Identität ist nicht der fehlende Grundbaustein im physischen Zutritt

Cybersicherheit hat die meisten Probleme bereits gelöst, mit denen sich der physische Zutritt heute noch abmüht. Eines davon war die Frage, wem Identität gehört. Sie wurde in der IT vor einem Jahrzehnt entschieden. Okta, Azure AD, Workday und eine Generation von HR-Systemen haben dieses Terrain übernommen und nie wieder abgegeben. Den meisten Betreibern, die diese Zeilen lesen, ist das längst bekannt. Sie melden sich im Arbeitsalltag an jedem anderen System mit Zugangsdaten an, die nicht aus dem Sicherheits-Stack stammen.

Die Zutrittsbranche diskutiert jetzt, ob diese Frage wieder geöffnet werden sollte. Sie sollte es nicht. Schon die Diskussion verrät genug.

Dem Argument liegt ein echtes Muster zugrunde, und es verdient einen Namen. In den letzten 18 Monaten hat sich der Schwerpunkt im physischen Zutritt von der Tür zur Person verlagert. Hersteller, die früher Controller verkauften, sprechen heute über Menschen. Integratoren, die früher Leser verkauften, sprechen heute über Lebenszyklen. Die Kategorie Besuchermanagement, vor zehn Jahren noch Teil der Sicherheitsbranche, ist in den Bereich Workplace Experience abgewandert und kommt nicht zurück. Auf jeder Messe der letzten Monate ließ sich dieselbe Verschiebung beobachten. Wer den Personendatensatz besitzt, so das Argument, besitzt die Kundenbeziehung. Die Zutrittsbranche müsse daher den Personendatensatz übernehmen oder werde auf das Team reduziert, das Türen öffnet oder eben nicht.

Das Muster stimmt. Die Schlussfolgerung nicht.

Das Muster stimmt, weil sich der Schwerpunkt tatsächlich verlagert hat. Wer 2026 Zylinder, Controller oder Leser verkauft, weiß längst, dass die erste Frage des Kunden Menschen betrifft, nicht Komponenten. Die Schlussfolgerung ist falsch, weil der Personendatensatz vor Jahren von anderen gewonnen wurde, in einem Kampf, den unsere Branche nie geführt hat. Wer der Zutrittsbranche heute empfiehlt, Identität zu übernehmen, könnte ebenso einem Baumarkt im Jahr 2026 empfehlen, Amazon zu werden. Der Rat ist logisch schlüssig und operativ aussichtslos.

Sinnvoller ist die Frage, die Betreiber tatsächlich stellen. Wenn das HR-System sagt, Anna sei externe Mitarbeiterin und ihr Vertrag ende am Freitag um 17:00 Uhr: Was passiert an der Tür um 17:01 Uhr? In Gebäude 3, an der Laderampe, mit drei mechanischen Schlüsseln, die noch in ihrer Schublade liegen, und einem elektronischen Ausweis, der vor vier Monaten ausgestellt wurde und den niemand deaktiviert hat? Wenn ihre Nachfolgerin am Montag anfängt und unter einem anderen Personendatensatz dasselbe Zutrittsprofil erbt: Wer sieht das? Und wer kann es später nachweisen?

Identität beantwortet diese Fragen nicht. Sie kann es nicht. Identität sagt aus, wer Anna ist. Sie sagt nicht aus, wohin sie gehen darf, wann oder unter welchen Regeln. Und sie sagt nicht aus, welche Belege bleiben, wenn ein Prüfer in 18 Monaten nachfragt. Der Schwerpunkt hat sich weiter verlagert, als das gängige Argument einräumt. Er hat sich von der Tür zur Person verlagert. Und von der Person zur Richtlinie, die das Verhalten der Person im physischen Raum regelt. Über diese zweite Verlagerung sollte die Branche sprechen.

Diese Ebene hat einen Namen und eine Form. Auf ihr leben Zeitpläne, Zonen, Zeitfenster, Rollenrichtlinien und Ausnahmeregeln. Sie verwaltet den mechanischen und elektronischen Bestand eines Gebäudes und weiß, welcher Schlüssel welche Tür öffnet, welcher Ausweis zu welcher Person gehört, und welcher dieser Ausweise letzte Woche hätte zurückgegeben werden müssen. Sie umfasst die Integration zwischen PACS, mechanischen Schließanlagen, elektronischen Schlössern, Besuchersystemen und Zeiterfassung. Sie ist der Prüfpfad, der nicht nur ein Quartal überdauert, sondern einen Gerichtsprozess. Nichts davon steht auf der Roadmap von Workday. Nichts davon wird je dort stehen. Workday wird niemals einen Zylinder einplanen.

Es lohnt sich, diese Ebene zu besetzen. In ihr hat unsere Branche vierzig Jahre lang still Erfahrung gesammelt, ohne sie zu benennen. Die Benennung zählt jetzt, weil der Markt endlich die richtige Frage stellt. Unternehmen, die behaupten, physische Sicherheit müsse Identität übernehmen, kämpfen einen Krieg, der vor einem Jahrzehnt entschieden wurde. Wer für die Ebene unterhalb der Identität argumentiert, für die Schicht aus Richtlinien und physischer Realität, beschreibt die Arbeit, die tatsächlich existiert.

Genau auf diese Position arbeitet portier hin. Eine personenzentrierte, richtliniengesteuerte Zutrittsebene, die Identität dort übernimmt, wo sie geführt wird, die Regeln eines echten Gebäudes anwendet und im Nachhinein nachweist, was geschehen ist. Wir müssen nicht festlegen, wer Anna ist. Wir müssen festlegen, was geschehen soll, wenn sie am Freitag um 17:01 Uhr mit drei Schlüsseln in ihrer Schublade zur Laderampe geht.

Die Verlagerung von der Tür zur Person war der erste Schritt. Die Verlagerung von der Person zur Richtlinie ist der nächste. Der meiste Lärm in der Branche kreist immer noch um den ersten. Die Unternehmen, die das nächste Jahrzehnt gewinnen werden, arbeiten bereits am zweiten.