Zutrittskontrollsysteme in Kritischen Infrastrukturen

Neben der technischen Umsetzung sind organisatorische Maßnahmen entscheidend für wirksame Zutrittskontrolle. Zunächst braucht jeder KRITIS-Betreiber ein formales Zutrittskonzept bzw. Zutrittsregelungen, die festlegen, wer wann wohin darf. Dieses Konzept basiert idealerweise auf einer Schutzzoneneinteilung und dem Schutzbedarfsmodell – Bereiche mit höherem Schutzbedarf (etwa Steuerungszentralen, Serverräume) werden strikter geregelt als weniger kritische Bereiche. Die Entwicklung eines Zonenmodells, orientiert am Schutzbedarf, bildet die Grundlage für die Planung der Gebäudenutzung und der Zutrittsberechtigungen. So stellt man sicher, dass Sicherheitsmaßnahmen angemessen und nachvollziehbar sind. Die Zutrittsregelung sollte vor Inbetriebnahme eines kritischen Gebäudes definiert und dokumentiert sein. Verantwortlichkeiten sind klar zuzuweisen: Es braucht z.B. einen Sicherheitsbeauftragten, der das Berechtigungskonzept verwaltet, und Prozesse für die Genehmigung von Zutrittsanträgen.

Ein zentrales Element ist das Rollen- und Rechtekonzept. Zugriff auf sicherheitskritische Zonen wird üblicherweise rollenbasiert vergeben: Mitarbeiter erhalten nur Zutrittsrechte, die sie für ihre Aufgabenerfüllung benötigen (Prinzip der minimalen Rechtevergabe). Unterschiedliche Rollen (z.B. Techniker, Operator, Management, externe Dienstleister) haben differenzierte Berechtigungsprofile. Dieses Konzept muss insbesondere Zulieferer und Dienstleister berücksichtigen, die kritische Bereiche betreten (Reinigung, Wartung etc.): Deren Zugang wird zeitlich und räumlich begrenzt und eng überwacht. Wichtig ist eine strenge Identitätsverwaltung: Jede ausgegebene Schlüsselkarte bzw. jeder Zugangscode ist einer individuellen Person zugeordnet und darf nicht weitergegeben werden. Schlüssel- und Ausweismangement gehört dazu – z.B. Verfahren zur Verwaltung physischer Schlüssel (Schlüsselmanagement mit Dokumentation, regelmäßige Inventur) sowie der Ausgabe/Rücknahme von elektronischen Ausweisen. Bereits beim Einzug in ein neues KRITIS-Gebäude müssen Regeln zur Schlüsselverwaltung und eine Zutrittskontroll-Policy festgelegt sein. Ferner soll der Zutritt zu sensiblen Bereichen stets mind. nach dem Vier-Augen-Prinzip erfolgen, sofern praktikabel (z.B. kein alleiniger Zutritt zu Hochsicherheitszonen).

Dokumentation spielt eine große Rolle: Zum einen ist das gesamte Zutrittskonzept schriftlich niederzulegen (inklusive Zoneneinteilung, Berechtigungsstufen, Verfahrensanweisungen). Zum anderen sind Zutrittslisten aktuell zu halten – wer hat Zutritt zu welcher Zone – und Änderungen nachvollziehbar zu protokollieren. Jede erteilte oder entzogene Berechtigung sollte begründet und dokumentiert sein. Darüber hinaus verlangen Prüfstellen (BSI oder Auditoren) im KRITIS-Kontext einen Nachweis, dass Zutrittskontrollen wirksam implementiert sind; entsprechende Dokumente (Richtlinien, Schulungsnachweise, Wartungsprotokolle der Zutrittstechnik) müssen vorgelegt werden können. Regelmäßige Überprüfungen der Berechtigungen sind vorgeschrieben, z.B. ein Rezertifizierungsprozess alle 6–12 Monate, um Karteileichen oder unberechtigte Zugänge aufzuspüren. Dies stellt sicher, dass z.B. ehemalige Mitarbeiter oder veränderte Aufgabenbereiche berücksichtigt werden und keine unnötigen Zutrittsrechte bestehen.

Mitarbeiterschulungen und Sensibilisierung sind unerlässlich, um die organisatorischen Regeln mit Leben zu füllen. Alle Beschäftigten in KRITIS-Umgebungen – insbesondere Sicherheits- und Empfangspersonal – müssen über Zutrittsprozesse Bescheid wissen und diese konsequent anwenden. Schulungsinhalte umfassen z.B.: Umgang mit Besuchern (Registrierung, Begleitung in sichere Bereiche), Erkennen von Ausweisen, Verhalten bei verdächtigen Personen, Vermeidung von Tailgating (dass Unbefugte hinter einer berechtigten Person mitgehen) und korrekte Bedienung von Sicherheitseinrichtungen. Führungskräfte tragen Verantwortung, dass neue Mitarbeiter vor Aufnahme ihrer Tätigkeit die Sicherheitsbereiche und -regeln kennenlernen. Auch Live-Übungen können sinnvoll sein, etwa simulierte Zutrittsversuche durch unbekannte Personen, um das Sicherheitspersonal zu testen. Ergänzend sind alle Mitarbeiter anzuhalten, Sicherheitsverstöße oder ungewöhnliche Beobachtungen zu melden (Schaffung einer Sicherheitskultur).

Zu den organisatorischen Pflichten gehören weiter Notfallmaßnahmen und Verfahren für besondere Situationen. Dazu zählt ein Alarmierungsplan für Sicherheitsvorfälle: Was ist zu tun, wenn ein Unbefugter entdeckt wird? Wer ist zu informieren (Werksschutz, Behörden)? Wie wird ein betroffener Bereich ggf. eingezäunt oder geräumt? Solche Abläufe sind vorab festzulegen und zu üben. Ebenso sind Maßnahmen bei Ausfall der Zutrittsanlage zu planen – z.B. ein manuelles Notfallschloss oder Schlüsseldepot, falls das elektronische System ausfällt, oder personelle Verstärkung (Wachdienst), bis das System wieder funktioniert. Auch den Verlust eines Zugangsmittels (Schlüsselkarte etc.) muss der Betreiber abdecken: Es sollte eine Meldung unverzüglich erfolgen und das Medium sofort gesperrt werden (Prozess für Sperrung im System und ggf. Schließzylinderwechsel bei physischen Schlüsseln). Schließlich erfordert die Notfallvorsorge auch die Vorbereitung auf klassische Gefahren (Feuer, Stromausfall): Evakuierungsübungen stellen sicher, dass Personen schnell ins Freie gelangen können, ohne dass Sicherheitszonen dauerhaft kompromittiert werden. Insgesamt ist die organisatorische Komponente integraler Bestandteil der Zutrittskontrolle und wird auch von Prüfern als Teil des ISMS (Informationssicherheits-Managementsystems) überprüft.

Die Anforderungen an die Sicherheit von KRITIS – und damit auch an Zutrittskontrollsysteme – sind in Deutschland durch Gesetz und Verordnung, sowie ergänzende Standards, verbindlich oder orientierungsgebend festgelegt. Zentrale rechtliche Grundlagen bilden das BSI-Gesetz (insbesondere durch Änderungen des IT-Sicherheitsgesetzes 2015 und 2.0 in 2021) und die darauf basierende BSI-Kritisverordnung (BSI-KritisV). §8a BSI-Gesetz verpflichtet KRITIS-Betreiber, “angemessene organisatorische und technische Vorkehrungen” zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen, Stand der Technik als Maßstab. Darunter fallen ausdrücklich auch Maßnahmen der physischen Sicherheit – denn die IT-Sicherheit betrachtet das BSI hier ganzheitlich. Zwar nennt das Gesetz Zutrittskontrollen nicht explizit, aber in der Gesetzesbegründung und Auslegung wird klar, dass z.B. Zugangskontrolle und Zugangssicherheit zu Serverräumen Teil der geforderten Vorkehrungen sind. Zudem müssen Betreiber ihre Sicherheitsmaßnahmen alle zwei Jahre durch eine qualifizierte Stelle prüfen und dem BSI nachweisen (Nachweispflicht gemäß §8a (3) BSIG). Bei Nichterfüllung drohen Sanktionen, die mit IT-SiG 2.0 verschärft wurden (u.a. Bußgelder). Die BSI-KritisV konkretisiert, welche Anlagen als Kritische Infrastrukturen gelten (Schwellenwerte pro Sektor), nennt aber selbst keine technischen Detailanforderungen an Zutrittssysteme. Sie verweist jedoch implizit auf branchenspezifische Sicherheitsstandards (B3S) und lässt den Betreibern Freiraum in der Umsetzung, solange das Schutzniveau angemessen ist.

Wichtig sind die Branchenspezifischen Sicherheitsstandards (B3S) nach §8a (2) BSIG. Diese werden von Branchenverbänden erstellt und vom BSI auf Eignung geprüft. B3S beschreiben an die Besonderheiten des Sektors angepasste Maßnahmen. Viele B3S referenzieren den BSI-Grundschutz oder ISO-Standards und enthalten konkrete Vorgaben zur physischen Sicherheit. Beispiel: Der B3S für Wasser/Abwasser fordert bauliche Sicherheitszonen in Wasserwerken und Zugangsschutz für Prozessleittechnik, entsprechend BSI-Kompendium. Ein B3S im Gesundheitswesen legt etwa fest, dass Kliniken Patienten-, Personal- und Technikbereiche physisch trennen und Zugänge streng regeln müssen (z.B. Medikamentenlager nur mit speziellen Berechtigungen). Auch der Energiesektor hat etablierte Standards (etwa das BDEW-Whitepaper für Steuerungsanlagen), die Zutrittskontrollmaßnahmen für Leitwarten und Umspannwerke vorschreiben. Allen B3S ist gemein, dass sie die Einrichtung eines ISMS verlangen und darin physische Schutzmaßnahmen verankern. Werden die Maßnahmen eines gültigen B3S vollständig umgesetzt, wird dies vom BSI als Erfüllung der §8a-Pflichten anerkannt – damit haben B3S quasi Normcharakter für die Branche.

Neben Gesetzen und B3S veröffentlicht das BSI selbst Orientierungshilfen und Standards, die für KRITIS relevant sind. Zu nennen ist insbesondere die BSI-Orientierungshilfe zu §8a BSIG (Nachweisführung), welche KRITIS-Betreibern und Prüfern Auslegungshinweise gibt, wie Sicherheitsmaßnahmen – inkl. physischer Sicherheit – zu beurteilen sind. Darüber hinaus hat das BSI einen detaillierten Anforderungskatalog publiziert (2021/2022) – “Konkretisierung der Anforderungen gemäß §8a BSIG” –, der 135 Sicherheitskontrollen umfasst. Darin findet sich ein Abschnitt “Bauliche/physische Sicherheit” mit mehreren Kontrollen speziell zum Zutrittsschutz. So fordert etwa Kontrollpunkt PS-02 Physischer Zutrittsschutz, dass “Zugänge zu Räumlichkeiten oder Gebäuden, die sensible oder kritische IT für die kritische Dienstleistung beherbergen, durch physische Zutrittskontrollen gesichert und überwacht” sind. Ein weiterer Punkt (PS-03 Schutz vor Bedrohungen von außen) verlangt bauliche, technische und organisatorische Vorkehrungen gegen Feuer, Wasser, Explosionen etc. an kritischen Standorten. Diese Orientierung des BSI ist nicht rechtsverbindlich, wird aber faktisch von Prüfern als Maßstab genutzt. Ergänzend existieren BSI-Merkblätter, z.B. die Orientierungshilfe „Physische Sicherheit“, welche praktisch anwendbare Hinweise für Zutrittskontrollen, Wachdienste, Mechanik und Alarmierung gibt (veröffentlicht in Zusammenhang mit dem KRITIS-Standard). Auch das BSI-Kompendium für Industrielle Steuerungsanlagen (ICS Security) betont physische Zugangssicherheit zu Leitständen und Steuergeräten als essenziell.

Nicht zuletzt fließen die Anforderungen an Zutrittskontrolle in den IT-Grundschutz des BSI ein. Der IT-Grundschutz (BSI-Standards 200-x und das Grundschutz-Kompendium) bietet einen Best-Practice-Katalog, dessen Module relevante Maßnahmen enthalten. Besonders Bausteine der Kategorien ORP (Organisation und Personal), OPS (Betrieb), INF (Infrastruktur) und PHY (Physische Sicherheit) adressieren Zutritts- und Zugangskontrollen. So fordert der Baustein INF.1 Allgemeines Gebäude eine am Schutzbedarf orientierte Zonierung von Gebäuden und darauf aufbauend ein passendes Zutrittsberechtigungssystem. Er enthält Maßnahmen wie “INF.1.M7 Zutrittsregelung und -kontrolle” – sprich, es muss ein Konzept und entsprechende Kontrollen für den Zutritt geben. Ebenfalls behandelt werden Schlüsselverwaltung (INF.1.M12) und Zugang zu technischen Verteilern (INF.1.M13). Im ORP-Bereich des Grundschutz (Organisation) wird z.B. eine Sicherheitsleitlinie gefordert, die auch physische Sicherheit adressiert, und Rollen wie Sicherheitsbeauftragte definiert. OPS-Bausteine (Betrieb) decken operative Prozesse ab – hierzu zählen Aspekte der Berechtigungsverwaltung, sowohl für IT-Zugriff als auch für physische Zugänge, sowie Logging und Vorfallbehandlung. PHY-bezogene Bausteine (Physische Sicherheit, teilweise im INF-Kapitel integriert in neueren Editionen) enthalten konkrete bauliche Maßnahmen: Türschließanlagen, Alarmsysteme, Schutz von Fenstern, Umgebungsschutz (Schutz vor elektromagnetischen Einflüssen etc. wird ebenfalls erwähnt). Der IT-Grundschutz liefert damit ein Rahmenwerk, das KRITIS-Betreibern als Grundlage für ein umfassendes Sicherheitskonzept dient – viele der dort beschriebenen Controls decken sich mit den Erfordernissen aus ISO 27001 und den B3S.

International anerkannte Normen geben weiteren Halt für die Ausgestaltung von Zutrittskontrollmaßnahmen. An vorderster Stelle steht die ISO/IEC 27001 (in Kombination mit dem Controls-Katalog ISO/IEC 27002). Diese Norm für Informationssicherheits-Managementsysteme (ISMS) verlangt die Umsetzung von geeigneten Sicherheitskontrollen, darunter physische und umgebungsbezogene Sicherheit (ISO 27002:2022, Abschnitt 7). Konkret fordert ISO 27001 in Anhang A z.B. die Einrichtung von Sicherheitsbereichen mit Zutrittskontrollen, den Schutz vor physischen Schadensereignissen und die Sicherheit von Equipment. Maßnahmen gemäß ISO umfassen: definierte Sicherheitszonen, Zugang nur für Berechtigte, Schutz vor Feuer/Wasser, Alarmsysteme, Schlüsselmanagement und sichere Entsorgung von Hardware. In der Praxis bedeutet dies, dass ein ISO-27001-zertifiziertes KRITIS-Unternehmen nachweisen muss, dass es Zutrittskontrollmechanismen installiert hat und diese wirksam betreibt (z.B. protokollierter Zugang zu Serverräumen, Besucheranmeldung, Verschluss aller Türen). ISO/IEC 27002 als Leitfaden geht ins Detail und nennt Best Practices wie Besucherbegleitung, Minimierung von Zugangspunkten und 24/7-Überwachung sicherheitskritischer Bereiche.

Eine weitere relevante Norm ist ISO 22301 für Business Continuity Management (BCM). Zwar fokussiert sie auf Betriebs- und Notfallkontinuität, doch impliziert dies Anforderungen an Resilienz, die auch physische Sicherheit einschließen. Ein BCM-System gem. ISO 22301 würde z.B. verlangen, dass der Ausfall eines Gebäudes oder Kontrollsystems durch entsprechende Redundanzen oder Ausweichprozesse abgefedert wird. Dazu passt die Forderung, Zutrittssysteme redundant zu gestalten und Notfallzugänge (und Evakuierungswege) jederzeit verfügbar zu halten. Außerdem betont ISO 22301 Personalsicherheit – im Sinne von Verfügbarkeit kritischer Personen – was u.a. bedeutet, dass kritisches Personal zugangsberechtigt sein muss, um im Krisenfall an die Anlagen zu gelangen. Business-Continuity-Tests sollten auch Szenarien physischer Unzugänglichkeit (z.B. Gebäude gesperrt) beinhalten.

Speziell für Rechenzentren – die in mehreren KRITIS-Sektoren (IT, Gesundheit, Finanzen) eine Schlüsselrolle spielen – ist die Norm DIN EN 50600 einschlägig. Sie ist ein ganzheitlicher europäischer Standard für Planung und Betrieb von Rechenzentren, der sowohl Verfügbarkeitsklassen als auch Sicherheitsanforderungen definiert. DIN EN 50600 fordert z.B., dass schon bei der Standortwahl und Bauplanung auf Sicherheitsabstände und Gefährdungen geachtet wird (Abstand zu Risikofaktoren wie Hochwassergebieten, Industriebetrieben etc.). Für die Zutrittskontrolle setzt die Norm klare Kriterien: Ein geeignetes Sicherheitssystem zur Zutrittssteuerung ist Voraussetzung für die Zertifizierung. Rechenzentrum-Betreiber müssen mehrstufige Sicherheitszonen einrichten (Außenhaut, Gebäudekern, Serverraum), mit jeweils stärkeren Zutrittsbarrieren. Nur autorisiertes Personal darf Zugang zur IT-Infrastruktur erhalten, meist mittels dualer Authentifizierung (z.B. Chipkarte und biometrischer Scan). Ein nach DIN EN 50600 zertifiziertes Rechenzentrum realisiert beispielsweise ein mehrstufiges Schutzklassenkonzept (Schutzklasse 1–4 analog zu Verfügbarkeitsklassen) und erreicht z.B. in Klasse 3 oder 4, dass kein Unbefugter unentdeckt oder ungeregelt eindringen kann. So implementierte ein ausgezeichnetes deutsches Rechenzentrum (EK3 gem. DIN EN 50600) etwa: vollständig umzäuntes Gelände mit Perimeterschutz, keine außenliegenden Fenster an den Serverräumen, Vereinzelung an allen Zugängen und Zwei-Faktor-Zutritt mittels Transponder und Handvenenscan. Die Norm behandelt auch Umgebungsbedingungen (Klima, EMV-Schutz) und Brandschutz – diese stehen zwar nicht in direktem Zusammenhang mit Zutrittskontrolle, aber flankieren die physische Sicherheit (z.B. baulicher Brandschutz verhindert, dass ein Brand die Verfügbarkeit der Daten gefährdet). Insgesamt gewährleistet eine Umsetzung der DIN EN 50600, dass ein Rechenzentrum dem aktuellen Stand der Technik entspricht und damit Vertrauen bei Kunden schafft.

Neben diesen Normen sind noch Branchenstandards erwähnenswert: Für die Energie- und Automatisierungsbranche existiert z.B. IEC 62443 (Industrielle Automatisierungssicherheit), die allerdings primär technische Cyber-Security betrachtet, aber auch physische Zugangsbarrieren als Teil von Defense-in-Depth ansieht. Ebenso haben Versicherungsnahe Institutionen wie VdS Richtlinien für Objektschutz herausgegeben – bereits 2007 wurde dort empfohlen, Zutritt nicht allein mit RFID-Karten, sondern mindestens mit PIN+Karte oder Biometrie abzusichern. Diese Vorgaben sind in aktuellen KRITIS-Umgebungen praktisch Standard.

Obwohl alle KRITIS-Sektoren die oben genannten Grundanforderungen teilen (Schutz sensibler Bereiche durch mehrstufige Zutrittskontrolle, etc.), gibt es branchenspezifische Unterschiede in der Ausprägung und Schwerpunktsetzung. Gemeinsamer Nenner ist zunächst, dass jeder Sektor kritische Assets hat, die sowohl physisch als auch logisch geschützt werden müssen. Überall gilt das Prinzip der Zonen und der restriktiven Zugangsvergabe nur an Berechtigte. Unbefugter physischer Zugang stellt in allen Sektoren ein hohes Risiko dar – sei es Sabotage an Anlagen, Diebstahl sensibler Daten oder direkte Gefahr für Menschenleben. Daher finden sich in allen KRITIS-Bereichen Sicherheitszäune, Wachpersonal, Alarmsysteme und Ähnliches, angepasst an die jeweiligen Umgebungen.

• Energie-Sektor: In Kraftwerken, Umspannwerken und Netzleitstellen liegt ein starker Fokus auf Perimeterschutz und dem Schutz vor Sabotage. Anlagen sind oft weitläufig und teils im Freien – hier sind Kameras, Bewegungsmelder und Zäune mit Detektion üblich. Zugang wird meist nur einem kleinen Personenkreis gewährt (Betriebspersonal, Schichtleiter). Spezifisch ist auch, dass oft gesetzliche Zuverlässigkeitsüberprüfungen für Personal verlangt werden (z.B. im Stromsektor nach ENTSO-E Vorgaben), was über die normale Zutrittskontrolle hinausgeht. Leit- und Steuertechnik (SCADA-Systeme) befinden sich oft in besonders geschützten Kontrollräumen – physischen Zugang hat dort oft rund um die Uhr nur ein Schichtteam, alle anderen müssen sich anmelden. Bei Energieversorgern hat zudem der Umgebungsschutz Priorität: Transformator-Stationen z.B. müssen vor physischer Einwirkung (Vandalismus, Metalldiebstahl) geschützt sein, was z.B. in B3S Energie explizit adressiert wird. Gemeinsam mit dem Wassersektor teilt Energie die Anforderung, auch georedundante Standorte zu betreiben – Zugangskontrolle erstreckt sich also ggf. über mehrere Standorte, die konzertiert verwaltet werden.

• Wasser- und Ernährungssicherheit: Wasserwerke, Kläranlagen und Lebensmittelproduktionsstätten müssen neben IT-Ausfällen auch kontaminationstechnische Risiken bedenken. So sind in Wasserwerken Wasserreservoirs und chemische Zusätze vor physischen Eingriffen zu schützen – Zutritt ist dort nicht nur IT-Sicherheits-, sondern auch Gesundheits-/Umweltschutzthema. Ähnliches gilt in Lebensmittelbetrieben, wo unautorisierter Zugang Produktsabotage bedeuten könnte. In diesen Sektoren gibt es oft Kombinationen von klassischer Werksicherheit (Werkschutz, Besucherregistrierung am Tor) und moderner IT-gestützter Zutrittskontrolle im Inneren (für Labore, Leitwarten etc.). Eine Besonderheit im Wasser/Abwasser-Bereich: Viele Anlagen sind dezentral (Pumpstationen, Brunnen) – diese können personell nicht dauernd bewacht werden. Hier kommen verstärkt mechanische Schließsysteme mit elektronischer Überwachung (Alarm bei Öffnen) zum Einsatz, sowie Patrolienfahrten. Der B3S Wasser schreibt klare Maßnahmen vor, z.B. doppelte Sicherung von Brunnenanlagen (Zaun und abgeschlossener Brunnenkopf) sowie Besucherregistrierung selbst für externe Dienstleister auf Kanalgelände.

• Gesundheitssektor: Krankenhäuser und Pharma-Unternehmen haben die Herausforderung, öffentliche Bereiche (z.B. Empfang, Ambulanzen) und hochkritische Bereiche (Intensivstation, Rechenzentrum, Arzneimittellager) unter einem Dach zu vereinen. Zutrittssysteme müssen hier sehr differenziert gesteuert werden: Patienten und Besucher sollen offene Bereiche haben, während z.B. Serverräume in Kliniken nur von IT-Administratoren betreten werden dürfen. Typisch ist eine feingranulare Rollenverteilung (Ärzte haben Zutritt zu OP und Station, aber nicht zu Technikräumen; Techniker umgekehrt usw.). Notfalleinsatz ist eine besondere Facette: In Kliniken müssen im Notfall (Großunfall) viele zusätzliche Personen rein, was starre Zutrittssperren erschweren könnte – daher braucht es Backup-Konzepte (z.B. Wachpersonal kann Türen manuell freigeben). In Laboratorien (Teil des Gesundheits-KRITIS) kommt hinzu, dass biologische Schutzstufen baulich abgesichert werden (Schleusen mit Druckhaltung, Zugang nur mit spezieller Berechtigung und Schutzausrüstung). Gemeinsam ist aber auch hier, dass Logging und Nachvollziehbarkeit wichtig sind – etwa beim Zugriff auf Arzneimittelschränke oder Blutbank (wer hat wann geöffnet?). Solche Protokolle können später bei Ermittlungen (Diebstahl o.ä.) relevant werden.

• IT und Telekommunikation: Dieser Sektor (auch Medien, Finanz-IT) ist geprägt von Rechenzentren und Vermittlungsstellen. Hier sind Rechenzentrums-Standorte oft hermetisch gesichert – wie oben beschrieben nach DIN EN 50600 mit sehr hohen Standards. Zutrittskontrollen in kommerziellen Datacentern sind streng (teilweise mit biometrischer Identifikation, Vereinzelungsschleusen, 24/7 Security Guards). Gleichzeitig gibt es in diesem Sektor viele Techniker im Außendienst (z.B. Wartungsteams für Mobilfunkmasten), denen temporärer Zutritt gewährt werden muss. Das erfordert flexible Systeme wie elektronische Schließzylinder mit zeitbegrenzter Berechtigung. IT-Unternehmen handhaben Besuchermanagement ebenfalls streng – Besuche werden vorangemeldet, Besucher immer begleitet. Finanzsektor überschneidet mit IT, hat aber noch zusätzliche physische Werte (Tresore, Schließfächer), die eigene Zugangsregeln haben. In Rechenzentren, die als KRITIS gelten, ist es üblich, dass jeder Zutritt in Echtzeit an eine Leitstelle gemeldet und videoüberwacht wird, um im Alarmfall sofort eingreifen zu können.

• Transport und Verkehr: Hier ist die Herausforderung oft, offene Systeme (Bahnhöfe, Flughäfen) mit geschützten Zonen (Stellwerke, Tower, Kontrollzentren) zu kombinieren. An Flughäfen z.B. gibt es gesetzliche Luftsicherheitsbereiche mit strikter Zutrittskontrolle (inkl. Personen- und Gepäckkontrollen), während Vorfelder mit Berechtigungsausweisen und Biometrie gesichert sind. Bahninfrastruktur (Streckenleitstellen, Stellwerke) ist oft dezentral; Zugangskontrolle erfolgt über Schließsysteme, aber auch hier zunehmend zentral verwaltete elektronische Zutrittssysteme. Gemeinsam ist allen Transportsparten: Personal mit hohem Verantwortungsgrad wird überprüft (Luftsicherheitsgesetz, Zuverlässigkeitsüberprüfung). Zutrittskontrollsysteme müssen diese behördlichen Freigaben abbilden (keine Karte ohne gültige Überprüfung). Zudem existieren Notfallpläne bei Sabotage: z.B. im Bahnbereich, falls ein Stellwerk unbesetzt/kompromittiert ist, übernimmt ein Ausweichstellwerk – das greift zwar ins Betriebscontinuity, zeigt aber wie physische und logische Redundanzen zusammenspielen.

Es lassen sich gemeinsame Nenner identifizieren: Jeder Sektor setzt auf eine Kombination von technischen Lösungen (elektronische Kontrolle, Alarmierung) und organisatorischen Prozessen (Zutrittskonzept, Überwachung). Alle Sektoren implementieren das Prinzip der gestaffelten Verteidigung – äußere Hülle, innere kritische Kerne – und orientieren sich an übergreifenden Standards wie dem IT-Grundschutz oder ISO 27001. Unterschiede liegen vor allem in den Details der Umsetzung und den Umweltbedingungen: Ein Rechenzentrum erfordert Klimakontrolle und Brandschutzgas, ein Kraftwerk eher Perimeterschutz und Explosionsschutz; beides fließt aber in physische Sicherheit ein. Entscheidend ist, dass die Schnittstellen zwischen physischen und IT-Sicherheitsanforderungen in allen Sektoren beachtet werden.

Physische Zutrittssicherheit und IT-Sicherheit sind in KRITIS untrennbar verknüpft. Dieses Zusammenspiel zeigt sich auf mehreren Ebenen. Eine ist das bereits erwähnte Schutzbedarfsmodell: Informationssicherheits-Management identifiziert den Schutzbedarf von Prozessen und Systemen (z.B. normal, hoch, sehr hoch) hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit. Für Komponenten mit hohem Schutzbedarf (etwa Leit- und Steuerungssysteme in der Energieversorgung, die höchster Verfügbarkeitsstufe zugeordnet sind) müssen nicht nur IT-Sicherheitsmaßnahmen verstärkt werden, sondern auch die physischen Schutzmaßnahmen. Das BSI empfiehlt daher, bereits bei der Planung eines Gebäudes die Schutzbedarfsfeststellung heranzuziehen und ein Zonenmodell zu bilden, das diesen Bedarf widerspiegelt. Eine Zone mit sehr hohem Schutzbedarf (z.B. Rechenzentrum für kritische Dienste) sollte bereits im äußeren Zugriff stark limitiert sein – d.h. Gebäudezugang nur für autorisiertes Personal mit höchster Vertrauensstufe. Der Schutzbedarf leitet somit direkt die Anforderungen an Zutrittskontrollsysteme ab (z.B. Stufe hoch erfordert evtl. 24h-Wachdienst + elektronische Kontrolle + Biometrie, Stufe normal evtl. nur Ausweiskontrolle zu Geschäftszeiten).

Ein weiterer Aspekt ist der Schutz von Leit- und Steuerungstechnik (Industrial Control Systems, ICS) als Sonderfall: In Industriebetrieben, Energie- und Wasserversorgung bilden die Prozessleit- und Automatisierungssysteme das Herzstück der Dienstleistung. Diese Systeme sind oft in separaten Bereichen (Steuerstände, Schalträume, Serverracks in Werken) untergebracht. Aus IT-Sicherheitssicht werden ICS-Netze stark segmentiert und über Firewalls oder Dioden vom Büronetz getrennt. Doch ein Angreifer könnte diese Logik umgehen, indem er sich physischen Zugang verschafft – z.B. einen Laptop direkt an ein Steuerungsnetzwerk anschließt oder ein bösartiges Gerät (USB/Hardware) in einer Steueranlage platziert. Daher ist der physische Zugang zu OT-Systemen genauso restriktiv zu behandeln wie der logische Zugriff. Viele ICS-Sicherheitsarchitekturen definieren sogenannte Zonen und Conduits (nach IEC 62443), die technische Netzsegmente repräsentieren. Diese sollten idealerweise deckungsgleich mit physischen Zonen sein: Eine hochkritische OT-Zone (z.B. SCADA-Netz) befindet sich in einem räumlich abgegrenzten Bereich, zu dem nur OT-Ingenieure Zutritt haben. Damit koppelt man physische und logische Sicherheitszonen, sodass ein Angreifer nicht einfach physisch in eine sichere Zone eindringt und dort die Cyber-Kontrollen aushebelt. Umgekehrt nützt eine starke Tür wenig, wenn jemand aus der Ferne über unsichere Netzwege die Türsteuerung hacken kann – daher müssen auch hier physische und digitale Sicherheit zusammengedacht werden.

Die physisch-logische Kopplung von Sicherheitszonen manifestiert sich z.B. in Rechenzentren: Das Datennetz ist intern segmentiert nach Mandanten oder Sicherheitsstufen, und die Räumlichkeiten sind entsprechend unterteilt (verschiedene Sicherheitsbereiche für verschiedene Servergruppen). Zugang wird sowohl in der Firewall als auch an der Tür nur demjenigen gegeben, der berechtigt ist. Ein weiteres Beispiel sind Verwaltungsnetze vs. Produktionsnetze in der Industrie: Physische Trennung (separate Räume oder Schränke für Produktions-IT) plus Zugang nur für Produktions-Admins sorgt dafür, dass selbst Insider aus der Verwaltung nicht einfach an kritische Systeme gelangen.

NIS2 und die kommende KRITIS-Regulierung betonen diese integrierte Sichtweise stark. So sollen Betreiber ein ganzheitliches Risikomanagement durchführen, das sowohl Cyber- als auch physische Risiken umfasst. Der all-hazards-Ansatz der EU bedeutet, dass Bedrohungen aller Art (Cyberattacken, Sabotageakte, Naturkatastrophen) gemeinsam betrachtet werden. Beispielsweise muss ein KRITIS-Betreiber nicht nur seine Firewall gegen Hacker schützen, sondern auch seine Gebäude gegen physischen Eindringling – oft sind das kombinierte Szenarien (ein Cyber-Angriff könnte physischen Zutritt vorbereiten oder vice versa). Angriffserkennungssysteme (gemäß §8a BSIG ab 2023 Pflicht) erfassen primär digitale Angriffe, doch sie können mit physischen Sensoren verbunden werden (z.B. Einbruchmelder als Event-Quelle im SIEM). Ebenso ist beim Vorfallmanagement vorgesehen, dass physische Sicherheitsvorfälle (wie Einbrüche) denselben Meldewegen folgen wie Cyberincidents, wenn sie die Dienste bedrohen.

Zusätzlich fordert die Verknüpfung mit IT-Sicherheit, dass Zutrittskontrollsysteme selbst dem IT-Grundsatz der Vertraulichkeit, Integrität, Verfügbarkeit genügen. Zutrittsdaten (Logs, Live-Zugangsberechtigungen) sind schützenswerte Informationen – sie dürfen nicht manipuliert oder ausgespäht werden. Das bedeutet, der Server einer Zutrittsanlage sollte genauso gegen Cyberangriffe gehärtet sein wie ein kritischer Datenbankserver. Verschlüsselung der Kommunikationswege (zwischen Türleser und Server) ist Stand der Technik, um Replay- oder Sniffing-Attacken zu verhindern. Auch sollten Schwachstellen-Management und Updates für diese Systeme gewährleistet sein, was organisatorisch oft vergessen wird, da Zutrittstechnik länger im Einsatz bleibt als Standard-IT. Hier schließen sich der Kreis zwischen IT- und physischer Sicherheit: Patches für Türsteuerungssoftware sind ebenso wichtig wie physische Inspektionen der Türen.

Physische Zutrittssicherheit schafft eine Grundlage, auf der IT-Sicherheit erst wirksam werden kann. Ein kompromittierter Raum macht jede Firewall nutzlos. Umgekehrt kann eine schwache IT-Sicherheit (z.B. unsichere Zutrittssoftware) physische Barrieren aushebeln. Die Verzahnung beider Sphären – organisatorisch in gemeinsamen Richtlinien und technisch in integrierten Systemen – ist daher ein Muss für KRITIS. Wie eine Herstelleranalyse betont, müssen Physical Access Control (PAC) Systeme in KRITIS fortschrittliche Technologien einsetzen und vollständig mit Cybersecurity-Maßnahmen verzahnt sein, um einen ganzheitlichen Schutz zu erzielen. Dazu gehört der Einsatz von MFA auch für physische Zugänge in sensiblen Umgebungen, sowie Manipulationsschutz und kontinuierliche Überwachung – alles Elemente, die den Brückenschlag zwischen IT und physischer Sicherheit darstellen.

In den Jahren bis 2025 haben sich die regulatorischen Anforderungen an KRITIS in EU und Deutschland nochmals deutlich erweitert. Zwei zentrale Treiber sind die EU-Richtlinie NIS2 (Netzwerk- und Informationssicherheit, 2022) für Cybersecurity und die EU-Richtlinie CER (Critical Entities Resilience, 2022) für physische Resilienz. Beide werden in deutsches Recht umgesetzt und führen zu neuen Pflichten.

Die NIS2-Richtlinie erweitert den Anwendungsbereich und verschärft Sicherheits- und Meldepflichten. Künftig fallen mehr Sektoren und Unternehmen unter die KRITIS-Definition, da NIS2 alle mittleren und großen Unternehmen in kritischen Sektoren erfasst. Dazu zählen z.B. kritische Dienstleister wie Cloud-Service-Provider, Rechenzentrums-Dienstleister, digitale Plattformen, die vorher nicht KRITIS-reguliert waren. Damit steigt sektorenübergreifend die Zahl der Akteure, die Zutrittskontrollsysteme nach KRITIS-Standards betreiben müssen. NIS2 verlangt ein Risikomanagement mit einer Mindestliste von Sicherheitsmaßnahmen (10 Kernmaßnahmen), worunter explizit auch die physische und Umgebungs-Sicherheit fallen. Es wird betont, dass Unternehmen nicht nur ihre Netz- und Informationssysteme, sondern auch die physischen Umgebungen schützen müssen, in denen diese betrieben werden. Strengere Zugangskontrollen sind Teil der Anforderungen – NIS2 fordert ausdrücklich den Schutz sowohl digitaler als auch physischer Zugänge, einschließlich Zugriffskontrollmechanismen nach dem Stand der Technik. So sind z.B. Multifaktor-Authentifizierung und sichere Identifikationssysteme für sensible Bereiche nun europaweit als Best Practice verankert. Auch erwartet NIS2, dass Betreiber ihre physischen Zutrittskontrollsysteme aktualisieren und an neue Bedrohungen anpassen – etwa durch Einsatz modernerer Technologien, Integration in Security Information and Event Management (SIEM) und regelmäßige Tests.

Ein großer Aspekt von NIS2 sind die erweiterten Meldepflichten bei Sicherheitsvorfällen. Unternehmen müssen erhebliche Cyber-Incidents binnen 24 Stunden melden und Detailberichte binnen 72 Stunden liefern. Zwar beziehen sich diese Pflichten primär auf Cybervorfälle, doch im Zuge einer ganzheitlichen Sicht werden wohl auch physische Sicherheitsvorfälle (sofern sie die Dienstleistung beeinträchtigen) den Behörden gemeldet werden müssen. Mindestens verlangt NIS2 intern, dass jeglicher sicherheitsrelevanter Vorfall – physisch oder IT – in das Incident Management einfließt. Auch die Aufsicht wird verschärft: NIS2 bringt strengere Kontrollen und Sanktionen, Harmonisierung der Bußgelder und mehr Befugnisse für Aufsichtsbehörden. Für KRITIS-Betreiber heißt das: Nachlässigkeiten bei Zutrittssicherheit könnten im Extremfall bußgeldbewährt sein, wenn sie als Verstoß gegen die Sicherheitsanforderungen gewertet werden.

Parallel dazu adressiert die CER-Richtlinie (auch Resilience of Critical Entities, deutsch oft KRITIS-Dachgesetz genannt) vor allem die physische Sicherheit und organisatorische Resilienz kritischer Infrastrukturen. Deutschland arbeitet an einem KRITIS-Dachgesetz, das ab 2025 gelten soll, um CER umzusetzen. Dieses Gesetz wird zusätzliche Pflichten für KRITIS-Betreiber einführen, insbesondere in Bereichen Business Continuity Management (BCM), Krisenmanagement, Personal und physische Sicherheit. Der Referentenentwurf sieht z.B. vor, dass Betreiber Resilienzpläne erstellen müssen, welche auch den Ausfall von physischen Strukturen berücksichtigen. Meldepflichten werden ausgedehnt: Neben Cybervorfällen könnten auch physische Angriffe oder Ausfälle (z.B. ein Brand in einer kritischen Anlage) meldepflichtig werden. Die Aufsicht soll neben dem BSI auch durch das Bundesamt für Bevölkerungsschutz (BBK) mit wahrgenommen werden – was zeigt, dass Zivilschutzaspekte (z.B. Evakuierungspläne, Katastrophenschutz) in KRITIS stärker betont werden. Für Zutrittskontrollsysteme bedeutet die CER-Umsetzung, dass Personalsicherheit (Hintergrundüberprüfungen, Schulungen) und bauliche Sicherheit (Schutz vor physischen Bedrohungen wie Anschlägen) stärker reguliert werden. Es wird erwartet, dass in Folge dessen Betongehäuse, Sprengschutz, Redundanzstandorte etc. vermehrt vorgeschrieben bzw. nachgewiesen werden müssen – alles Aspekte, die eng mit dem Zutrittsschutz zusammenhängen (z.B. fortifikatorische Türen, Schleusen die auch Explosionen standhalten etc.). Die EU will mit NIS2 und CER physischen und digitalen Schutz verzahnen, was man daran erkennt, dass beide Richtlinien aufeinander abgestimmt sind und Behörden zur Kooperation verpflichtet werden. Entitäten, die unter CER fallen (physisch kritisch), müssen auch NIS2-Cybersicherheitsmaßnahmen erfüllen.

Für KRITIS-Betreiber in Deutschland heißt das bis 2025: Erhöhte Anforderungen und kein Aspekt der Sicherheit darf vernachlässigt werden. Kritische Dienstleister (d.h. Betreiber kritischer Dienste und ihre wesentlichen Zulieferer) werden mehr denn je in die Pflicht genommen, ein höheres Reifegradniveau ihrer Sicherheitsvorkehrungen zu erreichen. Das beinhaltet robuste Zutrittskontrollen nach Stand der Technik, umfassende organisatorische Sicherheitskonzepte und regelmäßig geprüfte Notfallpläne. Die Entwicklungen wie NIS2UmsuCG (NIS2-Umsetzungsgesetz) und das KRITIS-Dachgesetz werden die seit 2015 bestehende KRITIS-Regulierung ablösen bzw. ergänzen und vereinheitlichen, mit mehr Betreibern und mehr Pflichten. Entsprechend sollten alle KRITIS-Sektoren ihre Zutrittskonzepte auf Lücken prüfen und angesichts der aktuellen Bedrohungslage (auch geopolitische Risiken) weiter verbessern. Resilienz bedeutet auch, physische Single Points of Failure zu eliminieren – z.B. alternative Leitstellen vorzuhalten, Zweitstandorte (mit ebenso strenger Zutrittskontrolle) zu betreiben und Lieferketten (z.B. Wachdienste, Sicherheitstechnik-Zulieferer) in die Sicherheitsbetrachtung einzubeziehen. Insgesamt zielen die aktuellen Entwicklungen darauf ab, ein ganzheitlich widerstandsfähiges KRITIS-System zu schaffen, in dem Zugangssicherheit ein wesentliches Element bildet.