Planung und Konzeption Zutritt

• Rollen- und Lifecycle-Management: Automatisiertes Provisioning/Deprovisioning aus HR/IDM, temporäre Rechte für Dienstleister, Projekt- oder Bauphasen.

• Besuchermanagement: Voranmeldung, zeitlich begrenzte Berechtigungen, Selbstbedienungskioske, Instruktionsnachweis.

• Raum- und Zustandsmanagement: Türstatus- und Sabotageüberwachung, Fehlermeldungen, Integration in IWMS/BMS für SLA- und Wartungsprozesse.

• Arbeits- und Gesundheitsschutz und Evakuierung: Steuerung von Fluchtwegen nach Normen, Evakuierungslisten, ereignisgesteuerte Entriegelung.

• Schutz kritischer Bereiche: Lock- und Interlock-Logiken für Rechenzentren, Labore, Archiv- und Wertbereiche.

• Energiemanagement: Zutrittsbasiertes Auslösen von HLK-/Beleuchtungsszenarien; Standby-Reduzierung außerhalb definierter Belegungsfenster.

• Compliance und Audit: Revisionssichere Protokollierung, Lösch- und Aufbewahrungsregeln, Verifizierung gegenüber internen und externen Auditoren.

• Betrieb und Service: Remote-Funktionen, Hochverfügbarkeit, Standard-APIs für SIEM-Integration und -Überwachung.

• Einheitliche Identität: Zentrale Rollensteuerung mit feingranularen, zonen- und zeitabhängigen Berechtigungen; Unterstützung von Karten, mobilen Zugangsdaten und optionalen biometrischen Daten gemäß Datenschutz-Folgenabschätzung.

• Sichere, resiliente Architektur: Edge-Controller mit Offline-Fähigkeit, verschlüsselte Kommunikation, hochverfügbare Backend-Services, definierte Fail-Safe/Fail-Secure-Strategien.

• Offene Integrationen: Standardisierte Schnittstellen zu BMA/EMA, VMS, GA/BMS, Aufzugs- und Zeitwirtschaftssystemen sowie SIEM/Monitoring.

• Betriebs- und Compliancefähigkeit: Rollenbasiertes Autorisierungsmodell, datenschutzkonforme Abläufe, geprüfte Prozesse für Tests, Akzeptanz und kontinuierliche Verbesserung.

• Daten- und Event-Nutzen: Echtzeit-Events für Security- und FM-Anwendungsfälle, KPIs zu Verfügbarkeit, Latenzen und Rechteverteilungszeiten, Basis für die Anomalieerkennung.

• Lesegeräte und Tastaturen: OSDP-fähige Lesegeräte (idealerweise OSDP v2 Secure Channel) für Karten und mobile Zugangsdaten; optionale PIN-Pads.

• Door Controller/Edge Controller: Lokale, oft vernetzte Logikinstanz, die Lesegeräte, Motorschlösser, Riegel, Türöffner, Tür- und Riegelkontakte, REX-Taster, Panik- und Fluchtwegmodule verbindet. Zwischenspeichert Berechtigungen und puffert Ereignisse für den Offlinebetrieb.

• Sensoren/Aktoren: Tür- und Riegelkontakte, Sabotagekontakte, elektrische Schlösser, Panikbeschläge, Fluchtwegsysteme nach EN 179/1125/13637.

• Stromversorgung: Stromversorgungen mit USV, ggf. getrennte Versorgung für Tür- und Steuerkreise, definierte Fehlersicherung/Ausfallsicherheitsstrategien.

• Management-Server/Applikation: Zentrale Administration, Policy-Engine, Workflows, Reporting, API.

• Datenbanken: Betriebskonfiguration, Identitäten, Rechte, Ereignisse; optionales WORM/Archiv zur revisionssicheren Ablage.

• Schlüssel- und Kryptodienste: PKI für Geräte- und Transportzertifikate; SAM/HSM für Medienschlüssel (z. B. DESFire-Anwendungsschlüssel); Verwaltung von Geheimnissen.

• Integrationskomponenten: REST APIs/SDKs, Event Bus (MQTT/AMQP), Schnittstellen zu BMA/EMA, VMS, GA/BMS (z.B. BACnet, OPC UA), HR/IDM (z.B. SCIM/LDAP), Zeitwirtschaft und Besuchermanagement.

• Monitoring und SIEM-Anbindung: Ereignisexport (z.B. CEF/LEEF), Systemstatus, Metriken.

• Netzwerksegmentierung: OT-VLANs für Tür-/Edge-Komponenten, Firewalls, sichere Gateways.

• Kommunikationssicherheit: TLS 1.2+ für IP-Verbindungen; OSDP v2 Secure Channel auf RS-485; gegenseitige Authentifizierung.

• Systemhärtung und Patch-/Backup-Mechanismen: Baseline-Härtung, regelmäßige Updates, gesicherte Backups.

• HR/IDM-Systeme: Quelle für Identitäten, Rollen und Organisationsdaten, Auslöser für die Bereitstellung/Aufhebung der Bereitstellung.

• Workflow-/Ticketsysteme: Abbildung von Genehmigungs-, Änderungs- und Störungsprozessen.

• Endpunkt- und Feld-Layer

• Türen und Trennsysteme (Drehkreuze, Tore, Aufzüge) mit Lesegeräten, Kontakten und Antrieben.

• Gesteuert von Türsteuerungen, die lokal Zeitpläne, Türlogiken (z. B. Türhaltezeiten, Riegelüberwachung), Anti-Passback-Zustände und Ausnahmeregeln ausführen.

• Feldseitige Kommunikation vorzugsweise über OSDP (RS-485) anstelle von Wiegand, um Integrität, Vertraulichkeit und Geräteverwaltung zu gewährleisten.

• Edge-Controller oder Site-Server aggregieren Türen, cachen Berechtigungen und Ereignisse, sichern den Offline-Betrieb bei einem WAN-Ausfall ab und übernehmen lokale Integrationen (z. B. die Kopplung an die BMA).

• Redundanz und USV erhöhen die Ausfallsicherheit; Definierte Fallback-Policies (Fail-Safe/Fail-Secure) verhalten sich normkonform.

• Zentrale Anwendung mit Policy Engine, Ereignisverarbeitung und Rollen-/Rechtemodell.

• Datenspeicherung in hochverfügbaren Datenbanken; Event-Streaming für Integrationen nahezu in Echtzeit.

• Krypto-Dienste (PKI, SAM/HSM) für Geräte- und Medienvertrauen; Schlüsselrotation und Blocklistenverwaltung.

• Standardisierte APIs für horizontale Kopplungen (BMA/EMA, VMS, GA/BMS, SIEM, Zeitwirtschaft, Besuchermanagement).

• Benutzeroberfläche für Administratoren und Berichte, rollenbasierter Zugriff, Audit-Protokollierung, Compliance-Funktionen (z. B. Löschfristen, Pseudonymisierung).

• Betriebs- und Überwachungsfunktionen mit KPI-Tracking (Latenz, Ereignisraten, Verfügbarkeit).

• On-Premises: Vollständige Kontrolle über Daten und Latenz, insbesondere in sensiblen Umgebungen.

• Hybrid/Cloud: Management- und Reporting-Services in der Cloud, Edge-Controller vor Ort; Nützlich für Multi-Site- und Skalierungsanalysen.

• Nur-Edge-Szenarien für Zweigstellen mit zeitweiliger Konnektivität.

• Top-down: Identitäten und Rollen aus HR/IDM → ZKS-Richtlinie → Rechteverteilung an Controller/Edge → lokale Durchsetzungslogik.

• Bottom-up: Ereignisse und Zustände von Türen/Steuerungen → Core/Monitoring → SIEM/Reporting → Rückmeldung im Betrieb und Compliance.

Bedarfs- und Risikoanalysen bilden die Grundlage für eine verlässliche Planung von Zutrittskontrollsystemen (CCS) im industriellen und großunternehmerischen Kontext. Ziel ist es, aus den Geschäfts- und Schutzanforderungen konsistente Tür- und Zonenklassen mit klaren Anforderungsprofilen abzuleiten. Methodisch verknüpft die Analyse Governance-Aspekte (Compliance, Datenschutz), Sicherheit (Schutz von Menschen, Vermögenswerten, Informationen) und Betrieb (Verfügbarkeit, Wartbarkeit, Kosten).

• Der Schutzbedarf leitet sich aus den Auswirkungen auf Menschenleben, Geschäftskontinuität, Werte und Compliance ab.

• Risiko = Eintrittswahrscheinlichkeit × Ausmaß des Schadens; Akzeptierte Restrisiken müssen definiert und dokumentiert werden.

• Die Einteilung von Türen und Zonen richtet sich nach der Nutzung, den baurechtlichen Vorschriften (Rettungs-/Brandabschnitt), angrenzenden Bereichen und Prozessanforderungen.

• "Safety first": Fluchtweg- und Brandschutzanforderungen setzen den Rahmen, in dem Sicherheitstechnik betrieben wird.

• Kontext- und Asset-Erfassung

• Identifizierung von schützenswerten Vermögenswerten: Personen, Produktionsstätten, IP/Know-how, Datenträger, Bargeld/Wertsachen, Geschäftsgeheimnisse.

• Prozesssicht: Kritische Geschäftsprozesse, Schicht- und Besucherströme, Lieferlogistik, 24/7-Betrieb.

• Regelung: KRITIS/NIS2-Relevanz, branchenspezifische Anforderungen, Betriebsvereinbarungen.

• Vertraulichkeit (z.B. Rechenzentrum, Entwicklungsbereiche).

• Integrität (Manipulationsschutz, Sabotage).

• Verfügbarkeit/Sicherheit (Evakuierung, Business Continuity).

• Rückverfolgbarkeit/Compliance (Auditability, DSGVO).

• Bedrohungen: Diebstahl, Social Engineering/Tailgating, Vandalismus, Insider, gezielte Angriffe, Feuer/Rauch, Fehlbedienung.

• Schwachstellen: Ungesicherte Perimeter, alte Wiegand-Verkabelung, unzureichende Türmechanismen, fehlende Redundanz, Medien- und Schlüsselrichtlinien.

• Bedrohungen: Diebstahl, Social Engineering/Tailgating, Vandalismus, Insider, gezielte Angriffe, Feuer/Rauch, Fehlbedienung.

• Schwachstellen: Ungesicherte Perimeter, alte Wiegand-Verkabelung, unzureichende Türmechanismen, fehlende Redundanz, Medien- und Schlüsselrichtlinien.

• Qualitative oder semi-quantitative Bewertung (z. B. 1-5 für Wahrscheinlichkeit/Auswirkung).

• Risikomatrix und Registrierung mit Risikoverantwortlicher, Maßnahmen, Zielzustand, Fristen.

• Ableitung von technischen und organisatorischen Maßnahmen (2FA, Verriegelungen, Videoverifizierung, Schulung).

• Testen von hochriskanten Verarbeitungen (Biometrie, großflächige Bewegungsanalysen).

• Privacy by Design: Datenminimierung, Rollen-/Rechtekonzept, Löschfristen.

• Türbuch- und Zonentopologie, Anforderungsprofile, Funktions- und Sicherheitsbeschreibung (SFB), Bewertungsmatrix.

• Standortdaten: Gebäude, Etage, Raum, Zone, angrenzende Bereiche.

• Baurecht/Sicherheit: Fluchtwegstatus (EN 179/1125/13637), Panikfunktion, Brandschutzklasse (z.B. T30/T90), Rauchabschnitt, Feststellanlagen/Zulassungen.

• Mechanik: Türblatt/-zarge, Schlosstyp (Motorschloss, elektrische Falle/Riegel), Beschläge, Schließer, Reversibilität.

• Nutzung: Frequenz/Spitzenlast, Nutzergruppen (Mitarbeiter, Besucher, Logistik), Erreichbarkeit.

• Technologie: Lesegerät/Tastatur, Tür-/Riegel-/Sabotagekontakte, REX, Fluchttaster, Türsteuerung/-steuerung, Aufzugs-/Drehkreuzanschluss.

• Energie/Netz: Strompfade, USV, Notstrom, Feldbus (OSDP) oder IP, Segmentabbildung (OT/IT).

• Integration: BMA/EMA-Kopplung, VMS-Ansicht, GA/BMS-Szenarien, SIEM-Ereignisse.

• Datenschutz: Bedürfnis nach Ereignissen, Sichtbarkeit, Löschfristenvergabe.

• Security by Design: kryptografisch gesicherte Kommunikation, gehärtete Komponenten, überprüfbare Protokollintegrität.

• Resilienz: offline-fähige Edge-Logik, redundante Kernsysteme, definierte Fail-Safe/Fail-Secure-Zustände.

• Offenheit: standardisierte Schnittstellen (OSDP v2 Secure Channel, TLS 1.2+, REST, MQTT/AMQP, BACnet/OPC UA).

• Governance: Rollen-/Rechte- und Löschkonzepte, Revisionssicherheit, EU-/DE-konforme Datenspeicherung.

• Features: Zentrale Verwaltung und Datenspeicherung im firmeneigenen Rechenzentrum; Vollständige Datenhoheit, minimale Latenzen zum Standortnetzwerk, einfache Einhaltung der Anforderungen an die Datenresidenz.

• Stärken: Steuerbarkeit, Integrationsnähe zu BMA/EMA/VMS/GA; prädestiniert für kritische Infrastrukturen/hochverwundbare Umgebungen.

• Herausforderungen: Skalierung über viele Standorte hinweg, Upgrades/Monitoring in Eigenregie, CAPEX-Last (HA-Cluster, Storage, HSM).

• Merkmale: Management-, Reporting- und Integrationsservices in EU/DE-zertifizierten Clouds (ISO/IEC 27001, Data Residency EU), Edge-Controller vor Ort.

• Stärken: Skalierbarkeit (mehrere Standorte, Analysen), vereinfachte Bereitstellung/Updates, zentrale APIs und Event Hubs.

• Herausforderungen: Sichere ausgehende Konnektivität, Latenz/Offline-Schutz, Schrems II/Übertragungsbewertungen; Klare Trennung von persönlichen Daten und Telemetrie.

• Features: Site-Server/Door-Controller mit umfangreicher lokaler Logik, Caching von Rechten/Ereignissen, Kopplung an zeitkritische Systeme (BMA) vor Ort.

• Stärken: Unabhängigkeit im Falle eines WAN-Ausfalls, kurze Schaltzeiten, robuste Notfallmodi.

• Herausforderungen: Verteilte Konfiguration, Konfliktlösung, Hardware-Footprint pro Standort.

Oft dominiert ein hybrider Edge-Ansatz: zentrale Richtlinie/Identität in der Cloud oder im Kernrechenzentrum, mit Edge-seitiger Durchsetzung und zeitkritischen Integrationen vor Ort.

• Feldschicht: Lesegeräte, Tastaturen, Tür-/Riegelkontakte, Panik- und Fluchttürmodule, Betätiger. Die Kommunikation bevorzugt OSDP (RS-485) mit Secure Channel; Wiegand kann nur mit Ausgleichsmaßnahmen vermieden werden.

• Steuerungsschicht: Tür-Controller/Edge-Controller mit lokaler Entscheidungslogik, Ereignispuffer und sicheren I/Os.

• Site/Edge Layer: Multi-Door-Aggregation, lokale Integrationen (BMA/EMA/VMS), USV unterstützt.

• Kern-/Service-Schicht: Verwaltungsanwendung, Richtlinien-Engine, Datenbanken, Event-Streaming, Krypto-Dienste.

• Integrations-/Management-Schicht: REST-/SDK, MQTT/AMQP-Broker, BACnet/OPC UA-Gateways, SIEM-/Monitoring, Reporting.

• OT-VLANs für Tür- und Controller-Komponenten; IT-VLANs für Verwaltungs- und Benutzerdienste; Strikte Firewall-Trennung.

• Standort-DMZ für gesicherte ausgehende Konnektoren (Reverse-Proxy, MQTT-Bridge) zum Kern/zur Cloud.

• Zero-Trust-Prinzipien: Standardverweigerung, minimale Ports/Protokolle, mTLS, Geräteidentitäten, kein Telnet/HTTP.

• NAC/802.1X für Edge-Ports, MACsec/L2-Schutz in exponierten Bereichen bei Bedarf; Private VLANs pro Controller.

• Grundlegende Netzwerkdienste: gesichertes NTP (authentifiziert), DNS mit Split-Horizon, DHCP-Reservierungen oder statische IPs pro OT-Domäne.

• Reader Controller ↔: OSDP v2 Secure Channel (AES-128), Gerätebindung über eindeutige Adressen/Schlüssel; Regelmäßige Schlüsselrotation.

• Controller/Edge ↔ Core/Cloud: TLS 1.2+ mit bidirektionaler Zertifikatsauthentifizierung; Ausgehende Verbindungen werden bevorzugt (keine eingehenden OT-Exposures).

• Ereignisse/Steuerung: Ereignisgesteuerte Architektur über MQTT/AMQP; idempotente Befehle, QoS und Persistenz für die Offlinepufferung.

• Gebäudetechnik: BACnet/IP oder OPC UA über dedizierte Gateways; Getrennte Sicherheitsdomänen, klar definierte Datenpunkte.

Die Türtechnik ist das Bindeglied zwischen baulichem Brandschutz, sicherheitsrelevanter Steuerung und Nutzerkomfort. Im Fokus stehen normgerechtes Verhalten im Rettungsfall, manipulationssichere Verriegelung im Schutzfall und eine robuste, wartungsfreundliche Mechanik.

• Funktion und Nutzung der Tür (Büro, Perimeter, kritischer Bereich, Schleuse).

• Brandschutz und Fluchtwegstatus (Flucht-/Paniktür nach EN 179/EN 1125; elektrisch gesteuerte Fluchttürsysteme nach EN 13637).

• Zugänglichkeit (DIN 18040), Energieversorgung und Integration in ZKS/BMA/EMA.

Für die Sicherheit haben die Mechaniker Priorität: Eine Panik-/Notruffunktion muss es ermöglichen, dass sich die Tür jederzeit ohne Hilfsmittel in Fluchtrichtung öffnen lässt. Elektronik ergänzt durch Zugangslogik, Überwachung und Integrationen.

Zugangsmedien und das dazugehörige Berechtigungsmanagement bilden den operativen Kern einer ZKS. Verbinden Sie Identitäten mit Rollen, Zonen und Zeitplänen, und übersetzen Sie Sicherheits- und Compliance-Anforderungen in praktische, überprüfbare Prozesse. In diesem Kapitel werden Medientypen (Karte, Mobile, PIN, optionale Biometrie), eine robuste Schlüssel- und Autorisierungsrichtlinie, sichere Kartenplattformen einschließlich Schlüsselmanagement, Migrationspfade von Altsystemen sowie Zwei-Faktor- und Offline-Konzepte beschrieben.

• Stand der Technik: MIFARE DESFire EV2/EV3 mit Operator-Schlüsseldomäne. Vermeidung von UID-basierter Identifizierung; verwendet verschlüsselte Anwendungen und Dateiobjekte mit Sitzungsschlüsseln, CMACs und optionaler Transaktionssicherheit.

• Badge-Druck und Personalisierung: Die physische Personalisierung (Foto, Name) ist organisatorisch sinnvoll, aber nicht sicherheitsrelevant; Digitale Sicherheitsmerkmale liegen ausschließlich in der Chip-Applikation.

• Technologien: BLE und/oder NFC. Gerätebindung mit gerätespezifischen Sicherheitselementen oder vom Betriebssystem unterstützten Keystores; Serverseitige Tokenausgabe mit zeitlich begrenzter Gültigkeit.

• Vorteile: Schnellere Bereitstellung/Deprovisionierung, niedrigere Logistikkosten, gute Benutzerakzeptanz.

• Risiken/Kontrollen: Beheben Sie den Verlust/Diebstahl von Endpunkten über Geräte-PIN/biometrische Daten, Remote-Löschung, MDM/EMM-Richtlinien, kurze Token-Laufzeiten und kontextbezogene 2FA.

• Verwendung als zweiter Faktor oder als Fallback (z. B. temporäre PIN für Lieferanten). Richtlinie: Mindestlänge, Komplexität, Begrenzung von Fehlversuchen, Sperrzeiten, Nötigungs-PIN optional mit stiller Alarmierung.

• Physische Sicherheit: Abschirmung gegen Schultersurfen, Robustheit der Tastatur, Manipulationserkennung.

• Einschränkungen bei der Verwendung: Erst nach Durchführung der DSFA und in Übereinstimmung mit BSI TR 03145/ISO 24787. Biometrie vorzugsweise als lokaler Faktor auf dem Endgerät (z.B. Smartphone-Entsperrung), nicht als zentral gespeicherter Hinweis.

• Alternativen anbieten (diskriminierungsfreier Zugang); Ablage- und Löschkonzept, Zweckbindung, enge Rollensicht.

• Least Privilege, Need-to-know, zeitlich und zonal begrenzte Rechte. Standardrechte so knapp wie möglich; Ausnahmen sind begrenzt und bedürfen der Genehmigung.

• Trennung der Funktionsträger (Vier-Augen-Prinzip für kritische Durchfahrten, z.B. Hochsicherheitszonen oder Fluchtweglogik).

• Rollen (Funktionen, Gewerke, Besuchergruppen) als primäres Steuerungsinstrument; Attribute (Standort, Layer, Projekt) für eine feine Granularität.

• Lifecycle Automation: Provisioning/Deprovisioning über IDM/HCM-Trigger (Entry, Change, Exit); Rezertifizierung in definierten Intervallen.

• Ausstellungsprozesse mit Identitätsprüfung, Empfangsbestätigung, Nutzungsbedingungen; Verlust- und Diebstahlberichte mit klaren Reaktions-SLAs.

• Besucher- und externe Firmenkonzepte: Zeitlich begrenzte, zonengebundene Medien (Karte, Mobile, QR nur für geringes Risiko und mit signierten, kurzlebigen Tokens), begleitende Verpflichtungen.

Zutrittskontrollsysteme (CCS) entfalten ihren vollen Nutzen erst in Verbindung mit der Sicherheits-, Gebäude- und Unternehmens-IT. Ziel ist eine skalierbare, sichere und auditierbare Integrationsschicht, die Ereignisse in Echtzeit verteilt, Zustände konsistent hält und Steuerbefehle zuverlässig und nachvollziehbar ausführt. Leitprinzipien: offene Standards, ereignisgesteuerte Architekturen, strikte Authentifizierung/Autorisierung, Datenminimierung und klare Domänengrenzen zwischen Safety (BMA/Fluchtweg) und Security (Access, EMA).

• Verwendung: Administrations- und Managementfunktionen (Identitäten, Rollen, Zonen, Türen, Zeitpläne), On-Demand-Abfragen (Berichte, Audit-Logs), Betriebssteuerungsbefehle (z.B. temporäres Öffnen, Sperren von Medien).

• Sicherheitsmodell: OAuth 2.0 mit Client-Anmeldeinformationen/Gerätecode, mTLS, ephemere JWTs (aud/iss/exp), fein abgestufte Bereiche (z. B. access:doors:open, admin:roles:write). Ratenbegrenzung, Idempotenzschlüssel für Schreibvorgänge, API-Versionierung (v1/v2) und Schemazerlegung.

• Anwendung: Ereignisse nahezu in Echtzeit, Zustandsänderungen, Telemetrie, asynchrone Befehle. MQTT für leichtgewichtige Edge-Bridge-Topologien, AMQP für Broker-zu-Broker mit Routing/Quorum.

• QoS und Persistenz: QoS 1 für Ereignisse (mindestens einmal), idempotente Consumer; Wird nur für Zustandsmomentaufnahmen (z. B. Türstatus) aufbewahrt, nicht für flüchtige Ereignisse.

• Namenskonventionen (Beispiel):zks/events/access/granted|denied/{site}/{zone}/{door}

• zks/events/door/{doorId}/offen|geschlossen|erzwungen

• zks/commands/door/{doorId}/unlock|lock|pulse

• zks/security/credential/{id}/widerrufen

• Nutzlasten: JSON oder CBOR mit Schema-IDs; Signaturen (JWS) optional für End-to-End-Integrität.

• Anwendung: Anwesenheits-/Belegungsprofile, Türbedingungen, HLK-/Beleuchtungszulassungen, Notfallverfahren. Objekte: BI/BO (binärer Ein-/Ausgang), BV (binärer Wert), MSV/MSO, Trendprotokolle.

• Beispiele:BI. Door_123_State (0=bis, 1=offen), BI. Door_123_Forced

• BO. Door_123_RequestToExit

• BV. Zone_A_Occupancy (0=leer, 1=belegt)

BTL-zertifizierte Geräte, BBMD/FD für das Routing über Subnetze, Netzwerknummern sauber planen, Schreibprioritäten koordinieren (Priorität 8-16), um Konflikte mit GA-Strategien zu vermeiden.

• Anwendung: Strukturierte, typisierte Knoten für Zonen/Türen, Audit- und Alarmereignisse (A&E), Kopplung an OT/SCADA.

• Sicherheit: SecurityMode SignAndEncrypt, Benutzer- und Zertifikatauthentifizierung, Rollenmodelle auf Serverebene.

• Beispiel-Knoten:ns=3; s=ZKS/Türen/123/Zustand

• ns=3; s=ZKS/Zonen/A/Belegung

• Ereignisse: ZksAccessEventType mit Feldern Result, CredentialRef, ReasonCode.

• Syslog-TLS (CEF/LEEF) für SIEM, SNMPv3 für Basis-Monitoring, SFTP für Batch-Berichte (nur ausnahmsweise), serielle I/O-Kopplungen an Aufzugssteuerungen als Fallback.

Sicherheitsfunktionen im Access Control System (CCS) verbinden Rollen und Berechtigungen mit kontextsensitiven Regeln, Zuständen und Ausnahmen. Ziel ist es, Fehlbedienungen (z.B. Tailgating), Bedienungsfehler und Angriffe zu verhindern, ohne die Sicherheit (Flucht und Feuer) zu beeinträchtigen.

• Zonenmodelle mit konsistenten Zuständen und Belegungsindikatoren.

• Regelbasierte Logiken (Anti-Passback, Zeit-/Risikoregeln, Verriegelungen/Sperren).

• Definierte Notfall- und Evakuierungsmodi inkl. BMA-Überbrückung.

• Kontextbezogene Zwei-Faktor-Authentifizierung (2FA).

• Besucher- und temporärer Zugang mit klaren Grenzen und Überprüfbarkeit.

• Offline-Durchsetzung an Edge/Controllern mit deterministischen Fallbacks.

• Definitionsbereich

• Perimeter, öffentlich/halböffentlich, Büro, Produktion, kritisch (Rechenzentrum/Labor), Sonderbereiche (Wert, Archiv), Evakuierungsbereiche.

• Jedes Transitobjekt verbindet zwei Zonen (Außen → Innen); Verriegelungen bestehen aus mindestens zwei Serientüren.

• Normal, Alarm (Sicherheitsalarm), Feuer (BMA), Evakuierung, Lockdown, Störung (Technologie).

• Belegungszähler: Ein-/Ausgänge basierend auf Zutrittsereignissen (mit Korrektur durch Schleuse/Sensor-Feedback). Verhindert, dass sich EMA auf die verbleibende Belegung konzentriert.

• Öffnen von Fenstern, Kernarbeitszeiten, Reinigungs-/Servicezeiten; Feiertage/DSGVO-konforme Anonymisierungsfenster.

• Bedrohungsstufen: Eine erhöhte Sicherheitsstufe (z. B. Stufe 2) löst strengere Regeln aus (2FA, reduzierte Whitelists).

• Synchronisierte Zeitquellen (NTP mit Authentifizierung).

• Klare Richtungsdefinition pro Leser/Tür.

• Neustartregeln nach Offline-Phasen (Re-Sync, tolerant oder streng pro Zone).

• Hard APB: Strikte Durchsetzung – Zugriff verweigert, wenn die letzte Aktion "nicht ausgecheckt" ist.

• Soft APB: Zugriff erlaubt, aber Alarm/Eskalation; Geeignet für hohe Besucherzahlen.

• Timed APB: Automatisches Zurücksetzen nach einem definierten Zeitraum (z.B. 12 h), um Fehlerhäufungen zu vermeiden.

• Zonenbasierter APB: Start-/Endzonen am Perimeter; Ausnahmen für Evakuierung/Feuer.

• Sonderfälle: Gruppendurchgang (Säule), Materialschleusen; Regel: Erlaubt mit Begleitpflicht und Videoverifizierung.

• Verhindert die Fokussierung (EMA) auf die Restbelegung; Ermöglicht die temporäre Fokussierung in untergeordneten Zonen.

• Begrenzte Anzahl von Personen in speziellen Bereichen (Labor, Tresor); Wenn das Limit erreicht ist, wird der Zugriff verweigert oder eine Warteschlange gebildet.

• Trennung (Drehkreuze/Speed Gates), Lichtschranken, Wiegesensoren.

• Regel: Zugang → Durchgangsfenster t gewährt; zweiter Durchgang ohne zweiten Gewährt → Tailgating Suspected" Alarm.

• Eskalation: Lokaler Alarmsummer, Ereignis an das VMS zur Live-Prüfung, Benachrichtigung des Kontrollzentrums.

• Außerhalb der Geschäftszeiten: 2FA und kürzere Türstoppzeiten.

• Hohe Bedrohungsstufe: Deaktivierung bestimmter Besucherrechte, restriktivere Whitelists, Sperroption kann aktiviert werden.

• Mehrfache Fehlversuche (PIN, falsches Medium) → vorübergehende Verriegelung der Tür oder des Mediums; Schwellenwert risikobasiert.

• Anomalien: Ungewöhnliche Pfade, schnelle Sequenzen über entfernte Türen, → Flag für SIEM/Analyse.

• Grundlegende Logik

• Tür A offen → Tür B verriegelt (und umgekehrt).

• Der Zugang zu Tür B wird nur gewährt, wenn Tür A als geschlossen und verriegelt gemeldet wurde. Schraubenkontakt obligatorisch.

• Timeout-Behandlung: Bei Überschreitung der Türhaltezeit automatische Schließanforderung; Eskalation im Falle einer Blockade.

• Zugang an Tür A mit 2FA; Übernahme des Kontextes (Personen-ID, Zeitfenster) für Türchen B. Keine Weitergabe an Dritte erlaubt (keine "Token-Übergabe").

• Optionaler biometrischer Verifizierungsschritt, bedienerspezifisch und nur mit DSFA.

• Materialschlösser: Volumen/Gewicht oder Metallerkennung; Freigabe nach Prüfsignal.

• Luftschleuse/Reinraum: Druckdifferenz und Reinheitsbedingungen als Freigabebedingung; Integration über BACnet/OPC UA.

• Auslöser: BMA-Alarm, Leitstellenbefehl, manuelle Notauslösung.

• Wirkung: Zonenspezifisches Entriegeln definierter Türen (Whitelist), Entfernen von APB/2FA, Aktivierung von optischen/akustischen Signalen.

• Nachbereitung: Evakuierungsliste von Zutrittsereignissen (Belegung), DSGVO-konformer Umgang mit Anwesenheitsdaten; Einhaltung von HSE-Konzepten.

• Die BMA-Außerkraftsetzung hat Vorrang vor Zugriffsregeln. Feststellanlagen lösen, Brandschutztüren schließen.

• Türen an Fluchtwegen: Ausfallsicher mit Notöffnungsvorrichtungen; Reset nach Sichtprüfung und dokumentiertem Reset.

• Teilweise oder gesamte Site: Sperren Sie sofort ausgewählte Perimeter- und Innenbereiche, deaktivieren Sie Besucher, erzwingen Sie 2FA an den verbleibenden Übergängen.

• Whitelists: Notfall- und Krisenstäbe, Feuerwehr-Schlüsselkästen/Override.

• Governance: wird nur durch definierte Rollen ausgelöst; Protokollierung inkl. Grund, Dauer, betroffene Zonen.

• Stromausfall: Edge/Controller arbeiten mit Mindestregeln; Evakuierungs-Whitelist lokal, Ereignisse gepuffert.

• Manuelle Notöffnung: Eine mechanische Öffnung in Fluchtrichtung ist jederzeit möglich; Elektrische Notöffner geprüft und beschildert.