3I1 Technisches Konzept

Die Lösung gliedert sich in mehrere funktionale Bereiche und Komponenten.

• Zugangspunkte: An allen kontrollierten Ein- und Ausgängen befinden sich Lesegeräte, biometrische Sensoren (z. B. Fingerabdruck- oder Gesichtserkennungsterminals) oder Tastaturfelder. Diese Geräte prüfen kontaktlose Transponder (RFID/NFC), Chipkarten, PIN-Codes oder biometrische Merkmale auf Gültigkeit. Bei erfolgreicher Authentifizierung öffnet sich die jeweilige Tür; im Falle eines Fehlversuchs erfolgt eine akustische oder visuelle Warnmeldung. Zusätzlich können Drehkreuze oder Schranken an Zufahrten integriert werden, um Fuß- und Fahrzeugzugänge abzusichern.

• Steuereinheiten (Controller): Netzwerkfähige Steuergeräte sind dezentral an den jeweiligen Zugangspunkten installiert. Sie verarbeiten Zugriffsanfragen lokal und kommunizieren verschlüsselt mit dem zentralen Managementserver. Bei Ausfall der Serveranbindung nutzen die Controller zwischengespeicherte Berechtigungsdaten, um die Zutrittskontrolle weiterhin vor Ort sicherzustellen. Die Controller sind mit redundanten Netzwerkverbindungen und Pufferspeicher ausgestattet, um kurzfristige Kommunikationsausfälle abzufangen.

• Schließtechnik und Türhardware: Die Türverriegelung erfolgt über elektromechanische Schlösser, Türöffner (Magnetfallen oder elektromagnetische Türbänder) und zugehörige Gegenfallen. Jeder Türrahmen ist mit Sensoren für Türkontakte (offen/geschlossen) und Riegelsensoren ausgestattet. Diese Komponenten melden kontinuierlich den Türstatus an das System und erkennen Manipulationsversuche oder erzwungene Öffnungen. Türmagnetfallen sind zudem an Notstromversorgungen angeschlossen, sodass sie im Falle eines Stromausfalls automatisch entriegelt werden können.

• Berechtigungs- und Ausweisverwaltung: Das System unterstützt verschiedene Ausweismedien, darunter ISO-konforme Zutrittskarten, RFID-Transponder, mobile Schlüssel (Smartphone-Token) sowie biometrische Merkmale. Zugriffsberechtigungen werden zentral über die Verwaltungssoftware vergeben. Diese können zeitabhängig (z. B. Schichtpläne, Arbeitszeiten) oder ereignisgesteuert (z. B. Besucheranmeldung, Wartungsarbeiten) definiert und bei Bedarf dynamisch angepasst werden. Ein integriertes Rollen- und Rechtemanagement sorgt für eine nach individuellen Aufgaben abgestimmte Vergabe von Zugangsrechten.

• Zentraler Server: Eine redundante Serverarchitektur beherbergt das zentrale Managementsystem und die verschlüsselte Datenbank. Auf diesem Server werden alle Zutrittsrechte, Benutzerprofile und Zutrittsprotokolle sicher gespeichert. Die Serverumgebung umfasst Backup-Lösungen (RAID-Speicher, externe Datensicherungen) sowie eine Hochverfügbarkeits-Konfiguration (Cluster-Setup) zur Aufrechterhaltung des Dauerbetriebs. Die Management-Software erlaubt die zentrale Konfiguration, Rechteverwaltung und das Monitoring aller Systemkomponenten.

• Arbeitsplätze für das Bedienpersonal: In definierten Leitständen (z. B. Empfang, Sicherheitszentrale) befinden sich Arbeitsstationen mit benutzerfreundlicher Software. Über diese Terminals können autorisierte Mitarbeiter Benutzerprofile anlegen, ändern oder sperren, Zugriffsereignisse in Echtzeit überwachen und Alarme bestätigen. Das System unterstützt die Erstellung von Berichten und die lückenlose Dokumentation aller Änderungen sowie Ereignisse. Die Benutzeroberfläche ist übersichtlich gestaltet und ermöglicht eine rollenbasierte Bedienung der Systemfunktionen.

• Verschlüsselte Datenübertragung: Alle Datenübertragungen zwischen Lesegeräten, Controllern und zentraler Server-Software erfolgen über sichere, verschlüsselte Kanäle (z. B. TLS/SSL oder VPN-Tunnel). Dadurch wird sichergestellt, dass sensible Zutrittsdaten und Steuerbefehle nicht abgefangen oder manipuliert werden können.

• Zentrale Datenbank und Protokollierung: Eine zentrale Datenbank speichert Zutrittsprotokolle, Berechtigungsinformationen und Systemkonfigurationen. Jeder Zutrittsversuch, jede Konfigurationsänderung und jeder Alarm wird mit Zeitstempel und Benutzerkennung protokolliert. Die Protokolldaten unterstützen Auditierungen und ermöglichen eine lückenlose Nachverfolgbarkeit aller Systemaktivitäten.

• Systemintegration: Das Zutrittskontrollsystem verfügt über Schnittstellen zu anderen Gebäudesystemen. Beispielsweise können bei einem Zutrittsevent automatisch Videoaufzeichnungen eines CCTV-Systems gestartet werden. Ebenso werden Signale aus der Brandmeldezentrale verarbeitet, um Türen vorrangig zu entriegeln. Bei der Besucherregistrierung wird das Besuchermanagementsystem über temporäre Berechtigungen informiert. Die Architektur ermöglicht zudem die Anbindung an weitere Systeme (z. B. Gebäudeleittechnik, Energiemanagement), um anhand von Zutrittsdaten Auswertungen zum Energieverbrauch und zur Raumnutzung durchzuführen.

• Lokaler Betrieb im Ausfallfall: Im Normalbetrieb validieren die Controller die Zutrittsberechtigungen in Echtzeit gegen die zentrale Datenbank. Fällt die Serververbindung aus, arbeiten die Controller mit lokal zwischengespeicherten Daten weiter. Sie greifen auf zuletzt synchronisierte Berechtigungslisten zurück, um den Betrieb ohne Unterbrechung zu gewährleisten. Nach Wiederherstellung der Verbindung werden alle lokal erfassten Ereignisse in die zentrale Datenbank synchronisiert.

• Netzwerkstruktur und Segmentierung: Alle Zutrittskontrollgeräte und Serverkomponenten werden in einem abgesicherten Netzwerksegment betrieben. Dies umfasst separate VLANs oder dedizierte IP-Bereiche, die über Firewalls und gesicherte Switches voneinander getrennt sind. Kritische Verbindungen (z. B. zwischen Lesegeräten und Controllern oder zwischen Controllern und Servern) verwenden ausschließlich private und verschlüsselte IP-Netzwerke. Verbindungen sind nur zu autorisierten Infrastrukturdiensten (z. B. NTP, DNS, LDAP) gestattet.

• Ausfallsicherheit: Es werden redundante Netzwerkverbindungen (z. B. Dual-WAN oder ringförmige Topologie) eingesetzt, um einzelne Ausfälle zu überbrücken. Für den Fall eines Ausfalls der zentralen Datenbank greifen die lokalen Controller auf zwischengespeicherte Berechtigungsdaten zurück. Zudem sind unterbrechungsfreie Stromversorgungen (USV) für Server und Controller vorgesehen. Kritische Serverkomponenten sind in Cluster-Konfiguration ausgelegt, um eine hohe Betriebssicherheit zu gewährleisten.

• Fernzugriff: Administrativer Zugriff auf das System erfolgt ausschließlich über ein abgesichertes virtuelles privates Netz (VPN). Berechtigte Administratoren müssen sich zusätzlich per Mehrfaktor-Authentifizierung (z. B. Hardware-Token oder Smartphone-App) identifizieren. Jeder Fernzugriff wird protokolliert. Direkter Zugriff aus unsicheren öffentlichen Netzen ohne VPN ist ausgeschlossen.

• Redundanz und Backup: Wichtige Systemkomponenten wie Server, Datenspeicher und Netzteile sind redundant ausgelegt. Backup-Systeme gleichen sich automatisch ab, und wichtige Daten werden regelmäßig extern gesichert. Durch Cluster-Setups und Hot-Spare-Funktionalität wird ein nahezu unterbrechungsfreier Betrieb ermöglicht. Zudem sorgen automatische Neustarts nach Stromausfällen und regelmäßige Datensicherungsroutinen dafür, dass Systemzustände schnell wiederherstellbar sind.

• Videoüberwachung (CCTV): Das Zutrittskontrollsystem ist mit dem CCTV-System verknüpft. Bei jedem berechtigten Zutritt kann die zugehörige Kamera automatisch aktiviert und das Videomaterial gespeichert werden. Bei einem unberechtigten Zutrittsversuch oder einem Alarm werden automatisch Videoaufzeichnungen mehrerer Kameras gestartet, um den Vorfall lückenlos zu dokumentieren. So lässt sich jeder Öffnungsvorgang visuell nachvollziehen, was die Sicherheit und Nachvollziehbarkeit deutlich erhöht.

• Brandmelde- und Alarmanlagen: Im Alarmfall (z. B. Feuer- oder Schadstoffalarm) werden automatisch alle betroffenen Türen entriegelt bzw. auf Notfallöffnung geschaltet, um Flucht- und Rettungswege freizugeben. Gleichzeitig erhält die Zutrittskontrolle Signale der Brandmeldezentrale, sodass sichergestellt ist, dass keine sicherheitsrelevanten Fluchttüren versehentlich verschlossen sind. Die Auslösung wird in der Systemhierarchie priorisiert behandelt, um maximale Sicherheit zu gewährleisten.

• Besuchermanagement: Für externe Besucher oder Lieferanten kann das System zeitlich begrenzte Zutrittsausweise ausgeben. Empfangspersonal oder Sicherheitskräfte registrieren Besucherdaten (Name, Zweck, voraussichtliche Aufenthaltsdauer) im Besuchermanagementsystem. Anschließend wird automatisch ein temporärer Berechtigungscode (z. B. Einmal-PIN oder Besucherausweis) im Zutrittskontrollsystem angelegt. Jeder Ein- und Ausgang von Besuchern wird protokolliert; zum Ende des Besuchs wird die Berechtigung deaktiviert.

• Gebäudemanagementsystem (BMS): Über definierte Schnittstellen kann das Zutrittskontrollsystem an das Gebäudeleitsystem angebunden werden. Aus den Zutrittsdaten lassen sich Rückschlüsse auf Raumnutzung und Belegung ziehen. Beispielsweise kann das Klimasystem aktiviert werden, sobald Personen einen Raum betreten (Energieeinsparung durch bedarfsabhängige Steuerung). Umgekehrt kann das Zutrittskontrollsystem Statusmeldungen aus dem BMS (z. B. Wartungsmodus, Raumtemperatur) zur automatischen Anpassung der Zutrittsregeln verwenden.

• Verschlüsselte Kommunikation: Alle Datenübertragungen (Zugangsberechtigungen, Protokollinformationen) sind durchgängig Ende-zu-Ende verschlüsselt. Sowohl die Kommunikation zwischen Geräten als auch die Speicherung in der Datenbank erfolgt mit aktuellen Kryptoverfahren (z. B. TLS 1.3, AES). Dadurch wird ein höchstmöglicher Schutz gegen Abhören, Manipulation und Datenklau gewährleistet.

• Rollen- und Rechtekonzept: Ein granular abgestuftes Rollen- und Berechtigungssystem stellt sicher, dass nur autorisiertes Personal bestimmte Funktionen ausführen kann. Zugriff auf Systemkonfiguration, Benutzerverwaltung, Protokollauswertung und Alarmbearbeitung erfolgt jeweils nur im Rahmen der zugewiesenen Rolle. Änderungen der Rollenprofile werden protokolliert, um Missbrauch vorzubeugen.

• DSGVO-konforme Datenverwaltung: Die Verarbeitung personenbezogener Daten (Zutrittsprofile, Ausweisdaten) entspricht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Es werden nur notwendige Daten gespeichert, und Löschfristen sind definiert (z. B. automatische Löschung veralteter Zutrittsberechtigungen). Jeder Datenzugriff wird protokolliert, um Datenschutz und Rückverfolgbarkeit zu garantieren.

• Audit-Trails und Protokollierung: Jeder Zutrittsversuch, jede Systemänderung und jeder Alarmfall wird in einem revisionssicheren Log festgehalten. Das System unterstützt den Export und die Auswertung dieser Protokolle für interne und externe Audits. Warnungen bei ungewöhnlichen Zugriffsmustern (z. B. mehrfache Fehlschläge) können automatisch generiert und an die Sicherheitsverantwortlichen gemeldet werden.

• Zertifizierte Komponenten: Alle eingesetzten Hardware- und Softwarekomponenten sind nach aktuellen CE-/EN-Normen zertifiziert und erfüllen die Anforderungen an elektromagnetische Verträglichkeit (EMV) sowie Betriebssicherheit. Die verwendete Ausrüstung ist für industrielle Umgebungen ausgelegt und für den Dauerbetrieb geeignet.

• Regelmäßige Updates und Patch-Management: Das System wird regelmäßig mit aktuellen Firmware- und Software-Updates versorgt. Sicherheitsrelevante Patches werden umgehend eingespielt und dokumentiert. Ein strukturierter Change-Management-Prozess stellt sicher, dass alle Updates vorab getestet werden und die Systemstabilität erhalten bleibt.

Ein schematisches Systemarchitekturdiagramm befindet sich im Anhang dieses Angebots. Es zeigt die Vernetzung der Leser, Controller, Server und Schnittstellen zu CCTV, Brandmeldeanlage sowie Besuchersystemen. Die Darstellung verdeutlicht Kommunikationswege und Integrationspunkte der vorgeschlagenen Lösung.

• Regelmäßige Sicherheitstests: Es werden periodische Penetrationstests und Schwachstellenanalysen durchgeführt, um die Systemintegrität zu überprüfen. Die Erkenntnisse aus diesen Tests fließen in ein kontinuierliches Verbesserungsprogramm ein. So können potenzielle Sicherheitslücken frühzeitig geschlossen werden.

• Zertifizierte Installationsstandards: Die Installation und Inbetriebnahme erfolgen nach dokumentierten Prozessen und Leitlinien (Herstelleranweisungen, VDE-Vorschriften). Alle Tätigkeiten werden in Bauakten protokolliert. Nach Abschluss wird eine Abnahmeprüfung durchgeführt, um die korrekte Installation und Funktion aller Komponenten zu bestätigen.

• Wartung und Support: Ein umfassendes Wartungs- und Supportkonzept gewährleistet regelmäßige Systemupdates und schnelle Fehlerbehebungen. Ersatzteile (z. B. Schließzylinder, Controller) werden bevorratet, um Ausfallzeiten zu minimieren. Bei Bedarf kann auf einen 24/7-Support zurückgegriffen werden, der vordefinierte Reaktions- und Behebungszeiten (Service-Level-Agreements) einhält.

• Dokumentation und Schulung: Zum Projektabschluss wird umfangreiche Dokumentation übergeben, inklusive Schaltplänen, Konfigurationsbeschreibungen und Bedienungsanleitungen. Das technische Personal wird geschult, um den Betrieb des Systems zu gewährleisten. Mitarbeiter der Sicherheitsabteilung erhalten spezifische Einweisungen in Alarmprotokolle und Auswertungswerkzeuge.

• Modularer und zukunftssicherer Aufbau: Die Architektur ist modular gestaltet, sodass künftige Erweiterungen (z. B. zusätzliche Eingangsbereiche, neue Ausweisarten) problemlos integriert werden können. Standardisierte Schnittstellen (APIs) ermöglichen die Integration neuer Technologien (z. B. Mobile Credentials, IoT-basierte Zutrittslösungen). Dadurch bleibt das System auch langfristig anpassbar.

Hiermit bestätigt der Unterzeichnende, dass das vorgelegte technische Konzept für das Zugangskontrollsystem alle Ausschreibungsanforderungen erfüllt. Die vorgeschlagene Architektur gewährleistet die Einhaltung deutscher und europäischer Normen sowie betriebswirtschaftlicher und sicherheitstechnischer Vorgaben im Facility Management.

Ort, Datum: _______________________

Name des Unterzeichners: __________________________

Position: ________________________

Unterschrift: _______________________

Firmenstempel: ___________________