Integration Zutrittskontrolle in Gebäudeautomationssysteme

Die Integration von Zutrittskontrolle und GA in KRITIS verlangt nicht nur technische Lösungen, sondern auch klare organisatorische Strukturen. In der Praxis treffen oft verschiedene Zuständigkeitsbereiche aufeinander: Facility-Management bzw. Haustechnik betreiben die Gebäudeautomation, während IT-Abteilungen oder Werkschutz die Zutrittskontrolle verantworten. Fehlen eindeutige Regelungen, entstehen Lücken – das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt etwa, dass oft „die Verantwortlichkeiten nicht eindeutig festgelegt“ sind zwischen Unternehmen und externen Dienstleistern für GA. Das kann zu unsicherer Konfiguration und mangelnder Wartung führen. Ein Beispiel: Wenn weder IT noch Gebäudeleittechnik sich zuständig fühlen, wird Patchmanagement vernachlässigt – Geräte der GA erhalten keine Updates und nutzen veraltete, unsichere Protokolle. Solche organisatorischen Versäumnisse können die beste technische Sicherheit unterlaufen.

Für KRITIS-Betreiber gibt es inzwischen verbindliche Regularien, die auch die Schnittstellen-Thematik tangieren. Das deutsche BSI-Gesetz (§8a BSIG) verpflichtet KRITIS-Betreiber, ihre „informationstechnischen Systeme“ nach dem Stand der Technik abzusichern. Die BSI-Kritisverordnung (BSI-KritisV) konkretisiert, welche Anlagen in welchen Sektoren als kritisch gelten – z. B. Stromnetze ab einer bestimmten Einspeisekapazität, Krankenhäuser ab einer gewissen Größe etc. Zutrittskontroll- und Gebäudeautomationssysteme in solchen Anlagen fallen mit unter diesen Schutzauftrag, insbesondere wenn deren Ausfall die Verfügbarkeit der kritischen Dienstleistungen gefährden könnte. Neu hinzu kommen EU-Regularien: die NIS2-Richtlinie sowie die CER-Richtlinie (Critical Entities Resilience Act) erweitern den Kreis der verpflichteten Unternehmen und betonen die Resilienz gegen Cyberangriffe und physische Bedrohungen gleichermaßen. Damit rückt auch die GA, obwohl kein eigener KRITIS-Sektor, ins Visier – sie gilt als betriebskritisches Unterstützungssystem, das entsprechend zu schützen ist. Eine unmittelbare Konsequenz ist, dass weit mehr Unternehmen ab Oktober 2024 ein durchgängiges Cybersecurity-Management implementieren müssen, inkl. Gebäudetechnik.

• ISO/IEC 27001: der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Viele KRITIS-Betreiber richten ihr Sicherheitsmanagement danach aus. Für die Kopplung von ZKS und GA bedeutet dies bspw., dass beide Systeme im Geltungsbereich des ISMS liegen müssen, inklusive Risikoanalyse und kontrollierter Prozesse (Änderungsmanagement, Lieferantenkontrolle etc.).

• IEC 62443: eine Normenreihe speziell zur IT-Sicherheit von Industriesteuerungs- und Automatisierungssystemen. Sie definiert u. a. das Zonenkonzept (Segmentierung von Netzwerken nach Kritikalität) – ein Prinzip, das auch bei der Integration von Zutritt und GA angewandt wird, um etwa die Türsteuerungen in einer separaten, überwachten Zone zu halten.

• DIN EN 60839-11-1: Europäische Norm für elektronische Zutrittskontrollsysteme. Sie legt technische Anforderungen an ZKS (z. B. Zuverlässigkeit, Sabotageschutz, Protokollierung) fest, was für KRITIS wichtig ist, um ein dem Stand der Technik entsprechendes System zu betreiben. Auch Schnittstellen zu Einbruchmeldeanlagen und andere Gewerke werden darin berücksichtigt (Interoperabilität).

• VdS-Richtlinien: Der VdS (Verband der Schadenversicherer) gibt praxisnahe Richtlinien heraus, die oft über die Versicherungswirtschaft in KRITIS relevant werden. VdS 2153/2358 z. B. enthalten Anforderungen an Zutrittskontrollanlagen (Klassifizierung nach Sicherheitsgrad). Neuere VdS-Standards wie VdS 3473/10000 betreffen Cyber-Security in Unternehmen und können als „vereinfachte ISO 27001“ für Mittelstand und auch KRITIS dienen. Außerdem zertifiziert VdS Komponenten – etwa ist das oben erwähnte Pylocx-System BSI- und VdS-geprüft für höchste Ansprüche.

• BSI-Grundschutz & branchenspezifische Sicherheitsstandards (B3S): Das BSI stellt mit den IT-Grundschutz-Katalogen einen Best-Practice-Leitfaden bereit, der auch physische Sicherheit und Gebäude-IT berücksichtigt (z. B. Baustein INF.1 „Allgemeines Gebäude“ behandelt Zutrittskontrollen in Gebäuden). Für bestimmte KRITIS-Branchen gibt es B3S, die detailgenau Vorgaben machen – z. B. im Gesundheitswesen oder für Energieanlagen – und dabei auch Zugangssicherung und GA-Anbindung behandeln.

Organisatorisch wird empfohlen, Gebäudeautomation und Zutritt in ein gemeinsames Sicherheits- und Risikomanagement zu integrieren. Das heißt: Bereits bei der Initialen Risikoanalyse eines KRITIS-Betriebs müssen alle Schnittstellen zwischen physischer und IT-Sicherheit erfasst werden. Oft zeigen sich dabei verwundbare Punkte: Das erwähnte Fehlen von Updates oder unsichere Fernwartungszugänge sind in der GA keine Seltenheit. Solche Wartungszugänge (für externe Servicefirmen der Gebäudeleittechnik) stellen ein erhebliches Risiko dar, wenn sie nicht strikten Sicherheitsregeln unterliegen. BSI-Empfehlungen raten, sämtliche Fernzugänge zu inventarisieren und kritisch zu prüfen sowie vertraglich klare Vorgaben an Dienstleister zu machen. Des Weiteren ist eine enge Zusammenarbeit zwischen IT-Sicherheitsbeauftragten und Gebäude-Verantwortlichen nötig. Nur im Schulterschluss lassen sich Herausforderungen – etwa das Sichern von Bestandsanlagen mit Legacy-Protokollen – bewältigen.

Es verlangt der Stand der Technik auf organisatorischer Ebene, dass integrierte Sicherheitslösungen durch ein passendes Management-System flankiert werden. Betreiber kritischer Infrastrukturen müssen Richtlinien erarbeiten, Zuständigkeiten benennen, Personal schulen und regelmäßige Überprüfungen (Audit, Pentests) durchführen, um die Schnittstellen zwischen Zutritt und GA sicher zu halten. Die folgenden Kapitel befassen sich nun mit der Methodik und den eigenen Forschungsergebnissen dieser Habilitationsarbeit, in der solche Systeme exemplarisch untersucht wurden.

Die Analyse der gekoppelten Zutritts- und GA-Systeme zeigte mehrere Klassen von Schwachstellen, die teilweise bereits bekannt waren, teils aber in ihrer Kombination neue Angriffswege eröffnen.

• Angriff über die Tür-Infrastruktur ins IT-Netz: Dabei gelang es, die Kommunikation zwischen Leser und Controller zu übernehmen und die Authentifizierungsmechanismen auszuhebeln. Noch gravierender: Über den seriellen Anschluss des Controllers konnte Zugang zum internen IP-Netzwerk erlangt werden. Dieses Szenario bestätigt das Paradoxon moderner PACS: Trotz verbesserter Sicherheitsfeatures (z. B. verschlüsselte Protokolle) führt die gestiegene Komplexität und Vernetzung zu neuen Einfallstoren. Ein Angreifer mit physischem Zugang zu einem Türleser (z. B. Besucher im Lobbybereich) hätte so die Möglichkeit, vom „schwächsten Glied“ physischer Sicherheit bis ins interne Netz lateral vorzudringen.

• Unsichere GA-Netzwerke als Brücke zur Zutrittskontrolle: In vielen Fällen erwies sich die Gebäudeautomation als schwächer gesicherter Bereich gegenüber der klassischen IT. In unserer Fallstudie beim Energieversorger war das GA-Netz zunächst nicht vom Büronetz getrennt – ein typisches Muster, das das BSI ebenso beobachtet. Ein erfolgreicher Angriff auf einen Büro-PC (z. B. via Phishing) konnte sich dadurch ins GA-System ausbreiten. In der Testumgebung führten wir einen simulierten Ransomware-Angriff auf einen ungeschützten GA-Rechner durch: Die Schadsoftware konnte aufgrund fehlender Segmentierung die Verbindung zum Zutrittsserver stören und die Türsteuerung lahmlegen. Dies untermauert, dass Verbindungen zwischen IT und GA ein hohes Risiko bergen, wenn klassische IT-Sicherheitsmaßnahmen (Patchen, Anti-Malware, Monitoring) in der GA vernachlässigt werden.

• Veraltete Komponenten und Protokolle: In unseren Untersuchungen traten zahlreiche Legacy-Schwachstellen zutage. Beispielsweise fand sich in einer Klinik noch das unverschlüsselte Wiegand-Protokoll für Türleser im Einsatz – was einen einfachen Abgriff von Kartendaten per verstecktem Logger erlaubte. Ebenso wurden Standardpasswörter bei GA-Komponenten entdeckt (z. B. Admin/Admin bei einem Webinterface einer HLK-Steuerung) – ein Befund, der nicht unüblich ist. Der Vulnerability Scan im Testlabor identifizierte bekannte Schwachstellen (CVE) in den eingesetzten GA-Controllern, etwa eine Speicherüberlauf-Lücke in einem BACnet-Stack. Viele dieser Lücken waren zum Testzeitpunkt unpatched, obwohl teils seit Monaten Updates verfügbar waren – was auf strukturelle Update-Probleme hinweist. Hier zeigt sich die Bedeutung eines Patchmanagements: Zehn gravierende, teils ungepatchte Schwachstellen in gängigen GA-Produkten hat z. B. der Security-Anbieter TXOne 2023 aufgedeckt (u. a. Authentifizierungsfehler, Pufferüberläufe) – all diese könnten in integrierten Systemen ausgenutzt werden, falls Updates ausbleiben.

• Insecure by Design – Systemkopplung und Notfallprozesse: Ein weiteres Ergebnis ist die Feststellung, dass viele Notfallszenarien unzureichend berücksichtigt wurden. Beispiel Fluchttürsteuerung: Zwar öffnen im Brandfall alle Türen automatisch (Vorgabe nach Musterbauordnung), jedoch zeigte unser Test, dass ein kompromittierter GA-Server dies verhindern könnte – etwa indem er im Alarmfall die Freigabe unterdrückt. Wenn Zutritt und Brandschutz eng gekoppelt sind, muss sichergestellt sein, dass ein Ausfall oder Angriff nicht lebensgefährdend wirkt. Ebenso in umgekehrter Richtung: Türen könnten durch Fehlsteuerung unberechtigt entriegelt bleiben. In der Praxis sind hierzu Failsafe-Mechanismen nötig (z. B. unabhängige Rauchmelder-Türmodule). Unsere Überprüfung ergab jedoch, dass solche Mechanismen nicht immer vorhanden oder getestet sind. Dies verweist auf eine Lücke im Safety-Security Co-Engineering: Sicherheits- und Gefahrenmeldeanlagen werden noch zu oft getrennt betrachtet, obwohl Wechselwirkungen bestehen.

• Organisatorische Schwachstellen: Jenseits der Technik ergaben sich klare Hinweise, dass menschliche und organisatorische Faktoren die Schnittstellensicherheit beeinträchtigen. In beiden Fallstudien war z. B. der Know-how-Austausch zwischen IT und Gebäudetechnik begrenzt. Ein GA-Dienstleister berichtete, dass ihm kaum Informationen über die Sicherheitsrichtlinien des Kunden vorlagen – obwohl er remote auf die Gebäudeleittechnik zugriff. Diese Kommunikationslücke birgt Risiken, etwa wenn externe Techniker VPN-Zugänge nutzen, die nicht in das zentrale Identity Management eingebunden sind. Positiv fiel auf, dass nach Inkrafttreten der KRITIS-Regeln 2021/2022 viele Unternehmen begonnen haben, solche Themen anzugehen (z. B. durch gemeinsame Workshops von IT und FM). Dennoch bleibt die Abhängigkeit von Dienstleistern (für GA-Komponenten, Zutritts-Hardware) ein offenes Thema: Hersteller halten teils Details zu Schnittstellen geheim oder liefern späte Sicherheitsupdates, was Betreiber ausbremst. Auch das Fehlen standardisierter Zertifizierungen für Personal im Bereich „Smart Building Security“ ist eine Lücke – Schulungen wie die VdS-Fachkraft für Smart Building Security werden erst seit kurzem angeboten.

Insgesamt bestätigen die Ergebnisse, dass die Kopplung von Zutrittskontrolle und Gebäudeautomation ein zweischneidiges Schwert ist: Einerseits verbessert sie die Kontrolle und Reaktionsfähigkeit (z. B. zentrale Alarmierung, effizientere Prozesse), andererseits entstehen neue Verwundbarkeiten an den Nahtstellen. Gerade in KRITIS können solche Verwundbarkeiten gravierende Folgen haben, da hier Angriffe zu Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen könnten.

Aus den identifizierten Schwachstellen lassen sich direkt Maßnahmen ableiten.

• Netzwerksegmentierung und -überwachung: Strikte Trennung von ZKS, GA und IT-Netzen ist essenziell. Im Testaufbau wurde nach IEC 62443 ein Zonenmodell implementiert: Eine Security Zone für die Zutrittskontroll-Server und Türcontroller, eine Zone für GA-Komponenten, verbunden nur über definierte Gateways (z. B. OPC UA Server in DMZ). Firewall-Regeln erlaubten nur notwendige Protokolle (z. B. BACnet/IP von GA zu ZKS zur Meldung „Tür auf/zu“) und blockierten alles andere. Zusätzlich wurde ein netzwerkbasiertes OT-Monitoring eingesetzt, das an diesen Schnittstellen jeglichen ungewöhnlichen Traffic erkennt. Ergebnis: Angriffsversuche wie Portscans oder unbekannte Verbindungen zwischen GA und ZKS wurden sofort erkannt und gemeldet. Unternehmen wie das erwähnte Envia Tel (DE-CIX Leipzig) setzen bereits erfolgreich auf solches OT-Monitoring in der Gebäudeautomation zur Anomalieerkennung. Dies erhöht die Chance, einen Angriff frühzeitig zu stoppen, bevor er sich ausbreitet.

• Härtung der Kommunikationsprotokolle: Wo immer möglich, sollten sichere Protokollvarianten genutzt werden. Im Testumfeld wurde BACnet nur in der Secure-Connect-Variante (über TLS-Tunnel) betrieben; KNX-Kommunikation erfolgte mit aktivierter KNX Secure Verschlüsselung. Für die Zutrittsleser wurde OSDP mit Secure Channel eingerichtet, um Abhör- und MITM-Angriffe zu erschweren. Wiegand wurde vollständig verbannt. Diese Maßnahmen eliminierten eine Reihe von zuvor festgestellten Lücken. Allerdings zeigten z. B. einige ältere BACnet-Geräte Inkompatibilitäten mit BACnet/SC – hier musste per Firmware-Upgrade nachgerüstet werden. Wichtig ist auch die durchgängige Ende-zu-Ende-Verschlüsselung, wie sie moderne Sicherheitssoftware anbietet. Das XMP-Babylon-System etwa propagiert eine solche Verschlüsselung vom Türkontroller bis zum Server. Unsere Tests bestätigten den Nutzen: Bei aktivierter Verschlüsselung war es deutlich aufwändiger, sinnvolle Datenpakete abzugreifen oder zu manipulieren. Natürlich bleibt die Schlüsselverwaltung hierbei kritisch – auch hier bewährten sich Ansätze der IT (PKI für Zertifikate, regelmäßiger Schlüsseltausch).

• Strenge Zugangskontrollen für Fernwartung: Ein prominenter Angriffsvektor war der Fernzugriff. Best Practice ist, diese auf ein Minimum zu reduzieren und wenn nötig, mit moderner IT-Security abzusichern. In unserem Konzept werden Wartungszugänge grundsätzlich über eine zentrale Jump-Host Lösung geführt, die per Multi-Faktor-Authentifizierung geschützt ist und Sessions protokolliert. Direkte VPNs ins GA-Netz für Dienstleister wurden abgeschaltet. Zudem wurden härtende Maßnahmen wie VPN mit Client-Zertifikaten, Just-in-Time-Zugriff (Zugänge nur bei Bedarf temporär öffnen) und Network Access Control (NAC) eingeführt. Damit ließen sich die Risiken laut unserer Risikoanalyse deutlich mindern – etwa sank das Risiko „unbemerkter externer Zugriff“ von hoch auf niedrig nach ISO 27005-Bewertungsskala.

• Physischer Schutz der Schnittstellen: Da manche Angriffe physischen Zugriff erfordern (z. B. der OSDP-Angriff am Leser), dürfen diese Ebenen nicht vernachlässigt werden. Zu den Best Practices gehört, kritische Komponenten in gesicherten Bereichen zu installieren: Türcontroller in abschließbaren Verteilerkästen, Netzwerk-Switches für GA in Alarmanlagen überwachten 19“-Schränken etc. Zusätzlich wurden Alarm- und Tamper-Sensoren aktiviert: Öffnen eines Lesergehäuses oder Schaltschrankes erzeugt einen Alarm im System. Mechanisch robuste und wetterfeste Komponenten (wie Pylocx-Edelstahlkomponenten) können Sabotage und Vandalismus ebenfalls erschweren. In KRITIS-Standorten mit hohem Risiko (z. B. Umspannwerke) empfahl sich der Einsatz batterieloser Schließtechnik mit Einmalcodes – hier gibt es kein dauerhaftes Signal, das abgefangen werden kann, und kein Ausfall bei Stromlosigkeit.

• Notfallkonzepte und Fallback: Ein integraler Bestandteil der Sicherheit ist die Resilienz bei Ausfällen. Wir entwickelten ein Konzept, das Fail-Secure und Fail-Safe-Zustände klar definiert: Welche Türen bleiben bei Systemausfall verriegelt, welche entriegelt? Und wie können autorisierte Personen im Notfall trotzdem Zugang erhalten? Beispielsweise wurden für sehr kritische Türen mechanische Notschlüssel in versiegelten Depots (mit Protokollierung via Pylocx-Box) bereitgestellt. Ferner sollte die GA so konzipiert sein, dass sie im isolierten Betrieb sicher weiterläuft, falls die IT-Verbindung getrennt wird. In unserer Laborumgebung liefen Türcontroller autonom weiter, wenn die Serververbindung wegfiel (lokale Cache-Entscheidungen). Solche Mechanismen (Offline-Fähigkeit der Zutrittskontrolle für 24–48 Stunden) sind unabdingbar, um z. B. bei Cyberangriffen auf das Zentralsystem handlungsfähig zu bleiben.

• Monitoring und Alarmierung koppeln: Ein Vorteil der Integration ist die Möglichkeit, korrelierte Alarme zu nutzen. Unsere Ergebnisse zeigen, dass die Kombination aus physischen und digitalen Ereignissen die Erkennungsrate von Angriffen steigern kann. Beispiel: Wenn gleichzeitig ein Cyberangriff-Alarm im OT-Monitoring und ein unautorisierter Türöffnungsversuch in der Leitstelle auflaufen, ist dies ein starker Indikator für einen koordinierten Angriff – hier kann ein Security Information and Event Management (SIEM) solche Events zusammenführen und schneller Reaktionen auslösen (z. B. Wachpersonal informieren, betroffene Bereiche automatisch verriegeln). Wir richteten zu Testzwecken solche Regeln ein und konnten dadurch die Reaktionszeit deutlich senken: In einer Simulation eines Eindringversuchs mit gleichzeitigem Netzscan wurde innerhalb von Sekunden ein Alarm an den Security-Leiter geschickt, wohingegen isolierte Alarme möglicherweise verzögert behandelt worden wären.

• Regelwerke und Audits etablieren: Schließlich gehören organisatorische Maßnahmen zu den Best Practices. Basierend auf unseren Fallstudien empfahlen wir den Betrieben, verbindliche Policies zu formulieren, etwa: “Gebäudeautomation ist Teil des ISMS-Bereichs” – d.h. alle GA-Systeme unterliegen denselben Sicherheitsrichtlinien wie die IT. Ebenso sollte ein Change-Management-Prozess definiert werden, sodass Änderungen an Schnittstellen (z. B. neue Kopplung einer Zutrittsdatenbank mit der Gebäudeleittechnik) ein Sicherheitsreview erfordern. Regelmäßige Audits nach ISO 27001 oder branchenspezifischen Standards stellen sicher, dass diese Policies gelebt werden. In der Energie-Branche zum Beispiel muss gemäß IT-Sicherheitskatalog (BNetzA) ein jährlicher Audit erfolgen – hier sollten Zutritts- und GA-Schnittstellen explizit geprüft werden. Wir entwickelten einen Audit-Leitfaden, der Prüffragen beinhaltet wie „Sind alle GA-Komponenten in der Asset-Liste des ISMS erfasst?“, „Existiert eine aktuelle Netzwerktopologie mit allen Schnittstellen zwischen GA und IT?“, „Wurden Notfallübungen für Ausfall der Zutrittssteuerung durchgeführt?“. Dieser Leitfaden wurde in Ansätzen bereits angewendet und stieß auf positives Echo der Auditoren.

Die identifizierten Schwachstellen lassen sich gezielt adressieren, solange ein ganzheitlicher Sicherheitsansatz verfolgt wird – technisch (Hardening, Segmentierung), personell (Schulung, klare Verantwortlichkeiten) und prozessual (Risikomanagement, Audits).

• Technologie vs. Sicherheit – ein Balanceakt: Moderne Zutrittssysteme mit KI-Unterstützung, biometrischen Verfahren und GA-Integration versprechen höhere Sicherheit und Effizienz. Paradoxerweise können sie aber auch neue Verwundbarkeiten einführen, wie die OTORIO-Demonstration eindrucksvoll zeigte. Unsere Diskussion muss daher die Frage stellen: Sind komplexe integrierte Systeme wirklich sicherer als getrennte? Die Befunde legen nahe, dass Komplexität Feinde begünstigt, sofern Sicherheitsmaßnahmen nicht Schritt halten. Eine einzelne elektronische Zutrittskontrolle mag weniger Angriffsfläche bieten als ein vernetztes Smart Building – dafür fehlt ihr eventuell die Intelligenz, um raffinierte Angriffe zu erkennen (z. B. könnte ein einzelnes ZKS ohne GA-Anbindung keine Anomalien in der Gebäudetechnik bemerken, die auf einen Angriff hindeuten). Der Schlüssel liegt in Security by Design: ZKS und GA müssen von Anfang an mit Sicherheitsarchitektur geplant werden, nicht erst nachträglich gesichert. Diskussionwürdig ist hier die Rolle von Herstellern: Die Industrie scheint die Zeichen der Zeit erkannt zu haben – Security-Features wie verschlüsselte Protokolle, Authentifizierungen und regelmäßige Patches werden heute von Kunden eingefordert. Aber wie unsere Tests zeigten, hapert es oft an der Umsetzung im Feld. Ein Hindernis ist auch der lange Lebenszyklus von GA-Komponenten (teils 15–20 Jahre), während IT-Technik sich viel schneller entwickelt. Dies führt zu Diskrepanz: ein Gerät ist technisch veraltet, aber wird aus Kostengründen nicht ersetzt. An dieser Stelle könnte die Standardisierung helfen: Einheitliche Schnittstellen und Protokolle würden einen einfacheren Austausch erlauben. OPC UA als universeller Layer ist ein Schritt in die Richtung, erfordert aber breite Akzeptanz.

• KRITIS als Sonderfall: In kritischen Infrastrukturen gelten oft strengere Maßstäbe als im normalen Gewerbebau. Die Diskussion beleuchtet, ob die aktuellen Regulatorien ausreichend und praxisnah sind. Die Einführung des KRITIS-Dachgesetzes und der CER-Richtlinie setzt zwar einen Rahmen, doch wie Betreiber konkret die „Stand der Technik“-Anforderung umsetzen, bleibt ihnen überlassen. Unserer Ansicht nach wären detailliertere Branchenguidelines für die Kopplung von physischer und logischer Sicherheit hilfreich – vergleichbar den B3S (branchenspezifische Sicherheitsstandards) etwa in der Medizin. Ein B3S „Gebäudesicherheit in KRITIS“ könnte Best Practices vorschreiben: z. B. Mindestanforderungen an Zutrittssysteme (VdS-anerkannt, redundante Stromversorgung, etc.), an GA-Sicherheit (kein unverschlüsseltes Protokoll, Pflicht zu Netztrennung). Derzeit lassen die Normen noch Interpretationsspielraum, was dazu führt, dass manche Betreiber nur das Minimum tun. Allerdings zeigt die Marktentwicklung – und das bestätigen die Whitepaper von Herstellern – dass Sicherheit zunehmend als Mehrwert gesehen wird. Investitionen in intelligente, vernetzte Zutrittslösungen können sich „schnell rentieren“, nicht nur in Sicherheit, sondern auch durch Prozessoptimierungen. Dies greift ein wichtiges Diskussionsargument auf: Security als Enabler anstatt als Verhinderer. Wenn z. B. eine integrierte Lösung Dienstwege verkürzt (weniger manuelle Kontrollen, automatisierte Berichte für Audits), entsteht ein betriebswirtschaftlicher Nutzen. Für KRITIS-Betreiber, die Kosten/Nutzen abwägen müssen, kann das ein Anreiz sein, in bessere Systeme zu investieren.

• Organisatorische Herausforderungen: Unsere Ergebnisse betonen, dass Technik alleine nicht genügt – Organisation und Mensch sind mitentscheidend. In der Diskussion stellt sich heraus, dass hier häufig die größten Hürden liegen: Silodenken, Fachkräfte-Mangel, unklare Verantwortlichkeiten. Ein Vorschlag aus unserer Forschung ist die Etablierung eines Sicherheitskoordinators für Gebäude-IT in KRITIS-Organisationen. Diese Rolle, die idealerweise sowohl von IT-Sicherheit als auch von Facility-Verständnis etwas mitbringt, könnte die Lücke schließen. Große Unternehmen (z. B. Flughafenbetreiber) haben bereits derartige Stellen geschaffen, aber im Mittelstand ist dies selten. Die Diskussion mit den Fallstudienpartnern ergab Zustimmung, dass es “Brückenbauer” braucht. Zudem wurde deutlich, dass Schulung ein Schwachpunkt ist: Haustechniker sind oft nicht in IT-Sicherheit geschult, während IT-Profis wenig über Gebäudeleittechnik wissen. Hier sollte bei Weiterbildungsangeboten angesetzt werden – VDI und VdS bieten erste Seminare an (etwa „IT-Sicherheit in der GA“). Eine Forderung an die Zukunft ist, interdisziplinäre Lehrinhalte zu schaffen, vielleicht im Rahmen von Studiengängen der Sicherheitstechnik.

• Resilienz und Notfallmanagement: Die COVID-19-Pandemie und vermehrte Cyberattacken (bis hin zu Sabotage kritischer Infrastruktur) haben gezeigt, dass Resilienz zentral ist. Unsere Arbeit unterstreicht, dass Resilienz nicht bloß IT-Backup bedeutet, sondern auch physische Zutrittskonzepte beinhalten muss. Diese These wurde im Diskurs mit Branchenexperten unterstützt: Planer kritischer Einrichtungen achten heute mehr denn je darauf, dass beispielsweise im Blackout-Fall die Zugangskontrolle weiterfunktioniert – sei es mechanisch oder über Insellösungen. Dies führt zur Idee sogenannter „graceful degradation“: Bei Teil-Ausfällen eines Systems (z. B. GA ausgefallen, ZKS noch aktiv oder umgekehrt) muss ein geordneter Abfall auf sichere Grundfunktionen gewährleistet sein. Unsere Arbeit regt an, solche Konzepte in Standards aufzunehmen, damit sie nicht vom Zufall abhängen.

• Datenschutz und Ethik: Ein weiterer Diskussionspunkt sind Datenschutz und Privatsphäre bei der Verzahnung von physischer und digitaler Sicherheit. Biometrische Systeme und umfassende Überwachung können leicht in Überwachungsstaat-Rhetorik geraten. Die DSGVO fordert Datenminimierung und definiert biometrische Daten als besonders schützenswert. Ein integratives Zutritts-GA-System sammelt jedoch naturgemäß viele personenbezogene Daten (wer hat wann wo Zutritt genommen, oft ergänzt durch Videobilder). Hier gilt es, technische und organisatorische Maßnahmen zu ergreifen: Pseudonymisierung, klar geregelte Zugriffsbefugnisse auf Logs, und transparenter Umgang mit Mitarbeitern. Hersteller werben mit DSGVO-Konformität, etwa indem Systeme On-Premises betrieben werden können, ohne Cloud-Zwang. Unsere Diskussion machte klar, dass Security und Privacy kein Widerspruch sein dürfen – nur wenn Vertrauen in die Systeme besteht, werden sie akzeptiert. In KRITIS-Unternehmen mit hohem öffentlichen Interesse (z. B. Krankenhäuser) ist dies besonders heikel.

Der Blick in die Zukunft lässt erkennen, dass das Thema Sicherheitstechnische Schnittstellen in Gebäuden weiter an Bedeutung gewinnen wird.

• Zunehmende Digitalisierung & IoT: Die Anzahl smarter Geräte in Gebäuden wächst rasant – vom intelligenten Türschloss über Sensoren bis hin zu KI-Kameras. Künftig werden Zutrittskontrollsysteme noch stärker mit IoT-Geräten vernetzt sein (z. B. Wearables als Zugangstoken, sprachgesteuerte Gebäudeassistenten). Dieses Ubiquitous Computing steigert den Komfort, aber vergrößert die Angriffsfläche. Zukünftige Forschung muss sich mit Zero-Trust-Architekturen im Gebäude befassen: Jeder Knoten – sei es ein Türsensor oder Thermostat – muss als potenziell kompromittierbar gelten. Hier könnte geräteseitige KI helfen, indem Endgeräte Anomalien selbst erkennen (Ansätze zu dezentraler KI in GA sind in Entwicklung). Im Ausblick ist zu erwarten, dass selbstlernende Sicherheitssysteme Einzug halten, die beispielsweise ungewöhnliche Zutrittsmuster eigenständig erkennen und Gegenmaßnahmen einleiten.

• Integration von KI und Analytics: KI wird nicht nur für Zugangserkennung, sondern auch für Predictive Security eingesetzt werden. Etwa könnten Machine-Learning-Modelle prognostizieren, wann ein bestimmter Zugangspunkt gefährdet ist (z. B. weil Muster auf Social Media auf einen geplanten Protest hindeuten). Building Analytics könnten zudem Anomalien im Zusammenspiel von GA und Zutritt aufspüren, die ein Mensch übersieht. Forschungsbedarf besteht hierbei in erklärbarer KI, um vertrauenswürdige Entscheidungen im Sicherheitskontext zu gewährleisten. Zudem müssen KI-Systeme selbst geschützt werden (Stichwort: Adversarial Attacks auf Gesichtserkennung). Künftige Normen (wie die EU KI-Verordnung) werden Anforderungen an KI-Einsatz in KRITIS stellen, was die Entwicklung zertifizierbarer KI-Lösungen nötig macht.

• Standardisierung und Interoperabilität: Wir stehen vermutlich vor einer Harmonisierung von Standards in diesem Bereich. Internationale Gremien (ISO, IEC, CEN) arbeiten daran, Sicherheitsaspekte in Gebäude- und Zutrittsstandards konsistent zu verankern. Eine mögliche Zukunft ist ein einheitlicher Smart Building Security Standard, der sowohl IT- als auch physische Sicherheit umfasst. OPC UA ist ein Kandidat für eine universelle Integrationssprache; es ist denkbar, dass künftige Zutrittssysteme direkt OPC UA sprechen. Die BACnet-Community entwickelt ihre Security weiter, und KNX könnte noch stärker in die Profi-Schiene mit Security drängen. Die Herausforderung bleibt, Altanlagen mitzunehmen – hier sind Retrofit-Lösungen gefragt (ähnlich Pylocx als retrofit-Zutrittssystem). Der Ausblick umfasst sicher auch zertifizierte Schnittstellenmodule: z. B. ein vom BSI zertifiziertes Gateway, das garantiert, dass zwischen ZKS und GA keine unautorisierten Daten fließen können. Solche Module könnten die Compliance-Prüfung erleichtern.

• Resilienz gegen neue Bedrohungen: Leider muss man davon ausgehen, dass auch Angreifer ihre Methoden weiterentwickeln. Ransomware 2.0 zielt evtl. direkt auf Gebäudeleittechnik, um Erpressungspotential zu erhöhen („Zahle, sonst bleiben alle Türen geschlossen“). Ebenso sind physisch-digitale Kombi-Angriffe denkbar – etwa Drohnen, die an Hochhäusern RFID-Keys auslesen, kombiniert mit Cyber-Angriffen auf die Gebäudesteuerung. Daher wird der Aspekt Resilienz noch breiter gefasst werden. Cyber-Übungen speziell für Gebäudesicherheit könnten ein Standard werden, ähnlich wie Brandschutzübungen. In der Forschung gewinnt zudem der Faktor „Recovery“ Bedeutung: Wie stellt man einen sicheren Zustand nach einem Angriff wieder her? Hier könnten automatisierte System-Resets oder redundante Parallel-Systeme (Shadow IT/OT) in Betracht kommen.

• Mensch im Mittelpunkt: Trotz aller Technik bleibt der Mensch eine entscheidende Größe. Der Ausblick umfasst daher eine stärkere Einbeziehung des Human Factors. Bediener von Leitstellen brauchen übersichtliche Informationen, um im Krisenfall schnell reagieren zu können – Usability-Studien für komplexe Sicherheits-GUI sind nötig. Ebenso muss die Belegschaft (Endnutzer der Gebäude) sensibilisiert werden: Ein Sicherheitssystem nützt wenig, wenn Mitarbeitende z. B. Türen offen blockieren (so genannter Tailgating-Angriff). Zukünftige Zutrittssysteme könnten mittels KI solches Verhalten erkennen und höflich intervenieren (z. B. Sprachausgabe: „Bitte schließen Sie die Tür“). Aber das akzeptieren Menschen nur, wenn eine entsprechende Sicherheitskultur da ist. Hier ist weiterhin interdisziplinäre Forschung zwischen Ingenieurwesen, Psychologie und Organisationswissenschaft gefragt, wie man Sicherheitsrichtlinien in die tägliche Praxis integriert.

• Nachhaltigkeit und Sicherheit: Ein interessanter Zukunftsaspekt ist die Nachhaltigkeit: Gebäudeautomation wird vor allem zur Energieeinsparung vorangetrieben. Sicherheitsmaßnahmen sollten dem nicht entgegenstehen, sondern synergistisch wirken. Beispiel: Wenn das Zutrittssystem weiß, dass niemand im Gebäude ist, kann GA die Heizung runterregeln – das spart Energie und erhöht sogar die Sicherheit (weil das System potenziell merkt, wenn doch jemand da ist, der nicht sein sollte). Forschung könnte sich mit dynamischen Sicherheitsstufen befassen, die je nach Gefährdungslage und Nutzungszustand variieren, um ressourcenschonend zu sein. Auch die Ausfallsicherheit bei Extremwetter (Klimawandel!) wird Thema – Zutrittssysteme müssen vielleicht künftig auch bei häufigerem Stromausfall oder Netzwerkstörungen zuverlässig funktionieren (hier kommen wiederum Offline-Fähigkeiten ins Spiel).