Ein mittelständisches Unternehmen, 80 Mitarbeiter, drei Stockwerke. Drei Monate nach der Kündigung eines Lagermitarbeiters fiel dem Geschäftsführer auf, dass der Ex-Kollege noch immer im Gebäude ein- und ausgehen konnte. Kein Systemfehler, keine digitale Sicherheitslücke. Der Mann hatte schlicht einen Schlüssel – und niemand hatte ihn zurückgefordert.
Das ist kein Ausnahmefall. Es ist Alltag in einer erschreckend großen Zahl von Unternehmen.
Zutrittskontrolle ist in vielen kleinen und mittleren Betrieben das, was am Ende der Einführungswoche passiert: Ein Schlüssel wird übergeben, vielleicht ein Zahlencode erklärt, und damit ist die Sache erledigt. Kein Protokoll, keine Risikobetrachtung, kein Plan für den Abgang. Das war vor zwanzig Jahren vertretbar. Heute ist es ein Sicherheitsrisiko, das sich still akkumuliert – in Form von Schlüsseln, die nie zurückgegeben wurden, PINs, die weitergegeben wurden, und Zugängen, die niemand mehr überblickt.
Dieser Beitrag erklärt, warum klassische Zugangsmechanismen strukturell scheitern, was eine zeitgemäße Zutrittskontrolle leisten muss – und wie Unternehmen ohne überdimensionierte Investition den Einstieg schaffen.
Der Schlüssel ist kein Zugangskonzept
Ein Schlüssel regelt den Zutritt. Er kontrolliert ihn nicht. Der Unterschied klingt akademisch, hat aber konkrete Konsequenzen: Ein Schlüssel gibt einer Person physischen Zugang zu einem Raum – ohne Protokoll, ohne Zeitfenster, ohne Möglichkeit zur nachträglichen Auswertung. Wer eine Tür aufschließt, hinterlässt keine Spur.
Das erste Problem ist die fehlende Rückverfolgbarkeit. Ein Unternehmen mit 60 Mitarbeitern und drei Zugangsbereichen hat im Laufe von fünf Jahren typischerweise 120 bis 150 Schlüssel ausgegeben. Wer – wie viele KMU – noch auf Standard-Profilzylinder ohne Kopierschutz setzt, hat keine Kontrolle darüber, ob Schlüssel dupliziert wurden: Diese lassen sich beim Schlosser oder im Baumarkt unkompliziert nachmachen. Sicherheitsschlüssel mit patentiertem Kopierschutz schränken das ein – Nachschlüssel sind nur mit autorisiertem Berechtigungsnachweis möglich. Aber das eigentliche Risiko bleibt in beiden Fällen identisch: Wie viele Schlüssel existieren noch? Wo befinden sie sich? Wer hat sie – und hat er noch das Recht dazu? Diese Frage ist in den meisten Fällen nicht beantwortbar – und das ist kein administratives Problem, sondern ein Sicherheitsproblem.
Das zweite Problem ist die fehlende Granularität. Differenzierte Zugangsberechtigung ist mechanisch kaum umsetzbar: Wer Zugang zur Produktion benötigt, bekommt einen Schlüssel, der häufig auch das Lager öffnet. Generalschlüssel für Facility-Manager oder Reinigungspersonal öffnen im Zweifelsfall alles – unabhängig davon, ob das für die jeweilige Person notwendig ist.
Das dritte Problem ist die Reaktion auf Verlust oder Kündigung. Wenn ein Schlüssel verloren geht, muss im Zweifelsfall das gesamte Schließsystem getauscht werden. Das kostet – nicht selten fünf- bis sechsstellige Beträge bei einem mittelgroßen Objekt. In der Praxis unterbleibt der Tausch deshalb häufig. Das Restrisiko bleibt.
Codes und PINs: Sicherheit durch Wissen – und wo sie endet
Viele Unternehmen ergänzen ihre mechanischen Schlösser durch PIN-Codes oder Kombisysteme. Das ist ein Schritt nach vorn – aber kein vollständiger. Die Schwachstelle ist dieselbe, die bei jedem wissensbasierten Sicherheitsmechanismus auftritt: Wissen lässt sich teilen, ohne dass es der Sicherheitsverantwortliche bemerkt.
Ein Reinigungsdienst erhält den Zugangscode für die Büroräume. Drei Monate später wechselt der Anbieter – der Code nicht. Der Mitarbeiter, der das Gebäude abends schließen sollte, erklärt seinem Kollegen, wie es geht. Der Code läuft weiter, obwohl beide nicht mehr im Unternehmen tätig sind. Das ist keine Fahrlässigkeit im Einzelfall, sondern das vorhersehbare Ergebnis eines Systems, das keine Individualität kennt.
Das zweite Problem ist die fehlende Nachvollziehbarkeit im Schadensfall. Ein Code gilt für alle, die ihn kennen. Bei einem Einbruch, einem Diebstahl oder einem unautorisierten Datenzugriff ist nicht mehr rekonstruierbar, wer zu welchem Zeitpunkt Zugang hatte. Die forensische Auswertung endet bei der Frage: Wer kannte den Code?
Codes und PINs eignen sich als ergänzende Schicht im Zutrittssystem – nicht als alleinige Basis. Wer sie als vollständige Lösung betrachtet, hat die Kontrolle über den eigentlichen Kernaspekt abgegeben: die Nachvollziehbarkeit.
Was eine zeitgemäße Zutrittskontrolle leisten muss
Elektronische Systeme können die strukturellen Schwächen von Schlüsseln und Codes adressieren. Aber der Markt ist unübersichtlich, und viele Unternehmen kaufen Technik, bevor sie ihre Anforderungen kennen. Das Ergebnis: teure Hardware mit denselben Kontrollproblemen wie vorher.
Individualität: Jede Person erhält eine eigene Berechtigung – zeitlich befristet, auf bestimmte Zonen beschränkt, revozierbar in Sekunden. Wenn ein Mitarbeiter das Unternehmen verlässt, wird die Berechtigung entzogen, ohne Schlosstauschaktion und ohne Restrisiko.
Protokollierung: Wer war wann wo. Das ist nicht nur für Sicherheitsvorfälle relevant, sondern auch für interne Compliance und Versicherungsfragen. Ein System ohne Protokollierung gibt Kontrolle vor – keine.
Zonenkonzept: Nicht alle Bereiche haben dieselbe Schutzanforderung. Empfang, Büro, Serverraum, Produktionshalle – jede Zone braucht ein differenziertes Berechtigungsprofil.
Notfallmanagement: Was passiert beim Systemausfall? Gibt es eine mechanische Rückfallebene? Wie kommen Feuerwehr und Rettungsdienst im Notfall rein? Diese Fragen müssen vor der Implementierung beantwortet sein.
Was ein System nicht automatisch liefert: Sicherheit. Technik ist ein Werkzeug. Wenn das Berechtigungskonzept nicht gepflegt wird, wenn Türen im Sommer offenstehen und niemand die Protokolle auswertet, hat das Unternehmen teure Hardware mit demselben Ergebnis wie vorher. Das unterschätzte Risiko moderner Systeme ist die Verwaltung: Wer verantwortet das Berechtigungsmanagement intern? Ohne belastbare Antworten ist das System nach zwei Jahren in einem Zustand, der sich vom Schlüssel-Chaos nur durch höhere Anschaffungskosten unterscheidet.
Wann lohnt sich die Umstellung – und wie geht man es richtig an?
Der häufigste Einwand gegen eine professionelle Zutrittskontrolle ist der Aufwand. Aber der entscheidende Gegencheck lautet: Was kostet die Situation, die aktuell besteht? Ein einzelner Schlüsselverlust mit anschließendem Schlossaustausch kostet je nach Objekt 10.000 bis 50.000 Euro. Ein Einbruch durch eine nicht gesperrte Berechtigung ist nicht nur ein Sachschaden, sondern ein potenzieller Haftungs- und Reputationsfall.
Der sinnvolle Einstieg ist nicht die Vollausstattung, sondern die Bestandsaufnahme: Welche Bereiche des Objekts haben welche Schutzanforderung? Wo gibt es heute keine Kontrolle, die eine bräuchte? Welche Personengruppen – Mitarbeiter, Reinigung, Wartung, Besucher – haben aktuell Zugang zu welchen Zonen?
Daraus ergibt sich ein Anforderungsprofil, das die Technologieentscheidung leitet – nicht umgekehrt. Ein einzelner Serverraum mit einer Handvoll Berechtigten braucht kein komplexes Cloud-System. Ein Produktionsbetrieb mit mehreren Schichten und wechselndem Personal braucht mehr als einen Code an der Eingangstür.
Es gibt keine Mindestgröße für diese Entscheidung. Die richtige Frage ist: Kann ich heute sagen, wer Zugang zu welchem Bereich hat – und belegen, dass diese Zugänge noch aktuell sind? Wer das nicht kann, hat die Antwort bereits.
Aus der Praxis
Fertigungsunternehmen, 85 Mitarbeiter, zwei Produktionsstandorte. Anlass war ein Einbruch ins Materiallager – ohne Fremdeinbruchspuren. Die Tür war mit einem Originalschlüssel geöffnet worden.
Im Rahmen der anschließenden Sicherheitsanalyse stellte sich heraus: Von 67 ausgegebenen Schlüsseln befanden sich 23 bei Personen, die das Unternehmen seit mehr als zwölf Monaten verlassen hatten – darunter drei Generalschlüssel. Sechs weitere Schlüssel galten als verloren, seit durchschnittlich 28 Monaten.
Nach Umstellung auf elektronische Zutrittskontrolle mit Zonenmanagement: vollständige Revozierbarkeit aller Berechtigungen in Echtzeit, lückenlose Protokollierung, Wegfall der jährlichen Schlüsselverwaltungskosten im mittleren vierstelligen Bereich. Im zweiten Jahr nach der Umstellung gab es keine ungeklärten Zutrittsvorfälle mehr.
Fazit
Zutrittskontrolle ist keine Technikfrage – sie ist eine Managementaufgabe. Wer den Zugang zu seinen Objekten nicht kontrolliert, hat kein Sicherheitskonzept, sondern eine Hoffnung.
Schlüssel und Codes haben ihren Platz in bestimmten Kontexten. Als Rückgrat einer ernsthaften Zugangssicherung in Unternehmen ab einer gewissen Größe und Schutzanforderung sind sie strukturell unzureichend. Das ist keine Meinung – es ist ein Muster, das sich in Analysen und Begehungen regelmäßig bestätigt.
Der erste Schritt ist kein Einkauf, sondern eine ehrliche Bestandsaufnahme: Was ist heute geregelt? Was nicht? Und was passiert, wenn die Kontrolle fehlt? Wer diese Fragen beantwortet hat, kann entscheiden. Wer wartet, bis der erste Vorfall passiert, zahlt mehr – für die Lösung und für den Schaden.
Häufige Fragen
Ab welcher Unternehmensgröße ist eine elektronische Zutrittskontrolle sinnvoll?
Es gibt keine Mitarbeiterzahl als harte Schwelle – entscheidend ist der Schutzbedarf. Ein Einzelhändler mit hohem Warenbestand und wechselndem Personal kann schon ab zehn Mitarbeitern sinnvoll von einem elektronischen System profitieren. Die richtige Frage ist: Kann ich heute jederzeit sagen, wer Zutritt zu welchem Bereich hat – und belegen, dass diese Zugänge noch aktuell sind? Wenn nicht, ist die Größe zweitrangig.
Was kostet eine professionelle Zutrittskontrolle?
Das hängt stark vom Umfang ab. Einzelne Türlösungen für einen kritischen Bereich sind ab wenigen hundert Euro umsetzbar. Eine vollständige Lösung für ein mittelständisches Unternehmen mit mehreren Zugangszonen liegt typischerweise im mittleren bis oberen fünfstelligen Bereich – inklusive Installation, Konfiguration und Schulung. Der entscheidende Vergleichswert ist nicht der Systempreis, sondern das Schadenpotenzial bei unkontrolliertem Zugang.
Wie lange dauert die Einführung?
Für kleinere Objekte bis ca. zehn Türen und 50 Berechtigte sind vier bis acht Wochen realistisch – bei guter Vorbereitung. Entscheidend ist die Konzeptphase vor der Installation: Wer mit einem klaren Anforderungsprofil startet, vermeidet teure Nacharbeiten.
Wie wird die DSGVO bei der Protokollierung von Zutrittszeiten eingehalten?
Zutrittsprotokollierungen sind personenbezogene Daten: klare Zweckbindung, definierte Speicherfristen (30 bis 90 Tage), Datenschutzfolgenabschätzung bei umfangreichen Systemen sowie eine Betriebsvereinbarung, wenn ein Betriebsrat besteht. Bei korrekter Planung ist die DSGVO kein Hindernis – wird sie ignoriert, kann sie eins werden.
Kann ich mein bestehendes Schließsystem nachrüsten?
Ja, in vielen Fällen über elektronische Schließzylinder, die mechanische Schlösser ersetzen, ohne die gesamte Beschlagsmechanik zu tauschen. Ob eine Nachrüstung die richtige Lösung ist, hängt vom Türtyp, der Schutzanforderung und der gewünschten Systemintegration ab.
Was passiert, wenn das elektronische System ausfällt?
Ein belastbares System hat immer eine Notfallstrategie: mechanische Notöffnung, Offline-Fähigkeit der Lesegeräte oder batteriegepufferte Türsteuerungen. Die Frage nach dem Ausfallverhalten ist eine Pflichtfrage vor jeder Kaufentscheidung.
Brauche ich für die Einführung externe Beratung?
Das hängt von der Komplexität des Objekts und der internen Expertise ab. Wenn mehrere Standorte, kritische Bereiche oder Integration in bestehende Sicherheitssysteme betroffen sind, empfiehlt sich eine herstellerunabhängige Analyse im Vorfeld – um sicherzustellen, dass das Konzept stimmt, bevor die Technik entschieden wird.
Zutrittssituation im eigenen Objekt prüfen lassen?
Als herstellerunabhängiger Sicherheitsgutachter analysiere ich Ihre Zutrittssituation ohne Produktinteresse – und entwickle ein Konzept, das zu Ihrem Schutzbedarf passt. Erstes Gespräch unverbindlich: jw-safety-security.de/kontakt
Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.
