Zutrittskontrollsysteme im Empfangsmanagement

Zweck: Integrieren Sie die Besucherregistrierung in die elektronische Zutrittskontrollinfrastruktur für einen reibungslosen und sicheren Gästeabfertigungsprozess. Ein digitales Besuchermanagementsystem (VMS) erhöht die Sicherheit durch die Vorregistrierung von Gästen, die Erfassung der erforderlichen Daten und die Bereitstellung von Zugangsdaten unter Wahrung der Datenschutzbestimmungen.

• Digitale Besucherregistrierung: Implementieren Sie eine digitale Besuchermanagement-Software, die Besucher bei der Ankunft (oder bereits vorab per Vorregistrierung) registriert und mit dem Zutrittskontrollsystem verbindet. Dieses System sollte Besucherdaten (Name, Kontakt, Gastgeber, Besuchszweck) erfassen und elektronisch einchecken, anstatt Papierprotokolle zu verwenden. So vermeiden Sie Datenschutzprobleme, die durch die Offenlegung von Besucherdaten in Anmeldeformularen entstehen. Die Integration mit dem Zugangskontrollsystem ermöglicht die automatische Bereitstellung oder Aktivierung des Zugangsausweises oder -codes eines Besuchers, sobald dieser registriert ist.

• DSGVO-konforme Datenverarbeitung: Stellen Sie sicher, dass die Erfassung und Speicherung aller Besucherdaten den DSGVO- Anforderungen entspricht. Die Software sollte bei Bedarf die Zustimmung der Besucher einholen und personenbezogene Daten sicher und mit eingeschränktem Zugriff speichern. Sie muss Funktionen wie Datenminimierung (nur das Nötigste erfassen), die Möglichkeit zur Festlegung von Datenaufbewahrungsfristen und die automatische Löschung von Besucherdaten nach einer definierten Zeit unterstützen und Tools, mit denen Besucher ihre Datenschutzrechte ausüben können. Alle Datenübertragungen oder -integrationen sollten verschlüsselt und sicher erfolgen. In Ausschreibungen sollten Bieter nachweisen, wie ihre Besuchermanagementlösung den Datenschutz berücksichtigt (z. B. durch Bereitstellung einer Datenverarbeitungsvereinbarung und Einhaltung der Datenschutzrichtlinien).

• Generierung temporärer Zugangsberechtigungen: Das Besuchersystem sollte in der Lage sein, temporäre Zugangsberechtigungen für Besucher zu generieren, z. B. gedruckte Ausweise oder elektronische QR-Codes auf dem Telefon eines Gastes. Diese Berechtigungen müssen zeitlich begrenzt sein und nach dem Besuch automatisch ablaufen oder deaktiviert werden. Ein Besucherausweis könnte beispielsweise den Namen des Besuchers, den Namen seines Gastgebers, die Gültigkeitsdauer (Datum/Uhrzeit) und einen scanbaren QR-Code oder RFID enthalten, der den Zutritt durch bestimmte Türen ermöglicht. Dadurch können sich Besucher während ihres Besuchs unbegleitet in den genehmigten Bereichen bewegen und der Zugang wird unmittelbar danach widerrufen.

• Integration mit Sicherheits- und Evakuierungssystemen: Die Besucherverwaltungssoftware sollte mit den gebäudeweiten Sicherheitssystemen kompatibel sein. Beispielsweise sollte das System bei einer Notevakuierung eine Liste aller aktuell vor Ort befindlichen Besucher bereitstellen, um die Anwesenheitskontrolle zu erleichtern. Es sollte außerdem in die Zutrittskontrolle der Einrichtung integriert werden, sodass bei einem Alarm, der eine Türöffnung auslöst (aus Brandschutzgründen), die Besucherdaten zur Identifizierung aller Personen beitragen. Die Kompatibilität mit Notfallkommunikationssystemen (um Besucher im Falle eines Vorfalls per SMS/E-Mail zu benachrichtigen) ist ein Pluspunkt. Darüber hinaus sollte das VMS bei Bedarf mit anderen Sicherheitssystemen wie Überwachungs- oder Identitätsprüfungssystemen integriert werden können, um ein einheitliches Sicherheitsökosystem zu schaffen.

Zweck: Verhinderung von Missbrauch, Diebstahl oder Verlust physischer Zugangsberechtigungen (Karten, Ausweise, Schlüssel) durch sichere Aufbewahrung und strenge Handhabung. Alle Zugangsmedien, die nicht aktiv an eine Person ausgegeben werden, sollten verschlossen und überwacht werden. Die Prozesse müssen sicherstellen, dass sie jederzeit verfügbar sind.

• Abschließbarer Aufbewahrungsort für Ausweise: Sorgen Sie für einen sicheren, zugangskontrollierten Aufbewahrungsort (z. B. einen abschließbaren Schrank, einen Safe oder ein elektronisches Schlüsselfach) an der Rezeption/am Serviceeingang für alle Besucherausweise, temporären Karten und physischen Schlüssel. Nur autorisiertes Personal (z. B. Sicherheits- oder Rezeptionspersonal) sollte Zugriff auf diesen Aufbewahrungsort haben, um Ausweise auszugeben oder zurückzugeben. Dies verhindert, dass Unbefugte Ersatzausweise oder -schlüssel stehlen. Besucherausweise könnten beispielsweise in einer abschließbaren Schublade aufbewahrt und bei jeder Ausgabe oder Rückgabe vom Personal abgemeldet werden.

• Klare Ausgabe- und Rückgabeprotokolle: Entwickeln und implementieren Sie ein klares Protokoll für die Ausgabe und Abholung aller Zugangsmedien. Bei jeder Ausgabe eines Ausweises oder Schlüssels sollten die Identität des Empfängers und der Ausgabezeitpunkt erfasst werden (idealerweise im Besuchermanagementsystem oder in einem Protokoll). Beim Verlassen des Besuchers (oder beim Austausch der Mitarbeiterkarte) muss ein Verfahren vorhanden sein, das die Rückgabe und sofortige Deaktivierung des Ausweises im System gewährleistet. In der Ausschreibung sollten die Bieter beschreiben, wie ihre Lösung diese Prozesse unterstützt – beispielsweise durch die Bereitstellung von Protokollen über die Ausgabe und Rückgabe von Ausweisen oder Funktionen wie die Ausweiskontrolle an einem Ausgangskiosk.

• Deaktivierung verlorener oder nicht zurückgegebener Zugangsberechtigungen: Jede verlorene, gestohlene oder nicht zurückgegebene Zugangskarte muss sofort im System deaktiviert werden, um ihre Zugangsrechte aufzuheben. Das System sollte eine schnelle Aufhebung der Berechtigungen eines Berechtigungsnachweises ermöglichen (beispielsweise kann eine Rezeptionistin oder ein Sicherheitsmitarbeiter einen als verloren gemeldeten Ausweis mit wenigen Klicks entwerten). Bieter sollten detailliert darlegen, wie schnell und einfach ihr System den Zugang aufheben kann und ob es das Sicherheitsmanagement automatisch benachrichtigen kann, wenn ein Ausweis nicht rechtzeitig zurückgegeben wird.

• Täglicher Abgleich und Bestandsaufnahme: Führen Sie eine aktive Bestandsaufnahme aller Zugangsberechtigungen und gleichen Sie diese regelmäßig ab (z. B. täglich oder schichtweise für Besucherausweise). Das bedeutet, dass die Mitarbeiter jederzeit wissen sollten, wie viele Besucherausweise an wen ausgegeben wurden und wie viele sich noch im Lager befinden. Unstimmigkeiten (z. B. fehlende Karten) sollten umgehend untersucht werden. In den Ausschreibungen kann angegeben werden, wie die Lösung die Nachverfolgung aktiver/inaktiver Ausweise erleichtert (z. B. durch ein Dashboard mit den aktuell ausgeliehenen Besucherausweisen).

Zweck: Definieren Sie zusätzliche Zutrittskontrollfunktionen für Umgebungen mit erhöhtem Sicherheitsniveau oder sensible Bereiche, die Bieter für zusätzliche Sicherheit vorschlagen können. Diese Maßnahmen sind optional, da sie möglicherweise nicht für alle Einrichtungen erforderlich sind, bieten aber in Hochrisikoszenarien zusätzlichen Schutz. Die Richtlinie stellt sicher, dass solche Maßnahmen sorgfältig integriert werden und Sicherheit, Datenschutz und Benutzerfreundlichkeit in Einklang bringen.

• Biometrische Authentifizierung: In Bereichen oder Einrichtungen mit erhöhten Sicherheitsanforderungen können biometrische Zugangskontrollen (Fingerabdruckleser, Gesichtserkennung, Iris-Scanner usw.) eingesetzt werden, sofern dies durch eine Risikobewertung gerechtfertigt ist . Biometrische Systeme überprüfen die Identität anhand einzigartiger persönlicher Merkmale und erschweren so den unbefugten Zutritt. Da biometrische Daten jedoch hochsensibel sind, muss ihre Verwendung den Datenschutzgesetzen (die DSGVO stuft biometrische Daten als besondere Kategorie ein) und bewährten Verfahren entsprechen. Vor dem Einsatz biometrischer Daten ist eine Datenschutz-Folgenabschätzung (DSFA) oder eine ähnliche Risikobewertung erforderlich.Uum Datenschutzrisiken zu bewerten, gegebenenfalls die ausdrückliche Zustimmung des Benutzers sicherzustellen und die Bereitstellung einer alternativen Zugriffsmethode für Personen in Betracht zu ziehen, die keine Biometrie verwenden möchten. Jede vorgeschlagene biometrische Lösung sollte modernste Verschlüsselung verwenden und die Speicherung biometrischer Rohdaten möglichst vermeiden (z. B. Vorlagen oder die Speicherung biometrischer Daten auf der Karte verwenden, um Datenschutzprobleme zu vermeiden).

• PIN-Codes oder Zwei-Faktor-Authentifizierung: Für besonders sensible oder zugangsbeschränkte Bereiche (z. B. Serverräume, Bargeldbereiche) erlaubt die Richtlinie die Ergänzung der Zugangskontrolle um einen zweiten Faktor. Dies kann beispielsweise eine PIN-Code-Tastatur in Kombination mit einer Schlüsselkarte sein („Ausweis + PIN“) oder die Anforderung eines biometrischen Faktors zusätzlich zu einer Karte („Karte + Fingerabdruck“) usw. Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit erheblich, da der Besitz einer Karte bei Verlust oder Diebstahl nicht ausreicht. Bieter, die solche Funktionen anbieten, sollten den Benutzer-Workflow (z. B. die Eingabe einer PIN nach dem Auflegen der Karte) und die Handhabung von PIN-Resets oder biometrischen Daten detailliert beschreiben. Die Benutzerfreundlichkeit muss berücksichtigt werden – PINs sollten beispielsweise nur an Hochsicherheitstüren erforderlich sein, um unnötige Unannehmlichkeiten zu vermeiden.

• Hochsicherheitsmodus und risikobasierte Nutzung: Der Einsatz erweiterter Maßnahmen sollte an eine Risikobewertung geknüpft sein. Die Richtlinie sieht vor, dass die Notwendigkeit und Verhältnismäßigkeit von Biometrie oder Zwei-Faktor-Authentifizierung analysiert wird (unter Berücksichtigung von Faktoren wie der Sensibilität der Vermögenswerte hinter der Tür, der Bedrohungslage und Datenschutzbedenken). Die Ausschreibung kann von den Bietern verlangen, eine Option für den „Hochsicherheitsmodus“ anzubieten, in dem unter bestimmten Bedingungen (z. B. erhöhter Bedrohungslage) die Zwei-Faktor-Authentifizierung für alle Zugänge aktiviert wird. Bieter können für innovative Sicherheitsverbesserungen Bonuspunkte erhalten (siehe Bewertungskriterien). Diese sollten jedoch immer konfigurierbar und durch eine klare Begründung gestützt sein und nicht allgemein erzwungen werden. Ziel ist ein Gleichgewicht zwischen Datenschutz, Benutzerfreundlichkeit und Sicherheit – zusätzliche Maßnahmen sollten den Betrieb nicht übermäßig behindern oder die Privatsphäre ohne klaren Nutzen verletzen.

Zweck: Sicherstellung der vollständigen Einhaltung deutscher und EU-Gesetze, Vorschriften und Branchenstandards durch die Zutrittskontrolllösung und deren Betrieb. Die Einhaltung gesetzlicher Vorschriften ist nicht optional – jedes System in diesem Bereich muss personenbezogene Daten schützen (Datenschutzgesetze), Sicherheitsvorschriften einhalten und anerkannte Sicherheitsstandards erfüllen. Dieser Abschnitt beschreibt die obligatorischen Konformitätskriterien.

• DSGVO-Konformität für personenbezogene Daten: Das System muss alle Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zur Verarbeitung personenbezogener Daten einhalten. Dazu gehören Daten, die über Zutrittskontroll- und Besuchermanagementsysteme erfasst werden, wie Namen, Fotos, Kontaktdaten und biometrische Identifikatoren. Anbieter sollten Privacy-by-Design-Funktionen implementieren: Verschlüsselung personenbezogener Daten in Datenbanken, Zugriffskontrollen für die Protokollansicht und konfigurierte Aufbewahrungsfristen für Protokolle und Besucherdatensätze (mit automatischer Löschung alter Daten). Bei der Verwendung biometrischer Daten sind die ausdrückliche Zustimmung der betroffenen Personen und zusätzliche Sicherheitsvorkehrungen erforderlich. Der Vorschlag des Bieters sollte detailliert darlegen, wie sein System die DSGVO-Anforderungen erfüllt (Einwilligungsformulare, Anonymisierung oder Pseudonymisierung der Daten, sicheres Datenhosting, Verfahren zur Meldung von Verstößen usw.). Darüber hinaus verlangen Betriebsräte und Arbeitnehmerrechte in Deutschland, dass die Überwachung über Zugriffssysteme transparent und vereinbart ist – die Richtlinie erwartet die Einhaltung aller Mitbestimmungsanforderungen (z. B. das Vorhandensein einer Betriebsvereinbarung, falls dies für die Mitarbeiterüberwachung erforderlich ist).

• Arbeitsschutz- und Brandschutzvorschriften: Zutrittskontrollanlagen dürfen Sicherheitsvorschriften, insbesondere für Notausgänge, nicht verletzen. In Deutschland schreiben das Arbeitsschutzgesetz (ArbSchG) und die Bauordnung vor, dass Fluchtwege und Notausgänge jederzeit frei bleiben. Das bedeutet, dass jede Tür mit einem Zugangskontrollschloss im Falle eines Stromausfalls oder Feueralarms ausfallsicher (entriegelbar) sein muss, damit die Menschen ungehindert hinausgehen können. Drehkreuze oder Speedgates an Rezeptionen sollten über Notfall-Bypass-Modi verfügen (z. B. eine „Fallarm“- oder Aufschwingfunktion bei Alarmen).). Bieter müssen nachweisen, dass ihre Hardware gegebenenfalls für den Einsatz an Brandschutztüren zugelassen ist (z. B. konform mit der Norm EN 13637 für elektrisch gesteuerte Fluchttürsysteme oder den Zulassungen der örtlichen Feuerwehr). Darüber hinaus sollte das Zugangssystem mit Brandmeldeanlagen kompatibel sein, um Türen bei Alarmauslösung automatisch zu öffnen. Die Lösung muss außerdem alle Vorschriften von Versicherungs- und Unfallverhütungsverbänden (wie z. B. die DGUV-Regeln für elektrische Türsysteme) erfüllen.

• · Zertifizierung und Industriestandards: Die gesamte vorgeschlagene Zutrittskontroll-Hardware und -Software sollte von hoher Qualität sein und vorzugsweise nach anerkannten Standards zertifiziert sein. Beispielsweise könnten elektronische Zutrittskontrollkomponenten europäischen Normen wie DIN EN 60839-11-1 / EN 50133 (für Alarm- und elektronische Sicherheitssysteme) entsprechen. oder über eine VdS-Zertifizierung in Deutschland verfügen, die geprüfte Sicherheit und Zuverlässigkeit ausweist. Aus Sicht der Informationssicherheit sollte die Lösung des Bieters den Grundsätzen der ISO/IEC 27001 entsprechen. Das bedeutet, dass das System über robuste Sicherheitskontrollen zum Schutz der Daten verfügt und idealerweise nach einem ISO 27001-zertifizierten Prozess entwickelt oder gehostet wird (falls cloudbasiert). Obwohl die ISO 27001-Zertifizierung keine Produktzertifizierung per se ist, wird vom Anbieter erwartet, dass er die entsprechenden Best Practices (z. B. starke Authentifizierung, regelmäßige Sicherheitsaudits usw.) befolgt. Bieter sollten im Rahmen ihrer Angebotsabgabe Nachweise über die Einhaltung der relevanten Normen (Zertifikate oder Prüfberichte) vorlegen. Schließlich ist die Einhaltung lokaler Gesetze wie der deutschen Betriebssicherheitsverordnung (BetrSichV) für alle installierten elektrischen Geräte erforderlich – eine Gefährdungsbeurteilung kann erforderlich sein, insbesondere wenn Drehkreuze oder Magnetschlösser Teil des Systems sind.

Zweck: Standardisierung der Angaben, die Bieter in ihren Angeboten machen müssen, um nachzuweisen, dass ihr Zutrittskontrollsystem die oben genannten Richtlinien erfüllt. Dadurch wird sichergestellt, dass im Ausschreibungsprozess detaillierte, vergleichbare Informationen von allen Bietern eingeholt werden und der Bewertungsausschuss die Einhaltung und Leistung durch Dokumentation oder Tests überprüfen kann.

• Umfassendes Konzept für das Zutrittskontrollsystem: Bieter müssen als Teil ihres technischen Angebots ein detailliertes Konzept für das Zutrittskontrollsystem einreichen . Dieses Dokument sollte die Gesamtarchitektur und den Ansatz des vorgeschlagenen Systems beschreiben, einschließlich der Hardwarekomponenten (Lesegeräte, Controller, Drehkreuze usw.), der Softwarekomponenten (Verwaltungsplattformen, Integrationen, Datenbanken) und deren Integration in den Betrieb der Einrichtung.. Es sollte den Prozess der Berechtigungsausstellung, den Besucherabfertigungsprozess und die Sicherheitsfunktionen detailliert erläutern. Im Wesentlichen ist das Konzept die „Blaupause“ dafür, wie der Bieter die Anforderungen an die Zugangskontrolle erfüllen will.

• Technische Spezifikationen und Protokolle: Der Bieter muss detaillierte technische Spezifikationen für alle wichtigen Komponenten vorlegen. Dazu gehören Datenblätter der Geräte (mit Informationen zu IP-Schutzart, Strombedarf, Kompatibilität), Netzwerk- und IT-Anforderungen sowie Beschreibungen der Datensicherheit (Verschlüsselungsprotokolle, Datenspeicherort, Backup-Verfahren). Die Einreichung sollte auch Wartungs- und Supportverfahren enthalten, z. B. Informationen zur Anwendung von Software-Updates, vorgeschlagene Wartungspläne und Fehlerbehebungsprozesse. Von den Bietern wird erwartet, dass sie ihre Datensicherheitsprotokolle darlegen , z. B. zur Benutzerkontenverwaltung, zur Reaktion auf Sicherheitsverletzungen und zur Einhaltung bewährter Verfahren zur Cybersicherheit.

• Konformitäts- und Zertifizierungsnachweise: Zur Überprüfung der Konformität behält sich der Auftraggeber (Aussteller) das Recht vor, Kopien relevanter Zertifikate oder Prüfberichte (z. B. CE-Zertifikate, ISO-Konformitätsbescheinigungen, DSGVO-Konformitätserklärungen) anzufordern. Bieter sollten bereit sein, Unterlagen wie Penetrationstestergebnisse für ihre Software oder gegebenenfalls Nachweise eines früheren DSGVO-Audits vorzulegen, um die Sicherheit und Konformität ihres Systems zu belegen.

• Demonstrationen oder Pilottests: Die Richtlinie ermöglicht es der beschaffenden Organisation, während der Evaluierungsphase eine Live-Demonstration, Simulation oder sogar eine kurzfristige Pilotinstallation des vorgeschlagenen Systems anzufordern. Bieter sollten bereit sein, die Kernfunktionen ihres Systems zu demonstrieren – beispielsweise die Registrierung eines neuen Mitarbeiterausweises, einen Besucher-Check-in, eine Nottür-Überbrückung und die Berichts-/Audit-Schnittstelle. Dies kann je nach Ausschreibung im Rahmen einer Vor-Ort-Präsentation oder eines Remote-Webinars erfolgen. In den Ausschreibungsunterlagen wird darauf hingewiesen, dass solche angeforderten Demonstrationen ohne zusätzliche Kosten durchgeführt werden müssen und ausschließlich zur Überprüfung der Funktionen dienen (nicht als Ersatz für die formalen Bewertungskriterien). Darüber hinaus kann der Kunde im Rahmen der Überprüfung Referenzen oder Vor-Ort-Besuche bestehender Installationen anfordern. Bieter sollten daher eine Liste von Referenzprojekten beifügen, bei denen ähnliche Zutrittskontrolllösungen eingesetzt wurden.

Zweck: Integrieren Sie die Anforderungen an die Zutrittskontrolle in ein transparentes Bewertungsmodell für die Angebotsbewertung. Dadurch wird sichergestellt, dass Angebote nicht nur nach den Kosten, sondern auch nach der Qualität und Vollständigkeit der Zutrittskontrolllösung beurteilt werden. Dabei werden Mindestanforderungen festgelegt und Vorteile für überlegene Funktionen gewichtet.

• Obligatorische Voraussetzungen (Bestanden/Nicht bestanden): Bestimmte grundlegende Elemente sind obligatorisch – Angebote, denen diese fehlen, werden disqualifiziert (und nicht weiter bewertet). Voraussetzung ist die Bereitstellung eines elektronischen Schlüsselkarten-/Ausweissystems für den Zutritt von Mitarbeitern und Besuchern sowie die sichere Besucherabwicklung (Registrierung und Ausweisausgabe). Die Einhaltung gesetzlicher Vorgaben (z. B. DSGVO-Konformität und ausfallsichere Notentriegelung) ist ebenfalls zwingend erforderlich. Bieter müssen die Einhaltung aller Soll-Anforderungen dieser Richtlinie ausdrücklich bestätigen. Angebote, die einen der Pflichtpunkte nicht erfüllen, werden von der Wertung ausgeschlossen, um den Auftraggeber vor nicht konformen Lösungen zu schützen.

• Gewichtete technische Bewertung: Bei Angeboten, die alle obligatorischen Punkte erfüllen, wird ein gewichtetes Bewertungssystem für qualitative Aspekte der Zutrittskontrolllösung angewendet. Beispielsweise wird die Integration einer gut konzipierten und konformen digitalen Besuchermanagement-Software (Abschnitt 3) bei der Bewertung maßgeblich berücksichtigt. Weitere gewichtete Kriterien können die Benutzerfreundlichkeit des Systems, die Robustheit der Prüf- und Berichtsfunktionen, die Qualität der angebotenen Hardware, das Niveau der Datensicherheitsmaßnahmen und der Wartungs-/Supportplan des Bieters sein. Jeder dieser Aspekte wird auf einer Skala (z. B. 0-5 oder 0-10) bewertet, basierend darauf, wie gut das Angebot die Anforderungen erfüllt oder übertrifft, und anschließend mit vordefinierten Gewichtungen multipliziert. Die Bewertungsmethode wird in den Ausschreibungsunterlagen erläutert. Beispielsweise kann das Besuchermanagement 15 % der technischen Bewertung ausmachen, die Systemsicherheit 20 %, die Wartbarkeit 10 % usw., neben der Preisbewertung.

• Bonuspunkte für erweiterte Funktionen: Die Einhaltung der Kernanforderungen wird erwartet, Angebote können jedoch zusätzliche Punkte oder Gutschriften für Mehrwertfunktionen erhalten , die die Sicherheit oder Effizienz über das Mindestmaß hinaus steigern. Bietet ein Bieter beispielsweise eine biometrische oder Multi-Faktor-Authentifizierungsoption (Abschnitt 5) an, die für Hochsicherheitsbereiche geeignet ist und keine Grundanforderung darstellt, können bei der Bewertung Bonuspunkte für diese Funktion vergeben werden – vorausgesetzt, sie wird datenschutzkonform implementiert. Ein weiteres Beispiel könnte eine hochinnovative Integration sein (wie eine KI-basierte Risikoanalyse von Zugriffsmustern oder eine funktionsreiche mobile App für den Zugriff), die die Spezifikation übertrifft. Das Bewertungsschema gibt an, wo Bonuspunkte vergeben werden. Diese Extras sollten nicht im Widerspruch zu Anforderungen oder rechtlichen Beschränkungen stehen. Wenn sie jedoch mit diesen übereinstimmen, zeugen sie von der Innovationskraft des Bieters und seinem Verständnis für die Sicherheitsanforderungen des Kunden. Die Bewerter belohnen daher Angebote, die nicht nur die Richtlinien erfüllen, sondern auch durchdachte Verbesserungen für mehr Sicherheit, Benutzerfreundlichkeit oder Kosteneffizienz bieten.

Zweck: Gewährleistung der langfristigen Zuverlässigkeit, Sicherheit und Anpassungsfähigkeit des Zutrittskontrollsystems durch kontinuierliche Compliance- und Wartungsmaßnahmen. Die Richtlinie betont, dass Sicherheit ein fortlaufender Prozess ist – nach der Installation muss das System während der gesamten Vertragslaufzeit auf dem neuesten Stand gehalten und an die sich entwickelnden Sicherheitsrichtlinien und technologischen Entwicklungen angepasst werden.

• Regelmäßige Inspektionen und Tests: Der Auftragnehmer (oder Wartungsanbieter) muss routinemäßige Inspektionen aller Zugangskontrollkomponenten durchführen, um sicherzustellen, dass sie in gutem Betriebszustand bleiben. Hierzu gehört die regelmäßige Überprüfung von Türbeschlägen, Kartenlesern, biometrischen Sensoren, Steuerungen und Notentriegelungsmechanismen (z. B. monatliche Sichtprüfungen, vierteljährliche umfassende Tests). Ebenso sind regelmäßige Tests der Systemfunktionen erforderlich – beispielsweise die Simulation eines Türzugangs, um die korrekte Protokollierung sicherzustellen, oder die Auslösung eines Feueralarms zur Überprüfung der Türöffnung. Diese Tests und Inspektionen sollten dokumentiert und dem Kunden in Berichten zur Verfügung gestellt werden. Präventive Wartung (wie Sensorreinigung, Firmware-Updates, Austausch abgenutzter Ausweise) sollte Teil des Services sein, um Ausfälle zu vermeiden.

• Zeitnahe Software-Updates und Patches: Die Zutrittskontrollsoftware, einschließlich aller Server-, Cloud- und Firmware-Komponenten, muss stets auf dem neuesten Stand gehalten werden, um Sicherheitslücken zu schließen und die Funktionalität zu verbessern. Der Wartungsplan des Anbieters sollte gewährleisten, dass Sicherheitspatches zeitnah (nach ausreichenden Tests) eingespielt und die Software aktualisiert wird, um weiterhin vom Anbieter unterstützt zu werden. Bei Cloud- oder Abonnementsystemen sollte der Anbieter die Bereitstellung von Updates und mögliche Ausfallzeiten erläutern. Zur kontinuierlichen Compliance gehört es, sicherzustellen, dass die Systemsoftware mit neueren Standards oder regulatorischen Änderungen konform bleibt (z. B. wenn DSGVO-Richtlinien aktualisiert oder neue Authentifizierungsprotokolle empfohlen werden).

• Verwaltung von Anmeldeinformationen und Reaktion auf Vorfälle: Es muss einen kontinuierlichen Prozess zur Verwaltung der Benutzeranmeldeinformationen geben: sofortige Deaktivierung verlorener oder kompromittierter Karten (wie bereits erwähnt) und Entzug des Zugriffs für Mitarbeiter oder Auftragnehmer, die das Unternehmen verlassen (innerhalb von 24 Stunden oder einem vom Kunden angegebenen Zeitrahmen). Regelmäßige Prüfungen der Benutzerzugriffsrechte sollten durchgeführt werden, beispielsweise alle 6 oder 12 Monate, um unnötige Berechtigungen zu widerrufen und das Prinzip der geringsten Privilegien einzuhalten. Bieter sollten auch beschreiben, wie ihr System diese Prüfungen unterstützt (z. B. durch die Erstellung eines Berichts über die Zugriffsrechte nach Abteilungen). Darüber hinaus sollte der Auftragnehmer über einen Notfallplan für Sicherheitsvorfälle verfügen – beispielsweise für den Fall, dass ein Verstoß gegen das Zugangskontrollsystem festgestellt oder vermutet wird, die Schritte zu dessen Eindämmung und Behebung (Widerruf aller Karten, Zurücksetzen der Systeme, Benachrichtigung der Behörden, wenn personenbezogene Daten betroffen sind usw.).

• Anpassungsfähigkeit an sich entwickelnde Sicherheitsrichtlinien: Im Laufe der Vertragslaufzeit (die sich über mehrere Jahre erstrecken kann) können sich die Sicherheitsanforderungen oder -richtlinien des Kunden ändern – beispielsweise durch die Einführung eines neuen unternehmensweiten Sicherheitsstandards, die Erweiterung der Anlage oder die Implementierung eines neuen Identitätsmanagementsystems. Die Zutrittskontrolllösung sollte keine Sackgasse darstellen; sie muss skalierbar und flexibel sein, um solche Änderungen zu berücksichtigen. Vertraglich sollte sich der Anbieter verpflichten, bei der Integration neuer Anforderungen mitzuarbeiten, beispielsweise beim Hinzufügen neuer Zugangspunkte zum System, der Aktivierung neuer Authentifizierungsmethoden oder der Einhaltung aktualisierter gesetzlicher Vorschriften. Dies könnte Änderungen der Softwarekonfiguration oder die Bereitstellung von System-Upgrades beinhalten. Die Richtlinie könnte vorschreiben, dass das System auf einer Mainstream-Plattform basiert, die regelmäßig aktualisiert wird und die Integration (über APIs oder Module) unterstützt, um die Anbindung an zukünftige Systeme (z. B. HR-Datenbanken, aktualisierte Brandmeldezentralen usw.) zu ermöglichen. Die Wartungspflicht umfasst die Gewährleistung der Kompatibilität des Systems mit den Infrastrukturänderungen der Anlage – beispielsweise sollte das System bei Änderungen der Netzwerkarchitektur sicher neu konfiguriert und nicht ohne Support belassen werden. Regelmäßige Compliance-Audits (möglicherweise jährlich) können durchgeführt werden, um sicherzustellen, dass das System im laufenden Betrieb weiterhin alle ursprünglich festgelegten gesetzlichen und politischen Anforderungen erfüllt. Alle Feststellungen sollten umgehend behoben warden.