3I5 Business-Continuity-Plan (BCP)

Im Rahmen einer detaillierten Risikoanalyse wurden sämtliche potenziellen Störfälle ermittelt, die die Verfügbarkeit oder Integrität des Zutrittskontrollsystems gefährden können. Diese Betrachtung berücksichtigt neben den physischen und technischen Gefahrenlagen auch organisatorische und personelle Aspekte.

• Stromausfall: Unterbrechung der elektrischen Versorgung von Controllern, Lesern und Servern kann zu Totalausfällen führen.

• Hardware- oder Softwarefehler: Ausfall von Controllern, Lesegeräten, Servern oder Systemsoftware aufgrund technischer Defekte oder Fehlfunktionen.

• Cyberangriffe und Datenkorruption: Malware, Ransomware oder gezielte Angriffe können Zugriffswege blockieren, Daten beschädigen oder manipulieren.

• Naturereignisse und physische Schäden: Einwirkungen wie Brände, Überschwemmungen, Sturm oder Vandalismus können Komponenten des Systems beschädigen oder unzugänglich machen.

• Kommunikationsstörungen: Unterbrochene Netzwerkverbindungen, fehlende Internetanbindung oder Ausfall von Telekommunikationsleitungen beeinträchtigen die Systemfunktion.

• Menschliches Versagen: Bedienungsfehler, falsche Konfiguration oder Nichteinhaltung von Prozessen können zu Systemschwächen oder Ausfällen führen.

• Lieferkettenprobleme: Verzögerungen oder Nichtverfügbarkeit von Ersatzteilen und Softwarelizenzen können zeitgerechte Reparaturen oder Wiederherstellungen behindern.

Jedes dieser Risiken wird mit spezifischen Gegenmaßnahmen und Szenarioplänen adressiert, um die Systemresilienz so hoch wie möglich zu halten und im Ernstfall beherrschbare Abläufe zu gewährleisten.

Das Zutrittskontrollsystem unterstützt verschiedene kritische Sicherheitsfunktionen.

• Personenidentifikation an Ein- und Ausgängen: Authentifizierung über Ausweise (Badge) oder biometrische Verfahren, um den Zugang zu kontrollierten Bereichen zu gewährleisten.

• Tür- und Torsteuerung: Scharf-/Unscharfschaltung und Ansteuerung von Türen, Toren und Schranken, um autorisierte Zugänge zu ermöglichen und unbefugte Zugriffe zu verhindern.

• Protokollierung und Berichtswesen: Erfassung aller Zutrittsereignisse sowie Erstellung von Audit-Trails und Berichten für Sicherheitsüberprüfungen und spätere Analysen.

• Schnittstellen zu Alarm- und Videoüberwachungssystemen: Integration mit Brandmeldeanlagen, Videoüberwachung (CCTV) und anderen sicherheitsrelevanten Systemen, um im Alarmfall koordinierte Reaktionen zu ermöglichen.

Der Betrieb dieser Funktionen muss auch in Ausnahmesituationen gewährleistet sein, um die Gebäudesicherheit jederzeit aufrechtzuerhalten.

• Stromversorgungssicherheit: Einrichtung von unterbrechungsfreien Stromversorgungen (USV) für alle kritischen Komponenten sowie die Bereitstellung eines Notstromaggregats. Zusätzlich sind redundante Stromkreise und Überspannungsschutz vorgesehen, um elektrische Störungen abzufangen.

• Redundante Hardware und Infrastruktur: Einsatz von doppelten Servern und Speichersystemen, Spiegelung der Datenbank (Failover-Cluster) und Cloud-Backup-Dienste. Essentielle Netzwerkkomponenten (Switches, Router) sind mehrfach vorhanden, um bei Ausfall eines Geräts den Betrieb zu erhalten.

• Netzwerksicherheit und Remote-Zugriff: Aufbau eines gesicherten, verschlüsselten VPN-Zugangs zu den Systemen, um den Zugriff auf Wartungs- und Backup-Ressourcen auch bei lokalen Störungen zu ermöglichen. Firewall- und Intrusion-Prevention-Systeme schützen die Kommunikation vor unbefugtem Zugriff.

• Regelmäßige Wartung und Updates: Geplante Wartungen für Hardware, Firmware- und Softwarekomponenten werden termingerecht durchgeführt. Sicherheitsupdates und Patches werden zeitnah eingespielt, um bekannte Schwachstellen zu schließen.

• Schulung und Sensibilisierung: Mitarbeiterschulungen in Notfallprozessen und regelmäßig stattfindende Sicherheitstrainings sorgen dafür, dass alle Beteiligten auf Störungen reagieren können. Awareness-Maßnahmen erhöhen die Aufmerksamkeit gegenüber potenziellen Sicherheitsbedrohungen.

• Physische Sicherheitsmaßnahmen: Die Zutrittskontrollgeräte (Leser, Controller, Serverräume) sind vor physischem Zugriff durch Unbefugte geschützt (z. B. verschlossene Serverschränke, gesicherte Leitungswege). Brandschutzvorrichtungen und Klimatisierung sichern die Funktion der Hardware.

Diese präventiven Maßnahmen minimieren die Eintrittswahrscheinlichkeit von Störfällen und bilden eine verlässliche technische sowie organisatorische Grundlage für die Verfügbarkeit des Systems.

• Datensicherung: Tägliche, automatisierte Backups der Zutrittskontrolldatenbank und der Systemkonfiguration in verschlüsselter Form. Kopien der Backups werden sowohl auf lokalen Speichermedien als auch auf einem externen, gesicherten Server (z. B. Cloud-Dienst oder externer Standort) abgelegt.

• Wiederherstellungstests: Regelmäßige, mindestens vierteljährliche Tests der Backups durch Simulationswiederherstellungen, um die Integrität und Verwertbarkeit der gesicherten Daten sicherzustellen. Dokumentierte Testläufe belegen die Funktionsfähigkeit der Wiederherstellungsprozesse.

• Versionierung und Archivierung: Historische Backup-Versionen werden über einen definierten Zeitraum aufbewahrt, um auch bei schleichender Datenkorruption auf ältere, unveränderte Datenstände zurückgreifen zu können.

• Zugriffsschutz: Backups sind gegen unbefugte Einsicht oder Änderung geschützt. Der Zugriff auf Backup-Speicher erfolgt nur über kontrollierte, verschlüsselte Verbindungen und mittels starker Authentifizierung.

Im Störfall ermöglicht dieser Backup-Ansatz eine zügige Wiederherstellung der Systemfunktion mit minimalem Datenverlust.

• Erstreaktion: Der interne Service Desk nimmt Störmeldungen unmittelbar entgegen und bewertet die Situation. Bereits in dieser Phase wird versucht, die Ursache zu identifizieren und erste Sofortmaßnahmen einzuleiten.

• Eskalationsstufen: Bei kritischen Vorfällen informiert der Service Desk unverzüglich die zuständigen Ingenieure und gegebenenfalls den technischen Leiter des Auftragnehmers. Ein klarer Eskalationsplan stellt sicher, dass bei Bedarf Fachpersonal verschiedener Bereiche (IT, Elektrotechnik, Sicherheitstechnik) hinzugerufen wird.

• Kommunikation: Alle relevanten Stakeholder – inklusive Facility Management des Auftraggebers, Sicherheitsdienst und gegebenenfalls Behörden – werden entsprechend der Schwere des Vorfalls informiert. Kommunikationswege (Telefonkette, E-Mail, Alarmpläne) sind vorbereitet, um zügig und geordnet zu informieren.

• Wiederherstellungszeiten: Es gelten definierte Zielwerte für die Wiederherstellungszeiten: Die Recovery Time Objective (RTO) für kritische Systemfunktionen liegt bei maximal 8 Stunden. Die Recovery Point Objective (RPO) ist auf maximal 24 Stunden festgelegt, d. h. es dürfen nicht mehr als 24 Stunden an Datenverlust auftreten. Diese Vorgaben ermöglichen eine schnelle Wiederaufnahme des Regelbetriebs.

• Detaillierter Wiederanlaufplan: Für unterschiedliche Szenarien (z. B. Totalausfall einer Servereinheit, Kompromittierung durch Malware) bestehen schriftliche Ablaufpläne, die Schritt für Schritt den Weg zur Systemwiederherstellung aufzeigen. Diese Pläne enthalten Checklisten, Verantwortliche, benötigte Ressourcen und Eskalationskriterien.

Durch dieses strukturierte Incident-Management wird sichergestellt, dass Störungen effizient behoben und die Zutrittskontrolle schnellstmöglich wieder vollumfänglich bereitgestellt werden kann.

• Notfallentriegelung: Türen und Tore, die normal elektronisch gesteuert werden, sind mit mechanischen Notentriegelungen und -schlössern ausgestattet, die im Alarmfall oder bei Systemausfall die sichere Evakuierung oder Zutrittskontrolle ermöglichen. Diese Systeme entsprechen den geltenden Vorschriften (z. B. Brandschutz-Auflagen).

• Manuelle Zugangskontrolle: Ausweisprüfungen können vorübergehend durch Sicherheitskräfte oder autorisierte Mitarbeiter manuell durchgeführt werden. Dazu stehen Listen mit berechtigten Personen bereit. Alle manuellen Einträge werden nach Normalbetrieb in das System übertragen.

• Dokumentation: Jede manuelle Zutrittsprüfung sowie alle relevanten Störungen und Maßnahmen werden sorgfältig dokumentiert und zeitnah in das digitale System eingepflegt, sobald es wieder verfügbar ist. Dadurch geht keine sicherheitsrelevante Information verloren.

• Übergangsprozesse: Es existiert ein definierter Ablauf, wie lange manuelle Prozesse maximal eingesetzt werden dürfen und wann ein Rückfall in den Regelfall erfolgt. Dieser Übergang wird überwacht, um Unsicherheiten im Sicherheitsbetrieb zu vermeiden.

Diese Protokolle garantieren, dass auch bei einem Komplettausfall des elektronischen Systems die Sicherheit und Nachvollziehbarkeit der Zutritte gewahrt bleibt.

Die klaren Rollen und Zuständigkeiten in diesem Plan stellen sicher, dass im Krisenfall koordinierte Maßnahmen umgesetzt werden.

• Auftragnehmer (Systemintegrator): Verantwortlich für die gesamte technische Umsetzung und Koordination des BCP. Hierzu zählen die Wiederherstellung des Systems nach Ausfällen, die Sicherstellung der Datenintegrität, die Vorhaltung von Ersatzteilen, Leihgeräten und Handbüchern sowie die Bereitstellung von geschultem Fachpersonal für den Notfall. Der Auftragnehmer organisiert die Kommunikation mit den Herstellern der Hardware/Software, koordiniert erforderliche Lieferungen und stellt die Erreichbarkeit von Support-Teams rund um die Uhr sicher.

• Facility Management des Auftraggebers: Zuständig für die Koordination zwischen den internen Fachbereichen des Auftraggebers und dem Auftragnehmer. Das Facility Management informiert alle betroffenen Abteilungen über den Störfall und unterstützt bei Genehmigungen oder bei der Bereitstellung von Ressourcen (z. B. Zugang zu Serverräumen oder Ersatzstrom).

• Sicherheitsdienst und interne Abteilungen: Sicherheitspersonal und ggf. hausinterne IT- oder Krisenmanagement-Abteilungen des Auftraggebers folgen den Anweisungen im BCP und unterstützen die Umsetzung der Notfallprozesse (z. B. manuelle Zugangskontrolle, Benachrichtigung von Krisenstäben).

• Subunternehmer: Alle Subunternehmer des Auftragnehmers, die Leistungen im Zusammenhang mit dem Zutrittskontrollsystem erbringen, sind verpflichtet, die Vorgaben dieses BCP einzuhalten und den Auftragnehmer im Störfall aktiv zu unterstützen. Sie informieren den Auftragnehmer unverzüglich über jegliche Störungen in ihren Teilbereichen und stehen für erforderliche Reparatur- oder Wiederherstellungsarbeiten bereit.

Durch klare Aufgabenverteilung und Eskalationswege ist sichergestellt, dass im Notfall jede beteiligte Organisationseinheit ihre Pflichten kennt und entsprechend handelt.

• Jährliche Notfallübungen: Mindestens einmal jährlich führt der Auftragnehmer gemeinsam mit dem Auftraggeber bzw. dessen Facility Management eine Störfallübung durch. Dabei werden realistische Szenarien (z. B. Hardwareausfall, Stromausfall oder Cyberangriff) simuliert, um Abläufe zu testen und Schwachstellen aufzudecken.

• Nachbereitung (Post-Mortem): Nach jeder Störung oder Übung erfolgt eine detaillierte Analyse des Ablaufs. Erfahrene Fachleute werten abgelaufene Maßnahmen aus, dokumentieren Verbesserungspotenziale und leiten erforderliche Anpassungen des BCP ein.

• Anpassung an neue Anforderungen: Technische Veränderungen (z. B. Systemerweiterungen, Softwareupdates) oder geänderte gesetzliche Anforderungen führen zu zeitnahen Aktualisierungen des Plans. Bei neuen Softwareversionen, geänderter Infrastruktur oder aktualisierten rechtlichen Vorgaben werden Backup- und Wiederherstellungsverfahren sowie Verantwortlichkeiten überprüft und angepasst.

• Versionierung und Freigabeprozess: Jede Änderung am BCP wird versioniert und durch eine verantwortliche Stelle freigegeben. Die jeweils aktuelle Dokumentversion ist sowohl beim Auftragnehmer als auch beim Auftraggeber hinterlegt.

• Kontinuierliche Überwachung von Risiken: Durch regelmäßige Risikoanalysen bleiben neue Bedrohungen (z. B. neue Cyberangriffe, Schadensszenarien, technologische Entwicklungen) im Blick. Der BCP wird proaktiv angepasst, um auf veränderte Risiken angemessen reagieren zu können.

Dieser kontinuierliche Verbesserungsprozess stellt sicher, dass der BCP stets den aktuellen Anforderungen entspricht und die Resilienz der Zutrittskontrolllösung weiter gesteigert wird.

• Vorfall- und Protokollaufzeichnung: Jeder Störfall, jede ergriffene Maßnahme sowie Wiederanlaufzeiten werden detailliert dokumentiert. Diese Aufzeichnungen erlauben eine lückenlose Nachverfolgung und dienen als Grundlage für Reporting und Audits.

• Regelmäßige Berichte: Der Auftragnehmer erstellt in vereinbarten Intervallen Reports über den Zustand des Systems, Testergebnisse der Backups, durchgeführte Übungen und ggf. aufgetretene Störungen. Diese Berichte werden dem Auftraggeber zur Verfügung gestellt.

• Zugriff für Audits: Alle relevanten Dokumente, Protokolle und Checklisten werden systematisch archiviert. Auf Verlangen erhält der Auftraggeber Einsicht oder Kopien dieser Unterlagen, um die BCP-Konformität zu überprüfen.

• Überprüfung und Aktualisierung: Das BCP-Dokument selbst wird mindestens einmal jährlich durch den Auftragnehmer überprüft und bei Bedarf angepasst. Aktualisierungen werden dem Auftraggeber in schriftlicher Form mitgeteilt.

Durch umfassende Dokumentation und klare Berichtsroutinen wird die Einhaltung des Plans nachgewiesen und eine Grundlage für nachhaltige Verbesserungen geschaffen.

Der Unterzeichnete bestätigt hiermit, dass der Auftragnehmer einen vollständigen Business Continuity Plan bereitstellt, der die kontinuierliche Verfügbarkeit des Zutrittskontrollsystems sicherstellt. Der Plan beinhaltet präventive, korrektive und Wiederanlaufmaßnahmen und entspricht allen einschlägigen Anforderungen des Facility Managements sowie den vertraglichen Vorgaben.

Ort: ________________________

Datum: ________________________

Autorisierter Unterzeichner: ________________________

Name: ________________________

Position: ________________________

Unterschrift: ________________________

Firmenstempel: ________________________