Mitarbeitermanagement und Zutrittskontrolle

Jeder Zutrittsausweis ist in der Gebäudeverwaltung mit einem digitalen Rollenprofil verknüpft. Anstatt Berechtigungen einzeln und fallweise zu vergeben, nutzen Facility Manager ein rollenbasiertes Zugangsmanagement (RBAC), um festzulegen, was jeder Ausweisinhaber darf. Das Rollenprofil bestimmt welche Etagen, Räume oder Zonen die Person betreten kann – und zu welchen Bedingungen. Beispielsweise kann der Ausweis eines normalen Angestellten nur die von seinem Unternehmen gemieteten Etagen und gemeinsame Bereiche öffnen, wohingegen der Ausweis eines Haustechnikers Zugang zu Technikräumen oder Dächern hat. RBAC stellt sicher, dass Berechtigungen konsistent und einfacher zu prüfen sind, da Nutzer anhand ihrer Stellenrolle gruppiert verwaltet werden. Es unterstützt zudem das Prinzip der Funktionstrennung – sensible Bereiche (wie Serverräume oder Chefetagen) sind nur für spezifische Rollen zugänglich.

Zeitabhängige Regeln: Rollenprofile umfassen oft auch Zeit- oder Wochentagsbeschränkungen als zusätzliche Regeln. So kann ein Ausweis so eingestellt sein, dass er nur während der Geschäftszeiten (z. B. 08:00–19:00 Uhr werktags) funktioniert und außerhalb dieser Zeiten für normale Mitarbeiter gesperrt ist. Reinigungspersonal hätte möglicherweise das umgekehrte Zeitfenster: Zugang ausschließlich nachts, wenn die Büros leer sind. Moderne Zutrittssysteme kombinieren RBAC mit solchen regelbasierten Steuerungen – z. B. darf eine Rolle zwar einen Raum betreten, *„aber nur zu bestimmten Uhrzeiten“. Dadurch wird sichergestellt, dass Reinigungskräfte nur zwischen 20:00 und 04:00 Uhr Zutritt zu den Büroflächen haben, wenn die Reinigung stattfindet, was Sicherheitsrisiken minimiert. Ähnlich könnte der Ausweis eines Finanzabteilungs-Mitarbeiters nur werktags funktionieren, oder der Ausweis eines Praktikanten automatisch am Ende des Praktikumszeitraums ablaufen.

Regelmäßige Überprüfung: Die FM- und Sicherheitsteams führen regelmäßige Überprüfungen der Zugriffsrechte durch, um Compliance und das Prinzip der minimalen Rechte zu gewährleisten. Sobald sich Rollen ändern oder Personal die Abteilung wechselt, müssen die Zugangsberechtigungen entsprechend angepasst oder entzogen werden. Es ist Best Practice, Zugangslisten periodisch (z. B. vierteljährlich) zu überprüfen und zu rezertifizieren, um überflüssige Berechtigungen zu entfernen. Viele Unternehmens-Zutrittssysteme ermöglichen die Erstellung von Prüfberichten aller Zutrittsaktivitäten, was Administratoren hilft, Anomalien zu erkennen und sicherzustellen, dass Berechtigungen dem aktuellen Aufgabenbedarf entsprechen. In großen deutschen Büros helfen solche Audits auch bei der Erfüllung gesetzlicher Vorgaben (etwa nach DSGVO oder ISO 27001), indem sie nachweisen, dass nur autorisierte Personen Zutritt zu sensiblen Bereichen haben.

• Reinigungspersonal: Zugeordnet ist eine Rolle „Reinigung“, die Zutritt zu Gemeinschaftsflächen (Flure, Büros, Sanitäranlagen) ausschließlich nachts (z. B. 20:00–04:00 Uhr) erlaubt, wenn gereinigt wird. Ihre Ausweise öffnen außerhalb dieses Zeitfensters keine Türen und auch keine bereichsfremden Räume. Zusätzlich können Protokolle verlangen, dass Reinigungskräfte sich beim Empfang anmelden oder per CCTV überwacht werden, solange sie im Gebäude sind.

• IT-Personal: Eine Rolle „IT-Support“ umfasst z. B. 24/7-Zugang zum Gebäude und zu kritischen Infrastrukturräumen wie Serverräumen oder Netzwerkzentralen. IT-Mitarbeiter müssen oft auch außerhalb der Kernzeiten Zugriff haben, daher sind ihre Berechtigungen rund um die Uhr gültig – jedoch ebenfalls auf die für sie relevanten Bereiche beschränkt (sie können nicht automatisch alle Büroflächen betreten, sondern primär Allgemeinbereiche und IT-spezifische Räume).

• Mitarbeiter von Mietern: Ein normaler Angestellter eines Mieter-Unternehmens hat Ausweiszugang nur zu den von seiner Firma gemieteten Etagen und bestimmten Gemeinschaftseinrichtungen. Beispiel: Eine Mitarbeiterin der Firma A im 5. Stock nutzt ihren RFID-Ausweis für die Drehkreuze in der Lobby, den Aufzug in den 5. Stock, den Eingang im 5. Stock und etwaige Gemeinschaftsräume wie Fahrradkeller oder Kantine – nicht jedoch für die Etagen anderer Mietparteien. Falls das Gebäude ein integriertes System hat, könnte ihr Ausweis zudem z. B. nach Feierabend den Zutritt über Nebeneingänge oder zur Tiefgarage gewähren, jedoch immer im Rahmen ihres definierten Rollen- und Zeitprofils.

In allen Fällen vereinfacht der RBAC-Ansatz die Verwaltung, da das Hinzufügen eines neuen Mitarbeiters lediglich bedeutet, ihm das richtige Rollenprofil zuzuweisen (das System gewährt automatisch die entsprechenden Türen und Zeiten). Rollenänderungen (Beförderungen, Abteilungswechsel) werden abgebildet, indem man die Person im System einer anderen Rolle zuordnet, anstatt an jeder Tür manuell Berechtigungen zu ändern. Dieser strukturierte Ansatz erhöht die Sicherheit erheblich, indem er sicherstellt, dass niemand weitergehende Zugriffe hat als nötig und dass jedes Zutrittsereignis einer identifizierbaren Rolle zugeordnet werden kann, was die Verantwortlichkeit fördert.

Obwohl elektronische Karten den Großteil der täglichen Zugänge abdecken, sind in großen Gebäuden physische Schlüssel nach wie vor für bestimmte Schlösser erforderlich – seien es ältere Türzylinder, Schaltschränke oder sensible Override-Funktionen (z. B. für Aufzüge oder Notstromanlagen). Die Verwaltung dieser physischen Schlüssel (insbesondere von Generalschlüsseln, die viele Schlösser öffnen) ist ein entscheidender Teil des Sicherheitskonzeptes.

• Sichere Schlüsselaufbewahrung: Generalschlüssel und wichtige Schlüssel werden in der Regel in elektronischen Schlüsselschränken oder Tresoren aufbewahrt, anstatt in einfachen Schlüsselkästen. Dabei handelt es sich um intelligente Schränke, die einen autorisierten Login erfordern (PIN-Code, Ausweiskarte oder Biometrie), um an einen Schlüssel zu gelangen. Jede Entnahme oder Rückgabe eines Schlüssels wird vom System automatisch protokolliert. Benötigt z. B. ein Haustechniker den Generalschlüssel für die Aufzüge, muss er sich am Schlüsselschrank mit seinem Ausweis/PIN authentifizieren; das System zeichnet auf, wer welchen Schlüssel wann entnommen hat und kann sogar eine Rückgabefrist überwachen. Dies gewährleistet eine lückenlose Nachvollziehbarkeit – geht ein Schlüssel verloren oder wird missbraucht, kann das Management sofort im Protokoll nachsehen, wer ihn zuletzt hatte. Zum Vergleich: Bei früher üblichen unkontrollierten Schlüsselbrettern bestand ein enormes Sicherheitsrisiko, da Schlüssel ohne Nachweis mitgenommen werden konnten. Moderne elektronische Schränke hingegen entriegeln nur denjenigen Schlüssel, den der Benutzer entnehmen darf. Das heißt, ein Reinigungstrupp-Mitarbeiter könnte sich zwar am Schlüsselschrank anmelden, aber nur den Schlüssel für den Reinigungsraum entnehmen, nicht jedoch einen Generalschlüssel.

• Ausgabe-Rückgabe-Protokolle: Für alle im Umlauf befindlichen physischen Schlüssel (z. B. einen Besprechungsraum-Schlüssel oder einen Aufzug-Steuerschlüssel, der an Techniker ausgegeben wird) gilt ein strikter Ausgabe/Rückgabe-Prozess. Oft wird hierfür ein Schlüssellogbuch (digital oder in Papierform) geführt, in dem bei jeder Ausgabe/Rücknahme Datum, Uhrzeit, Schlüssel-ID, Name der Person und der Grund vermerkt werden. Elektronische Schlüsselmanagement-Systeme automatisieren dies weitgehend und senden sogar Benachrichtigungen, falls ein Schlüssel nicht fristgerecht zurückgebracht wird (Stichwort „Key Curfew“). Die Facility Manager werten regelmäßig die Schlüssellogbücher aus, um sicherzugehen, dass kein Schlüssel fehlt oder unkontrolliert bleibt. Zusätzlich werden Schlüssel üblicherweise mit eindeutigen Codes gekennzeichnet und mit “Nicht kopieren” graviert, um unerlaubtes Duplizieren zu verhindern. Sollte dennoch ein Schlüssel abhandenkommen, sehen die Sicherheitsrichtlinien eine sofortige Eskalation vor – bei Verlust eines Generalschlüssels unter Umständen den Austausch aller betroffenen Schlösser, da dies ein enormes Risiko darstellt. (Tatsächlich kann der Verlust eines Hauptschlüssels es erforderlich machen, das gesamte Schließsystem zu ersetzen – zumindest wenn ein General-Hauptschlüssel betroffen ist – was zeigt, wie kritisch solche Vorfälle sind.)

• Vier-Augen-Prinzip für Hochsicherheits-Schlüssel: Für die kritischsten Schlüssel – z. B. einen Hauptgeneralschlüssel, der alle Türen öffnen kann, oder Notschlüssel für Tresore – wird mitunter das Zwei-Personen-Prinzip angewandt. Das bedeutet, dass zwei autorisierte Personen anwesend sein müssen, um den Schlüssel zu entnehmen oder zu benutzen. Beispielsweise könnte der Schlüsselschrank zwei getrennte Anmeldungen erfordern, bevor er den Generalschlüssel freigibt, oder zwei Verantwortliche verwahren je einen von zwei Teilschlüsseln, die nur gemeinsam das Schloss öffnen. Diese doppelte Autorisierung fügt eine zusätzliche Sicherheitsebene hinzu: Keine einzelne Person kann einen übergeordneten Schlüssel alleine missbrauchen. Die Zwei-Personen-Regel (auch Dualkontrolle genannt) stammt aus Hochsicherheitsumgebungen (wie Tresoren oder Rechenzentren) und hilft, das Insider-Risiko erheblich zu reduzieren. Außerdem werden Generalschlüssel meist getrennt von regulären Schlüsseln aufbewahrt – nur höheres Facility- oder Sicherheitspersonal hat darauf Zugriff, und sie lagern oft in einem separaten Hochsicherheitstresor. Normale Haustechniker tragen gegebenenfalls Gruppenschlüssel für ihre Zuständigkeitsbereiche (z. B. einen Schlüssel für die Technikräume ihrer Etage), aber nicht die Schlüssel für Mieterflächen oder fremde Abteilungen. Durch diese Segmentierung der Schlüsselverwaltung gilt: Selbst wenn ein weniger wichtiger Schlüssel verlorengeht, bleibt der potenzielle Schaden begrenzt.

• Notfälle und Backups: Physische Schlüssel dienen als wichtige Rückfallebene bei Stromausfällen oder Systemstörungen. Das Facility-Team stellt sicher, dass Notfallschlüssel (für Feuertüren, Fahrstuhlsteuerung im Brandfall usw.) zwar zugänglich, aber kontrolliert sind. Häufig gibt es z. B. pro Etage einen Notfall-Schlüsselkasten – im Falle eines Brandes einschlagbar, um einen Fluchttürschlüssel zu entnehmen – die jedoch alarmgesichert oder kameraüberwacht sind. Generalschlüssel für kritische Anlagen werden entweder von alarmbereiten Managern gehalten oder so verwahrt, dass nur Einsatzkräfte sie im Notfall erreichen können (z. B. ein Feuerwehr-Schlüsseldepot am Gebäude für die Feuerwehr). Klare Prozeduren regeln, wie und wann solche Schlüssel eingesetzt werden dürfen. Nach jedem Notfalleinsatz müssen die Schlüssel unverzüglich zurückgegeben und die Nutzung im Nachgang dokumentiert und ausgewertet werden.

Zusammengefasst wird das physische Schlüsselmanagement in großen Büros mit derselben Strenge betrieben wie die elektronische Zugangskontrolle. Alle Schlüssel werden wie sicherheitsrelevante Vermögenswerte behandelt. Durch elektronische Schlüsselschränke mit Audit-Trail, zentrale Ausgabenkontrolle und eingeschränkten Zugriff wird sichergestellt, dass keine unautorisierte Person an einen kritischen Schlüssel gelangen kann. Dies verringert das Risiko von Einbrüchen durch verlorene oder kopierte Schlüssel erheblich und ergänzt das elektronische Ausweissystem, sodass wirklich alle Zugänge – digital wie physisch – abgedeckt und überwacht sind.

Trotz aller Vorsichtsmaßnahmen können Ausweise verloren gehen oder gestohlen werden, und gelegentlich melden Mitarbeiter einen fehlenden Firmenausweis. Die Geschwindigkeit und Effektivität der Reaktion in solchen Fällen ist entscheidend für die Sicherheit.

• Sofortige Deaktivierung: Sobald gemeldet wird, dass ein Ausweis verloren oder gestohlen wurde, oder ein Sicherheitsvorfall mit einem Ausweisinhaber vermutet wird, deaktiviert der Zuständige den betreffenden Ausweis unverzüglich im System. Schnelles Sperren ist kritisch – ein verlegter oder entwendeter RFID-Ausweis ist de facto ein “Schlüssel” zum Gebäude, und bis zu seiner Sperrung könnte jeder Finder ihn nutzen. Best Practice ist daher, den Ausweis innerhalb von Minuten nach Eingang der Verlustmeldung zu deaktivieren. Sicherheitsrichtlinien betonen, dass „unverzügliches Handeln bei der Notdeaktivierung angebracht ist, z. B. im Szenario eines gemeldeten Verlusts oder Diebstahls einer Zutrittskarte“. Viele deutsche Firmen verpflichten ihre Mitarbeiter, einen verlorenen Ausweis sofort zu melden (teils ist eine Frist von max. 1 Stunde vorgegeben) und gestohlene Ausweise umgehend sowohl der Polizei als auch der Sicherheitsabteilung zu melden. Nach Eingang der Meldung kann der Zutrittskontrollverantwortliche (oder der im Bereitschaftsdienst befindliche Administrator) den Ausweis aus der Ferne ungültig machen – ab diesem Moment öffnet er keine Türen mehr. Diese Deaktivierung wird in der Regel im System protokolliert (mit einem Grund wie „Verlust/Diebstahl“) und kann bei Bedarf rückgängig gemacht werden, falls der Ausweis doch wieder auftaucht. In der Praxis wird jedoch meist stattdessen ein neuer Ausweis ausgegeben.

• Vorfallprotokollierung: Wenn ein Ausweis verloren oder gestohlen wird, dokumentiert das Sicherheitsteam den Vorfall. Dies beinhaltet in der Regel einen Eintrag in ein Sicherheitsjournal oder ein Ticket im Incident-System, mit Details wie Ausweisnummer, Name des Inhabers, Zeitpunkt/Ort des Verlusts (sofern bekannt) und eine Einschätzung des potenziellen Sicherheitsrisikos (z. B. hatte jemand Unbefugtes möglicherweise zwischenzeitlich Zugang?). Solche Protokolle helfen, falls sich Muster abzeichnen (etwa wiederholte Verluste durch dieselbe Person oder Diebstähle in einem bestimmten Bereich), und dienen als Nachweis der ergriffenen Maßnahmen. Oft werden auch der Vorgesetzte des Mitarbeiters und HR informiert, da ein Firmenausweis Firmeneigentum ist und dessen Verlust manchmal eine Verwarnung oder eine Kostenbeteiligung nach sich ziehen kann. Vorrang hat jedoch immer die Sicherheit: sicherzustellen, dass der verlorene Ausweis nicht mehr benutzt werden kann.

• Ersatz und Verifizierung: Nach der Deaktivierung erhält der Nutzer so schnell wie möglich einen neuen Ausweis. Für die Ausstellung eines Ersatzes muss die Identität des Mitarbeiters geprüft werden (um sicherzugehen, dass die Person, die den Ersatz beantragt, tatsächlich der rechtmäßige Inhaber ist). In der Regel begibt sich der Mitarbeiter mit einem Lichtbildausweis zum FM-Büro oder Empfang, falls er keinen anderen Firmenausweis mehr hat. Der neue Ausweis wird mit denselben Zugangsrechten wie der alte versehen, sofern es keinen Anlass gibt, etwas daran zu ändern. Im System wird im Wesentlichen das Nutzerprofil auf eine neue Kartennummer umgestellt; die Berechtigungen bleiben identisch, damit der Mitarbeiter nahtlos weiterarbeiten kann. Zusätzlich notieren einige Unternehmen im Mitarbeiterprofil, dass am betreffenden Datum ein Ausweisverlust gemeldet wurde. Manche Organisationen führen auch Buch über verlorene Ausweise und – falls eine Person innerhalb kurzer Zeit mehrere Ausweise verliert – können weitere Maßnahmen (z. B. ein Gespräch oder Kostenübernahme) folgen. Der alte Ausweis, falls er später wiedergefunden wird, sollte nicht reaktiviert werden (um keine doppelten aktiven Karten zu haben); stattdessen wird er normalerweise eingesammelt und vernichtet oder sicher archiviert.

• Überbrückung und Notfallmaßnahmen: In der Zwischenzeit, bis der neue Ausweis erstellt ist (falls es da überhaupt eine Verzögerung gibt), kann der Zugang des Mitarbeiters über temporäre Lösungen geregelt werden. Taucht ein Mitarbeiter morgens ohne Ausweis auf, weil er ihn verloren hat, kann der Empfang etwa einen Tagesgast-Pass ausstellen, nachdem die Identität bestätigt und die Sperrung des alten Ausweises geprüft wurde. So hat der Mitarbeiter Zutritt für diesen Tag, während der dauerhafte Ersatz vorbereitet wird. Moderne cloudbasierte Systeme ermöglichen es Administratoren, Ausweise von überall in Echtzeit zu sperren (teils sogar per Smartphone-App), was die Reaktionsfähigkeit deutlich erhöht. Als Zielgröße gilt oft, dass ein gemeldeter Verlust binnen 5 Minuten oder weniger im System gesperrt sein sollte, um das Missbrauchsfenster minimal zu halten.

• Sofortmeldung: Der Mitarbeiter muss den Verlust unverzüglich der FM-/Sicherheitsabteilung oder dem Empfang melden (Unternehmensrichtlinien geben hierfür meist einen engen Zeitrahmen vor, z. B. innerhalb von 15 Minuten bis 1 Stunde).

• Sperrung im System: Der Zutritts-Administrator sperrt die Karte umgehend – der Ausweis wird in der Software deaktiviert, sodass er an den Lesern nicht mehr funktioniert. (Das Sicherheitsteam verifiziert oft zusätzlich, dass die Sperrung erfolgreich war, z. B. indem es die Kartennummer im System sucht oder an einem Leser testet.)

• Untersuchung: Besteht der Verdacht eines Diebstahls, können zusätzliche Schritte folgen, wie das Prüfen der Türlogs auf Nutzung der Karte nach dem Verlustzeitpunkt oder das Sichten von CCTV-Aufnahmen im relevanten Bereich. Ein gestohlener Ausweis wird in Deutschland häufig auch der Polizei gemeldet, insbesondere wenn dadurch ein unbefugter Zutritt hätte erfolgen können.

• Neuausstellung: Ein Ersatz-Ausweis wird ausgestellt und mit den bisherigen Berechtigungen des Mitarbeiters codiert, damit dessen Arbeit nicht beeinträchtigt wird. Das Mitarbeiterprofil ist damit auf die neue Ausweis-ID umgestellt. Gegebenenfalls muss der Mitarbeiter seine Identität nachweisen (Lichtbildausweis oder Sicherheitskontrolle) um den neuen Ausweis zu erhalten – quasi ein internes Identitäts-Feststellungsverfahren.

• Bestätigung & Dokumentation: Der Mitarbeiter testet den neuen Ausweis an einem Leser, um die Funktion sicherzustellen. Das Sicherheitsteam aktualisiert seine Unterlagen, um die Deaktivierung des alten und die Aktivierung des neuen Ausweises mit Datum/Uhrzeit zu vermerken. In Personal- oder Sicherheitsakten wird der Vorfall ebenfalls festgehalten (manche Unternehmen lassen Mitarbeiter bei der Abholung des Ersatzausweises ein Formular unterschreiben, das den Verlust und Erhalt des neuen Ausweises bestätigt).

Durch diese abgestimmten Maßnahmen stellen Facility Manager sicher, dass ein verlorenes Zugangsmittel nicht zu einer Sicherheitslücke führt. Die Kombination aus sofortiger Sperrung und sorgfältiger Neuerstellung gewährleistet die Integrität der Zutrittskontrolle. Im Grunde lässt sich ein Ausweis zwar leicht ersetzen – aber unautorisierter Zutritt nicht, dank der schnellen Reaktionsprotokolle, die in Kraft treten.