Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Implementierungskonzept

Facility Management: Zutritt » Ausschreibung » Implementierungskonzept

Implementierungskonzept für ein Zutrittskontrollsystem mit SAP-Integration

Ein wirksames Zutrittskontrollsystem in einem Schwerindustriebetrieb erfordert durchgängige Planung und hohe Verfügbarkeit. Es wird in klar definierten Phasen realisiert – von Analyse über Planung, Installation, Test und Schulung bis hin zum Rollout und laufenden Betrieb. In jeder Phase müssen zentrale Arbeitspakete und Schnittstellen zu anderen Systemen (SAP, Fremdfirmenportal, Video etc.) berücksichtigt werden. Zudem sind KRITIS-spezifische Anforderungen (Notfallfunktionen, Redundanz, Revisionssicherheit, Normkonformität) einzuhalten.

Projektphasen und zentrale Arbeitspakete - Die Umsetzung gliedert sich in folgende Phasen, jeweils mit typischen Arbeitspaketen:

  • Analysephase – Anforderungen ermitteln, Konzeptdefinition: In dieser Phase erstellt ein Sicherheitsberater bzw. Fachplaner eine Risiko- und Schwachstellenanalyse. Es werden Schutzbedarfe ermittelt, bestehende Systeme (bisherige Türschlösser, Leitsysteme, SAP-Nutzung) aufgenommen und gesetzliche Vorgaben (BSI/Kritis-Richtlinien, DIN EN 60839-11) geprüft. Weitere Arbeitspakete sind Stakeholder-Workshops (Facility, IT, Sicherheit, Fremdfirmen), Einteilung von Sicherheitszonen und Definition der Schnittstellen (SAP-HR, Video, BMA).

  • Planungsphase – Konzept- und Architekturdesign: Basierend auf den Ergebnissen wird ein detailliertes Sicherheits- und IT-Architekturkonzept entwickelt. Dabei werden Zutrittskontrolltechnik, Netzwerk und Serverstruktur spezifiziert, inklusive Redundanz- und Notfallkonzept (z.B. USV, Cluster-Server, fail-safe/fail-secure-Modes). Wichtige Arbeitspakete sind die Ausschreibung bzw. Angebotserstellung, Auswahl der Komponenten (Leser, Controller, Drehkreuze, Zutrittssoftware) und Festlegung der SAP-Schnittstelle (z.B. zertifizierte SAP-HR-PDC-Schnittstelle). Ebenfalls werden Schulungs- und Betriebsabläufe definiert und Genehmigungen (evtl. durch Behörden) vorbereitet.

  • Installationsphase – Komponentenaufbau und Konfiguration: Das Projektteam (Systemintegrator und Nachunternehmer) installiert Hardware (elektrische Türschlösser, Lesegeräte, Schleusen, Schranken) und verlegt Netzwerkkabel entsprechend den Sicherheitsanforderungen. Server und Clients werden hochverfügbar aufgebaut (z.B. Cluster, Rechenzentrumsredundanz). Die Zutrittssoftware wird auf den Servern installiert und konfiguriert; die SAP-Integration (Stammdatenimport, Benutzerrollen) eingerichtet. Netzwerksicherungen (Firewalls, VLANs) werden implementiert, damit das Zutrittssystem segmentiert und vor Cyberangriffen geschützt läuft. Ebenfalls erfolgt die Montage baulicher Elemente wie Drehkreuze oder Schranken samt Notentriegelungseinheiten.

  • Testphase – Funktions-, Integrations- und Notfalltests: In dieser Phase erfolgt die vollständige Abnahmeprüfung. Es werden Funktionstests aller Komponenten durchgeführt (Kartenleser, Ausweise, Server, SAP-Datenabgleich). Schnittstellentests überprüfen die ordnungsgemäße Übernahme der SAP-Stammdaten sowie die Kommunikation mit Fremdsystemen (Video, BMA, Besuchermanagement). Notfalltests müssen gezielt geprüft werden: So darf das System beispielsweise bei Feueralarm die sicheren Türen freigeben, aber im Ernstfall weiterhin autorisierte Personen ins Freie lassen. Das System muss zudem automatisiert bei kritischen Ereignissen Zutrittsstellen blockieren oder Notausgänge öffnen können. Lasttests und Failover-Tests (Simulieren von Hardwareausfällen) sichern die Hochverfügbarkeit (z.B. Umschalten auf Reserve-Server). Abschließend erfolgt die interne und (falls erforderlich) behördliche Abnahme – inklusive Dokumentenprüfung und Simulation von Prüfungsfällen.

  • Schulungsphase – Training der Anwender und Administratoren: Zur Inbetriebnahme werden die künftigen Systemadministratoren (IT-Fachkräfte) und Betreiber (Facility- und Sicherheitspersonal) geschult. Inhalte sind Systemarchitektur, Benutzer- und Berechtigungsverwaltung, Notfallprozeduren sowie Bedienung der SAP-Schnittstelle und des Fremdfirmenportals. Parallel erhalten die Empfänger der Zutrittsberechtigungen (z.B. Empfangs- oder Sicherheitsmitarbeiter) Einweisungen in Abläufe wie Besuchermanagement und Registrierung. Dokumentationen (Handbücher, Betriebsanweisungen) werden bereitgestellt. Schulung und Abnahme der Benutzer runden die Phase ab.

  • Rolloutphase – Stufenweise Systemeinführung: Das neue System wird sukzessive in Betrieb genommen, ggf. nach Standorten oder Unternehmensbereichen. Alte und neue Systeme laufen parallel, während schrittweise alle Zutrittsberechtigungen migriert werden. Die Mitarbeiter (einschließlich Fremdfirmen) erhalten ihre neuen Ausweise; interne Kommunikationskampagnen informieren über geänderte Abläufe. Arbeitspakete sind die Medienerstellung (Ausweise, Transponder), finaler SAP-Datenabgleich und Testläufe im Live-Betrieb. Der Rollout endet mit der offiziellen Übergabe des Systems und der Lastabnahme durch den Betreiber.

  • Betriebsphase – Wartung, Monitoring und kontinuierliche Verbesserung: Nach Inbetriebnahme stellen Betreiber-IT und Facility-Management den dauerhaften Betrieb sicher. Dies umfasst regelmäßige System-Updates, Inspektionen (Hardware-Checks) und Support-Prozesse. Besonders in KRITIS-Umgebungen wird kontinuierliches Monitoring (24/7-Alarmsysteme, Audit-Logs) gefordert. Alle Zutrittsereignisse werden lückenlos protokolliert und revisionssicher archiviert. Parallel laufen Rezertifizierungsprozesse (z.B. halbjährliche Überprüfung von Berechtigungen), um ungenutzte Accounts zu sperren und Compliance gegenüber Aufsichtsbehörden zu gewährleisten. Auch Notfallübungen (Evakuierungsmanagement) werden regelmäßig durchgeführt. Ein Wartungsvertrag mit dem Anbieter sichert die schnelle Reaktion bei Störungen.

Typische Rollen im Projekt

  • Betreiber-IT: Verantwortlich für die technische Infrastruktur (Server, Netzwerk, Cyber-Security) und die SAP-Integration. Sie pflegen SAP-Stammdaten (Personal, Rollen) als Basis für die Zutrittssteuerung. In der Betriebsphase kümmern sie sich um Systembetrieb und Updates.

  • Facility Management / Gebäudebetrieb: Zuständig für die bauliche Umsetzung (Einbau von Türen, Schleusen, Verkabelung) sowie organisatorische Abläufe (Ausweiserstellung, Besucher- und Fremdfirmenmanagement). Sie koordinieren die Nutzung der Zutrittskontrolle im Tagesbetrieb und prüfen Vorgänge (Schlüsselverwaltung, Zutrittslisten).

  • Anbieter-Projektleitung / Errichter: Der Systemintegrator steuert das Projekt (Fachhandel/Hersteller), koordiniert alle Nachunternehmer (z. B. Zutrittskontrollsystem-Lieferant, Elektroinstallateur, IT-Dienstleister, Toranbieter) und stellt die fachgerechte Installation sicher. Er erstellt gemeinsam mit dem Betreiber Planungspakete, Pflichtenheft und Zeitplan. In Test- und Schulungsphasen liefert er Know-how und führt Abnahmen durch.

  • Fachplaner Sicherheit / Sicherheitsberater: Eine externe Planungsinstanz (Sicherheitsfachplaner) erstellt das ganzheitliche Zutrittskonzept und berät in allen Fragen der physischen Sicherheit. Vor Projektstart führt er Risikoanalysen durch und definiert ein Konzept, das bauliche, technische und organisatorische Maßnahmen integriert. Während des Projekts prüft er stichprobenhaft Planungsunterlagen und Qualität, um die Umsetzung im Sinne des Konzepts zu kontrollieren.

  • Sicherheits- und Datenschutzbeauftragte: Interne Rollen im KRITIS-Unternehmen, die die Einhaltung von Vorgaben (z.B. BSI-KritisV, Datenschutz) überwachen. Sie sind in Reviews eingebunden und geben Behördenabnahme frei.

  • SAP-Verantwortliche / HR: Stellen die Personaldaten und Berechtigungsinformationen aus SAP bereit. Sie stimmen sich mit Betreiber-IT ab, um die SAP-Schnittstelle zu konfigurieren und zu testen.

Ein modernes Zutrittskontrollsystem wird nicht isoliert betrieben, sondern mit anderen Systemen verzahnt:

  • SAP (HR-System): Das Zutrittsmanagement nutzt SAP als führendes System für Personaldaten und Berechtigungen. Über eine zertifizierte Schnittstelle (SAP-HR-PDC) importiert die Zutrittssoftware automatisch Mitarbeiter-, Fremdfirmen- und Besucherdaten. Änderungen in SAP (z.B. Neueinstellungen, Austritte) werden zeitnah übernommen, womit im Zutrittssystem stets der aktuelle Berechtigungsstand sichergestellt ist.

  • Fremdfirmen- und Besuchermanagement: Ein Fremdfirmenportal (oder VMS) ermöglicht es, alle Qualifikationsnachweise, Zertifikate und Sicherheitsbelehrungen externer Dienstleister zu verwalten. Über Workflow-Integration können Fremdfirmenzugänge beantragt und zeitlich begrenzt erteilt werden. Moderne Systeme bieten Self-Check-In-Terminals, in die Gäste oder Monteure sich einbuchen und automatisch Zutrittsmedien erhalten. So lassen sich große Personengruppen oder wechselnde Fremdfirmen-Einsätze effizient abwickeln, ohne manuelles Eingreifen.

  • Videoüberwachung / Kennzeichenerkennung: Zutrittspunkte werden häufig durch Kameras überwacht. Die Zutrittssoftware kann Ereignisse (z.B. ungültiger Ausweisversuch) mit Videomaterial verknüpfen und Sicherheitszentrale alarmieren. Kameras erfassen Kennzeichen bei Fahrzeugzufahrten, um etwa nur autorisierte Lkw einzulassen. Remote-Wärterplätze haben so in Echtzeit Zugriff auf die Bilder und können bei Alarm sofort reagieren.

  • Einbruch- und Gefahrenmanagement: Das Zutrittskontrollsystem kann bei Feuer- oder Einbruchsmeldern Aktionen auslösen (z.B. automatische Entriegelung von Fluchttüren, Blockade von Gefahrenzonen). Die Systeme kommunizieren etwa über OPC oder HTTP, so dass bei einer Brandmeldung alle betroffenen Türen in Notöffnungsstellung gehen und gleichzeitig der Alarm ausgelöst wird.

  • Weitere Schnittstellen: Beispiele sind Zeiterfassungssysteme (das Zutrittsystem kann Arbeitszeiterfassung übernehmen), Aufzugssteuerungen (Zugang nur bei freigegebenem Bereich) oder Kartenpersonalisation (Ausweisdruck über zentrale Drucksysteme). Moderne Lösungen bieten offene Schnittstellen, um Gebäudeautomation und IT (z.B. Active Directory) einzubinden.

In kritischen Infrastrukturen gelten verschärfte Vorgaben für Zutrittskontrollen:

  • Normenkonformität: Die Umsetzung orientiert sich an DIN EN 60839-11, wobei für Hochsicherheitsbereiche üblicherweise der Sicherheitsgrad 4 angestrebt wird. KRITIS-Betreiber müssen außerdem nationale Gesetze (z.B. IT-Sicherheitsgesetz 2.0, KritisV) sowie EU-Richtlinien (NIS2) erfüllen. Planungs- und Betriebsdokumentation sind so anzulegen, dass Prüfer (BSI, TÜV, Behörden) jederzeit die Wirksamkeit der Zutrittskontrolle nachvollziehen können.

  • Redundanz und Ausfallsicherheit: Alle zentralen Komponenten (Server, Datenbank, Netzwerkhardware) werden doppelt ausgelegt. Beispielsweise kann ein sekundärer Zutrittsserver an einem anderen Standort betrieben werden, um Einzelstörungen zu kompensieren. Wichtige Elemente verfügen über USV-Versorgung. Türen werden mit Fail-Safe- und Fail-Secure-Logik betrieben: Bei Stromausfall bleiben sie gesichert (fail-secure), während im Brandfall alle Rettungswege automatisch entriegelt werden (fail-safe). Auch Controller und Leser sind gegen Sabotage geschützt.

  • Notfallbetrieb: Das System ist auf den Betrieb im Krisenfall ausgelegt. Die Anforderungen beinhalten automatisches Blockieren des Zugangs zu Gefahrenbereichen, Schließen von Schleusen sowie Öffnen von Rettungswegen bei Alarm. Notfalltüren und -schleusen müssen schnell aktivierbar sein und mit akustischen/optischen Warnsignalen gekoppelt werden. Ein Evakuierungsmanagement ist integriert, sodass im Ernstfall sofort alle Personenstandorte (Mitarbeiter, Besucher, Fremdfirmen) erfasst werden können.

  • Revisionssicherheit und Auditfähigkeit: Jede Zutrittsentscheidung wird detailliert protokolliert (Zeitstempel, Tür-ID, Personalnummer) und manipulationssicher archiviert. Es besteht eine zentrale Protokollierung aller erlaubten und verweigerten Zugriffsversuche. Regelmäßige Prüfungen (z.B. halbjährliche Rezertifizierung von Berechtigungen) sind fest eingeplant. Zudem werden alle betrieblichen Abläufe schriftlich dokumentiert (Zutrittsrichtlinie, Schulungsnachweise, Wartungspläne) und für Behördenvorlagen bereitgehalten.

  • Behördenabnahmen und Prüfungen: In einigen KRITIS-Bereichen kann eine formelle Abnahme durch Aufsichtsbehörden erforderlich sein (z.B. Brandschutz, Sicherheitsbehörden). Das Projekt berücksichtigt daher zu Beginn auch die Planung von Prüfbesuchen. Der Nachweis der Erfüllung aller Anforderungen erfolgt durch Übergabe von Unterlagen und durch Vorführungen während Audits.

Phase

Phase

Zentrale Arbeitspakete

Analyse

Aufnahme des Ist-Zustands, Schutzbedarfsfeststellung, Risiko- und Schwachstellenanalyse, Definition der Sicherheitszonen und Zutrittskonzepte, Erhebung rechtlicher Vorgaben (DIN, Kritis-Richtlinien).

Planung

Erstellung des Sicher-heitskonzepts und Pflichtenhefts; Architekturentwurf (Hardware, Software, Netzwerke, Hochverfügbarkeit); Schnittstellen-Design (SAP-HR, Video, Fremdfirmen-Portal); Budget- und Terminplanung.

Installation

Montage von Lesegeräten, Schließzylindern, Drehsperren und Schranken; Einrichtung der Serversysteme (Cluster), Netzwerksegmentierung; Implementierung der SAP-Schnittstelle (Datenimport) und Verkabelung nach Normen.

Test

Funktionstests aller Komponenten; Integrations-Tests mit SAP, Video und Alarmanlagen; Notfall- und Failover-Tests (z.B. Türen entriegeln bei Brand); Performance- und Hochverfügbarkeitstests.

Schulung

Ausbildung der Administratoren und Operatoren (Systembedienung, Berechtigungsverwaltung, Notfallprozeduren); Schulung des Empfangs- und Sicherheitspersonals (Besucherfluss, Ausweiskontrolle); Erstellung von Benutzerhandbüchern und SOPs.

Rollout

Stufenweiser Übergang auf das neue System (Phasenbetrieb); Massenverteilung von Ausweisen; Kommunikationsmaßnahmen für alle Mitarbeiter; Abschluss-Migration der Altdaten; Schlussabnahme mit allen Stakeholdern.

Betrieb

Laufender Systembetrieb (Monitoring, Wartung, Updates); 24/7-Überwachung und Alarmverfolgung; regelmäßige Audits und Rezertifizierungen (BSI/TÜV-Nachweise); Betrieb eines Service-Desk für Störungsbehebung.