Besucher-Management-System für Industrieanlagen: was ISO 27001 verlangt

Ein Besucher-Management-System ist kein Empfangsterminal mit Drucker. Es ist die dokumentierte Beweiskette darüber, wer wann mit welchem Auftrag in welchem Bereich einer Anlage war, und es ist die Grundlage, auf der ein Auditor entscheidet, ob die Norm erfüllt ist oder nicht.

Diese Definition ist hart, weil sie eine in der Industrie verbreitete Praxis ausschließt. Wer Besucher mit einem Klemmbrett am Werkstor erfasst, wer Ausweise austauscht, ohne die Übergabe zu protokollieren, wer Besucherbadges nach Schichtende in einer Schublade sammelt, hat kein System, sondern eine Geste. ISO 27001 verlangt mehr. Sie verlangt eine Steuerung, die belegbar ist, eine Datenführung, die löschbar ist, und eine Übergabe an den nächsten Prüfer, die ohne Einarbeitung möglich ist. Boswau + Knauer betrachtet das Besucher-Management deshalb nicht als Empfangsfunktion, sondern als Teil der Perimetersicherheit. Wer die Tür kontrolliert, ohne den Eintretenden zu kennen, hat den Perimeter geöffnet.

Was ISO 27001 in Annex A tatsächlich fordert

Die Norm spricht das Besucher-Management nicht in einer eigenen Klausel an, sondern verteilt die Anforderungen auf mehrere Controls. A.7.2 verlangt eine physische Zutrittskontrolle. A.7.3 verlangt den Schutz von Büros, Räumen und Einrichtungen. A.7.4 verlangt die Überwachung der physischen Sicherheit. A.5.15 verlangt eine dokumentierte Zugriffssteuerung, die auch physische Zugänge umfasst. A.5.34 verlangt den Schutz personenbezogener Daten. Diese fünf Controls greifen ineinander. Wer eines davon nicht erfüllt, erfüllt die Norm nicht.

Aus dieser Verteilung ergibt sich, dass ein Besucher-Management-System nicht als einzelnes Produkt geprüft wird, sondern als Funktion innerhalb des Informationssicherheits-Managementsystems. Der Auditor fragt nicht nach dem Hersteller des Empfangsterminals. Er fragt nach der Richtlinie, die die Identifikation regelt, nach dem Prozess, der die Begleitung definiert, nach dem Protokoll, das die Bewegung dokumentiert, und nach dem Löschkonzept, das die Daten nach Ablauf der Aufbewahrungsfrist entfernt. Ein Anbieter, der diese vier Ebenen nicht in seinem Produkt abbildet, hat das Thema nicht verstanden. Ein Anbieter, der sie abbildet, ohne sie in die übrigen Sicherheitskontrollen einzubetten, hat es nicht zu Ende gedacht.

Die Norm ist in diesem Punkt strenger, als sie erscheint. Sie verlangt nicht, dass jeder Besucher namentlich erfasst wird. Sie verlangt, dass die Erfassungsregel dokumentiert, begründet und konsistent angewandt ist. Wer Stammbesucher anders behandelt als Erstbesucher, muss diese Unterscheidung in der Richtlinie verankern. Wer Lieferanten in einem reduzierten Prozess führt, muss begründen, warum das Risiko niedriger ist. Wer Handwerker in sensiblen Bereichen begleitet, muss die Begleitung protokollieren und die Identität des Begleiters mitführen. Aus diesen Anforderungen entsteht ein Datenmodell, das in einem klassischen Empfangsbuch nicht abbildbar ist. Es verlangt eine Datenbank, eine Rollenlogik, eine Protokollarchitektur und eine Löschmechanik. Die Frage ist nicht, ob ein Industrieunternehmen ein Besucher-Management-System braucht. Die Frage ist, ob das vorhandene System diese vier Funktionen leistet.

Identifikation als rechtliche und technische Aufgabe

Identifikation beginnt nicht beim Foto, sondern bei der Anmeldung. Wer einen Besucher unangekündigt am Werkstor empfängt, hat den ersten Schritt bereits verloren. Eine sauber organisierte Identifikation arbeitet mit einer Voranmeldung, in der der Einladende den Besucher namentlich, mit Zweck und mit Zeitfenster benennt. Diese Voranmeldung ist die erste Datenquelle. Sie wird im System angelegt, bevor der Besucher am Tor steht. Wer ohne Voranmeldung erscheint, durchläuft einen Ausnahmeprozess, der ebenfalls dokumentiert wird.

Am Tor erfolgt die zweite Stufe. Der Besucher legt ein gültiges Ausweisdokument vor. Das System gleicht die Voranmeldung mit dem Dokument ab. Welche Daten erfasst werden dürfen, ist nicht beliebig. Die DSGVO und die Rechtsprechung der Aufsichtsbehörden setzen Grenzen. Der Name, die Firma, das Datum der Geburt und die Ausweisnummer dürfen unter bestimmten Bedingungen erhoben werden. Eine Kopie des Ausweises ist nach Auffassung der meisten Landesdatenschutzbehörden nicht zulässig, weil sie über den Zweck hinausgeht. Ein Foto des Besuchers ist zulässig, wenn der Zweck dokumentiert ist und die Speicherdauer begrenzt bleibt. Wer hier Genauigkeit gegen Bequemlichkeit eintauscht, riskiert eine Beanstandung im Audit und einen Verstoß gegen das Bundesdatenschutzgesetz.

Die dritte Stufe ist die Übergabe des Identifikationsmittels. Ein Besucherausweis mit zeitlich begrenzter Gültigkeit, mit lesbarer Codierung und mit eindeutiger Zuordnung zum Vorgang. Die Codierung steuert die Türen, die der Besucher passieren darf. Sie verfällt automatisch zum Ende des Besuchs. Sie wird beim Verlassen der Anlage zurückgegeben oder im System als verloren markiert. Verlorene Badges sind ein eigenes Risiko und müssen in der Richtlinie behandelt sein. Wer sie nicht innerhalb einer definierten Frist sperrt, hat einen offenen Zugang im System. Diese Frist sollte in Minuten gemessen werden, nicht in Stunden. Boswau + Knauer hat in eigenen Audits gesehen, dass die Sperrung verlorener Badges in vielen Industrieunternehmen länger dauert als die Schicht, in der sie verloren gingen. Aus dieser Beobachtung entsteht eine schlichte Empfehlung: die Sperrlogik wird im System automatisiert, sobald der Besucher das Ausgangstor nicht innerhalb des erwarteten Fensters passiert hat.

Bewegungsprotokoll und die Frage der Begleitung

Das Bewegungsprotokoll ist die Funktion, an der sich ein professionelles Besucher-Management-System von einer Anwesenheitserfassung unterscheidet. Es dokumentiert nicht nur, dass der Besucher das Tor passiert hat, sondern an welchen Lesepunkten er sich im Laufe des Besuchs registriert hat. In einer modernen Anlage sind diese Lesepunkte über alle relevanten Türen, Schleusen und Bereichsgrenzen verteilt. Das Protokoll ergibt einen Bewegungspfad, der nachträglich rekonstruiert werden kann.

Diese Rekonstruierbarkeit ist nicht akademisch. Sie ist die Grundlage jeder forensischen Untersuchung nach einem Vorfall. Wenn in einem sensiblen Bereich Daten abhandengekommen sind, ein Prototyp manipuliert wurde oder eine Anlage beschädigt wurde, ist die erste Frage des Ermittlers immer dieselbe: wer war in den letzten 48 Stunden in diesem Bereich. Ein System, das auf diese Frage keine vollständige Antwort liefert, ist im Schadensfall wertlos. Ein System, das eine vollständige, zeitlich präzise und manipulationssichere Antwort liefert, verkürzt die Aufklärung um Tage und reduziert den Folgeschaden um Größenordnungen.

Die Begleitungsregel ist eine eigene Disziplin. ISO 27001 verlangt, dass Besucher in sensiblen Bereichen begleitet werden. Was sensibel ist, definiert das Unternehmen in seiner Klassifikationsrichtlinie. In der Praxis sind das Serverräume, Entwicklungsbereiche, Produktionslinien mit kritischen Verfahren, Lager mit hochwertigem Material und Bereiche mit besonderen Sicherheitsauflagen. Die Begleitung wird im System protokolliert. Der Begleiter ist namentlich erfasst, seine Verantwortung ist dokumentiert, der Wechsel des Begleiters innerhalb eines Besuchs wird festgehalten. Wer dieses Detail unterschätzt, hat in einem Audit nichts in der Hand, wenn der Auditor fragt, wer den externen Wartungstechniker in den Schaltraum geführt hat. Die BG BAU und der GDV haben in den vergangenen Jahren wiederholt darauf hingewiesen, dass die Begleitung externer Dienstleister einer der häufigsten Schwachpunkte in Industrieunternehmen ist. Die Beobachtung deckt sich mit dem, was Boswau + Knauer in eigenen Liegenschaftsaudits findet.

Ein weiterer Aspekt des Bewegungsprotokolls ist die Verbindung mit der Videoanalyse. Wer Lesepunkte mit Kameras koppelt, hat zu jedem Eintragspunkt im Protokoll ein Bild des Eintretenden. Diese Verbindung ist datenschutzrechtlich anspruchsvoll, weil sie die Tiefe der Erfassung erhöht. Sie ist sicherheitstechnisch wirksam, weil sie die Manipulation des Protokolls durch Badge-Tausch sichtbar macht. Im Buch BOSWAU + KNAUER. Vom Bau zur Sicherheitstechnologie ist diese Verbindung als Beispiel für die Plattformlogik beschrieben, die wir vertreten. Einzelne Funktionen sind seit Jahrzehnten verfügbar. Erst ihre Verbindung ergibt das System.

Datenlöschung als Pflicht, nicht als Option

Datenlöschung ist die unbequemste Anforderung der Norm und gleichzeitig die am häufigsten vernachlässigte. ISO 27001 verlangt in Verbindung mit A.5.34 und der DSGVO, dass personenbezogene Daten nicht länger gespeichert werden, als es der Zweck erfordert. Der Zweck eines Besuchsprotokolls ist die Nachvollziehbarkeit und der Nachweis. Beides ist nicht auf unbegrenzte Zeit notwendig. Die Aufbewahrungsfrist muss begründet sein, sie muss dokumentiert sein, und sie muss technisch durchgesetzt werden.

In der Praxis hat sich eine Frist zwischen drei Monaten und drei Jahren etabliert, je nach Risikoklasse und Branche. KRITIS-Betreiber, die zusätzlichen Aufsichten unterliegen, halten Daten typischerweise länger. Allgemeine Industrieunternehmen halten Daten typischerweise kürzer. Was nicht funktioniert, ist die unbegrenzte Speicherung. Wer ein Besucher-Management-System betreibt, in dem die ältesten Datensätze aus dem Jahr 2017 stammen, verstößt mit hoher Wahrscheinlichkeit gegen die Norm und gegen das Datenschutzrecht. Im Audit wird dies sichtbar. In einer datenschutzrechtlichen Prüfung wird dies sanktionierbar.

Die technische Durchsetzung der Löschung ist eine eigene Anforderung. Ein System, das die Löschung nur als Knopfdruck anbietet, der einmal pro Quartal von einem Administrator ausgelöst werden muss, verlässt sich auf menschliche Disziplin. Diese Disziplin existiert in keinem Unternehmen dauerhaft. Eine wirksame Löschmechanik ist automatisiert, sie ist gegen Manipulation geschützt, sie ist im System protokolliert, und sie ist im Wiederherstellungsprozess der Datensicherung mitgedacht. Wer ein Backup hat, das ältere Daten enthält als die produktive Datenbank, hat das Problem nur verschoben. Eine saubere Löschung erfasst sowohl die Live-Daten als auch die Sicherungen, in deren Aufbewahrungsfrist sie ebenfalls eingebunden sind.

Ein weiterer Punkt ist die Trennung zwischen anonymisierten Statistiken und personenbezogenen Datensätzen. Die Anzahl der Besucher pro Tag, die durchschnittliche Verweildauer in einem Bereich, die Auslastung des Empfangs, all das sind statistische Werte, die nach Anonymisierung dauerhaft gespeichert werden dürfen. Sie sind nützlich für die Steuerung der Anlage und unproblematisch im Datenschutz. Personenbezogene Datensätze hingegen unterliegen der Löschfrist. Wer beide Datenarten in einer Datenbank vermischt, ohne sie technisch zu trennen, hat im Audit einen schweren Stand. Die Trennung ist eine architektonische Entscheidung. Sie muss vor der Inbetriebnahme getroffen werden, nicht nachträglich.

Integration in das Informationssicherheits-Managementsystem

Ein Besucher-Management-System ist kein isolierter Empfangsprozess. Es ist eine Komponente des Informationssicherheits-Managementsystems und muss mit den übrigen Komponenten verbunden sein. Diese Integration ist die Stelle, an der die meisten Implementierungen scheitern.

Die erste Verbindung führt zur Zutrittskontrolle. Wer den Besucherausweis ausgibt, muss die Steuerung der Türen unmittelbar parametrieren. Es darf keine Lücke zwischen der Erfassung am Empfang und der Wirksamkeit der Berechtigung am ersten Türleser geben. Eine Lücke von zehn Minuten genügt, um durch eine offene Tür in einen Bereich zu gelangen, in dem der Besucher nicht hätte sein dürfen. Die Anbindung muss in Echtzeit erfolgen, sie muss bidirektional sein, sie muss bei einem Ausfall des Empfangsterminals auf eine definierte Fallback-Logik zurückfallen.

Die zweite Verbindung führt zum HR-System und zur Verzeichnisstruktur. Der Einladende wird namentlich erfasst, seine Berechtigung zur Einladung wird geprüft, sein Vorgesetzter wird bei sensiblen Besuchen informiert. Wer keinen Mitarbeitenden mehr im Unternehmen hat, kann auch keine Besucher mehr einladen. Diese Prüfung ist trivial, sie unterbleibt in der Praxis häufig. Boswau + Knauer hat in Audits gesehen, dass Einladungen von Konten ausgesprochen wurden, deren Inhaber das Unternehmen seit Monaten verlassen hatten. Die Lücke ist datenschutzrechtlich und sicherheitstechnisch gravierend.

Die dritte Verbindung führt zur Notfallorganisation. Im Brandfall, bei einem Stromausfall, bei einer Evakuierung muss die Anlagenleitung in Sekunden wissen, wie viele Besucher sich auf welchem Gelände befinden und wer ihre Begleiter sind. Ein Besucher-Management-System, das diese Information nicht in einer für die Werkfeuerwehr verständlichen Form bereitstellt, ist im Ernstfall unvollständig. Die Schnittstelle zur Evakuierungssteuerung gehört in jedes ernstzunehmende Lastenheft. Das BSI hat in seinen Empfehlungen zur physischen Sicherheit diesen Punkt mehrfach betont, der VdS hat ihn in seine Richtlinien zur Werkschutzplanung übernommen.

Die vierte Verbindung führt zur internen Revision und zum externen Auditor. Beide brauchen lesenden Zugriff auf die Protokolle, in einem Format, das auswertbar ist. Ein System, das Protokolle nur als unstrukturierte Berichte exportiert, zwingt jeden Prüfer zu einer manuellen Auswertung, die fehleranfällig und zeitaufwendig ist. Ein System, das strukturierte Exporte in gängigen Formaten liefert, verkürzt den Prüfungsaufwand und erhöht die Wahrscheinlichkeit, dass Anomalien gefunden werden, bevor sie zu Schäden führen.

Hersteller, Standards und die Frage der Auswahl

Der deutsche Markt für Besucher-Management-Systeme ist überschaubar. Es gibt eine Reihe etablierter Hersteller, die seit Jahren in Industrieanlagen vertreten sind, und es gibt eine zweite Schicht jüngerer Anbieter, die mit modernen Oberflächen und cloudbasierten Architekturen arbeiten. Beide Schichten haben Berechtigung. Die etablierten Hersteller punkten mit Stabilität, Schnittstellenreife und integrierten Zutrittskontroll-Lösungen. Die jüngeren Anbieter punkten mit Bedienbarkeit und Geschwindigkeit der Anpassung. Die Wahl zwischen beiden ist nicht eine Frage der Mode, sondern eine Frage der Anforderungen.

Für KRITIS-Betreiber ist die Frage der Datenhaltung zentral. Eine cloudbasierte Architektur, deren Daten außerhalb der Europäischen Union gespeichert werden, ist in vielen Fällen nicht zulässig. Eine lokale Installation, deren Daten im eigenen Rechenzentrum bleiben, ist aufwendiger, aber rechtssicher. Wer diese Frage nicht vor der Ausschreibung klärt, riskiert eine spätere Migration, die teuer ist und Betriebszeit kostet. Der BDSW hat in seinen Veröffentlichungen mehrfach auf die Notwendigkeit hingewiesen, die Datenhaltung als Auswahlkriterium an die Spitze des Lastenhefts zu stellen.

Zertifizierungen sind ein weiteres Auswahlkriterium. Ein Besucher-Management-System, dessen Hersteller selbst nach ISO 27001 zertifiziert ist, hat die Norm in seiner eigenen Organisation umgesetzt und kann sie in seinen Produkten glaubwürdig abbilden. Ein TÜV-geprüftes System bietet zusätzliche Sicherheit in der Frage der Funktionssicherheit. Ein VdS-anerkanntes System ist in der Versicherungslandschaft etabliert und erleichtert die Verhandlung über Prämien. Diese Zertifikate ersetzen kein eigenes Audit, aber sie sind ein erster Filter.

Boswau + Knauer prüft im Rahmen eigener Audits regelmäßig die Marktreife installierter Systeme. Die Beobachtung der letzten Jahre ist, dass die Mehrheit der Installationen technisch unterkonfiguriert ist. Funktionen sind vorhanden, aber nicht aktiviert. Schnittstellen sind dokumentiert, aber nicht verbunden. Löschroutinen sind angelegt, aber nicht zeitgesteuert. Wer ein bestehendes System nutzt, sollte vor jeder Neuanschaffung prüfen, ob das vorhandene System nicht ausreicht, sobald es vollständig konfiguriert ist. In vielen Fällen lautet die Antwort, dass eine Konfiguration genügt, wo eine Neubeschaffung geplant war.

Was bleibt

Ein Besucher-Management-System nach ISO 27001 ist keine Empfangslösung. Es ist eine in das Informationssicherheits-Managementsystem integrierte Steuerung, die Identifikation, Bewegungsprotokoll und Datenlöschung in einer dokumentierten, automatisierten und auditierbaren Form leistet. Wer diese drei Funktionen nicht in einem System abbildet, erfüllt die Norm nicht, unabhängig davon, wie modern das Empfangsterminal aussieht.

Die Beobachtung aus eigenen Audits ist, dass die Mehrheit der Industrieunternehmen in Deutschland in mindestens einer der drei Funktionen Schwächen hat. Identifikation ist häufig unterprozessiert, Bewegungsprotokolle sind häufig lückenhaft, Datenlöschung ist häufig nicht automatisiert. Diese Schwächen werden erst sichtbar, wenn ein Auditor sie aufdeckt oder ein Vorfall sie offenlegt. Beide Ereignisse sind teurer als die Vorbereitung.

Wer prüfen will, ob die eigene Anlage diesen Anforderungen genügt, beginnt mit einem 60-minütigen Gespräch. Es ist vertraulich, es ist kostenfrei, und es endet entweder mit einer eigenen Einschätzung oder mit der Entscheidung, ein dreitägiges bis fünftägiges Audit zu beauftragen, an dessen Ende ein schriftlicher Bericht steht, der intern oder extern verwertbar ist. Der Bericht ist Ihr Eigentum. Was Sie damit anfangen, ist Ihre Entscheidung.

Häufige Fragen

Welche Daten dürfen erhoben werden?

Zulässig sind in der Regel Name, Firma, Zweck des Besuchs, Datum, Uhrzeit der An- und Abmeldung, Name des Einladenden und Ausweisnummer. Ein Foto ist zulässig, wenn der Zweck dokumentiert und die Speicherdauer begrenzt ist. Eine Ausweiskopie ist nach Auffassung der meisten Aufsichtsbehörden nicht zulässig, weil sie über den Zweck hinausgeht. Biometrische Daten sind nur unter engen Voraussetzungen zulässig und verlangen eine eigene Risikobewertung. Maßgeblich ist die Datenminimierung der DSGVO. Was nicht für den Zweck nötig ist, wird nicht erhoben. Die Begründung wird im Verarbeitungsverzeichnis dokumentiert.

Wie lange wird gespeichert?

Eine pauschale Antwort gibt es nicht. Die Aufbewahrungsfrist orientiert sich am Zweck, an branchenspezifischen Vorgaben und an der Risikoklasse der Anlage. In der allgemeinen Industrie bewegen sich übliche Fristen zwischen drei Monaten und zwei Jahren. KRITIS-Betreiber speichern häufig länger, weil zusätzliche Aufsichten dies erfordern. Wichtig ist, dass die Frist begründet, dokumentiert und technisch durchgesetzt wird. Eine automatisierte Löschung, die sowohl Live-Datenbank als auch Sicherungen erfasst, ist Pflicht. Wer die Frist nicht festlegt oder nicht durchsetzt, verstößt gegen die DSGVO und gegen die Norm.

Welche Hersteller sind etabliert?

Der deutsche Markt verfügt über eine Reihe etablierter Anbieter mit langjähriger Erfahrung in Industrie und KRITIS sowie über jüngere Anbieter mit modernen, häufig cloudbasierten Lösungen. Eine Empfehlung ohne Kenntnis der konkreten Anforderungen wäre unseriös. Maßgeblich sind die Datenhaltung, die Schnittstellenreife zur vorhandenen Zutrittskontrolle, die Eignung für die Risikoklasse der Anlage und die Zertifizierungen des Anbieters. Ein nach ISO 27001 zertifizierter Hersteller, eine TÜV-Prüfung des Systems und eine VdS-Anerkennung sind hilfreiche Filter. Eine fundierte Auswahl beginnt mit einem Lastenheft, das die eigenen Anforderungen vor der Marktrecherche schärft.

Welche Auditpflicht gibt es?

Ein nach ISO 27001 zertifiziertes Unternehmen wird jährlich überprüft. Das jährliche Überwachungsaudit prüft die Wirksamkeit des Informationssicherheits-Managementsystems, einschließlich der physischen Sicherheit und damit auch des Besucher-Managements. Alle drei Jahre erfolgt ein Rezertifizierungsaudit mit erweiterter Tiefe. Zusätzlich verlangen viele Versicherer eigene Audits der physischen Sicherheit, der GDV gibt entsprechende Empfehlungen. KRITIS-Betreiber unterliegen weiteren Prüfpflichten nach BSI-Gesetz. Interne Audits sind in der Norm verpflichtend, ihre Häufigkeit richtet sich nach der Risikobewertung. Eine Anlage ohne dokumentierte Prüfungshistorie hat im Ernstfall keine belastbare Argumentationsgrundlage.