Prüfmethoden für Zutrittskontrollsysteme

Deutsche Rahmenbedingungen

In Deutschland führen Sicherheitsberatungsunternehmen wie Securitas Risk Management, Prosegur und G4S Audits von Zutrittskontrollsystemen durch. Bei ISO 27001-zertifizierten Organisationen ist das Audit physischer Sicherheit ein fester Bestandteil der jährlichen Rezertifizierung. Die VdS veröffentlicht Richtlinien zur Prüfung elektronischer Sicherheitssysteme (VdS 2311). Das BSI IT-Grundschutz-Kompendium beschreibt in Baustein INF.1 die Anforderungen an Sicherheitsaudits von Gebäuden und Infrastruktur. Die GEFMA 720 gibt Empfehlungen für die regelmäßige Überprüfung von Sicherheitseinrichtungen im FM.

Schlüsselbegriffe

Protokollanalyse

Systematische Auswertung von Zutrittsprotokolldaten auf Auffälligkeiten: Zutritt außerhalb der Betriebszeiten, wiederholte Verweigerungen, ungewöhnliche Muster.

Abgleich (Reconciliation)

Vergleich der aktiven Berechtigungen im Zutrittssystem mit der aktuellen HR-Registrierung, um Orphan Accounts und fehlerhafte Rechte aufzudecken.

Physischer Penetrationstest

Kontrollierter Versuch, ohne Autorisierung physisch Zugang zu gesicherten Bereichen zu erlangen, durchgeführt von einem spezialisierten Dienstleister.

Compliance-Check

Überprüfung des Zutrittskontrollsystems und der Richtlinien gegen relevante Normen und Rechtsvorschriften (ISO 27001, DSGVO, branchenspezifische Anforderungen).

Anwendung in der Praxis

Planen Sie einen Audit-Kalender mit vier Aktivitäten. Monatlich: Protokollanalyse des Zutrittssystems. Suchen Sie nach Zutritten außerhalb der Betriebszeiten durch Mitarbeitende ohne sachlichen Grund, nach Ausweisen, die seit Monaten nicht genutzt wurden aber noch aktiv sind, und nach wiederholten Zutrittsverweigerungen. Quartalsweise: Abgleich der Berechtigungen mit dem HR-Datenbestand.

Halbjährlich: ein physischer Penetrationstest durch ein externes Büro. Der Tester versucht per Tailgating, Social Engineering oder technischer Manipulation das Gebäude zu betreten und in gesicherte Bereiche vorzudringen. Die Erkenntnisse werden mit Risikoklassifizierung und Empfehlungen berichtet. Dieser Test liefert häufig die wertvollsten Erkenntnisse, weil er zeigt, wie das System in der Praxis funktioniert.

Jährlich: eine vollständige Compliance-Prüfung gegen die relevanten Normen. Bei ISO 27001-zertifizierten Organisationen ist dies Bestandteil des internen Audits. Prüfen Sie, ob die Sicherheitsrichtlinie aktuell ist, ob Verfahren eingehalten werden, ob technische Maßnahmen funktionieren und ob Mitarbeitende geschult sind. Dokumentieren Sie alle Erkenntnisse und schließen Sie sie mit einem Verbesserungsplan ab.