Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Integrationsarchitektur des Zutrittskontrollsystems

Facility Management: Zutritt » Ausschreibung » Services » Integrationsarchitektur

Integrationsarchitektur des Zutrittskontrollsystems

Integrationsarchitektur des Zutrittskontrollsystems

Ein betriebliches Zutrittskontrollsystem (ZKS) in einem Industrieunternehmen umfasst im Kern eine zentrale Management-Software mit Datenbank sowie verteilte Türsteuerungen und Lesegeräte. Die Kernkomponenten sind typischerweise: eine Server-Instanz (bzw. Cluster) mit Zutrittssoftware und Benutzerdatenbank, an Netzwerke angebundene Zutrittscontroller (Tür- oder Schrankensteuerungen) sowie an jedem Zugang installierte Leser (RFID‐ oder biometrische Leser, PIN-Pad). Oft gibt es zusätzlich mechanische Vereinzelungssysteme wie Drehkreuze oder Schleusen zur Sicherstellung kontrollierter Ein- und Ausgänge. Die Serveranwendung verwaltet Benutzer, Ausweisdatensätze und Berechtigungsprofile (Mitarbeiter, Besucher, Fremdfirmenpersonal) und entscheidet anhand zeitlicher Regeln, wer Zugang erhält. Moderne IP-basierte Systeme bieten offene Architekturen: Sie vereinheitlichen Zutrittskontrolle, Videoüberwachung und andere Sicherheitssysteme auf einer Plattform mit einheitlichen Schnittstellen. Dadurch können z. B. Berechtigungsregeln und Türkommandos über das Datennetz synchron an viele verteilte Standorte übertragen werden. Globale Kartenmanagement-Funktionen erlauben dabei die Nutzung eines Ausweises an mehreren Werksstandorten. Durch Multisite-Topologien (WAN oder VPN) entsteht eine skalierbare Enterprise-Architektur, die mehrere Anlagen integriert und zentral administriert wird.

Im Mehr-Standort-Betrieb kommuniziert jeder Zutrittscontroller mit dem ZKS-Server über das Firmennetzwerk (oft verschlüsselt per TLS). Bei Anwesenheitswechsel oder Zutrittsversuchen sendet der Leser das Ausweissignal an den Controller, dieser prüft lokal oder fragt den Server ab und initiiert ein Türöffnen oder -veriegeln. Alle Ereignisse werden in Echtzeit protokolliert. Die Architektur unterstützt in der Regel Active-Passive-Cluster und Datenreplikation (z.B. DB-Master/Replica) für hohe Verfügbarkeit. Ein IT-gestütztes Berechtigungsmanagement sichert dabei Flexibilität und Nachvollziehbarkeit.

Logische Schnittstellen zu angrenzenden Systemen

Schnittstellen zu angrenzenden Systemen

Zur Automatisierung und Effizienz sind ZKS heute eng mit anderen betrieblichen Systemen verzahnt. Insbesondere Zeitwirtschafts- und HR-Systeme (z.B. SAP-HR, Lohnabrechnung) sind über standardisierte Schnittstellen angebunden. Die Personalstammdaten (Mitarbeiter, Abteilung, Arbeitszeitmodelle) werden vom HR-System übernommen, und Zeitbuchungen aus dem ZKS können zurückgemeldet werden. So lassen sich Zutrittsprotokolle auch als Nachweis der Arbeitszeiten verwenden. Eine zertifizierte SAP-HR-PDC-Schnittstelle etwa importiert Zutrittsgruppen in das ZKS und exportiert Buchungsdaten an die Zeiterfassung.

Auch Fremdfirmen- und Besuchermanagement ist integriert: Externe Dienstleister oder temporäre Besucher melden sich meist über ein Portal, deren Daten werden mit dem ZKS synchronisiert. Über eine Import-Schnittstelle (z.B. via Webservice oder Datei-Export) erhält das ZKS die externen Ausweisdaten und kann temporäre Zutrittsrechte vergeben. Diese Integration minimiert manuelle Pflegeaufwände und gewährleistet Datenschutz, da Zutrittsdaten nur in dedizierten Datensilos gehalten werden.

Im Bereich Gebäude- und Sicherheitstechnik bestehen vielfältige Anbindungen. Systeme zur Videoüberwachung können direkt mit dem ZKS verknüpft sein: Bei jeder Türöffnung oder einem Alarm kann eine verknüpfte Kamera automatisch ein Videobild erzeugen und in einer Managementoberfläche anzeigen. Industrielle ZKS-Plattformen bieten z.B. Schnittstellen zu gängigen Video-Management-Systemen oder Sicherheitskonzentratoren (z.B. Bosch BIS, Mobotix CCTV). Für Alarm- und Gefahrenmeldeanlagen (Brand- oder Einbruchmelder) gibt es ebenfalls standardisierte Schnittstellen (etwa Webservices oder OPC UA). Im Brandfall kann über eine solche Schnittstelle ein Notfallmodus aktiviert werden: Türen in Fluchtrichtung werden automatisch entriegelt, während Rauch-/Feuerschutz-Türen geschlossen bleiben. Zugleich generiert das ZKS eine Notfallliste aller im Gebäude anwesenden Personen, die dem Einsatzteam zur Verfügung steht. Diese Echtzeit-Abfrage der Zutrittsdaten verbessert die Evakuierungssicherheit maßgeblich.

Es zeichnen sich moderne ZKS durch hohe Interoperabilität aus: Über 90 % der Sicherheitsexperten bewerten offene Architekturen (Interoperabilität) als entscheidend für effiziente Integration. Dadurch können weitere Systeme wie Zutrittskontrollgeräte (Scanner, Biometrie), Besucherverwaltung oder mobile Apps ohne Insellösungen eingebunden werden.

Physikalische Infrastruktur

Die Serverlandschaft für das Zutrittskontrollsystem wird in der Regel als redundanter IT-Betrieb ausgelegt. Üblicherweise kommen zwei oder mehr Server (physisch oder virtualisiert) zum Einsatz, die im Cluster-Modus arbeiten oder einen Hot-Standby abbilden. Die Datenbanken liegen meist auf RAID-verbundenen Speichersystemen, und alle Systeme werden durch unterbrechungsfreie Stromversorgungen (USV) abgesichert. Gemäß KRITIS-Anforderungen sind Redundanzsysteme verpflichtend: Beispielsweise sind doppelte Netzteile, redundante Netzwerkpfade und zeitnahe Failover-Tests einzurichten. Auch Notstromaggregate sollten die Serverräume vor Stromausfall schützen. In vielen Lösungen enthalten die Zutrittscontroller selbst eingebaute Akkus, sodass die Geräte mehrere Stunden weiterlaufen können – ebenso wie mechatronische Türzylinder, die batteriegestützt etwa 10 000 Türzyklen schaffen können.

Die Netzwerkstruktur folgt dem Prinzip der Segmentierung. Alle Sicherheitsgeräte (Server, Controller, Lesegeräte) befinden sich in eigenen VLANs oder physisch getrennten Netzen, getrennt vom BürolAN und anderen IT-Systemen. Diese Maßnahme (Network-Zoning) dient dem Schutz vor seitlichen Bewegungen im Angriffsfall. Beispielsweise kann ein Netzwerksegment für Zutritts-Controller, eines für Zutritts-Server und eines für Überwachungs- und Verwaltungsklienten definiert werden. Durch Firewalls, Netzwerkzugangskontrolle und strikte Zugriffsbeschränkungen wird der Datenverkehr nur über definierte Ports und Protokolle erlaubt. Dieser Aufbau reduziert das Risiko, dass eine kompromittierte IT-Sektion das ZKS beeinflusst. Auch auf Gebäudeebene werden Sicherheitszonen implementiert: Außengelände, Empfangsbereich, Büroräume, Server- und Technikräume sowie Hochsicherheitsbereiche werden jeweils durch spezifische bauliche und elektronische Kontrolleinheiten getrennt.

Die Zutrittsgeräte (Leser, Türöffner, Schranken) sind physisch an den definierten Zugängen angebracht. An Lesegeräten gelangen üblicherweise RFID-Karten oder mobile digitale Schlüssel (Smartphone per NFC/BLE) zum Einsatz. Die Verschlüsselung zwischen Karte und Leser (z.B. MIFARE DESFire EVx) und zwischen Leser und Controller ist bei modernen Systemen obligatorisch. Schließzylinder und Türantriebe sind elektrisch oder mechatronisch ausgeführt. Die Leser kommunizieren mit Zutrittscontrollern über Kabel (meist TCP/IP über PoE oder serielle Feldbusse wie RS‑485). Die Topologie kann sternförmig oder busförmig ausgeführt werden. Komplexe Anlagen kombinieren oft beides, um Medienkosten zu sparen und Ausfallsicherheit zu erhöhen. Die Controllersetup befinden sich meist in Schalträumen oder dicht beim Eingang; viele Hersteller bieten batteriebetriebene Module für besonders sensible Zonen (Feuerschutztüren) an. Sämtliche Datenflüsse folgen dem Prinzip „Lesegerät → Controller → Server → Managementstation“ bzw. umgekehrt (Server schickt Türöffnungskommandos an Controller).

Integrationsaspekte: IT-Security und Datenhoheit

In einem KRITIS-Umfeld sind Sicherheit und Datensouveränität von höchster Bedeutung. Der gesamte Betrieb des ZKS unterliegt strengen IT-Sicherheitsvorgaben (z. B. nach NIS2-Richtlinie und IT-Grundschutz). Dazu gehören umfassende Schutzmaßnahmen: Es werden nur notwendige Dienste betrieben, Systeme werden gehärtet und regelmäßig gepatcht. Die Netzwerksegmentierung (siehe oben) bildet die erste Verteidigungslinie. Zusätzlich werden unbefugte Zugriffe mittels Firewalls, Intrusion-Detection/Prevention-Systemen und verschlüsselten Kommunikationsprotokollen unterbunden. Über Privileged-Access Management werden Administrationsrechte granular vergeben, um Insider-Risiken zu minimieren.

Besondere Aufmerksamkeit gilt dem Schutz von Personendaten (Zutrittslogs enthalten Bewegungsprofile von Personen). Hier greift die Datenschutz-Grundverordnung (DSGVO): Personenbezogene Zutrittsdaten sind nur so lange zu speichern, wie nötig, und müssen verschlüsselt abgelegt werden. Anbieter von Zutrittskontrollsystemen haben ihre Sicherheitsarchitektur entsprechend hohen Datenschutzanforderungen angepasst. Betriebsrelevante Daten (z.B. Schlüsseldatenbanken, biometrische Templates) verbleiben im Regelfall in der betriebseigenen IT (on-premise), um Datenhoheit zu wahren. Werden Cloud-Komponenten genutzt, ist vertraglich zu regeln, dass kryptographische Schlüssel und personenbezogene Daten ausschließlich auf deutschen oder EU-Servern gespeichert werden.

Für die Integration mit externen Anwendungen (HR, Fremdfirmenportal, etc.) gelten technische Schutzregeln: Beispielsweise erfolgt der Datenaustausch per verschlüsselter API oder VPN. Webservices und OPC-Ua-Schnittstellen zum Gefahrenmanagement werden in geschützten Zonen betrieben. Ein kompromittiertes Nachbarsystem darf keinen direkten Zugriff auf das ZKS-Netz erhalten. So wird sichergestellt, dass die betrieblichen Zutrittskontrolldaten dauerhaft unter Kontrolle des Betreibers bleiben. Auch die Protokollierung und fortlaufende Überwachung (SIEM-Integration) trägt dazu bei, Angriffe frühzeitig zu erkennen. Durch diese Maßnahmen kann das Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit der Zutrittsdaten gewährleisten, wie es KRITIS-Betreiber vorgeschrieben ist.

Skalierbarkeit und Weiterentwicklung

Die Architektur eines modernen ZKS ist auf Wachstum und Neuerungen ausgelegt. Skalierbarkeit wird durch modulare Komponenten erreicht: Zusätzliche Server-Kapazität oder Controller können parallel geschaltet werden, sodass die Systemlast linear mitwächst. IP-basierte Systeme erleichtern die Expansion: Neue Türen lassen sich netzwerkbasiert einbinden, ohne proprietäre Feldbusse neu verlegen zu müssen. Auch mehr Mandanten (z. B. bei Unternehmensfusionen) können durch virtuelle Partitionierung des Systems abgebildet werden.

Zukunftskonzepte setzen verstärkt auf mobile Endgeräte und IoT. Mobile Zutrittskontrolllösungen (Smartphones als Ausweisträger) sind im Kommen und erhöhen die Flexibilität, insbesondere bei temporären oder dezentralen Arbeiten. In den kommenden Jahren dürften Cloud-basierte Systeme dominieren: Sie ermöglichen ortsunabhängige Administration, automatische Updates und Datenauswertung über mehrere Anlagen hinweg. Laut Branchenprognosen wollen viele Unternehmen künftig auf cloudfähige Zutrittssysteme und IoT-Technologien setzen, um Komfort und Integration mit Gebäudemanagement zu steigern.

Hinzu kommt die Entwicklung hin zu vernetzten Smart Locks und intelligenten Zutrittspunkten: Sensoren können Zählsignale, Touchless-Interfaces oder Gesichtserkennung bieten. Dadurch wird das physische Zugangssystem Teil des größeren Internet-of-Things (IoT). Moderne Architekturen unterstützen hybride Modelle, bei denen Kernfunktionen weiterhin lokal laufen, während Auswertung, Mobile-Access und globale Steuerung in sicheren Cloud-Umgebungen realisiert werden. Auf diese Weise bleibt das Zutrittskontrollsystem zukunftssicher erweiterbar und kann sich an neue Technologien (z. B. Blockchain-basierte Zertifikate oder KI-gestützte Anomalieerkennung) anpassen.