Unternehmenssicherheitsmanagement: Gesicherte Identität

Die Umsetzung eines effektiven Identitätsmanagements im Facility Management ist komplex und kontextspezifisch. Verschiedene Einsatzumgebungen – von öffentlichen Einrichtungen über Industriebetriebe bis zu kritischen Infrastrukturen – stellen unterschiedliche Anforderungen. Im Folgenden werden die jeweiligen Herausforderungen skizziert.

Öffentliche Gebäude (Verwaltungsgebäude, Bildungseinrichtungen, Ämter etc.) müssen einerseits für Bürger und Besucher zugänglich sein, andererseits interne Bereiche vor unbefugtem Zutritt schützen. Die Balance zwischen Offenheit und Sicherheit ist hier die Kernherausforderung. Hohe Besucheraufkommen erfordern effiziente Besuchermanagement-Systeme: Besucher müssen erfasst, identifiziert und gegebenenfalls begleitet werden, ohne den Ablauf zu sehr zu beeinträchtigen. Beispielsweise benötigen Rathäuser oder Universitäten oft offene Foyers, aber gesicherte Bürozonen im Hinterbereich. Eine Schwierigkeit besteht darin, dass nicht jeder Besucher im Voraus bekannt ist – ad-hoc-Besucher können kaum mit personalisierten Ausweisen ausgestattet werden. Daher kommen häufig temporäre Badges oder Empfangsprozesse zum Einsatz. Diese Prozesse müssen stringent aber datenschutzkonform gestaltet sein. Ein weiteres Thema im öffentlichen Bereich ist das Budget: Sicherheitsmaßnahmen und Identitätsmanagement-Lösungen müssen oft mit knappen öffentlichen Mitteln umgesetzt werden, was Priorisierungen erfordert. Schließlich sind öffentliche Stellen an strenge Datenschutzbestimmungen gebunden – z.B. darf Videoüberwachung oder Biometrie nur sehr eingeschränkt eingesetzt werden. Die Herausforderung besteht darin, trotz dieser Einschränkungen ein hohes Sicherheitsniveau durch Identitätskontrollen zu gewährleisten.

In der Industrie – etwa in Produktionsbetrieben, Forschungseinrichtungen oder Logistikzentren – liegt der Fokus oft auf dem Schutz von Know-how, Produkten und der Sicherheit der Mitarbeitenden. Zutrittskontrolle in Werksanlagen ist hier unverzichtbar, um Diebstahl, Spionage oder Sabotage zu verhindern. Industriebetriebe beschäftigen häufig vielfältige Personengruppen: Stammbelegschaft, Zeitarbeiter, Lieferanten, Wartungsfirmen, Besucher von Kunden oder Audits. Für all diese „Identitäten“ müssen passende Zugangsberechtigungen verwaltet werden. Die Verwaltung dieses Identity Lifecycles ist aufwändig: Besucher und Fremdfirmen müssen angemeldet, eingewiesen und begleitet werden; Dienstleister benötigen temporäre Berechtigungen, die nach Auftragsende wieder entzogen werden. Ohne ein systematisches Identitätsmanagement besteht hier das Risiko von „überzähligen“ Ausweisen im Umlauf oder veralteten Berechtigungen. Ein Beispiel: Wenn ein externer Wartungstechniker über Wochen Zutritt hatte, muss sichergestellt sein, dass sein Zugang nach Abschluss der Arbeiten erlischt. In der Praxis fehlt hierfür manchmal die Disziplin oder Transparenz – eine klare Prozessdefinition ist also essenziell. Weitere Herausforderungen in der Industrie sind Weitläufigkeit und Gefahrenbereiche: Große Werksgelände erfordern Zonenkonzepte (z.B. Produktion, Lager, Verwaltung), und für sicherheitskritische Bereiche (etwa Labore, chemische Anlagen) darf nur speziell autorisiertes und ggf. qualifiziertes Personal Zugang haben (Arbeitsschutz!). Die Identitätslösung muss also nicht nur wissen, wer jemand ist, sondern auch ob die Person die nötigen Befugnisse oder Schulungen besitzt, um einen Bereich zu betreten. Schließlich spielt die Integration mit der Arbeitssicherheit eine Rolle: Etwa in Evakuierungsfällen muss nachvollziehbar sein, welche identifizierten Personen sich im Gebäude befinden. Die Akzeptanz neuer Identitätsmethoden kann in traditionellen Industriebetrieben ebenfalls eine Hürde sein – so werden biometrische Systeme manchmal wegen Datenschutzbedenken oder Bedienungsängsten abgelehnt. Entsprechend ist Change Management hier Teil der Implementierungsstrategie.

Betreiber Kritischer Infrastrukturen (KRITIS) – z.B. Energieversorger, Wasserwerke, Krankenhäuser, Rechenzentren, Verkehrs- oder Telekommunikationsbetriebe – stehen vor besonders hohen Anforderungen an die Identitätssicherung. Ein Ausfall oder Sicherheitsvorfall in diesen Bereichen hätte massive Auswirkungen auf Gesellschaft und Sicherheit. Gesetzlich sind KRITIS-Betreiber durch das IT-Sicherheitsgesetz 2.0 und die BSI-Kritisverordnung verpflichtet, angemessene organisatorische und technische Maßnahmen zum Schutz zu ergreifen. Physische Zutrittskontrollsysteme spielen dabei eine zentrale Rolle, um sicherzustellen, dass nur autorisierte Personen sicherheitskritische Bereiche betreten. Die Herausforderungen sind hier vielfältig: Zum einen müssen die technischen Systeme höchsten Ansprüchen genügen – Zuverlässigkeit, Manipulationssicherheit, lückenlose Protokollierung und Anbindung an IT-Systeme sind Pflicht. Oft werden mehrstufige Authentifizierungen verlangt, z.B. Kombination aus Ausweiskarte und biometrischem Merkmal, insbesondere in Bereichen wie Serverräumen oder Schaltwarten. Zum anderen sind organisatorische Konzepte entscheidend: Zutrittsberechtigungen müssen streng nach dem Prinzip des Need-to-know bzw. Need-to-access vergeben, regelmäßig überprüft und bei Rollenänderungen sofort angepasst werden. In kritischen Infrastrukturen gibt es keine Toleranz für Schlampigkeit – eine verwaiste Berechtigung kann zum Systemausfall führen. Unterschiedliche Sektoren haben zwar spezifische Umsetzungsdetails, doch gelten sektorenübergreifend dieselben Grundprinzipien: abgestufte Sicherheitszonen je nach Schutzbedarf, vollständige Überwachung aller Zutritte und enge Verzahnung mit der IT-Sicherheit. Insbesondere die Integration von physischer Sicherheit und Cyber-Security ist erfolgskritisch: Ein umfassendes KRITIS-Sicherheitsmanagement betrachtet beide gemeinsam, da ein physischer Eindringling z.B. IT-Systeme sabotieren könnte und umgekehrt ein Cyberangriff auf Zutrittssysteme fatale physische Folgen haben könnte. Praktische Herausforderungen sind hier oft die Komplexität und Skalierbarkeit der Lösungen – z.B. wenn hunderte Standorte oder Stationen verwaltet werden müssen – sowie strenge Audits und Dokumentationspflichten seitens der Aufsichtsbehörden. Insgesamt erfordert die Identitätssicherung in KRITIS-Umgebungen einen sehr hohen Reifegrad: modernste Technik, durchdachte Prozesse und laufende Verbesserungen. Entsprechend investieren KRITIS-Betreiber kontinuierlich in die Weiterentwicklung ihrer Zutritts- und Identitätskontrollsysteme, um den wachsenden regulatorischen Vorgaben (z.B. den neuen EU-Richtlinien NIS2, CER) gerecht zu werden.

Neben den spezifischen Kontexten gibt es einige generelle Herausforderungen, die überall auftreten: Die Komplexität der Systeme – Experten sind sich einig, dass insbesondere biometrische Zutrittskontrollen sehr komplex sind und nur mit strukturierter Vorgehensweise erfolgreich implementiert werden können. Ferner die Benutzerakzeptanz: Mitarbeiter oder Besucher müssen die eingesetzten Verfahren (von Ausweisträgern bis Fingerabdruckscans) akzeptieren; Aufklärung und Schulung sind dafür unerlässlich. Und schließlich die Durchgängigkeit der Prozesse: Identitätsmanagement darf nicht an Abteilungsgrenzen scheitern – wenn z.B. die IT einen Account sperrt, aber das Facility Management vergisst, den Gebäudeausweis einzuziehen, entsteht ein Sicherheitsloch. Ein solcher Fall ist in der Realität nicht selten: Wird ein Mitarbeiter offboardet, bleiben ohne integriertes Identitätsmanagement womöglich aktive Zutrittskarten bestehen, die weiterhin Türen öffnen. Dieses Beispiel verdeutlicht, dass Technik allein nicht genügt – das Zusammenwirken von Mensch, Prozess und Technologie ist die eigentliche Herausforderung.

Moderne Sicherheitstechnologie bietet ein breites Spektrum an Lösungen, um Identitäten zu verifizieren und Zugänge im Facility Management zu steuern. Wichtige Komponenten sind unter anderem Zutrittskontrollsysteme, biometrische Verfahren, digitale Identitätsmedien sowie die Integration all dieser Elemente in CAFM-Plattformen (Computer Aided Facility Management). Im Folgenden werden die wichtigsten Technologien und ihre Rolle erläutert.

Zutrittskontrollsysteme bilden das Rückgrat der physischen Identitätssicherung in Gebäuden. Klassische Systeme bestehen aus physischen Vereinzelungsanlagen (Türen, Drehkreuze, Schranken) und elektronischen Lesegeräten, die ein Identifikationsmedium prüfen. Übliche Identifikationsmedien sind Ausweiskarten oder Transponder (häufig im Scheckkartenformat), die einen codierten Berechtigungscode tragen. Wichtig ist dabei das Prinzip der Trusted Identity: Eine Zugangskarte wird immer einer individuellen Person zugeordnet und personalisiert. Beim Einsatz eines solchen Physical Access Control Systems (PACS) läuft der Vorgang in drei Schritten ab: Identifizierung der Person (z.B. durch das Vorhalten der Karte am Leser, wodurch ihr individueller Code ausgelesen wird), Authentifizierung der Berechtigung (Prüfung des Codes im System gegen hinterlegte Zutrittsrechte, oft verbunden mit PIN oder biometrischen Check) und schließlich Autorisierung durch Türfreigabe. Kontaktlose Smartcards sind heute Stand der Technik – sie enthalten einen Chip und kommunizieren per RFID. Gegenüber älteren Technologien (Magnetstreifen oder einfache Näherungskarten mit 125kHz) bieten moderne Smartcards hohe Sicherheit durch Verschlüsselung und können auch mehr Daten speichern (z.B. digitale Zertifikate). Beispielhaft gibt es Technologien wie MIFARE DESFire oder HID iCLASS, die schwer zu kopieren sind. Mit solchen Karten können Zugangsprofile fein granular umgesetzt werden, etwa zeitliche Begrenzungen (z.B. gültig nur werktags 9–17 Uhr) oder bereichsspezifische Freigaben (z.B. Zugang nur für Gebäude A und B, aber nicht C). Über die Management-Software lassen sich Berechtigungen zentral verwalten und bei Bedarf sofort sperren. Vorteil der digitalen Karten gegenüber mechanischen Schlüsseln ist die Nachvollziehbarkeit: Jeder Zutritt wird im System mitprotokolliert (wer hat wann welche Tür geöffnet), was Auswertung und forensische Analysen ermöglicht. Moderne Zutrittssysteme unterstützen zudem Wireless- oder Cloud-Technologien: Beispielsweise gibt es kabellose Türdrücker, die ins Netzwerk eingebunden sind, oder cloudbasierte Plattformen, die mehrere Liegenschaften zentral managen. Ein Trend ist die Nutzung von Mobiltelefonen als Zutrittsmedium (Mobile Credentials). Über Bluetooth oder NFC kann ein Smartphone als virtueller Ausweis dienen – dies erhöht den Komfort (man hat das Handy immer dabei) und erlaubt dynamische Aktualisierungen über die Luftschnittstelle. Viele Unternehmen beobachten einen Wechsel hin zu solchen smarten, schlüssel- und kartenlosen Lösungen, die den Verwaltungsaufwand reduzieren und zugleich die Privatsphäre verbessern können (z.B. keine sichtbaren Ausweisbilder nach außen). Unabhängig vom Medium gilt: Ein Zutrittskontrollsystem allein garantiert nur Sicherheit, wenn es richtig konfiguriert ist – d.h. individuelle Rollen und Berechtigungen im System müssen dem Minimalprinzip folgen (jeder nur so viel Zugang wie nötig). Daher bieten professionelle Systeme Rollen- und Rechtekonzepte an, oft integriert in Identity-Management-Software oder sogar in CAFM-Systeme, sodass z.B. beim Abteilungswechsel eines Mitarbeiters dessen Zugangsrechte automatisch angepasst werden können.

Biometrie bezeichnet die automatische Erkennung von Individuen anhand einzigartiger körperlicher Merkmale. In der Sicherheitspraxis gewinnen biometrische Zutrittskontrollen zunehmend an Bedeutung, da sie einen direkten Identitätsbezug herstellen: Die Person selbst wird zum Authentifikationsmerkmal, nicht ein mitgeführtes Token. Gängige Verfahren umfassen Fingerabdruck-Scanner, Handvenenscanner, Iriserkennung oder Gesichtserkennung. Der große Vorteil biometrischer Systeme ist, dass Merkmale nicht vergessen oder weitergegeben werden können – sie sind individuell und fälschungserschwerend. Allerdings sind Umsetzung und Akzeptanz deutlich anspruchsvoller. Experten betonen, dass die Einführung biometrischer Zutrittssysteme sehr komplex ist und nur mit klarer Strategie und Pilotierung erfolgen sollte. Zahlreiche Projekte scheiterten in der Vergangenheit an zu hohen Erwartungen oder mangelnder Benutzerakzeptanz. Dennoch gibt es erfolgreiche Beispiele: So hat der Sparkassenverband Bayern an seinem Standort die komplette Zutrittskontrolle und Zeiterfassung auf ein berührungsloses 3D-Fingerabdruck-System umgestellt. Dies führte zu höherer Betriebssicherheit, genaueren Personalzeitdaten und reduziertem Administrationsaufwand, da verlorene oder defekte Mitarbeiterausweise entfallen. Mitarbeiter identifizieren sich nun an Türterminals und Zeitstemplern einfach mit ihrem Finger – dank moderner 3D-Sensorik hygienisch berührungslos. Biometrie wird häufig als zweiter Faktor in sicherheitskritischen Zonen eingesetzt: z.B. muss ein Karteninhaber zusätzlich seinen Finger scannen, um einen Hochsicherheitsbereich zu betreten. Dies erhöht die Sicherheit drastisch, da ein gestohlener Ausweis allein nicht zum Erfolg führt. In Rechenzentren etwa ist gemäß DIN EN 50600 ab einer gewissen Schutzklasse zwingend ein biometrischer Identitätsnachweis vorgesehen. Gesichtserkennungssysteme wiederum finden vermehrt in Bürogebäuden oder Apartmentkomplexen Einsatz: Kameras an Eingängen prüfen in Echtzeit, ob das Gesicht einer Person mit einem zuvor registrierten Profil übereinstimmt, und gewähren nur bei Treffer den Zutritt. Solche Lösungen ermöglichen es auch, im Alarmfall unbekannte Eindringlinge auf Videoaufzeichnungen rasch zu identifizieren, da die Software die Gesichter abgleicht und markiert. Ein weiteres Anwendungsfeld ist die Kennzeichenerkennung an Zufahrten: Hier kombiniert man Videoanalyse mit hinterlegten Datenbanken von Fahrzeugkennzeichen, um Schranken nur für berechtigte Fahrzeuge zu öffnen – was ebenfalls eine Form der Identitätsprüfung (des Fahrers/Fahrzeugs) darstellt. Trotz aller Vorteile birgt Biometrie Herausforderungen: Datenschutz und Präzision. Biometrische Daten gelten als besondere Kategorie personenbezogener Daten nach Art. 9 DSGVO und erfordern daher einen erhöhten Schutz und eine klare Rechtsgrundlage für die Verarbeitung. Unternehmen müssen z.B. Einwilligungen einholen oder betriebliche Vereinbarungen mit dem Personalrat schließen, bevor Mitarbeiterfingerabdrücke verarbeitet werden dürfen. Technisch muss die False Acceptance Rate (Fehlerquote) minimiert sein, damit kein Unbefugter irrtümlich durchkommt – moderne Systeme nutzen deshalb Lebenderkennung und tiefgehende Algorithmen, was dank KI-Unterstützung stetig besser wird. Insgesamt sind biometrische Verfahren im Kommen, insbesondere in sicherheitssensiblen Bereichen, und werden oft kombiniert mit klassischen Ausweissystemen eingesetzt, um Multi-Faktor-Authentifizierung zu realisieren (Karte und Merkmal).

Unter dem Schlagwort „digitale Identität“ versteht man im Unternehmenskontext die Gesamtheit der digitalen Merkmale, die einer Person (oder auch Maschine) zugeordnet sind und die für Authentifizierung und Autorisierung verwendet werden. Im Facility Management bedeutet dies beispielsweise, dass ein Mitarbeiter eine eindeutige digitale Identität in den Systemen erhält, mit der sowohl sein IT-Zugang (Netzwerk, Computer) als auch seine Gebäudeberechtigungen verknüpft sind. Diese Konvergenz von IT-IAM (Identity & Access Management) und physischem Zutrittsmanagement wird zunehmend angestrebt – teils spricht man von Physical Identity & Access Management (PIAM). Der Vorteil einer integrierten digitalen Identität ist, dass Bereitstellung und Entzug von Berechtigungen zentral gesteuert und protokolliert werden können. Beim Onboarding eines neuen Mitarbeiters z.B. werden automatisiert ein IT-Account, E-Mail-Adresse und Gebäudeausweis erstellt, mit konsistenten Rollenrechten. Änderungen (Abteilungswechsel, Namensänderung) werden synchron in allen Systemen nachgezogen. Beim Offboarding wird sichergestellt, dass sofort mit dem Deaktivieren des Windows-Logins auch die Zutrittskarte ungültig wird – so entstehen keine „vergessenen“ Zugänge, wie in klassischen getrennten Prozessen. Technisch setzen viele Organisationen hierzu auf die Integration von Zutrittskontrollanlagen in CAFM- oder Sicherheitsmanagement-Software. Einige CAFM-Systeme bieten eigene Module für User Management an, in denen sich Benutzerprofile, Rollen und Zugangsberechtigungen zentral verwalten lassen. Solche Module erlauben z.B. die Einrichtung von Rollenbasierten Zugriffskontrollen (RBAC): Die Rolle „IT-Administrator“ beinhaltet dann automatisch Zutritt zum Serverraum und entsprechende Systemrechte, während z.B. „externer Reinigungskräfte“ nur bestimmte Gebäudeabschnitte zu definierten Zeiten betreten dürfen. Die Integration in CAFM bedeutet auch, dass Nutzeraktionen nachverfolgt werden – etwa welcher Mitarbeiter welche Bereiche genutzt hat – was analytische Auswertungen erlaubt (z.B. für Flächennutzungsgrad, aber auch für Sicherheitsaudits). Moderne Lösungen setzen zudem auf Self-Service: Benutzer können im Rahmen definierter Regeln selbst bestimmte Anfragen stellen, etwa temporären Zugang für einen Gast anfordern, was dann digital genehmigt und zugewiesen wird. Ein weiterer Aspekt digitaler Identitäten ist die Verwendung von mobilen und cloudbasierten Identitätsnachweisen. Beispiele sind Smartphone-Apps, mit denen sich Mitarbeiter gegenüber Besuchermanagement-Systemen identifizieren oder QR-Codes generieren können, um an digitalen Schlössern kurzzeitig Zugang zu erhalten. In intelligenten Gebäuden der Zukunft könnte auch die staatliche elektronische Identität (wie der Personalausweis auf dem Handy) eine Rolle spielen, um Besucher bereits online vorab eindeutig zu verifizieren. Bereits heute kombinieren viele Unternehmen verschiedene Datenquellen: etwa HR-Systeme, aus denen automatisch berechtigte Personen mit Foto und Personalnummer ins Zutrittssystem importiert werden, oder Verknüpfungen mit Zeiterfassung (so dass die Zutrittslogs gleichzeitig als Arbeitszeitnachweis dienen). Diese ganzheitliche Sicht auf digitale Identitäten erfordert zwar initial Aufwand bei der Systemintegration, bringt aber erhebliche Vorteile in Sicherheit, Compliance und Effizienz. Es wird Transparenz geschaffen, wer zu welcher Zeit an welchem Ort war, und es lassen sich leichter Reports erstellen, die für Zertifizierungen oder Audits benötigt werden. Für das Facility Management bedeutet die Integration von Identitätsdaten in CAFM auch, dass betriebliche Prozesse wie Schlüsselmanagement, Besucherverwaltung, Notfallplanungen etc. in einem gemeinsamen System orchestriert werden können. Insgesamt führt der Trend hin zu einer zentralen Identitätsplattform, welche die vormals getrennten Welten von IT-Security und Gebäudesicherheit vereint – ein wichtiger Schritt auf dem Weg zu „Smart Buildings“ und „Zero Trust“-Sicherheitsarchitekturen im Unternehmen.

• Sicherheit (Security Management): Die Sicherheitsverantwortlichen definieren die Schutzziele und Sicherheitsrichtlinien, z.B. welche Zutrittskontrollen wo erforderlich sind und wie Ausweise gestaltet sein müssen. Sie kümmern sich um Risikoanalysen, erstellen Sicherheitskonzepte und koordinieren ggf. den Sicherheitsdienst oder Empfangspersonal. Für die Schnittstelle Identitätsmanagement bedeutet dies, dass das Security-Team die Policies vorgibt (z.B. „Zutritt zu Bereich X nur mit 2-Faktor-Authentifizierung und Begleitung“) und überwacht, dass diese umgesetzt werden. Sie nutzen die vom FM bereitgestellten Systeme (Ausweisdatenbank, Videoüberwachung etc.), um Vorfälle zu untersuchen oder Schwachstellen zu identifizieren. Wichtig ist auch die Abstimmung mit der Betriebssicherheit (Arbeitsschutz): Sicherheits- und FM-Verantwortliche müssen gemeinsam Sorge tragen, dass im Notfall (Feueralarm, Evakuierung) die Identitätskontrollen so gestaltet sind, dass Menschen zwar schnell ins Freie gelangen (Fail-Safe), aber unbefugte Zugriffe dennoch verhindert werden (Fail-Secure). Die Security-Abteilung ist letztlich Fachgutachter für alle Fragen, ob eine Person berechtigt ist oder welche Zugangsstufe angemessen ist.

• Datenschutz: Die Datenschutzbeauftragten achten darauf, dass alle Maßnahmen zur Identitätssicherung mit den geltenden Datenschutzgesetzen (insb. DSGVO) im Einklang stehen. Personenbezogene Daten wie Namen, Fotos, Ausweisnummern, Zugangsdaten und vor allem biometrische Merkmale unterliegen strengen Vorgaben. So darf z.B. die Verarbeitung von Fingerabdrücken nur erfolgen, wenn eine Rechtsgrundlage besteht und geeignete Schutzmaßnahmen (Verschlüsselung, Zugangsbeschränkung) implementiert sind. Der Datenschutz muss in der Planung neuer Systeme frühzeitig einbezogen werden – oft ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich, etwa bei flächendeckender Video-Face-ID. Zudem sind Betroffenenrechte zu gewährleisten (z.B. Auskunft, Löschung von Zutrittslogs nach Ablauf der Aufbewahrungsfrist). In der Praxis gestaltet der Datenschutz gemeinsam mit dem FM Richtlinien für den Umgang mit Identitätsdaten: Wer darf auf die Daten zugreifen? Wie lange werden Logbücher aufbewahrt? Welche Informationen erhält der Vorgesetzte? Transparenz gegenüber den Mitarbeitern ist essenziell – diese müssen informiert sein, welche Daten zu welchem Zweck erhoben werden. Durch gute Zusammenarbeit von Datenschutz und Sicherheit lassen sich Lösungen finden, die beide Interessen berücksichtigen – z.B. Einsatz von Privacy-by-Design in Kamerasystemen (Verpixelung von Gesichtern außer bei Alarm) oder Nutzung von Biometrie im Verifikationsmodus (1:1-Abgleich auf der Karte gespeichert) statt im Identifikationsmodus (1:n-Abgleich gegen Datenbank), um zentrale Speicherung sensibler Daten zu vermeiden. Letztlich schützt ein datenschutzkonformes Identitätsmanagement nicht nur die Persönlichkeitsrechte, sondern stärkt auch die Akzeptanz der Maßnahmen in der Belegschaft.

• IT-Abteilung: Die IT ist zum einen technischer Enabler für viele Identitätsmanagement-Lösungen (Netzwerkanbindung der Zutrittskontrolle, Bereitstellung von Servern, Integration mit Verzeichnisdiensten wie Active Directory), zum anderen selbst Betroffener, da es Überschneidungen mit dem IT-Zugriffsmanagement gibt. Besonders deutlich wird dies bei der Zusammenführung von physischem und logischem Zugriff: Wenn z.B. ein zentrales Identity-Management-System (IAM) eingeführt wird, muss die IT sicherstellen, dass Systeme miteinander kommunizieren (Schnittstellen zwischen Zutrittssoftware, HR-Datenbank und IT-Userverwaltung). Zudem muss die Cyber-Sicherheit aller Komponenten gewährleistet sein: Moderne Zutrittskontrollanlagen sind oft IP-basiert und damit potenziell Angriffen ausgesetzt. Die IT definiert daher Sicherheitsmaßnahmen wie Netzwerksegmentierung (z.B. eigenes VLAN für Sicherheitstechnik), Firewalls, regelmäßige Updates/Patches für die Zutrittssoftware und Verschlüsselung der Kommunikationswege (damit z.B. Kartenleser nicht aus der Ferne manipuliert werden können). Auch physische Sicherheitsgeräte können Cyber-Schwachstellen haben – die IT führt idealerweise Penetrationstests oder Sicherheitsüberprüfungen an diesen Systemen durch. Ein weiterer Aspekt: die IT-Abteilung verwaltet in der Regel das zentrale Directory (Verzeichnisdienst), in dem alle Personen eines Unternehmens digital geführt werden. Hier müssen Prozesse etabliert sein, um Änderungen (Neueintritt, Austritt, Namensänderung) unverzüglich ans FM/Zutrittssystem zu melden. Ohne diese Kopplung entstehen die eingangs erwähnten Risiken, dass z.B. ein ausgeschiedener Mitarbeiter noch einen aktiven Gebäudeausweis besitzt. Im Idealfall orchestriert die IT alle Identitäten zentral (Stichwort Identity Governance) und das FM-System ist ein angebundenes Subsystem. Somit trägt die IT wesentlich dazu bei, die Durchgängigkeit und Automatisierung im Identitätsmanagement zu ermöglichen. Schließlich ist die IT auch Anwender: Rechenzentren oder Serverräume werden oft vom IT-Personal selbst verwaltet – hier muss FM mit IT klären, wer welche Rechte hat und wie z.B. Notzugänge bei Systemausfall gehandhabt werden (Stichwort: Notfallprozeduren, z.B. mechanische Notschlüssel in versiegelten Umschlägen).

• Operatives Facility Management: Die FM-Organisation ist im Tagesgeschäft für die Umsetzung der Identitäts- und Sicherheitsmaßnahmen verantwortlich. Das bedeutet konkret: Ausweiserstellung und -verwaltung, Pflege der Zutrittsprofile, Betreuung der technischen Anlagen (Schließsysteme warten, Updates einspielen, Ausweisleser kontrollieren) und Überwachung der Zutrittslogs. Oft ist im FM ein Security- oder Empfangsteam angesiedelt, das Besucher anmeldet, Ausweise ausgibt und als erste Instanz bei Sicherheitsvorfällen reagiert. Diese operativen FM-Kräfte müssen eng mit der Sicherheitsabteilung zusammenwirken – etwa indem sie verdächtige Zutrittsversuche sofort melden oder gemeinsam Schulungen für Mitarbeiter durchführen (z.B. Awareness gegen "Tailgating", also das unbeabsichtigte Hereinlassen Unbefugter durch Mitgehen). Ein wichtiges Konzept ist hierbei die Policy Enforcement: FM stellt sicher, dass die in Richtlinien definierten Maßnahmen auch praktisch greifen – z.B. regelmäßige Kontrollgänge, ob niemand seine Zutrittskarte offen herumliegen lässt, ob Türen nicht unbefugt aufgesperrt wurden etc. Das FM ist auch zuständig für die Schnittstelle zum Menschen: Während IT vieles automatisiert im Hintergrund regeln kann, muss FM physisch präsent sein – sei es durch den Wachdienst an der Pforte oder durch Techniker, die ein defektes Türschloss sofort reparieren. In kritischen Situationen (z.B. dem Ausfall des elektronischen Systems) hat FM Notfallprozesse parat, etwa manuelle Zugangskontrolle mit Listen oder Notschlüsselmanagement. Zudem kommt dem FM eine koordinierende Rolle zu, wenn externe Dienstleister im Spiel sind – etwa Bewachungsunternehmen oder Systemintegratoren für Sicherheitstechnik. Verträge mit solchen Partnern (SLA – Service Level Agreements) müssen klar regeln, wie Identitätsdaten behandelt werden und wer Zugriff darauf hat. Zusammengefasst stellt das operative FM das Bindegewebe dar, das die technischen und organisatorischen Vorgaben täglich umsetzt und am Laufen hält. Seine Herausforderung ist, die oft abstrakten Sicherheits- und Datenschutzvorgaben praxisnah in Workflows zu gießen (z.B. Besucheranmeldung vorab per Portal, Ausweiserstellung am ersten Arbeitstag als Checkliste im Onboarding usw.), ohne den Betrieb zu lähmen.

Die aufgeführten Schnittstellen machen deutlich, dass gesicherte Identitäten nur in interdisziplinärer Zusammenarbeit effektiv umgesetzt werden können. Ein gutes Praxisbeispiel ist das schon erwähnte Offboarding: Hier sollten HR (Personalabteilung), IT und FM gemeinsam einen Prozess etabliert haben, der dafür sorgt, dass beim Austritt einer Person alle ihre physischen und digitalen Zugänge entzogen werden – im Idealfall über ein einziges System oder koordiniert über Schnittstellen. Noch besser ist es, wenn regelmäßig alle bestehenden Berechtigungen rezertifiziert werden, d.h. von Verantwortlichen überprüft wird, ob sie noch notwendig sind. All dies erfordert klare Kommunikation zwischen den Bereichen und oft eine übergreifende Governance-Struktur, etwa ein Sicherheitsgremium, in dem FM-Leitung, CISO/CSO (Security Officer) und Datenschutzbeauftragter gemeinsam Leitlinien beschließen.

• Sicherheitskonzept mit Zonierung und abgestuften Rechten entwickeln: Ein bewährter Ansatz ist die Einteilung der Gebäude in Sicherheitszonen mit jeweils spezifischen Zugangsvoraussetzungen. Zum Beispiel: Öffentlich zugängliche Zone (Lobby) ohne Authentifizierung, interne Zone (Büros) mit Ausweiskarte, kritische Zone (Serverraum, Tresor) mit Multi-Faktor und Protokollierung. Für jede Zone werden auf Basis einer Risikoanalyse passende Identitätsprüfungen festgelegt. Dieses Need-to-Access-Prinzip stellt sicher, dass höhere Risiken auch höhere Hürden haben. Wichtig ist, die Zonenübergänge (Sicherheitslinien) klar zu definieren und technisch abzusichern (z.B. Schleusensysteme verhindern „Tailgating“ in Hochsicherheitszonen).

• Least-Privilege und Rollenmodelle nutzen: Jeder Nutzer – ob Mitarbeiter, Dienstleister oder Gast – sollte nur die Zugangsrechte erhalten, die für seine Aufgabe notwendig sind. Das Facility Management sollte hierzu ein rollenbasiertes Berechtigungsmodell etablieren, das einfach zu verwalten ist. Beispielsweise gibt es eine Rolle „Büroreinigung“ mit Zutritt zu definierten Etagen und Zeiten. Neue Mitarbeiter werden durch Zuweisung zu Rollen automatisch mit den richtigen Zutrittsrechten ausgestattet. Überschneidungen (gleiche Person in zwei Rollen) sind zu dokumentieren und zu prüfen. Durch regelmäßige Rezertifizierung (etwa quartalsweise Freigabeprüfung durch Vorgesetzte) wird verhindert, dass sich Rechte unkontrolliert anhäufen.

• Integration von physischem und logischem Identity Management vorantreiben: Ein ganzheitliches Identitätsmanagement verbindet idealerweise IT-Zugangsverwaltung (IAM) und Gebäudemanagement. Best Practice ist die Nutzung eines zentralen Identitätsdirectories, aus dem sowohl IT-Systeme als auch Zutrittssysteme schöpfen. Wenn möglich, sollte ein PIAM-System (Physical Identity & Access Management) eingesetzt werden, das Besucher, Mitarbeiter und Drittparteien identitätsbezogen steuert. So wird – wie oben beschrieben – vermieden, dass jemand im IT-System deaktiviert ist, aber noch durchs Drehkreuz spaziert. Die automatische Entzugskette bei Ausscheiden („Access Orchestration“) – z.B. durch sofortiges Sperren des Badges – ist essenziell. Auch Alarmsituationen können so vernetzt gehandhabt werden: Erkennt z.B. das IT-System einen kompromittierten Account, kann auch sein physischer Zugang temporär gesperrt werden (und umgekehrt).

• Kontinuierliches Monitoring und Protokollauswertung: Ein oft unterschätzter Bereich ist die Auswertung der Zutrittsprotokolle. Best Practice ist ein regelmäßiges (ggf. automatisiertes) Review der Logdaten, um Unregelmäßigkeiten aufzudecken. Beispiele: versuchte Zutritte außerhalb der Arbeitszeiten, wiederholte „Access Denied“ Ereignisse an sensiblen Türen, Zugriffe kurz vor/nach Kündigung eines Mitarbeiters etc. Moderne Systeme mit SIEM-Anbindung (Security Information and Event Management) oder KI-Unterstützung können aus den Logdaten auffällige Muster filtern. NIS2-konforme Sicherheit verlangt sogar Continuous Monitoring – also die laufende Überwachung relevanter Sicherheitsereignisse und sofortige Alarmierung bei Verdacht. Das FM sollte hierfür Prozesse haben, wer die Logs sichtet (Sicherheitszentrale, Objektleiter) und wie reagiert wird (Eskalationsplan bei Anomalien).

• Multi-Faktor-Authentisierung dort einsetzen, wo angebracht: Insbesondere in Bereichen mit hohem Schutzbedarf (Kritikalität oder Vertraulichkeit) ist die Kombination mehrerer Authentifizierungsfaktoren ratsam. Karten können verloren gehen oder kopiert werden – ein zusätzlicher PIN oder biometrischer Check reduziert das Risiko drastisch. Best Practice: Analyse, an welchen Punkten im Gebäude ein höheres Authentisierungsniveau verhältnismäßig ist (etwa Rechenzentrum, Vorstandsetage, Lager mit hochwertigen Gütern) und dort MFA implementieren. Wichtig ist, dass die Umsetzung nutzerfreundlich bleibt – z.B. kann man an der Schleuse zum Reinraum Fingerprint nutzen, aber in der Kantine nicht. Adaptive Ansätze (siehe Zukunft) könnten helfen, MFA nur bei erhöhtem Risiko zu verlangen.

• Schulung und Awareness der Mitarbeiter: Die beste Technik nützt wenig, wenn Menschen sie umgehen. Daher gehört zur Identitätssicherheits-Strategie eine Sensibilisierung aller Gebäudenutzer. Mitarbeiter müssen verstehen, warum sie ihren Ausweis nicht weitergeben dürfen, warum „Piggybacking“ (jemanden hinter sich durch eine Tür mitnehmen) gefährlich sein kann, und wie sie allgemein zur Sicherheit beitragen können. Praktische Maßnahmen sind regelmäßige Unterweisungen, Security-News im Intranet oder sogar Dummy-Tests (z.B. Security testet, ob Mitarbeiter einen Fremden ohne Ausweis hereinlassen). In kritischen Zonen sollten Mitarbeiter angesprochen werden, unbekannte Personen ohne sichtbaren Ausweis aktiv zu prüfen oder zu melden. Diese Sicherheitskultur muss von oben vorgelebt werden – Führungskräfte sollten als Vorbild stets die Prozesse einhalten (z.B. sich selbst registrieren beim Besuch einer Liegenschaft). Auch sollte klar kommuniziert werden, dass Verstöße Konsequenzen haben (Policy Enforcement). Im positiven Sinne kann man Anreize setzen, z.B. „Sicherheits-Champion“ Auszeichnungen für vorbildliches Verhalten.

• Notfall- und Backup-Prozesse etablieren: Ein robustes Identitätsmanagement umfasst auch Pläne für den Fall der Fälle: Wie kommt man ins Gebäude, wenn das elektronische System ausfällt (Stromausfall, Cyberangriff)? Hier sollten analoge Notfallzugänge (mechanische Schlüssel) vorhanden sein, jedoch wiederum nur für berechtigte Personen zugänglich (z.B. Schlüssel in Tresoren, Öffnung protokolliert). Ebenso sind Prozesse für den Umgang mit Fehlalarmen oder False Rejects bei biometrischer Erkennung nötig (z.B. Prozedur, wie Wachdienst jemanden legitimiert, dessen Fingerabdruck nicht gelesen wird). Die Resilienz des Systems kann durch Redundanzen erhöht werden (Backup-Server für die Zutrittskontrolle, USV-Stromversorgung, Fallback-Modus auf PIN bei Kartenausfall etc.). Best Practice ist es, solche Szenarien regelmäßig zu üben (Sicherheitsdrills), damit im Ernstfall keine Panik entsteht und der Betrieb möglichst aufrechterhalten werden kann.

• Orientierung an Standards und Audits nutzen: Die genannten Normen (ISO 27001, VDI 3810, etc.) sollten nicht nur auf dem Papier stehen – sie bieten konkrete Checklisten und Leitlinien, an denen man sich orientieren kann. Ein strategischer Ansatz ist, das ISMS des Unternehmens und das FM-Sicherheitskonzept eng zu verzahnen, sodass Identitätskontrollen Teil der zertifizierten Prozesse werden. Interne oder externe Audits können genutzt werden, um Schwachstellen aufzudecken und kontinuierliche Verbesserung anzutreiben. Beispielsweise kann jährlich ein Access Rights Review durchgeführt werden (Abgleich: hat jeder noch nur die Rechte, die er haben sollte?). Auch die Simulation eines Social-Engineering-Angriffs (versucht jemand mit geklautem Ausweis reinzukommen?) kann Erkenntnisse liefern. Eine Kultur des „Audit Ready“ sorgt dafür, dass Dokumentation und Umsetzung der Identitätsstrategie stets nachvollziehbar sind – was im Fall von Vorfällen haftungsrelevant sein kann.

Durch diese und weitere Best Practices lässt sich die Sicherung von Identitäten im Facility Management ganzheitlich verankern. Entscheidend ist, dass Technik, Organisation und Mensch zusammenspielen. Ein gut implementiertes Identitätsmanagement wird vom Top-Management unterstützt, in der Organisationsstruktur verankert (z.B. eigene Stelle für IAM im FM/IT-Team) und mit ausreichenden Ressourcen (Budget, Schulungen, moderne Systeme) ausgestattet. Dann wird aus Einzelmaßnahmen wie „wir haben Kartenleser“ eine echte Sicherheitsstrategie, die auf Dauer Risiko mindert und Vertrauen schafft.