3I6 Cybersicherheitskonzept

Die Zutrittskontrollsystem-Daten enthalten vertrauliche Informationen wie Mitarbeiterstammdaten, biometrische Templates und detaillierte Zutrittsprotokolle. Zur Sicherung der Datenspeicherung setzt der Auftragnehmer folgende Maßnahmen um:

• Verschlüsselte Datenspeicherung: Alle Datenbanken, in denen persönliche Zutrittsdaten, Protokolle und Logdaten abgelegt sind, werden mittels starker Verschlüsselungsverfahren (mindestens AES-256) geschützt. Auch Datensicherungen (Backups) werden bei Erstellung direkt verschlüsselt, um sie gegen unbefugtes Auslesen zu sichern.

• Sichere Infrastruktur: Die Datenbankserver befinden sich in einem gesicherten Netzwerksegment, getrennt von weniger geschützten Bereichen. Physikalisch sind sie in abschließbaren, überwachten Serverräumen oder Racks untergebracht (Rechenzentrum). Unberechtigte Zugriffe auf die Hardware werden durch Zutrittskontrollsysteme, gesicherte Schränke und Videoüberwachung verhindert.

• Zonierung und Netzwerksegmentierung: Innerhalb der Netzwerkinfrastruktur sind separate Sicherheitszonen definiert. Die Zutrittskontrolldatenbank ist in einer eigenen Zone (z. B. Administrative Zone) platziert, in der nur definierte Systeme und Dienste kommunizieren dürfen. Netzwerkfirewalls und VLANs verhindern unautorisierte Verbindungen in dieses Segment.

• Trennung von Personal- und Systemdaten: Personenbezogene Zutrittsdaten (Namen, Kennungen, biometrische Templates) werden logisch von Systemdaten (Serverkonfiguration, Software, Logs) getrennt gespeichert. Es existieren unterschiedliche Datenbanken bzw. Datenbanktabellen, so dass Zugriff nur nach dem Need-to-Know-Prinzip erfolgt.

• Integritätsschutz: Methoden wie digitale Signaturen, kryptographische Hashfunktionen oder Datenbank-Checksummen werden eingesetzt, um Manipulationen an gespeicherten Daten zu erkennen. Regelmäßige Integritätsprüfungen (Skripte oder Datenbank-Tools) stellen sicher, dass die Daten nicht unbemerkt verändert wurden.

• Dokumentierte Datenaufbewahrung: Die Aufbewahrung der Daten erfolgt gemäß den gesetzlichen und betrieblichen Vorgaben. Altdaten (z. B. bei ausscheidenden Mitarbeitern oder temporären Zutrittskonten) werden nach Ablauf definierter Fristen revisionssicher gelöscht oder anonymisiert.

• Isolierte Test- und Produktivumgebung: Entwicklungs- und Testsysteme sind von der Produktivumgebung getrennt. Kopien der Produktionsdaten werden nur in speziell abgesicherten Testumgebungen genutzt, niemals direkt auf Produktivdatenbanken.

• Backup- und Snapshot-Schutz: Datenbanksnapshots und Abbilddateien werden ebenfalls verschlüsselt und auf sicheren Systemen aufbewahrt. Temporäre Kopien (z. B. vor Updates oder Konfigurationsänderungen) unterliegen denselben Schutzmaßnahmen.

Strenge Zugriffskontrollen stellen sicher, dass nur autorisiertes Personal die Datenbanken lesen oder ändern kann:

• Rollenbasierte Berechtigung: Zugriffskonten werden nach Rollen (z. B. Datenbank-Administrator, Operator, Auditanalyst) strukturiert. Jeder Rolle sind nur die minimal notwendigen Rechte zugewiesen (Least Privilege). Administratoren sind in Haupt- und Notfall-Administratoren getrennt, um Risikokonzentrationen zu vermeiden.

• Mehrstufige Authentifizierung: Für alle privilegierten Zugänge (Server- oder Datenbankadministratoren) ist eine Mehrfaktor-Authentifizierung (MFA) verpflichtend. Dies erfolgt z. B. durch Kombination aus Passwort, Hardware-Token und biometrischem Faktor.

• Regelmäßige Rechteüberprüfung: Berechtigungen und Konten werden in festgelegten Intervallen (z. B. vierteljährlich) auf Gültigkeit geprüft. Unnötige oder verwaiste Konten werden gesperrt bzw. gelöscht. Personalwechsel oder Rollenänderungen führen zu sofortiger Anpassung der Zugriffsrechte.

• Session- und Passwortsicherheit: Nach einer definierten Inaktivitätszeit erfolgt automatisch eine Abmeldung von Administrationssessions. Es werden starke Passwortvorgaben umgesetzt (Komplexität, Mindestlänge, regelmäßiger Wechsel). Nach mehreren Fehlversuchen wird ein Konto temporär gesperrt.

• Auditierung und Protokollierung: Jede Anmeldung, jede Änderung von Rechten sowie jeder Zugriff auf sicherheitskritische Daten wird lückenlos protokolliert (Datum, Uhrzeit, Benutzer, Aktion). Diese Audit-Logs sind gegen nachträgliche Änderung gesichert (z. B. mittels WORM-Speicher) und können vom Auftraggeber überprüft werden.

• Notfallzugangskonzept: Für den Fall, dass kein regulärer Administrator erreichbar ist, existiert ein definierter Notfallzugang, der nur unter besonderen Voraussetzungen (z. B. mehrstufige Freigabe durch Führungspersonen) aktiviert werden kann. Auch dieser Zugang ist umfassend dokumentiert und wird regelmäßig überprüft.

Die Netzwerkinfrastruktur des Zutrittskontrollsystems wird durch eine mehrschichtige Absicherung vor unbefugten Zugriffen geschützt:

• Verschlüsselte Kommunikation: Der Datenaustausch zwischen Zutrittslesern, Controllern und Servern erfolgt durchgehend verschlüsselt (mindestens TLS 1.2 oder höher, alternativ IPsec). Auch alle Fernwartungsverbindungen (VPN, SSH, RDP) nutzen starke Verschlüsselungsverfahren. Drahtlose Verbindungen (WLAN) sind nach aktuellen Sicherheitsstandards (z. B. WPA3) konfiguriert.

• Firewalls und Netzwerksegmentierung: Firewalls kontrollieren den Datenverkehr zwischen verschiedenen Sicherheitszonen. Es werden nur notwendige Netzwerkdienste in jedem Segment zugelassen. Netzwerkzugriffe sind auf definierte Ports und Protokolle beschränkt (z. B. HTTPS, IPsec-VPN). Durch die logische Aufteilung in VLANs wird verhindert, dass sich Angreifer unkontrolliert seitlich im Netzwerk bewegen können.

• Intrusion-Detection- und Prevention-Systeme: Alle Netzwerksegmente und Server werden durch IDS/IPS überwacht. Signaturbasierte und verhaltensbasierte Analysen erkennen Angriffsversuche (z. B. Port-Scans, Brute-Force-Angriffe, Malware-Traffic) frühzeitig. Verdächtige Aktivitäten lösen Warnungen aus; bei Bedarf blockiert das IPS automatisch bekannte Bedrohungen.

• Separate Subnetze: Das Zutrittskontrollsystem wird vollständig von anderen IT-Netzen isoliert betrieben. Eigene VLANs/Netzwerke für Zutrittsleser, Zutrittscontroller und CCTV-Überwachung verhindern seitliche Angriffe. Auch existierende Produktions- oder industrielle Netzwerke sind getrennt angebunden, um eine mögliche Gefährdung dieser Systeme auszuschließen.

• Physische Netzwerksicherheit: Kritische Netzwerkkomponenten (Core-Switches, Router, Patchfelder) sind in abschließbaren, überwachten Schränken oder Serverräumen untergebracht. Nur autorisiertes Personal hat physischen Zugriff. Leitungswege (Kabel, Kabelkanäle) sind gesichert, um Manipulation zu verhindern.

• Sicherheit der Netzwerkdienste: Nicht benötigte Netzwerkdienste an allen Geräten werden deaktiviert. Management-Schnittstellen sind nur lokal oder über gesicherte VPN-Verbindungen erreichbar. Netzwerkgeräte verwenden nur aktuelle Firmware mit behobenen bekannten Sicherheitslücken.

Alle Endgeräte im Zutrittskontrollsystem (Operator-Workstations, Bedienkonsolen, mobile Servicegeräte, Server) unterliegen strengen Sicherheitsvorkehrungen:

• Sichere Konfiguration: Auf allen Endgeräten werden Standardpasswörter entfernt. Betriebssysteme und Softwareanwendungen sind nach Best-Practices gehärtet, unnötige Dienste sind deaktiviert und lokale Firewalls sind aktiviert. BIOS- oder UEFI-Passwörter werden eingesetzt, um unautorisiertes Booten zu verhindern.

• Schutzsoftware: Jedes Endgerät ist mit aktueller Antivirus- und Endpoint-Protection-Software ausgestattet, die signaturbasierte und verhaltensbasierte Bedrohungen erkennt. Signaturdatenbanken und Sicherheitsupdates werden automatisch aktualisiert. Eine Endpoint-Detection-&-Response-Komponente (EDR) ergänzt die Erkennungsmethoden, um auch neuartige Angriffe zu identifizieren.

• Patch-Management: Sicherheitsrelevante Updates für Betriebssysteme und Anwendungen werden zeitnah eingespielt. Ein formaler Patch-Management-Prozess sorgt dafür, dass Updates zuerst in einer Testumgebung geprüft werden, bevor sie produktiv umgesetzt werden. Kritische Patches (Zero-Day-Fixes) werden nach Möglichkeit innerhalb von 24 Stunden ausgerollt.

• Kontrolle von Zugriffsports: An Bedienterminals und öffentlichen Arbeitsplätzen sind Bildschirmschoner mit kurzem Inaktivitätstimeout aktiviert. Physische Sichtschutzvorrichtungen verhindern unerwünschtes Ausspähen von Displays. Externe Schnittstellen wie USB-Ports oder SD-Kartenleser sind deaktiviert oder können nur nach Freigabe durch das IT-Management genutzt werden.

• Mobilgeräte-Management (MDM): Mobile Geräte (Laptops, Tablets, Smartphones) mit Systemzugriff sind über ein MDM-System verwaltet. Dieses erzwingt Gerätesperren, Verschlüsselung und sichere WLAN-Konfiguration. Bei Geräteverlust kann ein Fernlöschvorgang initiiert werden. Der Zugriff erfolgt nur über VPN mit Mehrfaktor-Authentifizierung.

• Beschränkte Kontenrechte: Lokale Nutzerkonten auf den Endgeräten verfügen nur über minimale Rechte. Administratorzugänge werden nur temporär aktiviert und sind protokolliert. Für erforderliche Privilegienänderungen existiert ein überwachter Freigabeprozess (Just-in-Time Access).

Zur Gewährleistung hoher Verfügbarkeit und Ausfallsicherheit kommen folgende Maßnahmen zum Einsatz:

• Redundante Server und Komponenten: Kritische Dienste (z. B. Datenbank, Authentifizierungsserver) laufen in Hochverfügbarkeitsclustern oder spiegeln ihre Daten kontinuierlich auf redundante Systeme. Fällt ein System aus, übernimmt automatisch ein Backup-System, sodass der Betrieb nahtlos weitergeführt werden kann. Auch die Zutrittscontroller sind in redundanten Konfigurationen (Hot-Standby) ausgelegt.

• Unterbrechungsfreie Stromversorgung (USV): Alle wichtigen IT- und Netzwerkkomponenten sind an USV-Anlagen angeschlossen. Diese überbrücken kurzfristige Stromausfälle und ermöglichen kontrollierte Abschaltungen bei längerer Unterbrechung. USV-Anlagen sind fernüberwacht, um bei entladener Batterie sofort Alarm zu schlagen.

• Redundante Hardware: Wichtige Hardwarekomponenten (z. B. Netzwerkswitche, Controller, Server-Chassis) sind mehrfach vorhanden oder besitzen redundante Netzteile. Ein Ausfall eines Geräts führt nicht zum Stillstand, da ein paralleles Ersatzgerät einspringt. Ersatzhardware wird im Rahmen der Wartungsverträge kurzfristig bereitgehalten.

• Disaster-Recovery-Plan: Ein dokumentierter Wiederanlaufplan stellt sicher, dass bei schweren Störungen (z. B. Brand, Überschwemmung, Massenausfall) ein definiertes Verfahren zur Wiederherstellung existiert. Verantwortlichkeiten, Kommunikationswege und angestrebte Wiederanlaufzeiten sind festgelegt. Regelmäßige Tests des Plans überprüfen die Wirksamkeit.

• Kontinuierliches Monitoring: Der Zustand aller kritischen Systeme (Server, Netzwerkgeräte) wird rund um die Uhr überwacht. Metriken wie CPU-Last, Speicherauslastung und Netzwerkverkehr werden erhoben. Überschreiten kritischer Schwellenwerte löst automatisch Alarmmeldungen aus und initiiert Eskalationsprozesse.

• 24/7-Überwachung: Alle sicherheitsrelevanten Ereignisse (Systemzugriffe, Netzwerkverkehr, Alarme) werden rund um die Uhr überwacht. Der Auftragnehmer setzt hierzu ein Security Information and Event Management (SIEM) oder ein vergleichbares Monitoring-System ein, das alle Logs zentral sammelt und analysiert.

• Echtzeit-Benachrichtigung: Bei Erkennung einer sicherheitskritischen Anomalie (z. B. ungewöhnliche Login-Versuche, Brute-Force-Angriffe, unerwarteter Netzwerkverkehr) generiert das System sofort eine Warnmeldung. Zuständiges Personal wird unverzüglich per E-Mail oder SMS informiert, um sofort reagieren zu können.

• Vorfallsreaktionsplan: Ein definierter Incident-Response-Plan legt Zuständigkeiten, Eskalationsstufen und Ablauf der Maßnahmen fest. Dieser Plan umfasst die Erstbeurteilung eines Vorfalls, sofortige Eindämmung (z. B. Isolation betroffener Systeme) sowie die Wiederherstellung des Normalbetriebs. Bei Bedarf wird ein Incident-Team aus IT- und Management-Vertretern aktiviert.

• Schadensanalyse und Dokumentation: Nach einem Sicherheitsvorfall erfolgt eine gründliche Ursachenanalyse (Forensik). Alle Schritte, Entscheidungen und Untersuchungsergebnisse werden lückenlos dokumentiert. Die gewonnenen Erkenntnisse fließen in einen Abschlussbericht ein und werden als Korrekturmaßnahmen umgesetzt, um Wiederholungen zu verhindern.

• Zusammenarbeit mit Facility Management: Im Krisenfall informiert der Auftragnehmer umgehend den verantwortlichen Facility Manager des Auftraggebers. IT- und Facility-Management arbeiten eng zusammen, um Zugangssysteme und Infrastruktur abgestimmt wiederherzustellen. Notfallübungen mit dem Facility Management bereiten auf realistische Angriffsszenarien oder Ausfälle vor.

• Sicherheitsrichtlinien und Schulungen: Der Auftragnehmer unterhält schriftliche Sicherheitsrichtlinien für den Betrieb des Zutrittskontrollsystems. Alle involvierten Mitarbeitenden erhalten regelmäßige Schulungen zu Themen wie Passwortsicherheit, Phishing-Prävention und Meldepflichten bei Sicherheitsvorfällen. Änderungen in Abläufen werden kommuniziert und dokumentiert.

• Penetrationstests und Schwachstellen-Scans: Mindestens einmal jährlich führt der Auftragnehmer (oder ein beauftragtes, zertifiziertes Sicherheitsunternehmen) einen Penetrationstest der IT-Infrastruktur durch. Zusätzlich werden kontinuierlich automatisierte Schwachstellenscans auf Netzwerk- und Anwendungsebene durchgeführt. Gefundene Schwachstellen werden zeitnah bewertet und behoben.

• Lieferanten- und Subunternehmermanagement: Externe Dienstleister oder Softwareanbieter, die auf das Zutrittskontrollsystem zugreifen (z. B. Wartungspartner), sind vertraglich zu denselben Sicherheitsstandards verpflichtet. Vor der Beauftragung wird ihre Sicherheitskonformität geprüft. Der Zugang erfolgt ausschließlich über registrierte, kontrollierte Konten.

• Change- und Release-Management: Änderungen an Hardware oder Software werden nur nach einem definierten Change-Management-Prozess vorgenommen. Jeder Release wird dokumentiert und vor Inbetriebnahme in einer Testumgebung validiert. Dadurch werden unerwartete Störungen im laufenden Betrieb vermieden.

• Notfallübungen: Geplante Übungen (z. B. Tabletop-Übungen, Simulation von Systemausfällen) testen die Wirksamkeit der Notfall- und Reaktionsprozesse. Die Ergebnisse werden ausgewertet und fließen in die kontinuierliche Verbesserung des Sicherheitskonzepts ein.

• Aufbewahrung von Protokollen: Alle sicherheitsrelevanten Protokolle (Zugriffslogs, Systemereignisse, Alarme) werden revisionssicher gespeichert und gemäß gesetzlichen Vorgaben aufbewahrt. Unveränderbare Speicherverfahren (z. B. WORM-Architekturen) gewährleisten, dass Logs nicht nachträglich manipuliert werden können.

• Transparente Audit-Trails: Alle administrativen Aktionen im System werden vollständig protokolliert (mit Zeitstempel, Benutzerkennung und Aktionsdetails). Diese Audit-Trails ermöglichen dem Auftraggeber eine lückenlose Nachvollziehbarkeit aller Änderungen und Zugriffe.

• Externe Audits: Der Auftragnehmer lässt jährlich unabhängige Sicherheits-Audits durch akkreditierte Prüfinstanzen durchführen. Dabei wird die Wirksamkeit des Sicherheitskonzepts geprüft und dokumentiert. Die Ergebnisse werden dem Auftraggeber auf Anfrage zur Verfügung gestellt. Identifizierte Mängel werden gemäß einem Maßnahmenplan zeitnah behoben.

• Datenschutz-Compliance: Alle Prozesse sind so gestaltet, dass sie den Datenschutzgrundsätzen (Datenminimierung, Zweckbindung, Transparenz, Betroffenenrechte) entsprechen. Für besonders risikoreiche Datenverarbeitungen (z. B. biometrische Systeme) werden Datenschutz-Folgenabschätzungen durchgeführt.

• Sicherheitszertifizierungen: Der Auftragnehmer strebt geeignete Zertifizierungen für sein Informationssicherheits-Managementsystem an (z. B. ISO/IEC 27001) oder hält diese aufrecht. Eine gültige Zertifizierung kann dem Auftraggeber nachgewiesen werden.

• Regelmäßiges Reporting: Der Auftragnehmer erstellt periodisch Berichte zum Sicherheitsstatus (z. B. Quartalsberichte). Diese Berichte enthalten Informationen über den Stand der Update-Installation, aktuelle Schwachstellen, protokollierte Vorfälle und den Fortschritt offener Maßnahmen. Die Berichte werden dem Auftraggeber zur Verfügung gestellt.

Der Unterzeichnende bestätigt hiermit, dass der Auftragnehmer das vorgelegte Cyber-Sicherheitskonzept für das Zutrittskontrollsystem vollständig bereitstellt und die beschriebenen Maßnahmen umsetzt. Der Auftragnehmer gewährleistet den umfassenden Schutz aller Datenbanken, IT-Systeme und angeschlossenen Komponenten des Zutrittskontrollsystems gemäß den geltenden Normen und gesetzlichen Vorgaben. Alle beschriebenen Maßnahmen entsprechen den Anforderungen im Facility Management und den einschlägigen Rechtsvorschriften. Der Auftragnehmer verpflichtet sich, die Umsetzung dieses Konzepts kontinuierlich zu überwachen und anzupassen, falls neue Sicherheitsanforderungen oder gesetzliche Vorgaben auftreten.

Ort, Datum: ____________________

Unterschrift des Bevollmächtigten: ____________________

Name, Position: ____________________

Firmenstempel: ____________________