Wenn unsichere Zugangssysteme zur Gefahr werden

Die Sicherheit von Unternehmen hängt längst nicht mehr nur von physischen Maßnahmen wie Wachpersonal oder Schlössern ab. Moderne Zugangskontrollsysteme (Access Management Systems, AMS), die vernetzt arbeiten und oft auf biometrischen Daten basieren, sind mittlerweile essenziell.

Doch was passiert, wenn genau diese Systeme falsch konfiguriert und ungeschützt im Internet zugänglich sind? Eine aktuelle Untersuchung von Modat zeigt alarmierende Ergebnisse: Weltweit sind hunderttausende Mitarbeiterdaten und tausende Unternehmensstandorte aufgrund von Sicherheitslücken in AMS gefährdet. Die möglichen Folgen reichen von Identitätsdiebstahl über unerlaubten Zutritt bis hin zu erheblichen finanziellen Schäden und rechtlichen Konsequenzen.

Die unsichtbare Gefahr: Zugangssysteme als Einfallstor

Die Untersuchung deckte auf, dass zahlreiche Zugangssysteme — von biometrischen Lösungen bis hin zu Fahrzeug-Erkennungssystemen — ungeschützt über das Internet zugänglich sind. Dabei wurden sensible Informationen wie Namen, Fotos, biometrische Daten, Arbeitszeiten und sogar Zugangskarten-Informationen offengelegt. Besonders kritisch: Selbst Systeme, die eigentlich hochsensibel sein sollten, wie die Zugangskontrollen in Regierungsgebäuden oder im Gesundheitssektor, waren betroffen.

Diese Sicherheitslücken sind kein Zufall, sondern das Ergebnis mangelhafter Konfigurationen, veralteter Protokolle und fehlender Sicherheitsupdates. In vielen Fällen waren sogar die Standardpasswörter noch aktiv. Angreifer könnten mit wenig Aufwand auf diese Systeme zugreifen, Daten manipulieren und sich unerlaubt Zugang zu Gebäuden verschaffen.

Rechtliche Folgen für Unternehmen: Grobe Fahrlässigkeit durch Untätigkeit

Unternehmen, die solche Sicherheitslücken ignorieren, bewegen sich auf rechtlich dünnem Eis. Nach der -Grundverordnung () drohen nicht nur hohe Bußgelder für die unzureichende Sicherung personenbezogener Daten. Viel gravierender könnte die Haftungsfrage im Schadensfall sein.

Denn wer als Verantwortlicher trotz bekannter Risiken keine geeigneten Maßnahmen ergreift, handelt möglicherweise grob fahrlässig. Ein klassisches Beispiel: Ein Angreifer verschafft sich über ein ungesichertes AMS Zugang zu sensiblen Unternehmensbereichen. Die Versicherung könnte in diesem Fall die Zahlung verweigern, weil der Schaden durch grob fahrlässiges Verhalten des Unternehmens ermöglicht wurde. Die Begründung: Wer Sicherheitslücken dieser Größenordnung ignoriert, kann sich nicht auf Unwissenheit berufen.

Zudem stellt sich die Frage der Beweisbarkeit. Anders als bei einem physischen Einbruch hinterlassen digitale Angriffe selten sichtbare Spuren. Ohne ausreichende Protokollierung und Monitoring könnte es schwerfallen, die genauen Umstände eines Vorfalls zu rekonstruieren. Hier droht ein doppeltes Risiko: Weder die Versicherung zahlt, noch kann der Täter ermittelt werden.

Die Pflicht zur Sicherung personenbezogener Daten endet nicht an der virtuellen Haustür. Sie umfasst auch die Gewährleistung, dass physische Zugangskontrollen nicht zum Einfallstor für Angreifer werden. Unternehmen sollten daher schnell handeln, um sowohl rechtlich als auch faktisch auf der sicheren Seite zu sein.

Nachweispflicht und Vorsorge: Was Unternehmen jetzt tun müssen

Die Tatsache, dass Zugangssysteme zunehmend digitalisiert und vernetzt sind, erfordert umfassende Sicherheitsmaßnahmen. Unternehmen sollten dringend prüfen, ob ihre AMS-Systeme über das Internet erreichbar sind und ob Sicherheitsupdates regelmäßig eingespielt werden. Ein erster Schritt könnte die Einführung von Firewalls, VPNs und strikten Zugriffsregeln sein.

Darüber hinaus ist ein kontinuierliches Monitoring unerlässlich, um verdächtige Aktivitäten frühzeitig zu erkennen. Regelmäßige Sicherheits-Audits können dabei helfen, Schwachstellen zu identifizieren, bevor sie von Angreifern ausgenutzt werden. Auch die Schulung von Mitarbeitern spielt eine entscheidende Rolle, um die Sensibilität für dieses Thema zu erhöhen.

Ignorierte Sicherheitslücken sind kein Kavaliersdelikt

Die Erkenntnisse der Modat-Studie sind ein Weckruf für Unternehmen aller Branchen. Unsichere Zugangssysteme stellen nicht nur ein erhebliches Risiko für die physische Sicherheit dar, sondern können auch zu erheblichen rechtlichen und finanziellen Konsequenzen führen. Wer die Augen vor diesen Gefahren verschließt, riskiert nicht nur den Verlust sensibler Daten, sondern setzt auch die Existenz des Unternehmens aufs Spiel.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.