Technisches Betriebsmanagement und Wartung

Das Projekt befasst sich mit dem EU-weiten Betrieb und der Wartung eines einheitlich kontrollierten Zugangskontrollsystems (CCS) in verschiedenen Ländern, Zeitzonen (CET/EET), Sprachen und regulatorischen Rahmenwerken. Der Fokus liegt auf verteilten Standorten in städtischen und periurbanen Regionen mit unterschiedlichen Infrastrukturen (Campustopologien, einzelne Gebäude, gemischte Nutzungen). Die Lösung muss Multi-Tenancy sowie eine hierarchische Rechte- und Betriebsorganisation unterstützen (Gruppe → Region → Land → Standort → Gebäude → Zone), einschließlich länderspezifischer Feiertags- und Arbeitszeitkalender sowie mehrsprachiger Benutzeroberflächen und Dokumentation. Datenspeicherung, -verarbeitung und -unterstützung erfolgen ausschließlich innerhalb der EU in Übereinstimmung mit der DSGVO sowie den relevanten Standards und Leitlinien; für KRITIS/NIS2-relevante Standorte müssen verstärkte organisatorische und technische Schutzmaßnahmen getroffen werden.

• Büro- und Verwaltungsgebäude (Freiflächen, Büros, Versammlungsbereiche, Empfang).

• Technische Infrastrukturen (Rechenzentren/Serverräume, Kontrollzentren, Notstromsysteme, Verteiler).

• Produktions- und Logistikumgebungen (Fertigung, Lager, eingehende und ausgehende Güter, Gefahrstoffbereiche).

• Forschung/Labor (Biochemie, Elektronik, Reinräume; möglicherweise erhöhte regulatorische Anforderungen).

• Öffentliche und halböffentliche Bereiche (Besucherzentren, Kantinen, Parkhäuser).

• Perimeter- und Außeneinrichtungen (Tore, Absperrungen, Zäune).

Typische Bauanforderungen (z. B. Flucht- und Rettungsrouten, funktionale Integrität, Schalldruck und Zugänglichkeit) müssen auf die Tür- und Zonenplanung übertragen werden. Alte und neue Gebäude existieren nebeneinander; Bestehende Infrastrukturen weisen eine technische Heterogenität auf, von rein mechanischen Gehäusungen bis hin zu IP-gestützten CCS. Standortprofile können sich erheblich in Bezug auf Zugriffsvolumen, Sicherheitsklassen, Netzwerkverfügbarkeit und Klima (Temperatur, Luftfeuchtigkeit) unterscheiden; die Lösung muss geeignete Hardware-Schutzklassen (IP/IK-Klassen), Temperaturbereiche und vandalismusresistente Designs unterstützen.

• EU-Konformität: Alle Datenverarbeitungs- und Speicherorte befinden sich in der EU; Lieferanten erfüllen die entsprechenden Zertifizierungen (z. B. B. ISO/IEC 27001; für Cloud: BSI C5/ISO 27017/27018).

• Standardorientierung: Fieldbus-Kommunikation hauptsächlich über den OSDP Secure Channel; Wiegand nur für Legacy mit einem definierten Migrationsweg. Kryptomedien: DESFire EV2/EV3 oder äquivalent; Jährliche Schlüsselübertragung, zentrales, PKI/HSM-unterstütztes Schlüsselmanagement.

• Edge-Intelligenz: Türkontrolleure treffen lokale Entscheidungen im Falle von Netzstörungen, einschließlich Pufferung und definierter Degradationsmodi; Synchronisationskonzepte für Offline-/Wireless-Komponenten sind etabliert.

• Identitätsquelle: Das primäre Personen- und Gruppenmanagement erfolgt über ein führendes IAM (z. B. Azure AD/SCIM); ZKS ist ein nachgelagerter Autorisierungs- und Durchsetzungsdienst.

• Betriebsabläufe: 24/7 Fehlerannahme, priorisierte Fehlerbeseitigung nach Schweregrad, vorbeugende Wartung gemäß Standard/Hersteller, dokumentierte Änderungen, rückverfolgbares Asset- und Firmware-Register.

• Mehrsprachigkeit: Benutzeroberflächen, Schulungskurse und Bedienungsdokumente in mindestens Deutsch und Englisch; länderspezifische Verlängerungen bei Bedarf.

• Energie- und Netzverfügbarkeit: Kritische Knoten werden über eine USV gesichert; Netzwerksegmentierung (IT/OT) existiert oder wird im Projekt implementiert.

• Sicherheit und Datenschutz: Implementierung von Zero-Trust-Prinzipien, Netzwerksegmentierung, TLS/mTLS für Serverkommunikation, Logging mit manipulationssicherer Aufbewahrung und rollenbasiertem Zugriff; DPIA, falls nötig.

• Hohe Verfügbarkeit und Resilienz: Redundante Anwendungsserver und Datenbankcluster gemäß später definierten RPO/RTO; Rückfallstrategien für lokale Zugangsentscheidungen; definierte Backup-/Wiederherstellungsverfahren und regelmäßige Wiederherstellungstests.

• Umgebung und Betrieb: Hardware-Auswahl entsprechend klimatischen Bedingungen; regulierte Batterielaufzeiten/-wechselzyklen; Ersatzteile sind gemäß EoL/EoS-Planung vorrätig.

• Interoperabilität: Verwendung standardisierter Schnittstellen (REST/SCIM, OSDP, BACnet/OPC UA); Vermeidung proprietärer Lock-ins; Dokumentierte Datenmodelle und Mapping-Tabellen.

• Einhaltung und Verifikation: Test-, Abnahme- und Überarbeitungsprozesse sind ein integraler Bestandteil der Abläufe; Messbarkeit durch SLAs/KPIs und regelmäßige Berichterstattung.

• Nutzer- und Prozessdiversität: Kartierung von Mitarbeiter-, Dienstleister- und Besucherprozessen einschließlich temporärer Rechte, standortübergreifenden Zugangs- und Eskalationspfaden.

• Projektausführung: EU-weite Einführung in Wellen; klare Änderungsfenster, Test- und Akzeptanzphasen (FAT/SAT), Rückrollungspläne; Koordination mit FM/IT/Sicherheitsdiensten.

• Identitäten und Berechtigungen: Das führende IAM (wie Azure AD) stellt Personen-, Gruppen- und Attributdaten bereit. Das ZKS konsumiert diese und ergänzt sie mit Zugangsrollen, Zeitprofilen und Zonenmitgliedschaft.

• Policy und Entscheidungslogik: Zentrale Richtlinien (RBAC/ABAC) werden an Edge-Controller verteilt. Für Offline-/Funkkomponenten werden Rechtesätze kryptografisch übertragen und mit Validitätsfenstern ausgestattet.

• Zugangspunkte/Peripheriegeräte: Lesegeräte, Türaktuatoren, Sensoren und Fluchttürtechnologie bilden die physischen Kontrollpunkte. Aufzüge sind über Bodenfreiheiten und Zugangsprofile integriert.

• Ereignis- und Alarmmanagement: Alle relevanten Ereignisse werden protokolliert, korreliert und auf manipulationssichere Weise an Kontrollzentren/PSIM/VMS übermittelt. Kritische Alarme folgen definierten Eskalationsketten.

• Integrations- und Betriebsplattform: Schnittstellen zum Besuchermanagement, IWMS/CMMS (Asset/Arbeitsaufträge), FAS/BMA (Veröffentlichungen/Bestätigungen), VMS (Videoverifikation), BMS/BMT (Betriebszustände) und SIEM/SOAR (Sicherheitsanalysen). Zu den operativen Funktionen gehören Überwachung, Patch-/Firmware- und Schlüsselverwaltung, Sicherung/Wiederherstellung.

• Provisioning: Idempotent, automatisierte Bereitstellung/Widerruf von Rechten (Joiner-Mover-Leaver, Besucher), synchronisiert über SCIM/Workflows.

• Entscheidungsdaten: Rollen, Zeitprofile und schwarze Listen sind zyklisch verteilt; Controller führen lokal Whitelists/Richtlinien.

• Telemetrie: Gesundheits-, Batterie- und Firmware-Daten fließen in das Asset-Register; Ereignisdaten in Auditprotokollen und Berichten.

• Least Privilege and Need-to-Access: Abtretung der Mindestanforderungen; einschränkend, zeitlich begrenzt und standardmäßig vorgesehen. Rezertifizierungszyklen für sensible Zonen.

• Zonenmodell und Segmentierung: Sicherheitsklassen strukturieren Gebäude und Prozesse. Übergänge zwischen Zonen sind kontrollierte Schnittstellen mit klaren Authentifizierungsanforderungen. Anti-Passback- und Besucherhinweise verringern den Missbrauch.

• Multi-Faktor-Authentifizierung: Kombination aus Besitz (Karte/Mobilgerät), Wissen (PIN) und Inhärenz (Biometrie, nur wenn erlaubt). Höhere Schutzklassen erfordern stärkere Faktoren und engere Zeitfenster.

• RBAC/ABAC und Zeitabhängigkeit: Rollen definieren Grundsätze von Rechten; Attribute (z. B. Zugehörigkeit, Verschiebung) und Zeitprofile verfeinern die Entscheidungen. Vorübergehende Ausnahmen (Glasbruch) werden protokolliert und müssen genehmigt werden.

• Lebenszyklusmanagement: End-to-End-Prozesse von Identitätserstellung über Rollenzuweisung, Medienausgabe und Aktivierung bis hin zur Widerruf/Nichtvalidierung (einschließlich Schwarzlisten). Besucher und externe Unternehmen erhalten vorübergehende, begrenzte Genehmigungen mit Sponsoring.

• Schlüssel-Krypto- und Medienmanagement: Medien basieren auf starken, segmentierten Schlüsselhierarchien; Central Key Trust (PKI/HSM) und regulärer Key Rollover. Medienverlust führt zu sofortiger Blockierung und Prüfung.

• Flucht- und Rettungsweg-Konzept: Safety by-Design hat Priorität. Brand- und Gefahrenalarmsysteme können Türen gewaltsam öffnen; ZKS protokolliert und stellt den Zielzustand nach dem Widerruf wieder her. Testfristen und Testprotokolle sind ein integraler Bestandteil des Unternehmens.

• Betriebsmodi und Verschlechterung: Klar definierte Rückgriffe (lokale Entscheidung, Caching, definierte Öffnungsregeln) im Falle eines Netzwerk-/Serverausfalls. Die Überwachung des Zustands der Tür verhindert stille Fehlfunktionen; Wartungs- und Servicefenster sind zeit- und zonengesteuert.

• Datenschutz und Verifizierung: Datenminimierung, Zweckbegrenzung und begrenzte Speicherfristen für Veranstaltungen. Pseudonymisierung in Berichten, rollenbasierter Zugriff auf Protokolle; DPIA, wo erforderlich. Integrität der Protokolle durch manipulationssichere Ablage.

• Qualität, Messbarkeit und Compliance: Richtlinien, Ereignisse und operative Maßnahmen sind messbar (KPIs/SLAs), dokumentiert auditsicher und in Übereinstimmung mit den Standards umgesetzt. Standardisierte Datenmodelle und -schnittstellen gewährleisten Interoperabilität und Migrationsfähigkeit.

Diese Prinzipien definieren den gemeinsamen Bezugsrahmen für die weitere Spezifikation von Architektur, Sicherheit, Betrieb, Integration und Bewertung des ZKS in einem EU-weiten Kontext.

Die Unternehmensorganisation folgt klaren Verantwortungslinien, einem ITIL-orientierten Servicemodell und dem Prinzip der Rollentrennung (Vier-Augen-Prinzip). Richtlinien, Standards und Prozesse werden zentral (Gruppen-/EU-Ebene) definiert und standortweise umgesetzt. Sicherheit (Sicherheit/Physisch/IT/OT) und Datenschutz sind Querschnittsaufgaben; Compliance ist ein integraler Bestandteil der Bereitstellung von Dienstleistungen. Entscheidungen, die Verfügbarkeit, Sicherheit oder Einhaltung betreffen, unterliegen einem formellen Änderungs- und Freigabeprozess (CAB).

• Legt Zielbild, Budget und Prioritäten fest; Genehmigt Richtlinien (Zonenmodell, Rollen, Zeitprofile).

• Vorsitzender des Lenkungsausschusses; Eskalationsfall im Falle widersprüchlicher Ziele.

• Technische Verantwortung für physische Sicherheit und Zugangsprozesse am Standort.

• Inhaber des Zugangsrollenmodells, der Tür- und Zonenklassifikation, der Flucht- und Fluchtweg-Konzepte.

• Kontrolle der ID-Karte/Schlüsselpunkt (Ausgabe, Rückgabe, Inventar) und Koordination der vorbeugenden Wartung.

• Verantwortlich für das Hosting/Deployment der On-Prem/Private Cloud (ZKS)-Plattform, Netzwerksegmentierung, PKI/HSM sowie Backup/Wiederherstellung.

• Schnittstellen zu IAM (Azure AD/LDAP/SCIM), SIEM/SOAR, Monitoring; Implementierung von Härtung, Patch- und Schwachstellenmanagement.

• Betrieb der Anwendungs-/Datenbankcluster (zusammen mit dem Dienstanbieter, je nach Herkunft).

• L1-Akzeptanz von Fehlern/Alarmen; Bedienung der Kontrollzentrum-Schnittstelle (Ereignisakzeptanz, Videoverifikation, Interventionsplanung).

• Ausweis-/Besucherprozesse (Identifikationskontrolle, Ausstellung temporärer Ausweise), physische Kontrollen vor Ort.

• Durchsetzung von Blockierungen (z. B. Kartenverlust), Türkontrollen nach dem Auslösen des Alarms.

• L2: Konfiguration, Debugging, vorbeugende Wartung, Firmware-/Patch-Rollouts, Schlüssel-/Medienpersonalisierung nach der Veröffentlichung.

• L3: Anbieterkoordination, Bugfix/Hotfix-Management, komplexe Migrationen, Ursachenanalysen.

• Pflege von Asset-Registern, Türlisten, Firmware-/EoL-Status; Bereitstellung von Betriebs- und Verifikationsdokumentation.

• Security-by-Design, Zero Trust, Anforderungen an Logging und Aufbewahrung; Überprüfung von TOMs und DPIA.

• Veröffentlichung sicherheitsbezogener Änderungen; Überprüfung von Rollen-/Autorisierungsmodellen und Logzugriffen.

• Spezifikationen und Genehmigungen für Flucht- und Rettungsrouten, Testzyklen und Notfallbetriebsmodi.

• Teilnahme an Akzeptanztests (FAT/SAT) mit Schwerpunkt auf Sicherheit und standardkonformer Integration von BMA/FAS.

• Lokale Durchsetzung und Akzeptanz; Kontaktperson für Behörden/Inspektionen.

• Pflege standortspezifischer Kalender (Feiertage, Zugriffszeiten), Eskalationsschnittstelle vor Ort.

• Produkt-Compliance, Sicherheitshinweise, SBOM on Demand; Unterstützung zur Behebung von Schwachstellen.

• Schalter/Umzug/Verlassender automatisiert über IAM; CCS verbraucht Gruppen/Attribute.

• Rolle und Zonenfreigaben nach FM; temporäre Ausnahmen (Break-Glass) mit Genehmigung und Audit-Logbuch.

• Personalisierung kryptografischer Medien (DESFire EV2/EV3) und mobiler Zugangsdaten; Echtzeit-Verlust/-sperre.

• Schlüsselhierarchien und Rollover im HSM/PKI-Betrieb; Vier-Augen-Prinzip für Schlüsseloperationen.

• L1 Safety Control Center: Ticketerstellung, erste Diagnose, Priorisierung (P1–P3).

• L2-Dienstleister: Fern-/Vor-Ort-Fehlerbeseitigung; L3-Hersteller im Falle von Produktfehlern.

• Kommunikationsanleitung und fortlaufende Statusupdates bis zur Genesung; Nach-Vorfall-Überprüfung bei P1.

• Trendanalyse, Ursachenanalyse, Korrekturmaßnahmen; Pflege der Datenbank bekannter Fehler.

• CAB mit FM, IT, CISO/DSB, Dienstanbieter; Risiko-/Wirkungsbewertung, Tests und Rückrollungsplan.

• Wartungsfenster und Verdunkelungszeiten; dokumentierte Zulassungen (FAT/SAT, Regressionstests).

• Sicherheitsupdates wurden gemäß CVSS priorisiert; gestufte Rollouts (Pilot → Welle).

• Firmware für Controller/Leser/Offline-Komponenten mit Kompatibilitätsprüfung; Rückfallstrategien.

• Zyklen nach Standard/Hersteller (EN 179/1125/13637) und Benutzerhandbuch; dokumentierte Funktions- und Fluchtwegtests.

• Batteriemanagement für Funk-/Mechatronikkomponenten (Lade-/Wechselpläne, Überwachung der Betriebsdauer).

• Vollständiges Vermögensregister (Türliste, Firmware-Status, EoL); CMDB-Link.

• Laufbücher, Arbeitsanweisungen, Checklisten; Regelmäßige Updates.

• Lösch-/Aufbewahrungsperioden, Rollen-Rezertifizierungen, Zugriffsprüfungen zu Protokollen.

• Hochrisiko-DPIA; Jährliche Compliance-Überprüfungen, KRITIS/NIS2-Audits, falls zutreffend.

• Notfallhandbuch (BCP/DRP), Notfallbetriebsmodi (lokale Entscheidung), Neustartverfahren; regelmäßige Übungen.

• FM und Standortmanagement: Rollen-/Zonenmodell, Fluchtweggesetz, Akzeptanzprozesse; Jährliche Erneuerung.

• Sicherheitsdienst/Kontrollzentrum: Betrieb des Leitzentrums, Alarm- und Interventionsprozesse, Identitätsverifizierung, Datenschutzschulungen; Je nach Schicht alle 6–12 Monate.

• IT: Härtung, PKI/HSM, Netzwerksegmentierung, Backup/Wiederherstellung, SIEM-Verbindung; Nachweis relevanter Zertifizierungen (z. B. 27001 Foundation, Netzwerksicherheit).

• Dienstleister/Techniker: Herstellerzertifikate, EN 13637/179/1125 Praxis, OSDP/Türbeschläge, Arbeitssicherheit; Jährliche Rezertifizierung.

• CISO/DSB/HSE: Prüfungsanforderungen, DPIA, Protokoll- und Löschkonzepte, Notfallübungen.

Alle Schulungskurse müssen dokumentiert sein (Teilnehmer, Inhalte, Tests), mit Kompetenzprofilen für jede Rolle und vorhersehbaren Rezertifizierungszyklen. Diese organisatorischen und governance-Spezifikationen bilden die Grundlage für einen sicheren, standardkonformen und effizienten EU-weiten ZKS-Betrieb.

• Asset-Register/Türlisten: Vollständige Aufzeichnung pro Türbaugruppe einschließlich Firmware-Status, Konfigurationsparameter, EoL/EoS-Daten; Link zur CMDB.

• Wartungs- und Testprotokolle: DIN/herstellerkonform, digital signiert, versionsgeführt; Abweichungen mit Aktionsplan und Fristen.

• Änderungs-/Veröffentlichungsdokumentation: CAB-Protokolle, Testbeweise, Rückrollentscheidungen, betroffene Vermögenswerte.

• Sicherheits- und Datenschutzdokumente: Krypto-Konzept, Zertifikats-/Schlüsselregister, Lösch- und Aufbewahrungsrichtlinien, DPIA-Anhänge; Protokolle greifen auf Protokolle zu.

• Backups/Wiederherstellung: Backup-Pläne, Wiederherstellungstests (mindestens alle sechs Monate), Protokolle und Ergebnisse.

• Berichterstattung: Monatlicher Servicebericht (Verfügbarkeit, MTTR, Präventionsrate, Patch-Konformität, Batteriestatus, offene Abweichungen), vierteljährlicher QBR mit Trendanalyse.

• Umfasst: Betriebsbetrieb der ZKS-Plattform, Konfigurationswartung, Verwaltung von Türgruppen/Zonen und Zeitprofilen (nach Genehmigung), Integrationsbetrieb (IAM, VMS, BMA/FAS, Aufzug, CAFM/CMMS), Schlüssel- und Zertifikatsmanagement, Medienproduktion, Fehlerbeseitigung vor Ort, präventive Überprüfungen und Tests einschließlich Fluchtweg.

• Nicht enthalten (sofern nicht ausdrücklich in Auftrag gegeben): Baudienstleistungen/Kabelziehung, Tür-/Fassadenbau, grundlegende Renovierungen, Netzwerk-Backbone-Erweiterungen, unabhängiger Betrieb von Drittanbietern (VMS/BMA/GLT) über definierte Schnittstellen hinaus.

• KPI-unterstützte Kontrolle: Zielwerte umfassen Verfügbarkeit ≥ 99,9 %, P1-Fehlerbeseitigung ≤ 4 Stunden, Patch-Compliance ≥ 95 % innerhalb von 30 Tagen, Präventionsrate > 60 %, pünktlicher Batteriewechsel ≥ 98 %.

• Überprüfungen und Audits: monatliche OBR, vierteljährliche QBR, jährliche Compliance-/Sicherheitsüberprüfungen; RCA-Implementierungskontrolle.

• Wissensmanagement: Aktualisierte Laufbücher, Wissensbasis, Schulungs- und Rezertifizierungspläne für operatives Personal.

Dieser Servicekatalog stellt sicher, dass das CCS sicher, hochverfügbar und normgerecht in der gesamten EU betrieben wird, dass Ausfälle kontrolliert, Risiken minimiert werden und jederzeit Nachweise über Prüfungen und Einhaltung vorgelegt werden können.

Die technische Zielarchitektur folgt den Prinzipien der Multi-Client-Funktionalität, Sicherheit und Sicherheit durch Design, hoher Verfügbarkeit, Edge Intelligence, Skalierbarkeit und Interoperabilität auf Basis offener Standards. Zentrale Richtlinien und Identitätsdaten werden konsistent verwaltet, während Edge/Door-Controller lokale Entscheidungen auch im Falle von Netzwerkstörungen sicher treffen. Alle sicherheitsrelevanten Kommunikationswege sind kryptografisch gesichert (OSDP Secure Channel, TLS/mTLS). Der Betrieb ist multi-client-fähig, prüfbar und unterstützt einen EU-weiten Rollout mit unterschiedlichen Standortprofilen.

• Identitäts- und Richtlinienschicht: Verbinden Sie sich mit führenden Identitätsquellen (Azure AD/LDAP/SCIM) für Personen, Gruppen und Attribute.

• Policy Engine (RBAC/ABAC), um Rollen, Zonen und Zeitprofile in durchsetzbare Regeln zu übersetzen.

• Orchestrierung und Verteilung: Konfiguration und Schlüsselverteilung an Edge/Door-Controller (gesichert, versionsgeführt).

• Ereignisbus für Zustands-, Alarm- und Auditdaten; Webhooks/REST für Integrationen (VMS, BMA/FAS Gateway, Aufzug, IWMS/CMMS).

• Operative und administrative Dienstleistungen: Admin-UI mit Klient und Rollenmodell, Tür- und Zonenverwaltung, Arbeitsabläufe (Tischler/Umzug/Gänger, Besucher).

• Berichterstattung/Analytics, SLA/KPI-Dashboards, Compliance und Audit-Export.

• Datenspeicherung: Relationales Kernschema (Identitäten, Zonen, Türen, Controller, Rollen, Zeitprofile).

• Zeitreihen/Logspeicher für Ereignisse und Telemetrie (mit Aufbewahrungs- und Löschregeln).

• Konfiguration und geheime Speicherung (HSM/PKI-unterstützt).

• Die Plattform ist horizontal skalierbar (staatlose Dienste hinter Load Balancern), unterstützt Multi-Region-Deployments innerhalb der EU und trennt strikt zwischen Mieterkontexten (Daten- und Verwaltungsdomänen).

• Anwendungsschicht: Minimale aktive/aktive Anwendungsserver; Sitzungszustände in verteilten Speichern (wie Redis) statt lokal.

• Datenbank: Hochverfügbarer Cluster (Synchro-Replikation), Lesereplika für die Berichterstattung; definierte RPO/RTO-Ziele.

• Ereignisbus und Warteschlangen: Persistente Warteschlangen (Store-and-forward), Backpressure-Mechanismen, geordnete Zustellung.

• Edge-Resilienz: Controller treffen lokal Entscheidungen, puffern Ereignisse und aktualisieren Listen für den Widerruf; Deterministische Abbaumodi (Fail-Safe, definierte Türlogik).

• Backups/Wiederherstellung: Versionsgeführte Konfigurationssnapshots, tägliche Datenbank-Backups, regelmäßige Wiederherstellungstests; Separate Backup-Domäne.

• Blue/Green/Canary-Rollouts: Minimieren Sie das Ausfallrisiko bei Plattform- und Firmware-Updates; Definierte Rollback-Strategien.

• Merkmale: Bewertung lokaler Richtlinien (Whitelist, Zonen- und Zeitprofile), Anti-Passback, Überwachung des Türzustands.

• Puffern von Ereignissen und Blocklisten im Falle eines WAN-/LAN-Ausfalls; zeitgebundene Notfallbetriebsmodi.

• Sichere Peripherieverbindung über OSDP Secure Channel; Hardwaremanipulation und sichere Boot-/Konfigurationstests.

• Konnektivität: Primäres Ethernet/PoE; optionale Redundanz (zweiter Uplink, LTE-Rückfall) für kritische Zonen.

• TLS/mTLS gesicherte Verbindung zum Plattform-Gateway; Zertifikatsbasierte Controller-Identität.

• Leistung: Türgruppenfähig (mehrere Leser/IOs pro Controller), deterministische Latenzen im Millisekundenbereich, Priorisierung sicherheitskritischer Signale (z. B. Entrampen).

• Komponenten: Lesegerät (Einzel-/Dual-Tech, NFC/BLE), optionales PIN-Pad/Tastenfeld, biometrische Daten falls nötig (nur wenn rechtliche Grundlage besteht).

• Schloss/Aktuator (Motorschloss, Türöffner, Mehrpunktverriegelung) gemäß DIN 18251/EN 12209/EN 14846.

• Sensoren (Türstatus- und Verschlussschalterkontakte), Tamper-Kontakte, RTE-Knöpfe.

• Fluchttürterminals und elektrische Fluchtwegsysteme gemäß EN 179/1125/13637 mit definierter Schnittstelle zu BMA/FAS.

• Betriebslogik: Zustandsmaschine (geschlossen, gesperrt, offen, Alarm, erzwungenes Öffnen).

• Zeitprofile für Betriebsmodi (Tag/Nacht/Automatik); Tür-zu-lang-Alarm, Türblockade, Anti-Passback.

Das Lebenszyklusmanagement umfasst die geplante Wartung, Erneuerung und Weiterentwicklung des ZKS über seinen gesamten Lebenszyklus. Ziel ist es, kontinuierlich Sicherheit, Verfügbarkeit und Einhaltung sicherzustellen, technische Schulden kontrolliert zu reduzieren und Migrationsrisiken zu minimieren.

• Sicherheit und Standardkonformität als nicht verhandelbarer Faktor (OSDP Secure Channel, kryptographisch starke Medien, EN 179/1125/13637).

• Planbare Verlängerungszyklen (EoL/EoS) und Budgettransparenz.

• Hohe Interoperabilität und Vermeidung von Lock-in durch Standards und entkoppelte Architekturen.

• Phasenweise Rollouts mit klaren Go/No-Go-Kriterien und widerstandsfähigen Rollback-Pfaden.

• Einheitliches Zielbild: Ein EU-weites, multi-kundenfähiges ZKS mit Edge-Entscheidungsfähigkeit, hoher Verfügbarkeit und klaren Governance-Strukturen ist erreichbar, wenn Standards, Sicherheit und Sicherheits-by-Design sowie DSGVO durchgehend verankert sind.

• Sicherheits- und Datenschutzgrundlage: Zero Trust, Segmentierung, OSDP Secure Channel, TLS/mTLS, starke Kryptographie (DESFire EV2/EV3, PKI/HSM, Schlüsselrollover) und manipulationssichere Protokolle bilden die nicht verhandelbare Mindestlinie.

• Interoperabilität: Führende Identitätsquelle über Azure AD/SCIM, Integrations-Gateway-Ansatz, definierte Schnittstellen (VMS, FAS/BMA, elevator, CAFM/CMMS, optional BMS/BMT) gewährleisten Skalierbarkeit und reduzieren Lock-in.

• Betrieb und Verifikationen: ITIL-orientierte Prozesse, präventive Wartung gemäß Standard/Hersteller, zuverlässige SLAs/KPIs (≥99,9 % Verfügbarkeit, P1 ≤ 4 Stunden TTR), vollständige Tests/Abnahme und Betreiberdokumentation (einschließlich DPIA) gewährleisten Prüfbarkeit.

• Lebenszyklus und Modernisierung: Geplante Migration Wiegand→OSDP und Legacy Media→DESFire, EoL/EoS-Register, Wellen-Rollouts mit Canary/Blue-Green und Clear Rollback-Pfaden minimieren Risiko und TCO.

• KRITIS/NIS2: Zusätzliche Kontrollen (SL2/SL3 gemäß IEC 62443), strengere Berichts- und Prüfungszyklen, strengere RPO/RTO sowie geübte Notfall- und Continuity-Prozesse sind für Hochschutzgebiete verpflichtend.

• Standards-first und Offenheit: Verpflichtender OSDP Secure Channel, DESFire EV2/EV3, SCIM 2.0, offene REST/Event-APIs; Migrationswege weg von proprietären Protokollen/Medien.

• Sicherheits- und Datenschutzanforderungen als KO: EU-Datenaufenthalt, AV/TOM-Zugangsdaten, PKI/HSM-Betrieb, jährliche Schlüsselübertragung; Privatsphäre durch Design/Standard.

• Kantenresilienz und HA: Lokale Entscheidungsfähigkeit, Store-and-Forward, App-Server-Redundanz, Datenbankcluster; RPO/RTO pro Zone abschließen (KRITIS vs. Standard).

• Integrationsarchitektur: zentrales Gateway, versionierte Daten- und Ereignisschemata, Vertragstests; Pflichtintegrationen als akzeptable Anwendungsfälle.

• Service-Exzellenz: SLA-Korridor (P1/P2), präventive Wartung, Patch-/Firmware-Konformität, Ersatzteil-Lagerung; Berichterstattung entlang definierter KPIs.

• Bewertbarkeit: Bindendes Bewertungsmodell mit Gewichtungen (Sicherheit, Standards, Verfügbarkeit, Interoperabilität, Service, Dokumentation) und Beweisanforderungen.

• Ausstiegsstrategie: Daten-/Schlüsselportabilität, Dokumentation offener Schnittstellen, Migrationstools und EoL/EoS-Richtlinie als Teil des Vertrags.

• Hosting: On-premises (maximale Kontrolle) vs. private Cloud (Elastizität) – in beiden Fällen EU-Wohnsitz, ISO/BSI C5-Zugangsdaten, BYOK/CMK. Entscheidungen basieren ausschließlich auf Schutzbedürfnissen, operativer Kompetenz und Integrationsabhängigkeiten.

• Hardware-/Ökosystemwahl: Offene Controller (z. B. Mercury-Ökosystem) vs. vertikale Suites; Ziel ist es, die Lock-in bei geprüften Compliance zu verringern.

• Mobile Zugangsdaten und BYOD: Wallet/MDM-Strategie, Gerätesicherheit (SE/TEE), Kostenmodell; Offline-Fallback nur mit zeitgebundenen Schlüsselpools.

• Biometrie: Nur mit klarer rechtlicher Grundlage und DPIA; bevorzugt Template-on-Card/Gerät, um zentrale biometrische Daten zu vermeiden.

• Offline-/Funkkomponenten: Synchronisationsfenster risikobasiert (KRITIS eng), Batterie-Telemetrie verpflichtend.

• Risiken und Gegenmaßnahmen: Integrationskomplexität: Entkopplung über Gateway, Idempotenz, Staging/Vertragstests.

• Lieferkette/EoL: Lebenszyklus-Register, letzter Kauf, Second-Source-Strategien.

• Datenpannen: Datenminimierung, Pseudonymisierung, Zugriffsprüfungen, Übungen.

• Personalfaktoren: Ausbildung, Runbooks, PAM/MFA, Vier-Augen-Prinzip.

0–3 Monate Finalisierung der RFP einschließlich Compliance-Matrix, Bewertungsblatt, Knockout-Kriterien, Akzeptanz-Anwendungsfälle.

• Bereitstellung von Referenzarchitekturen und Datenmodellen (OpenAPI/Ereignisschemata).

• Bestandsaufnahme: Türliste/Vermögensregister, Protokolle (Wiegand), Medienlandschaft, Zonierung kritischer Infrastruktur.

• DPIA-Vorabprüfung und Sicherheitsbasis (Zero Trust, PKI/HSM-Anforderungen).

3–12 Monate Auszeichnung, Piloten an 1–2 repräsentativen Standorten; Erfolgskriterien: kein P1/P2, SLA-Compliance, OSDP/DESFire produktiv.

• Beginnen Sie mit der Migration von Wiegand→OSDP, Umbendigung zu DESFire EV2/EV3, Integration der verpflichtenden Integrationen (Azure AD/SCIM, VMS, FAS/BMA, Aufzug, CAFM).

• Aufbau HA-/Backup-/Restore-Mechanismen, SIEM/SOAR-Anwendungsfälle, Berichts-Dashboards.

• Ausbildungsprogramme für Leitstelle, Techniker, FM/IT; Runbooks und SOPs.

12–24 Monate EU-weiter Einsatz in Wellen; Offline-/Funksynchronisation optimieren, Batteriemanagement datengetrieben steuern.

• KRITIS-Härtung: strengere RPO/RTO, DR-Übungen, zusätzliche Kontrollen (SL2/SL3).

• Optional: Mobile Zugangsdaten im großen Maßstab einführen, Identity & Access Analytics (DPIA-basiert) erproben.

• Kontinuierliche Verbesserung: KPI/RCA-gesteuerte Optimierungen, Aktualisierungen von Lebenszyklusregistern, EoL-Aktualisierungen.

Die Ausschreibung sollte sich auf standardbasierte Offenheit, widerstandsfähige Sicherheits- und Datenschutzmechanismen sowie messbare Servicequalität konzentrieren. Mit klaren Schlüsselentscheidungen, einer risikobasierten Roadmap und verbindlichen Nachweisen wird ein zukunftssicherer, skalierbarer und auditsicherer ZKS-Betrieb geschaffen, der Sicherheit, Einhaltung und Effizienz in der gesamten EU vereint.