproben. Wer nur einen Vorfall vorbereitet hat, wirkt selektiv.

Zugriffsprotokoll auf das Telemetrie-Portal der letzten 12 Monate, gefiltert nach administrativen Aktionen: User anlegen, Rolle ändern, Konfiguration ändern, Daten exportieren.

Firmware-Versionshistorie mit Change-Tickets. Patch-SLA ist dokumentiert: kritische CVE unter 14 Tage, hohe CVE unter 30 Tage. Abweichungen mit Begründung im Risikoregister.

Penetrationstest-Bericht des Roboter-Backends, jährlich, durch externen Dienstleister. Findings mit Schweregrad, Maßnahme, Umsetzungstermin und Verifikationsdatum.

Risikoanalyse nach ISO 27005 mit dem Roboter als Asset. Bedrohungskatalog (physische Manipulation, GPS-Spoofing, Funkstörung, Cyberangriff auf Backend) und Restrisikobewertung nach Schadenshöhe und Eintrittswahrscheinlichkeit.

Wer diese sechs Punkte vorbereitet, übersteht das Stage-2-Audit ohne Major Non-Conformity zum Robotereinsatz.

Wirtschaftlicher Effekt: ISMS-Reife steigt, Wachkosten sinken

Ein 24/7-Wachposten kostet 15.000 bis 25.000 Euro monatlich, abhängig von Tarifgruppe, Zuschlägen und Region. Die Personalkostenstruktur ist in der BDSW-Branchenstatistik dokumentiert. Ein QR-2 im RaaS-Modell liegt bei rund 3.500 Euro pro Monat. [Quelle oder interne Preisseite einfügen]

Audit-Aufwand sinkt: Maschinell erzeugte Evidence ersetzt händische Wachbücher. Der ISB spart geschätzt 8 bis 12 Personentage pro Re-Zertifizierung. Stichproben sind digital exportierbar statt aus Papierordnern zusammengesucht werden müssen.

Versicherungsprämien für Cyber- und Sachversicherung sind verhandelbar, wenn ISO 27001 plus Roboter-Monitoring nachgewiesen wird. Die konkreten Rabattsätze hängen vom Versicherer ab, liegen zwischen 5 und 12 Prozent. [Quelle einfügen]

KRITIS-Betreiber erfüllen parallel die Anforderungen aus NIS-2 Art. 21. Die Richtlinie verpflichtet wesentliche und wichtige Einrichtungen zu technischen, operativen und organisatorischen Maßnahmen zum Schutz ihrer Netzwerk- und Informationssysteme. Grundlage: NIS-2 Richtlinie 2022/2555. Doppelnutzen pro Euro RaaS-Gebühr: ISO 27001 Annex A.7/A.8 und NIS-2 Anforderungen Art. 21 werden mit derselben Maßnahme abgedeckt.

ROI-Schwellwert: Das Mapping rechnet sich ab Schicht 2 von 3 ersetzten Posten. Harte Zahlen liefert der TCO-Vergleich klassischer Wachschutz. Wer nur einen Posten ersetzt, zahlt drauf. Wer zwei oder drei Posten ersetzt, finanziert die Roboterlösung aus der Personalkosteneinsparung. Das Modell Robotics-as-a-Service ohne CapEx verschiebt die Ausgabe von Investition zu Betriebskosten, was die Bilanzkennzahlen entlastet.

Konkreter nächster Schritt für den ISB: Service Description Document und Annex-A-Mapping-Tabelle anfordern unter QR-2 Außenpatrouille mit Thermalkamera. Beide Dokumente werden vor Vertragsunterzeichnung geliefert und sind Bestandteil der Anlage zum Hauptvertrag.