Mehrfaktor-Zutrittskontrolle in der Industrie: was die ISO 27001 fordert

Zutrittskontrolle ist in den meisten Industriebetrieben das am schlechtesten gewartete Sicherheitssystem bei gleichzeitig der höchsten Erwartung an seine Wirksamkeit. Wer einen Werkschutz, eine Produktionsstraße oder ein Logistikzentrum betreibt, verlässt sich auf Karten, Codes und manchmal Finger, ohne zu prüfen, ob die hinterlegte Architektur den Standards entspricht, an denen ein Auditor im Ernstfall messen wird. Die ISO 27001 ist hier nicht abstrakt, sondern unbequem konkret. Sie verlangt eine Zutrittskontrolle, die identifiziert, authentisiert, autorisiert und protokolliert. Vier Schritte, die in der Praxis fast nie sauber getrennt sind.

Boswau + Knauer beobachtet seit Jahren, dass Industriebetriebe zwischen zwei Polen schwanken. Auf der einen Seite stehen Anlagen, die mit einer einzigen Ausweiskarte aus den späten Neunzigern betrieben werden und deren Schlüsselverwaltung in einer Excel-Tabelle liegt. Auf der anderen Seite stehen überambitionierte Biometriesysteme, die in der Implementierung scheitern, weil die Belegschaft sie umgeht, weil sie zu langsam, zu fehleranfällig oder rechtlich unsauber aufgesetzt sind. Beide Pole verfehlen den Standard. Beide produzieren am Ende dieselbe Lücke. Wer zwischen diesen Polen einen tragfähigen Weg sucht, findet ihn in der Mehrfaktor-Architektur, wie sie die ISO 27001 in Anhang A 7 und A 9 beschreibt.

Was die ISO 27001 tatsächlich fordert

Die ISO 27001 ist keine Anleitung für Hardware. Sie ist ein Rahmen für Informationssicherheits-Managementsysteme, in dem Zutrittskontrolle als physische und logische Maßnahme verankert ist. In der aktuellen Fassung sind die einschlägigen Controls unter A 7 (Physische Sicherheit) und A 8 (Technologische Maßnahmen) zu finden. Sie verlangen, dass der Zutritt zu Bereichen, in denen schützenswerte Informationen oder Werte verarbeitet werden, auf Basis dokumentierter Berechtigungen erfolgt, dass diese Berechtigungen regelmäßig überprüft werden und dass die Identifikation der Person zweifelsfrei möglich ist.

Zweifelsfreie Identifikation ist die zentrale Schwelle. Eine Karte allein erfüllt diese Schwelle nicht, weil eine Karte weitergegeben werden kann. Ein Code allein erfüllt sie nicht, weil ein Code geteilt werden kann. Ein Fingerabdruck allein erfüllt sie näherungsweise, hat aber datenschutzrechtliche Grenzen, die in der DSGVO und in den Empfehlungen der Aufsichtsbehörden klar gezogen sind. Die ISO 27001 verlangt deshalb in den meisten Risikoklassen die Kombination mehrerer Faktoren. Drei Kategorien sind im Standard etabliert: Besitz (etwas, das man hat, also Token oder Karte), Wissen (etwas, das man weiß, also PIN oder Code) und Sein (etwas, das man ist, also biometrisches Merkmal). Mehrfaktor bedeutet, dass mindestens zwei dieser Kategorien gleichzeitig nachgewiesen werden müssen, bevor der Zugang gewährt wird.

In der Industrie verschiebt sich diese Logik um eine vierte Dimension, die in der ISO 27001 nicht explizit benannt, aber implizit über das Konzept der kontextuellen Autorisierung gefordert wird. Es ist das Verhalten. Ein Mitarbeiter, der zur Schicht erscheint, gehört zu einem Zeitfenster, einer Zone und einem Bewegungsmuster, das sich von dem eines Eindringlings unterscheidet. Wer Verhalten in die Zutrittsentscheidung einbezieht, erfüllt nicht nur die Norm, sondern erhöht ihre praktische Wirksamkeit. Die ISO 27001 ist hier offen für technologische Erweiterungen, solange sie dokumentiert, geprüft und überprüfbar sind. Das ist der Punkt, an dem moderne Zutrittssysteme über die Mindestanforderung hinausgehen, ohne den Standard zu verlassen.

Was in Auditgesprächen häufig untergeht, ist die Anforderung an die Protokollierung. Jeder Zutritt muss in einer Form aufgezeichnet werden, die forensisch verwertbar ist. Das bedeutet zeitlich präzise, manipulationssicher und revisionsfest. Wer die Protokolle in derselben Datenbank ablegt, in der auch die Berechtigungen geführt werden, hat einen Single Point of Failure gebaut, den ein Auditor nicht akzeptieren wird. Trennung von Verwaltung und Protokollierung ist eine implizite Forderung, die in der Praxis oft fehlt.

Token, Karten und die Grenzen des Besitzfaktors

Der Besitzfaktor ist der älteste und am weitesten verbreitete Baustein industrieller Zutrittskontrolle. Magnetstreifenkarten, RFID-Tokens, NFC-Karten, mobile Berechtigungen auf dem Smartphone. Alle diese Technologien teilen denselben Vorteil und denselben Nachteil. Sie sind schnell, unauffällig und in bestehende Infrastrukturen integrierbar. Sie sind aber an die Person nur über die unterstellte Identität gebunden, nicht über eine geprüfte. Eine Karte, die in einer Schublade liegt, ist eine Karte, die jeder benutzen kann.

In den letzten Jahren hat sich die Tokentechnologie deutlich weiterentwickelt. Moderne RFID-Karten arbeiten mit kryptografischen Verfahren, die ein einfaches Klonen verhindern. Mobile Berechtigungen, die über Bluetooth oder NFC vom Smartphone übermittelt werden, sind an das Gerät und an einen biometrischen Entsperrvorgang gebunden, der die Karte mit dem Sein-Faktor verknüpft, ohne dass das Zutrittssystem selbst biometrische Daten verarbeitet. Diese Architektur ist datenschutzrechtlich elegant, weil die biometrische Verarbeitung auf dem persönlichen Gerät bleibt und nur das Ergebnis, also die Freigabe, an das Zutrittssystem übergeben wird. Die Aufsichtsbehörden, der BfDI und die Landesdatenschutzbeauftragten, haben diese Architektur in mehreren Stellungnahmen als zulässig eingeordnet, sofern die Datenflüsse dokumentiert sind.

Die Grenze des Besitzfaktors zeigt sich in zwei Szenarien. Erstens beim Verlust oder Diebstahl. Eine verlorene Karte muss innerhalb von Minuten gesperrt werden, sonst öffnet sie weiterhin alle ihr zugeordneten Türen. Wer die Sperrung manuell in einem Verwaltungssystem vornehmen muss, das nur zu Bürozeiten erreichbar ist, hat eine Lücke, die ein Auditor identifizieren wird. Zweitens beim Insider, der seine Karte bewusst weitergibt. Diese Lücke ist durch den Besitzfaktor allein nicht zu schließen, sondern nur durch die Kombination mit einem zweiten Faktor.

Industriebetriebe, die heute neue Zutrittssysteme planen, verzichten zunehmend auf eigene Karten und setzen auf hinterlegte Berechtigungen, die der Mitarbeiter über ein Unternehmensgerät oder ein verwaltetes Privatgerät bei sich trägt. Diese Verschiebung hat Vorteile in der Skalierung, in der schnellen Sperrung und in der Auditfähigkeit. Sie hat den Nachteil, dass sie eine funktionierende Mobile Device Management-Strategie voraussetzt. Wer diese nicht hat, sollte die klassische Karte nicht verfrüht abschaffen. Die ISO 27001 fordert Wirksamkeit, nicht Modernität.

Biometrie zwischen Anspruch und Rechtswirklichkeit

Biometrie ist der Faktor, der in Werbeauftritten am stärksten betont und in der Realität am häufigsten falsch implementiert wird. Fingerabdruck, Handvenenmuster, Iriserkennung, Gesichtsgeometrie. Jedes dieser Verfahren hat eigene Stärken, eigene Fehlerquoten und eigene rechtliche Rahmenbedingungen. Wer Biometrie in einem deutschen oder europäischen Industriebetrieb einführen will, ohne den Betriebsrat, den Datenschutzbeauftragten und gegebenenfalls die zuständige Aufsichtsbehörde frühzeitig einzubinden, scheitert nicht an der Technik, sondern an der Einführung.

Die DSGVO klassifiziert biometrische Daten als besondere Kategorie personenbezogener Daten nach Artikel 9. Ihre Verarbeitung ist nur unter engen Voraussetzungen zulässig. Eine reine Effizienzbegründung trägt nicht. Es muss eine substanzielle Erforderlichkeit nachweisbar sein, die andere Verfahren nicht in gleicher Qualität liefern können. Bei kritischer Infrastruktur, in der KRITIS-Schwelle des BSI, ist diese Erforderlichkeit häufig gegeben. Bei einer Lagerhalle, in der Werkzeuge verwahrt werden, ist sie schwerer zu begründen. Wer hier nicht differenziert, baut ein System, das im Audit fällt und im Konfliktfall mit dem Betriebsrat blockiert wird.

Technologisch hat sich in den letzten Jahren ein Verfahren durchgesetzt, das die rechtlichen Anforderungen elegant löst. Es ist die Speicherung des biometrischen Templates ausschließlich auf einem Token oder einem persönlichen Gerät, niemals auf einem zentralen Server. Der Abgleich findet entweder lokal auf dem Token statt oder durch eine kryptografische Antwort, die das Template selbst nicht preisgibt. Wer diese Architektur wählt, reduziert das Datenschutzrisiko erheblich, weil ein Angriff auf das zentrale System keine biometrischen Daten kompromittieren kann. VdS und TÜV haben für diese Architektur eigene Prüfschemata entwickelt, die im Audit den Nachweis der Konformität deutlich vereinfachen.

Die Fehlerquoten der Biometrie sind ein eigenes Kapitel. Eine False-Acceptance-Rate von eins zu einer Million klingt überzeugend, bis man sie mit der False-Rejection-Rate ins Verhältnis setzt. Ein System, das so streng eingestellt ist, dass es niemanden fälschlich akzeptiert, weist häufig berechtigte Personen ab. Wenn die Schichtleitung morgens um sechs Uhr vor einer geschlossenen Tür steht und die Produktion verzögert, ist die ISO-konforme Implementierung praktisch wertlos. Die Kunst liegt in der Kalibrierung, die nur durch reale Tests im Betrieb gelingt. Wer ein Biometriesystem ohne sechsmonatige Erprobungsphase scharfschaltet, scharfschaltet ein Risiko.

Verhaltensbasierte Kontrolle als vierter Faktor

Der vierte Faktor, der in modernen Zutrittssystemen zunehmend eine Rolle spielt, ist das Verhalten. Es ist kein Faktor im klassischen Sinn der drei Kategorien, sondern eine Schicht, die über den klassischen Faktoren liegt und ihre Plausibilität prüft. Verhaltensbasierte Kontrolle bewertet, ob der nachgewiesene Zutrittsvorgang zum erwarteten Muster passt. Sie zieht Zeit, Ort, Bewegungsgeschwindigkeit, Reihenfolge der durchschrittenen Bereiche und Verknüpfung mit anderen Systemen heran.

Ein einfaches Beispiel verdeutlicht den Mehrwert. Ein Mitarbeiter, dessen Karte und PIN korrekt erkannt werden, betritt um drei Uhr nachts einen Bereich, in dem er normalerweise nur tagsüber arbeitet. Das klassische Zwei-Faktor-System gewährt Zugang. Das verhaltensbasierte System gewährt Zugang, markiert den Vorgang aber als Anomalie und löst eine sekundäre Prüfung aus, sei es durch einen Operator in der Leitstelle, sei es durch eine zusätzliche Authentisierung an der nächsten Tür. Diese Architektur entspricht dem Prinzip der adaptive authentication, das in der IT-Sicherheit etabliert ist und sich in die physische Sicherheit übertragen lässt.

Die ISO 27001 nennt dieses Verfahren nicht beim Namen, fordert es aber implizit über das Konzept der kontextabhängigen Berechtigungsentscheidung in den Erweiterungen der Anhang-A-Controls. Ein Auditor, der eine moderne Zutrittsarchitektur prüft, wird die Frage stellen, ob das System auf untypische Vorgänge reagiert. Wer diese Frage mit Ja beantworten kann, hat einen Vorteil, der weit über die formale Konformität hinausgeht. Er hat ein System, das echte Einbruchsversuche von legitimen Vorgängen unterscheidet, lange bevor ein Schaden eintritt.

Die technologische Voraussetzung für verhaltensbasierte Kontrolle ist die Verknüpfung der Zutrittssysteme mit den umliegenden Sicherheitssystemen. Videoanalyse, Sensorik in den Räumen, Schichtpläne aus der Personalverwaltung, Anwesenheitsdaten aus der Zeitwirtschaft. Diese Datenquellen müssen in einer Plattform zusammenlaufen, die nicht nur sammelt, sondern auswertet. Boswau + Knauer beschreibt diese Plattformlogik im Buch Vom Bau zur Sicherheitstechnologie als die vierte Stufe der Entwicklung. Sie ist heute die Schwelle, an der industrielle Sicherheitsarchitekturen entweder mitwachsen oder zur Insel werden.

Audit-Realität und der Weg zur Konformität

Ein Auditor, der ein Zutrittssystem nach ISO 27001 prüft, arbeitet nicht mit Datenblättern. Er arbeitet mit Stichproben. Er bittet darum, eine zufällig ausgewählte Berechtigung zu zeigen, von der Vergabe über die Begründung bis zur letzten Überprüfung. Er bittet darum, ein Protokoll eines bestimmten Tages aufzurufen und einen einzelnen Vorgang nachzuvollziehen. Er fragt, wer im Unternehmen die Berechtigungen vergibt, wer sie freigibt, wer sie überprüft und wer sie entzieht. Wenn eine dieser Personen identisch ist, fragt er nach der Funktionstrennung.

In der Praxis scheitern viele Industriebetriebe nicht an der Technik, sondern an der Dokumentation. Die Karten sind verteilt, die Türen sind kontrolliert, die Protokolle laufen mit, aber niemand kann auf Knopfdruck zeigen, wer wann welche Berechtigung erhalten hat und auf welcher Grundlage. Diese Dokumentationslücke ist die häufigste Abweichung in ISO-27001-Audits, die Boswau + Knauer in Gesprächen mit Kunden und Auditoren beobachtet. Sie ist technisch trivial zu schließen, organisatorisch aber anspruchsvoll, weil sie eine klare Zuständigkeit verlangt, die in vielen Betrieben fehlt.

Der zweite häufige Befund betrifft die Sperrprozesse. Ein Mitarbeiter, der das Unternehmen verlässt, behält in vielen Betrieben tagelang seine Zutrittsberechtigung, weil die Sperrung an einen Prozess gebunden ist, der in der Personalverwaltung beginnt und in der Sicherheitsabteilung endet, mit Pausen in der Lohnbuchhaltung und im Empfang. Ein Auditor, der die Stichprobe zieht und feststellt, dass eine ausgeschiedene Person nach zehn Tagen noch zutrittsberechtigt war, dokumentiert eine Abweichung, die im schlimmsten Fall die Zertifizierung gefährdet. Die Lösung ist die automatisierte Synchronisation der Zutrittsberechtigungen mit dem führenden Personalsystem, mit definierten Stichzeiten und protokollierter Ausführung.

Der dritte Befund betrifft die Notfallprozesse. Was passiert, wenn das Zutrittssystem ausfällt? Wer entscheidet, wer in den Bereich darf? Wie wird der manuelle Zutritt dokumentiert? Wer prüft die Dokumentation? Die ISO 27001 verlangt nicht, dass das System nie ausfällt. Sie verlangt, dass der Ausfall geregelt ist. Wer einen schriftlichen Notfallplan hat, der getestet wurde, ist hier gut aufgestellt. Wer den Plan nur in der Schublade hat, fällt im Audit auf, sobald der Auditor nach dem letzten Test fragt. BDSW und VdS bieten hier Schulungen, die in der Praxis hilfreich sind.

Wer den Weg zur Konformität strukturiert gehen will, beginnt nicht mit der Hardware. Er beginnt mit einem Audit der bestehenden Architektur, ihrer Prozesse und ihrer Dokumentation. Ein solches Audit liefert die Liste der Lücken, die geschlossen werden müssen, und die Reihenfolge, in der sie geschlossen werden. Erst danach folgt die Investition in Technik. Wer in umgekehrter Reihenfolge vorgeht, kauft Systeme, die zur Architektur nicht passen, und schließt Lücken, die nicht die wichtigsten waren. Die Reihenfolge entscheidet über die Wirtschaftlichkeit.

Was bleibt

Mehrfaktor-Zutrittskontrolle ist in der Industrie keine Frage der Technologie, sondern eine Frage der Architektur. Die ISO 27001 gibt den Rahmen, innerhalb dessen Token, Biometrie und verhaltensbasierte Verfahren kombiniert werden müssen, damit ein System nicht nur formal konform, sondern praktisch wirksam ist. Wer nur einen Faktor einsetzt, erfüllt die Norm in Risikoklassen mit nennenswerten Werten nicht. Wer drei oder vier Faktoren kombiniert, ohne die Architektur, die Prozesse und die Dokumentation aufeinander abzustimmen, baut ein System, das im Audit fällt und im Alltag umgangen wird.

Die nächsten Jahre werden die Verschiebung weiter beschleunigen. Mobile Berechtigungen, verteilte biometrische Verfahren und verhaltensbasierte Plausibilitätsprüfungen werden zum Standard. Wer heute investiert, sollte in Plattformen denken, nicht in Geräten. Wer heute zertifizieren will, sollte mit der Dokumentation beginnen, nicht mit der Hardware. Wer heute prüfen will, ob die eigene Architektur den Standard erfüllt, beginnt mit Weg I, dem sechzigminütigen Gespräch, in dem Boswau + Knauer eine erste Einordnung gibt. Aus dem Gespräch ergibt sich, ob Weg II, das strukturierte Audit über drei bis fünf Tage, der nächste Schritt ist. Die Reihenfolge ist klar, und sie ist in einer Form aufgesetzt, die keine Vorleistung verlangt.

Häufige Fragen

Welche Faktoren werden kombiniert?

Die ISO 27001 fordert in den meisten Risikoklassen die Kombination von mindestens zwei der drei klassischen Kategorien: Besitz (Token, Karte, mobile Berechtigung), Wissen (PIN, Passwort, Code) und Sein (biometrisches Merkmal). In industriellen Umgebungen kommt zunehmend ein vierter Faktor hinzu, das Verhalten, das durch Zeit, Ort, Bewegungsmuster und Verknüpfung mit anderen Sicherheitssystemen geprüft wird. Welche Kombination angemessen ist, ergibt sich aus der Risikoanalyse, die die Norm in Anhang A verlangt. Eine generische Empfehlung ohne Risikoanalyse ist nicht tragfähig und im Audit nicht verteidigbar.

Wer prüft die Konformität?

Die Konformität nach ISO 27001 wird durch akkreditierte Zertifizierungsstellen geprüft, in Deutschland unter anderem durch TÜV-Gesellschaften, DEKRA, DQS und weitere Anbieter, die durch die DAkkS akkreditiert sind. Die Prüfung erfolgt in einem zweistufigen Verfahren mit jährlichen Überwachungsaudits und einer Rezertifizierung nach drei Jahren. Vorbereitend können interne Audits, Voraudits durch Beratungsgesellschaften oder strukturierte Audits durch Sicherheitstechnologieanbieter wie Boswau + Knauer durchgeführt werden. Diese ersetzen die formale Zertifizierung nicht, sondern bereiten sie vor und identifizieren Abweichungen, bevor sie im offiziellen Verfahren auftreten.

Welche Hersteller sind zertifiziert?

Eine Zertifizierung nach ISO 27001 betrifft das Managementsystem des Anwenders, nicht das Produkt des Herstellers. Es gibt keine ISO-27001-zertifizierten Zutrittssysteme. Es gibt Zutrittssysteme, die zur Konformität eines Anwenders beitragen, und es gibt Hersteller, die selbst nach ISO 27001 zertifiziert sind und damit ihre eigenen Prozesse dokumentieren. Für Produkte sind andere Zertifizierungen einschlägig, etwa VdS-Klassen, TÜV-Prüfungen oder Common Criteria. Wer einen Hersteller wählt, sollte beide Ebenen prüfen: die Eignung des Produkts für die ISO-Anforderungen und die Zertifizierung des Herstellers für sein eigenes Managementsystem.

Welche Schwachstellen bleiben?

Auch eine vollständig nach ISO 27001 konfigurierte Mehrfaktor-Zutrittskontrolle hat Schwachstellen. Die wichtigsten sind der Insider, der seine Berechtigungen missbraucht, der Mitläufer, der hinter einer berechtigten Person die Schleuse passiert, der Notfallprozess, der manuelle Zutritte ohne ausreichende Prüfung erlaubt, und die Lieferkette, in der Wartungstechniker oder externe Dienstleister Zutritt erhalten. Diese Schwachstellen sind nicht durch Technik allein zu schließen, sondern durch organisatorische Maßnahmen, durch Schulung, durch Funktionstrennung und durch unabhängige Protokollkontrolle. Die ISO 27001 adressiert diese Punkte in mehreren Controls und verlangt ihre dokumentierte Behandlung.