Sicherheitstechnik : Wer darf rein – und wer haftet? Warum Zutrittssysteme jetzt Chefsache sind

Der mechanische Schlüssel ist in der modernen Industrieanlage ein Auslaufmodell. Was einst mit Schlosser und Zylinder geregelt wurde, wird heute von vernetzten Softwareplattformen gesteuert, die in Echtzeit entscheiden, wer welche Tür, welche Maschine oder welchen Serverraum betreten darf. Zutrittskontrolle ist in der Industrie längst mehr als eine Sicherheitsfrage – sie ist Teil der digitalen Infrastruktur, eng verknüpft mit Effizienz, Compliance und Cybersicherheit.

Sicherheitstechnik: KI-Roboter und Drohnen zeigen, wie Werkschutz jetzt wirklich funktioniert

Der globale Markt für Zutrittskontrolle unterstreicht diese Entwicklung: Laut aktuellen Marktanalysen lag das Volumen 2025 bei rund 11,6 Milliarden US-Dollar, bis 2034 soll es auf mehr als 26 Milliarden anwachsen. Treiber sind regulatorische Anforderungen, Digitalisierung und der Übergang zu hybriden Arbeits- und Produktionsmodellen.

Zu den Treibern zählen auch die rechtlichen Rahmenbedingungen der Europäischen Union, die in Österreich als NIS-Gesetz 2026 und  RKE-Gesetz bekannt sind. „Bis Ende des Sommers werden alle vom RKE-Gesetz betroffenen kritischen Einrichtungen Post vom Innenminister bekommen", erklärt Jürgen Karlsböck, Head of Portfolio Sales Enablement Security bei Siemens Österreich. Danach laufen enge Fristen: Innerhalb eines Monats müssen betroffene Betriebe einen Ansprechpartner für Unternehmenssicherheit benennen, innerhalb von neun Monaten eine Risikoanalyse durchführen und spätestens nach zehn Monaten sämtliche Schutzmaßnahmen umgesetzt haben.

Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in ihrer Inbox. Hier geht’s zur Anmeldung!

Haftungsrechtlich hat das Gesetz die Spielregeln grundlegend verändert. Karlsböck bringt es auf den Punkt: „Die Haftung trifft den Vorstand – persönlich. Das hat einen ganz anderen Impact als früher."

Besonders kritisch: Viele Unternehmen sind auf die neue Gesetzgebung nicht vorbereitet: „Dass sie betroffen sind, stellen manche erst fest, wenn der Prüfer vor der Tür steht", warnt Jann Markmann, Key Account Manager beim Sicherheitsintegrator dP elektronik. Das gilt nicht nur für Deutschland, wo sich betroffene Betriebe eigenständig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen – sondern ebenso für Österreich: Auch hier müssen sich Unternehmen, die unter das NIS-Gesetz fallen, selbstständig bei der zuständigen NIS-Behörde registrieren. Wer hingegen vom RKE-Gesetz betroffen ist, wird vom Innenminister per Bescheid darüber informiert. Gut zu wissen: Alle vom RKE-Gesetz betroffenen Unternehmen gelten automatisch auch als vom NIS-Gesetz betroffen – sind aber dennoch verpflichtet, sich eigenständig bei der NIS-Behörde zu registrieren.

Wer heute eine moderne Fertigungsanlage betritt, braucht dafür immer seltener eine physische Chipkarte. Das Smartphone hat den Zugangsausweis abgelöst – oder ist zumindest dabei, ihn zu verdrängen. Laut einer aktuellen Erhebung von ASSA ABLOY unter 500 Industrieverantwortlichen aus der EMEIA-Region sind 2025 erstmals mehr als 17 Prozent der befragten Unternehmen zu einer vollständig mobilen Zutrittslösung übergegangen – mehr als dreimal so viel wie noch 2023.

Ein Beispiel für eine solche Lösung kommt von dormakaba Austria. Das Unternehmen bietet digitale Schlüssel für Smartphones an – unter anderem über die Integration in Apple Wallet. Zutrittsrechte werden digital verteilt, Wartezeiten an zentralen Ausgabestellen entfallen, und der ökologische Fußabdruck sinkt durch den Wegfall Tausender Plastikkarten.

Für Industriebetriebe liegt der praktische Nutzen auf der Hand: Mobile Credentials lassen sich in Echtzeit vergeben, ändern oder sperren. Verlässt ein Mitarbeiter das Unternehmen, erlöschen seine Zugangsrechte mit einem Klick. Gleichzeitig reduzieren mobile Systeme Risiken, die mit physischen Medien einhergehen: Studien zufolge gehen rund 20 Prozent aller Zutrittskarten jährlich verloren oder werden gestohlen.

Allerdings gibt es auch bisweilen Akzeptanz Probleme: „Manche Mitarbeiter wollen aus Datenschutzgründen keine Dienstsoftware auf ihrem privaten Gerät und ziehen dann die Karte vor“, weiß Markmann aus der Praxis zu berichten. 

Neben dem Trägermedium verändert sich auch die Architektur der Systeme grundlegend. Cloud-basierte Zutrittskontrolle, häufig als „Access Control as a Service“ bezeichnet, hat sich von einem technologischen Experiment zur bevorzugten Lösung bei Neuinstallationen entwickelt.

Die Logik dahinter ist betriebswirtschaftlich klar: Statt hoher Anfangsinvestitionen in Server-Hardware und lokale Infrastruktur zahlen Unternehmen monatliche Nutzungsentgelte. Updates erfolgen automatisch, neue Standorte lassen sich rasch anbinden, und die Administration ist von jedem internetfähigen Gerät möglich.

Für Industrieunternehmen mit mehreren Standorten ist das ein erheblicher Effizienzgewinn. Eine Fertigungsgruppe mit Werken in Wien, Linz und Graz kann Zugriffsrechte für Schichtpläne, Wartungsteams oder externe Dienstleister zentral steuern – ohne separate Systeme und ohne Datenabgleich zwischen den Standorten.

Siemens bietet mit dem „Security Manager“ als Teil der Plattform Building X eine cloudbasierte Zutrittskontrolllösung an, die explizit NIS-konform ausgelegt ist. Als Bestandteil einer digitalen Gebäudeplattform integriert sie Zutritt, Energiemanagement und Gebäudeautomation in einer Oberfläche.

Hybridmodelle dominieren die Praxis

Besonders in sicherheitskritischen Umgebungen wie Chemie, Energie oder Verteidigung ist die vollständige Abhängigkeit von einer Internetverbindung keine Option. Hybride Systeme verbinden die Zuverlässigkeit lokaler Infrastruktur mit der Flexibilität cloudbasierter Verwaltung.

Das Prinzip: Lokale Edge-Controller treffen Zutrittsentscheidungen autonom und offline. Die Cloud übernimmt Verwaltung, Analyse und Protokollierung. Fällt die Internetverbindung aus, arbeitet das System weiter und synchronisiert sich später automatisch. Dieser Ansatz gilt im gesamten Industriebereich zunehmend als erste Wahl: Laut Marktbeobachtern dominiert er bereits rund 80 Prozent der Neuinstallationen.

Einen solchen Ansatz verfolgt auch das in Hallwang ansässige Unternehmen Gantner Electronic Services. Die Hybridlösungen des Unternehmens sind offlinefähig und lassen sich über OPC UA – ein offenes Kommunikationsprotokoll der Industrie 4.0 – nahtlos in Steuerungs- und ERP-Systeme integrieren.

Ein zentrales Problem, das mit NIS-2 in den Vordergrund rückt, ist die Masse veralteter Zutrittssysteme in der Industrie. Mechanische Schließanlagen mit ausgelaufenem Patentschutz bieten kaum Kontrolle darüber, wer Schlüssel nachmachen lässt. Elektronische Systeme auf Basis unverschlüsselter Standards gelten heute ebenfalls als angreifbar.

Besonders kritisch: In vielen Betrieben wurde über Jahre nicht nachverfolgt, wer welche Schlüssel oder Zutrittskarten besitzt. Ehemalige Mitarbeiter, die nach Kündigung oder Pensionierung nie zurückgegebene Medien besitzen – in der Praxis keine Seltenheit.

Auch Karlsböck kennt das Problem mit veralteten Systemen: Alte Türcontroller, die irgendwo in Zwischendecken eingebaut wurden, deren Existenz niemand mehr kennt, stellen heute ein Cybersicherheitsrisiko dar. „Jedes vernetzte Gerät, das nicht gewartet wird, ist eine potenzielle Sicherheitslücke“.

Der Ansatz, den der Experte empfiehlt: Statt sofort alles auszutauschen, zunächst ein Sicherheitskonzept erstellen. Daraus ergibt sich ein priorisierter Nachrüstplan.

Künstliche Intelligenz erkennt Anomalien

Einer der wichtigsten Trends ist der Einsatz von Künstlicher Intelligenz in der Zutrittskontrolle. Schätzungen zufolge werden derzeit rund 97 Prozent aller Zugriffsverletzungen erst im Nachhinein entdeckt. KI-Systeme ändern das grundlegend. In vernetzten Sicherheitssystemen sind Zutrittskontrolle, Einbruchsmeldeanlage, Videoanlage und Leitstand zusammengeführt – KI analysiert die Korrelationen zwischen diesen Datenströmen.

Besonders im Bereich Freigeländesicherung zeigt sich die Notwendigkeit: Wind, Regen, Tiere oder Bewuchs erzeugen äußere Störgrößen, die klassische Algorithmen überfordern. Hier kann eine KI helfen, echte Sicherheitsprobleme herauszufiltern.

Gegenüber vollständiger Gesichtserkennung bleibt die Branche jedoch vorsichtig. Karlsböck betont: „Was wir in Österreich nicht machen, ist die anlasslose Erkennung von Personen durch Kameras im öffentlichen Raum.“

In hochsensiblen Bereichen – Reinräume, Rechenzentren, Energieanlagen – reicht ein Ausweis als Authentifizierungsmerkmal allein nicht aus. Biometrische Systeme fügen eine zusätzliche, fälschungssichere Schicht hinzu: den Körper selbst. Besonders in der Fertigungsindustrie gewinnt Biometrie an Bedeutung, wo physische Zugangskarten angesichts von Handschuhen, Schmutz oder Zeitdruck unpraktisch sind. Berührungslose Systeme wie der 3D-Fingerscan MorphoWave erkennen eine Hand im Vorbeigehen in weniger als einer Sekunde.

Biometrie wird dabei zunehmend nicht als Ersatz, sondern als Ergänzung anderer Medien eingesetzt – Multifaktor-Authentifizierung gilt in sicherheitskritischen Bereichen als Best Practice und ist für KRITIS-Unternehmen gesetzlich gefordert. 

Neben der Zugangstechnologie rückt ein organisatorisches Thema zunehmend ins Zentrum: die Verwaltung externer Dienstleister und die Datenqualität bestehender Systeme. Karlsböck: „Die Kontrolle über seine Systeme und Transparenz zu haben, gewinnt an Wichtigkeit. Wer darf einen Serverraum betreten und dort welche Schränke öffnen? Wer hat meinen Serverraum betreten und welchen Schrank wann geöffnet und wieder geschlossen? Diese Fragen müssen per Knopfduck beantwortbar sein, um der eigenen Unternehmenssicherheit wegen aber auch um externe Sicherheitsaudits zu bestehen.“

Das gilt auch für verbleibende mechanische Gebäudeschlüssel. Diese werden immer öfter mittels elektronischer Schlüsseldepots gesichert, wo jede Schlüsselentnahme ausschließlich berechtigt und dokumentiert geschieht.     

Ein weiteres Problem ist die schleichende Verschlechterung der Datenqualität: „Wenn man fünf Jahre später in ein System schaut, sieht man Zutrittskarten, die seit einem Jahr nirgends mehr gebucht wurden, und Zutrittsgruppen, die niemand mehr kennt - aber niemand traut sich diese zu löschen, da die Auswirkungen nicht klar sind. Das sind potenzielle Sicherheitsrisiken."

Qualitätssicherung und Zertifizierung

Für Betreiber kritischer Infrastruktur stellt sich schließlich die Frage, woran sich qualifizierte Errichter erkennen lassen. Karlsböck verweist auf den Verband der Sicherheitsunternehmen Österreichs mit zertifizierten Anlagenerrichtern sowie auf die EN-16763-Zertifizierung des OVE. „Solange nichts passiert, ist vieles egal. Wenn etwas passiert, schaut man sehr genau auf gültige Normen. Und wer die Anlage errichtet hat.“