Zutrittskontrollsystem: Technik und Produktlebenszyklus

Obsoleszenzmanagement hat zum Ziel, „die dauerhafte Nichtverfügbarkeit“ (Obsoleszenz) von Bauteilen oder Softwarekomponenten zu verhindern bzw. deren Folgen zu begrenzen. Da Zutrittskontrollsysteme häufig als Teil langfristiger Investitionsgüter (Gebäude, Anlagen) Jahrzehnte im Einsatz bleiben, ist hier das Missverhältnis zwischen langen Betriebszeiten und kurzen Produktzyklen besonders akut. Kommt ein wesentlicher Baustein im Netzwerk oder der Feld‑Elektronik nicht mehr nachzuliefern, kann das gesamte Zutrittssystem stillstehen. In der Konsequenz drohen für Betreiber erhebliche Risiken: geplanter Produktionsausfall, Notausstiege ohne Zugangsnachweise, womöglich Sicherheitslücken (z. B. entfällt Hardware-Failover oder kritische Firmware wird nicht mehr aktualisiert). Für Hersteller bedeutete Lieferverzug zudem Reputations- und Umsatzverluste und im Extremfall Regressforderungen bei Nichterfüllung vertraglicher Lieferzusagen.

Zur Bewältigung dieser Risiken stehen Betreibern mehrere Strategien offen：Sie können Ersatzteilbevorratung betreiben (Einlagerung kritischer Komponenten), alternativ Bauteile qualifizieren (Cross-Referencing oder Äquivalente), oder – langfristig und kostenintensiv – Re-Engineering betreiben (ganze Subsysteme neu entwickeln). Letzteres erfordert einen hohen Aufwand (Neuvalidierung, Zertifizierung) und wird oft nur dann umgesetzt, wenn etwa nach ISO/IEC-Normen (z. B. EN 62304 für Medizintechnik-Software) Sicherheit und Risikomanagement es verlangen. Wichtig ist eine systematische Überwachung von Herstellerankündigungen: Je früher eine bevorstehende Abkündigung bekannt wird, desto mehr Zeit bleibt für eine wirtschaftliche Gegenmaßnahme. Proaktives Obsoleszenzmanagement (z. B. unter Anwendung der IEC 62402）empfiehlt sich daher als Teil des Gesamt‑Life‑Cycle‑Managements. Für Hersteller wiederum bedeutet dies, rechtzeitig Ersatzprozesse zu planen, z. B. durch Fremdvergabe der Produktion oder Einrichtung längerer Produktionsauslaufphasen. Ohne solche Maßnahmen könnten sie bestehende Serviceverträge nicht erfüllen und sogar haftungsrechtlich angegriffen werden.

Zutrittskontrollanlagen sind sicherheitskritisch, weshalb zahlreiche Normen und Richtlinien ihren Betrieb regeln. DIN EN 60839-11-1 (VDE 0830-8-11-1) etwa legt Anforderungen an Hardware und Systemfunktion fest. Sie definiert vier Sicherheitsgrade, denen unterschiedliche Anforderungen an Türschnittstellen, Signalisierung, Erkennung, Kommunikationsschutz und elektromagnetische Verträglichkeit zugeordnet sind. Der Betreiber bestimmt nach Risikobewertung den erforderlichen Sicherheitsgrad. Zusätzlich regeln VdS-Richtlinien (z. B. VdS 2358, 2359, 2367, 3436) Planung, Einbau und Betrieb von Zutrittskontrollsystemen. Als Mindestanforderung an Dokumentation und Wartung fordern diese unter anderem ausführliche Betriebsbücher und Schulungen. Für öffentliche und kritische Infrastrukturen existieren weitere BSI-Leitlinien: So beschreiben die BSI-TL 03402 und TL 03403 konkrete technische und organisatorische Anforderungen an Zutrittsanlagen, darunter Herstellerangaben zu Lebenszyklen und Ersatzteilversorgung.

Auf der Ebene der IT-Sicherheit greifen generische Normen: Die IEC 62443-Reihe (Industrial Automation and Control Systems Security) adressiert ganzheitlich die Integrität und Verfügbarkeit von Steuerungskomponenten. Sie empfiehlt u. a. regelmäßiges Patch-Management und sichere Entwicklungsprozesse für Hardware und Firmware. Zwar ist IEC 62443 primär für Industrieautomatisierung gedacht, doch finden ihre Prinzipien auch in vernetzten Zutrittskontrollsystemen Anwendung, etwa bei Authentisierung, Update-Funktionen und Netzwerkredundanz. Darüber hinaus gelten die neuen regulatorischen Vorgaben der EU. Mit der Verordnung 2023/988 (GPSR) über allgemeine Produktsicherheit (seit 2024 verpflichtend) müssen Hersteller künftig für jedes Produkt eine Risikoanalyse durchführen und technische Unterlagen mindestens 10 Jahre nach Inverkehrbringen vorhalten. Dies verlangt eine lückenlose Dokumentation auch für abgekündigte Systeme.

Produkthaftungsrechtlich haften Hersteller in Deutschland bis zu drei Jahre nach Kenntnis eines Mangels (Produkthaftungsgesetz) sowie generell verschuldensunabhängig nach §823 BGB. Somit müssen Sicherheitsanbieter auch nach der Abkündigung dafür sorgen, dass abverkaufte Systeme keine verborgenen Gefahren bergen. In der Praxis bedeutet dies: Beispielsweise muss bei einer CVE‑Sicherheitslücke der Firmware eines EOL-Geräts geprüft werden, ob ein Rückruf oder eine Update-Empfehlung erforderlich ist.

Auch die Auditierbarkeit der Systeme ist ein wesentliches Kriterium – vor allem in kritischen Infrastrukturen (KRITIS). Betreiber müssen jederzeit nachvollziehen können, welche Komponenten in welchem Zustand sind. In Wartungsverträgen und Notfallkonzepten wird deshalb oft gefordert, dass alle Hardware‑ und Software-Versionen, Konfigurationen und Updates detailliert dokumentiert werden (z. B. in einem stets aktuellen Anlagenhandbuch). Nur so können Prüfer oder Nachfolger im Service detaillierte Nachweise erbringen. Zusammengefasst führen Normen und Gesetze zu klaren Vorgaben: Hersteller müssen Abkündigungen offen kommunizieren, Support- und Ersatzteilleistungen dokumentieren und – bis zu einem gesetzlich vorgeschriebenen Zeitraum – auf dem neuesten Stand halten. Verstöße gegen diese Pflichten können neben rechtlichen Sanktionen auch die Betriebsgenehmigung gefährden.

• Langzeitverfügbarkeit / Wartungsverträge (Life-Cycle Contracts): In kritischen Anlagen (KRITIS) sind Service-Level-Agreements (SLA) mit 24/7-Hotline, festen Reaktionszeiten und garantierten Wiederherstellungszeiten üblich. Ein SLA kann z. B. vorsehen, dass ein Ersatzleser oder Controller innerhalb von X Stunden getauscht wird. Solche Verträge sind häufig bereits ab Gewährleistungsende anzubieten, denn sie machen künftige Kosten kalkulierbar und reduzieren Ausfallrisiken. Gerade für lebenszyklusintensive Produkte empfehlen Fachleute, Serviceverträge mit garantierten Zukaufoptionen oder Ersatzteilbevorratung abzuschließen (u. a. 10-jährige Ersatzteilversorgung).

• Proaktive Wartung und Monitoring: Regelmäßige Inspektionen nach festgelegten Intervallen (etwa halbjährlich) verlängern die Lebensdauer und Verfügbarkeit. Dazu gehört insbesondere die frühzeitige Austauschplanung von Verschleißteilen und Batteriesätzen. Hersteller und Dienstleister bieten zunehmend Remote-Monitoring an, mit dem typische Ausfallindikatoren (Speicherfüllstand, Fehlerraten) über Fernzugriff überwacht werden. Zudem sind Firmware- und Software-Updates zentral: Kritische Sicherheitsupdates müssen auch nach Produkt-EOL im Rahmen von Wartungsverträgen weiter bereitgestellt werden. Ein durchdachtes Patch-Management nach IEC 62443 minimiert dabei das Downtime-Risiko.

• Migration und Modernisierung: Parallel zur Wartung wird eine schrittweise Systemmigration geplant. Ältere Komponenten können durch neueres Equipment ersetzt werden (etwa durch Unterstützung zeitgemäßer Identmedien, Cloud-Anbindung, Biometrie etc.), ohne das gesamte System zu entsorgen. Die Norm DIN EN 60839-11-1 fordert sogar, dass Zutrittsanlagen upgradesicher sein müssen – neue Berechtigungstypen und Medien sollen per Software-Update integrierbar sein. So bleibt das System zukunftssicher und erfüllt auch künftig Compliance-Vorgaben (etwa erweiterte Logging-Anforderungen nach NIS2).

• Bevorratung und Ersatzplanung: Betreiber können gemeinsam mit dem Hersteller strategische Lagerbestände definieren. Verträge legen oft fest, dass der Hersteller bis zu einem bestimmten Jahr nach EOL ausgewählte Ersatzteile vorrätig hält oder kurzfristig nachfertigt. Wird die Produktion eingestellt, muss der Hersteller nach BME‐Empfehlung genügend Vorlauf (z. B. 6–12 Monate) ankündigen, damit Nachbestellungen möglich sind. In kritischen Bereichen wird manchmal sogar eine Redundanz bereitgestellt (Backup-Gerät vor Ort), wie es BSI-Richtlinien nahelegen.

Durch diese Maßnahmen wird der Übergang von Altsystem zu Nachfolgesystem kontrolliert. Letztendlich ist eine enge Partnerschaft zwischen Betreiber und Hersteller sinnvoll: Ein etablierter SLA‑Wartungsvertrag mit Innovationskomponenten („Innovationspartnerschaft“) erlaubt es, Funktionen und Sicherheitsupdates kontinuierlich einzupflegen und somit die Ausfallwahrscheinlichkeit zu minimieren.

Hardware und Software erfordern unterschiedliche Handhabung im Abkündigungsfall. Physische Komponenten haben natürlichen Verschleiß, sie müssen vorgehalten oder ersetzt werden. Hier gelten meist klar definierte Ersatzteillieferzeiten: Im Maschinenbau wird z. B. oft eine Ersatzteilversorgung von mehreren Jahren nach Abkündigung vertraglich festgelegt. Nach Ablauf dieser Phase sind nur noch Lagerbestände abzuarbeiten oder Neubeschaffungen nötig. Firmware dagegen – das in Hardware eingebettete Betriebssystem – unterliegt typischerweise kürzeren Supportzyklen: Einen Herstellerzwang zu lebenslangen Updates gibt es meist nicht, sodass nach Support-Ende keine neuen Firmware-Releases mehr erscheinen. Dies kann vor allem sicherheitstechnisch gravierend sein, da ungepatchte Geräte für Angriffe anfällig werden (s. Beispiel „Windows 10/EoL“).

Middleware (z. B. verteilte Datenbanken, vernetzte Management-Software) und Anwendungen (z. B. Zutrittsserver-Software, Applikationen für Besucherverwaltung) sind oft eigenständigen Lizenzmodellen unterworfen. Hersteller können für sie sogenannte Extended Support-Phasen anbieten (gegen Gebühr verlängerte Updates), oder sie in Abkündigungstabellen wie bei CODESYS klassifizieren: Eine „Servicephase“ ohne neuen Funktionsentwicklungen, gefolgt von endgültiger Abkündigung. In der Übergangsphase wird dann ggf. eine Portierung auf neue Plattformen notwendig (z. B. Umstieg von Windows CE auf Linux-Komponenten).

• Hardware: Lagerhaltung und Ersatzplanung gemäß technischen Lebensdauern. Geht ein entscheidender Baustein aus, kann man ihn noch nachbestellen oder durch ein Äquivalent ersetzen (sogenanntes „Form-Fit-Function-Replacement“).

• Firmware/Software: Sicherheitskritische Updates enden mit dem Support, so dass Betreiber ggf. auf alternative Softwarelösungen oder individuelle Sicherheitspatches angewiesen sind. Andernfalls steigt mit jeder bekannt gewordenen Schwachstelle das Risiko (wie beim Classic-Example „Patch-Tuesday“ von Windows).

• Ein Beispiel: Ein Zutrittskontrollgerät, dessen Hersteller Firmware-Version 1.0 abkündigt, kann in der Servicephase noch Fehlerkorrekturen erhalten, fällt dann aber in der Abkündigung in den reinen Wartungsmodus; nur bei Vertragsabschluss bezahlt der Kunde eventuell weitere Patches.

Die Länge von Nachliefer-, Ersatzteil- und Supportphasen hat sowohl wirtschaftliche als auch sicherheitstechnische Konsequenzen. Aus Sicht des Herstellers führen lange Verpflichtungsfristen zu höheren Kosten (Lagerhaltung, erneuter Produktionsanlauf, Personal). Beispielsweise bindet eine 10‑Jahres-Ersatzteilgarantie Kapital und Infrastruktur. Wird die Frist verkürzt, spart der Hersteller kurzfristig, riskiert aber Vertragsstrafen oder Kundenverluste. Aus Sicht des Betreibers verlängern längere Fristen die planbare Nutzungsdauer des Systems. Ein Betreiber, der z. B. mit einem 10‑Jahres‑Ersatzteilvertrag planen kann, muss nicht bereits nach wenigen Jahren die gesamte Zutrittsanlage erneuern. Kurze Fristen hingegen erzwingen oft vorgezogene Neubeschaffungen oder riskante Workarounds (etwa inoffizielle Beschaffung über Graumärkte), was Aufwand und Kosten nochmals steigen lässt.

Oberstes Ziel bleibt aber die Funktionalität und Sicherheit der Anlage. Zahlreiche Analysen zeigen: Proaktive Wartung zahlt sich ökonomisch aus, weil ungeplante Ausfälle extrem teuer sind. So betont ein Branchenfachmann, dass Wartungsverträge Ausfälle „drastisch reduzieren und die Lebensdauer der Anlage deutlich erhöhen“. Im Ergebnis erlauben SLA-Verträge, die Kosten langfristig zu kalkulieren und teure Produktionsstillstände zu vermeiden. Umgekehrt kann das Ignorieren von Abkündigungsfristen dramatische Folgen haben: Wenn ein herstellerseitig nicht mehr unterstütztes Bauteil ausfällt, muss der Betreiber schnell Ersatz suchen – oft zu Höchstpreisen oder mit langer Lieferzeit. Juristisch gilt dies als Lieferverzug (§286 BGB), der Schadensersatz in Form von Verzugszinsen und Ausfallkosten nach sich ziehen kann.

Sicherheitstechnisch führt ein zu kurz bemessener Supportzeitraum zu latenten Gefahren: Geräte, für die es keine Updates mehr gibt, bleiben bekannte Schwachstellen auf Basisstand. Beispielsweise haben Systembetreiber bei auslaufenden Windows-Versionen im Enterprise-Sektor auf kostenpflichtige Extended-Support-Programme (ESU) zurückgegriffen. In kritischen Umgebungen (etwa Krankenhäusern oder Flughäfen) ist ein solches Sicherheitsrisiko inakzeptabel. Deshalb muss die Bewertung der Übergangsfristen auch die Sicherheitsfolgen einbeziehen: Ein zu früher Abbruch des Supports erhöht das Cyber‑ und Betriebsausfallrisiko. Umgekehrt bedeutet ein engagierter Anbieter, der selbst lange Ersatzteillieferungen oder Software-Backports zusichert, für den Betreiber eine höhere Betriebssicherheit.