Moderne Wandleser – auch als Multi-Technologie-Leser bezeichnet – vereinen heute mehrere Ident-Technologien in einem Gerät: 125 kHz-Proximity, 13,56 MHz-Smartcard-Standards (MIFARE Classic, MIFARE DESFire EVx, HID iCLASS SE/Seos, LEGIC advant usw.), Bluetooth Low Energy (BLE), Near Field Communication (NFC) für Mobile Credentials sowie – perspektivisch – QR-/Barcodes oder FIDO2-NFC-Tokens. Damit unterstützen sie alte und neue Ausweise parallel, erleichtern Migrationen und schaffen den Übergang zur Smartphone-basierten Zutrittskontrolle ohne Hardwaretausch an der Tür.
Dieses Dokument beschreibt Ziele, Anforderungen, Prozesse, Technik, Betrieb und Risiken rund um solche Multi-Technologie-Wandleser und dient als Blaupause für Ausschreibung, Einführung und Weiterbetrieb in Großunternehmen.
Flexibles Zutrittsmanagement im Facility Management
Heterogener Ausweisbestand: Historisch gewachsene Karten-Parks (Prox, MIFARE Classic, iCLASS) müssen weiter funktionieren, gleichzeitig soll auf sicherere Chips (DESFire EV3, Seos) oder Mobile Credentials migriert werden.
Flexibler Zutrittsfaktor: Ein Gerät pro Tür statt mehrerer unterschiedlicher Leser senkt Kosten, vereinfacht Montage und reduziert Störungen im täglichen Betrieb.
Schrittweise Migration: Mitarbeiter behalten ihre bisherigen Ausweise; neue Medien können sukzessive ausgerollt werden, ohne dass der Zutritt unterbrochen wird.
Zukunftssicherheit: Offene Protokolle (IEC 60839-11-5 / OSDP v2) und Firmware-Upgrades schützen die Investition.
Secure-Channel-Authentisierung → Entscheidung im Controller/Server
Optisches/akustisches Feedback → Tür freigeben.
Credential-Migration: Paralleler Betrieb alter und neuer Medien; definierte Abschalttermine für 125 kHz.
Verlust/Sperre: Sofortige Deaktivierung im System; Mobile-Token serverseitig zurückziehen.
Firmware-Patch: Quartalsweise, vorab in Pilotumgebung testen.
Offboarding: Kartenrücknahme, BLE-Credential-Widerruf, Key-Deletion im Reader-Manager.
Technische Umsetzung
Hardware: Mullion- oder Unterputz-Einbau, sabotagesichere Gehäuse, mehrfarbige Status-LED.
Kommunikation: RS-485-Bus (OSDP v2) oder IP/PoE mit OSDP-over-TCP; automatische Firmware-Updates über Reader-Manager-Tool.
RF-Stack: Simultan-Feld für 125 kHz & 13,56 MHz; BLE-Antenne (2,4 GHz) im Gehäuse. Surface-Detect kalibriert Reichweite bei verschiedenen Wandmaterialien.
Kryptografie: DESFire EV3 Secure Messaging, Seos-ECC, BLE-Rolling-Codes; Schlüssel im zertifizierten Secure-Element des Readers gespeichert.
Mobile-Credential-Architektur: Cloud-Service liefert Schlüsselsätze; App speichert Token in „Secure-Enclave“ und sendet per BLE/NFC. Unterstützung von Apple Wallet (ECP) und Android Credential API.
Fallback: Wiegand-Schnittstelle nur für Legacy-Controller, aber nicht für Neuanlagen empfohlen.
Sicherheit & Compliance
Ausphasung unsicherer Medien: Zeitplan zur Ablösung 125 kHz-Proximity, weil ohne Kryptografie klonbar.
DSGVO-Prinzipien: Reader überträgt nur pseudonyme UID, keine Personendaten. Bewegungsdaten-Speicherfrist ≤ 90 Tage, automatische Löschung.
Pen-Tests & Code-Signaturen: Vor Live-Schaltung Pen-Test; Firmware-Updates nur signiert, Versions-Rollback gesperrt.
Betriebsvereinbarung: Einsatz von Mobile Credentials und Bewegungsdaten klar geregelt, Betriebsrat zustimmend beteiligt.
Betrieb & Support
SLA: 99,9 % Verfügbarkeit/Monat, Ersatzteil-Lieferzeit < 24 h.
Monitoring: Reader-Heartbeat via OSDP; Alarme für Ausfall, Tamper, Offline-Status.
Wartung: Halbjährliche Funktions- und Lesedistanz-Prüfung; jährliche Prüfung der Secure-Channel-Keys.
