Bundesamt für Sicherheit in der Informationstechnik

M 1.80 Zutrittskontrollsystem und Berechtigungsmanagement

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter Haustechnik, Leiter Organisation

Der Schutz vor unbefugtem Zutritt zu einem Gebäude, schutzbedürftigen Gebäudeteilen oder Räumen soll oftmals mehrere Schutzziele unterstützen. Nicht nur der Schutz des Eigentums, sowohl der Institution als auch des Eigentums der Mitarbeiter, soll sichergestellt sein, sondern auch der Arbeitsschutz, der Schutz von Know-How und eventuell auch der Personenschutz. Hinzu kommt, dass der Nachweis über eine angemessene Vergabe von Zutrittsberechtigungen und über die Kontrolle der Nutzung dieser Berechtigungen auch gefordert ist, wenn die Erfüllung von vertraglichen oder gesetzlichen Vorgaben dargelegt werden muss ("Compliance"). Die Anforderungen der Institution an ein Zutrittskontrollsystem sollten genügend detailliert dokumentiert werden.

Mechanische Schließanlagen mit ihren Schlüsseln und Gruppenschlüsseln werden problematisch, wenn auf Verlust von Schlüsseln schnell reagiert werden muss oder wenn Nutzungsänderungen im Gebäude eine schnelle Umrüstung erfordern. Deshalb werden vielerorts IT-gestützte Zutrittskontrollsysteme (ZKS) eingesetzt, wie sie in der Norm DIN EN 50133-1 / VDE 0830-8-1 "Alarmanlagen - Zutrittskontrollanlagen für Sicherungsanwendungen" definiert sind.

Ein solches System besteht aus verschiedenen Grundelementen, die in Schichten zusammenwirken. Ein Zutrittskontrollserver verwaltet den zentralen Datenbestand, also Daten von Personen, denen Berechtigungen zugeteilt werden, und die Regeln (Wer, Wann, Wohin), die für die Organisation der Berechtigungen gelten und angewandt werden. Angeschlossen an den Zutrittskontrollserver sind Steuereinheiten. An diese Einheiten werden per IT-Netz vom Server Berechtigungsprofile für die angeschlossenen Türen, Tore und Schranken übertragen. Alle Entscheidungen zur Steuerung der angeschlossenen Türen etc. werden in dieser dezentralen Einheit getroffen. Somit ist die Türsteuerung auch ohne Verbindung zum zentralen Server handlungsfähig. In die Steuereinheiten sind Datenspeicher integriert, welche alle Bewegungsdaten aufzeichnen.

An die Steuereinheiten sind Sensoren (Leseeinheiten), Aktoren ( z. B. Stellglieder, Türöffner, Schleusen) und Detektoren angeschlossen.

Zur Identifikation (und teilweise auch Authentikation) der Benutzer dienen Ausweiskarten oder "Token", welche von den Leseeinheiten ausgelesen werden. Diese werden allgemein als Identifikationsmerkmalträger bezeichnet. Die Ausweise sollten einheitlich und mit gut lesbaren Zuordnungsmerkmalen ( z. B. Name und Abteilung) versehen sein. Dies erleichtert es, direkt erkennen zu können, ob sich Unbefugte in geschützten Bereichen aufhalten.

Ein berechtigter Zutritt findet dadurch statt, dass der Träger eines Ausweises den Ausweis an einen Leser führt. Der Leser meldet die Ausweis- ID an seine Steuereinheit weiter. Wenn diese den Ausweis als für diese Tür berechtigt identifiziert, wird ein Aktor ausgelöst, der die Tür öffnet.

In Bereichen mit höherem Schutzbedarf sollte eine Zwei-Faktor-Authentikation vorgenommen werden. Die Prüfung des Besitzes ( z. B. der berechtigten Chipkarte) wird dann ergänzt um die Prüfung von Wissen ( z. B. Eingabe einer PIN ) oder die Prüfung eines biometrischen Merkmals des Ausweisträgers.

Ergänzend kann ein Zutrittskontrollsystem genutzt werden, um die Vergabe von Berechtigungen, die Vergabe von Identifikationsmerkmalträgern und auch die Zuteilung von konventionellen Schlüsseln zu organisieren. Auch Sonderberechtigungen wie Parkausweise für Mitarbeiter und kurzzeitig gültige Besucherausweise sollten auf diesem einen System verwaltet werden. Ebenso wird die Protokollierung der Nutzung des gesamten Zutrittskontrollsystems auf dem Server konzentriert.

Der Leistungsumfang eines Zutrittskontrollsystems, mit dem auch mechanische Schlüssel verwaltet werden, sollte alle in M 2.14 Schlüsselverwaltung beschriebenen Abläufe unterstützen.

Ein Zutrittskontrollsystem gestattet, jederzeit leicht zu überprüfen, wer die Zutrittsberechtigung zu sicherheitskritischen Bereichen eines Gebäudes hat und mit welchen Ausweisen zu welchem Zeitpunkt Türen benutzt wurden. Auch ist es einfach, Berechtigungen von Personen bei Wechsel des Aufgabenbereiches oder Ausscheiden aus der Institution zu entziehen oder zu ändern. Es ist nicht nötig, ein Objekt zurückzufordern, also z. B. einen Schlüssel einzuziehen, es reicht aus, dem Ausweis die damit verbundenen Rechte zu entziehen.

Es muss immer darauf geachtet werden, dass die Entscheidung über die Vergabe von Zutrittsberechtigungen beim Verantwortlichen für den jeweiligen Gebäudebereich liegt. Der Administrator des Zutrittskontrollsystems ist in Folge verantwortlich für die korrekte Umsetzung der Anweisungen, nicht etwa für die Vergabe von Zutrittsrechten selbst.

Wegen der umfangreichen Möglichkeiten der Protokollierung und Auswertung (beispielsweise von Bewegungsdaten von Mitarbeitern) sollte die Einführung eines solchen Systems rechtzeitig mit dem Datenschutzbeauftragten und der Mitarbeitervertretung abgestimmt werden.

Die Planung eines Zutrittskontrollsystems muss auf die individuellen Anforderungen einer Institution eingehen. Die Schnittstellen eines solchen Systems zum Beispiel zu Türen und zur Videoüberwachung sind spezifisch zum verfolgten Schutzziel zu definieren und umzusetzen und Sonderprobleme wie die Steuerung und Überwachung von Fluchttüren sind zu lösen. Zudem besteht die Gefahr durch die Abhängigkeit von einem Lieferanten auf Einschränkungen in Bezug auf mögliche Änderungen oder Erweiterungen des Systems zu stoßen. Bei Neubeschaffung oder großen Änderungen eines Zutrittskontrollsystems sollte deshalb ein Fachplaner zugezogen werden.

Prüffragen:

  • Wurden die Anforderungen der Institution an die Zutrittskontrolle dokumentiert?

  • Ist der Prozess der organisatorischen Zuteilung und der anschließenden Ausgabe von Identifikationsmerkmalträger ausreichend dokumentiert?

Stand: 13. EL Stand 2013