Die physische Sicherheit löst weiterhin Probleme, die die IT bereits vor Jahren gelöst hat

Die IT-Sicherheit hat viele der Probleme gelöst, an denen die physische Sicherheit noch arbeitet. Identität ist das deutlichste Beispiel.

Im IT-Bereich wurde die Frage “Wer ist diese Person und auf was sollte sie Zugriff haben?” bereits vor Jahren beantwortet. Plattformen wie Okta und Microsoft Entra ID verbinden HR-Systeme mit dem Zugang zu Anwendungen. Wenn jemand eintritt, erhält er die richtigen Berechtigungen. Wenn jemand ausscheidet, wird der Zugriff entfernt. Wenn sich die Rolle ändert, passen sich die Berechtigungen an. Der Prozess ist automatisch, auditierbar und mit der Quelle der Wahrheit verbunden: dem HR-System.

Die physische Sicherheit ist nicht nachgezogen.

Die Parallelwelt

Statt sich an das anzuschließen, was bereits existiert, hat die Zutrittskontrollbranche ihre eigene Identitätsschicht gebaut. Eigene Datenbanken für Karteninhaber. Eigene Registrierungsprozesse. Eigenes Lifecycle-Management, das selten strukturiert mit HR oder IT kommuniziert.

Das Ergebnis ist vorhersehbar. Ein Mitarbeiter verlässt das Unternehmen. Die IT deaktiviert den Account innerhalb von Stunden. Der Gebäudezutritt bleibt Wochen aktiv, manchmal Monate. Nicht weil jemand das so entschieden hat, sondern weil die Systeme nicht verbunden sind und niemand die Deaktivierung ausgelöst hat.

Mechanische Schlüssel verschärfen das Problem. Ein Schlüssel verfällt nicht. Er bleibt in der Hosentasche. Er überlebt Verträge, Umstrukturierungen und Anstellungen. Ohne einen kontrollierten Rückgabeprozess bleibt der Zutritt unbefristet bestehen.

Warum diese Lücke existiert

Zum Teil ist es technisch bedingt. Zutrittskontrollsysteme wurden als geschlossene, lokale Umgebungen mit proprietären Protokollen gebaut. Die Anbindung an andere Systeme erforderte individuelle Integrationsarbeit, und die meisten Organisationen hatten dafür weder das Budget noch die Bereitschaft.

Zum Teil ist es organisatorisch. Die physische Sicherheit hat traditionell in einer eigenen Spur gearbeitet. Die Teams, die Schließanlagen und Zutrittskarten verwalten, sind selten dieselben Teams, die IT-Identität managen. Sie berichten an unterschiedliche Personen, nutzen unterschiedliche Werkzeuge, folgen unterschiedlichen Prozessen. Das Problem ist nicht, dass Identität ungelöst ist. Das Problem ist, dass die Lösung in einer Abteilung liegt, mit der die physische Sicherheit üblicherweise nicht spricht.

Und zum Teil ist es kommerziell. Hersteller profitieren davon, ihre eigene Identitätsverwaltung als Feature zu verkaufen. Wenn der Kunde erkennt, dass sein HR-System oder seine Identitätsplattform physische Zutrittsentscheidungen steuern könnte, verschwindet ein erheblicher Teil des Produktwerts.

Was sich ändert, wenn man aufhört, alles neu zu erfinden

Wenn physischer Zutritt an die bereits vorhandenen Identitätsquellen angebunden wird, passieren drei Dinge.

Zuerst folgt der Zugang organisatorischen Veränderungen ohne manuelle Eingriffe. Wechselt jemand die Abteilung, wird sein physischer Zugang aktualisiert. Endet der Vertrag einer Person, werden ihre Zugangsdaten und Schlüssel zur Entfernung markiert. Das HR-System wird zum Auslöser, nicht mehr ein Facility Manager, der eine Tabelle überprüft.

Zweitens werden Nachweise vollständig, ohne zusätzlichen Aufwand. Jede Zutrittsentscheidung lässt sich auf ein organisatorisches Ereignis zurückführen. Prüfer sehen nicht nur, wer Zutritt hat, sondern warum, und wann sich der Grund geändert hat. Die Dokumentation entsteht als Teil des Prozesses, statt im Nachhinein rekonstruiert zu werden.

Drittens wird Zutritt, der nicht existieren sollte, erkennbar. Wenn die Quelle der Wahrheit angebunden ist, lässt sich vergleichen, welcher Zutritt besteht und welcher bestehen sollte. Die Abweichung wird sichtbar. Und sichtbare Abweichungen lassen sich korrigieren, bevor sie zu Vorfällen werden.

Das Muster, nicht die Prognose

Das ist keine Spekulation darüber, wohin sich die Branche entwickeln könnte. Es ist ein Muster, das sich in der IT, im Personalwesen und im Finanzwesen bereits abgespielt hat. Jeder dieser Bereiche durchlief eine Phase, in der Daten in Silos lagen, Prozesse manuell liefen und Integration als optional galt. Dann erzwangen regulatorischer Druck und operativer Maßstab die Konvergenz.

Der physische Zutritt steht jetzt an diesem Wendepunkt. Das NIS2-Umsetzungsgesetz, DORA und verschärfte Anforderungen an ISO 27001 und KRITIS machen es zunehmend schwer, getrennte Systeme und manuelle Prozesse zu rechtfertigen. Die Organisationen, die ihren physischen Zutritt an bestehende Identitätsinfrastruktur anbinden, werden diejenigen sein, die Compliance nachweisen können, ohne bei jedem Audit ihre Dokumentation neu aufbauen zu müssen.

Die Technik ist nicht die Hürde. Die Schnittstellen existieren. REST-APIs sind Standard. Die Hürde ist zu erkennen, dass das Problem bereits gelöst wurde, und die Verbindung zu bauen, nicht die Kopie.