Die Sicherheit von Unternehmen hängt längst nicht mehr nur von physischen Maßnahmen wie Wachpersonal oder Schlössern ab. Moderne Zugangskontrollsysteme (Access Management Systems, AMS), die vernetzt arbeiten und oft auf biometrischen Daten basieren, sind mittlerweile essenziell.
Doch was passiert, wenn genau diese Systeme falsch konfiguriert und ungeschützt im Internet zugänglich sind? Eine aktuelle Untersuchung von Modat zeigt alarmierende Ergebnisse: Weltweit sind hunderttausende Mitarbeiterdaten und tausende Unternehmensstandorte aufgrund von Sicherheitslücken in AMS gefährdet. Die möglichen Folgen reichen von Identitätsdiebstahl über unerlaubten Zutritt bis hin zu erheblichen finanziellen Schäden und rechtlichen Konsequenzen.
Die unsichtbare Gefahr: Zugangssysteme als Einfallstor
Die Untersuchung deckte auf, dass zahlreiche Zugangssysteme — von biometrischen Lösungen bis hin zu Fahrzeug-Erkennungssystemen — ungeschützt über das Internet zugänglich sind. Dabei wurden sensible Informationen wie Namen, Fotos, biometrische Daten, Arbeitszeiten und sogar Zugangskarten-Informationen offengelegt. Besonders kritisch: Selbst Systeme, die eigentlich hochsensibel sein sollten, wie die Zugangskontrollen in Regierungsgebäuden oder im Gesundheitssektor, waren betroffen.
Diese Sicherheitslücken sind kein Zufall, sondern das Ergebnis mangelhafter Konfigurationen, veralteter Protokolle und fehlender Sicherheitsupdates. In vielen Fällen waren sogar die Standardpasswörter noch aktiv. Angreifer könnten mit wenig Aufwand auf diese Systeme zugreifen, Daten manipulieren und sich unerlaubt Zugang zu Gebäuden verschaffen.
Rechtliche Folgen für Unternehmen: Grobe Fahrlässigkeit durch Untätigkeit
Unternehmen, die solche Sicherheitslücken ignorieren, bewegen sich auf rechtlich dünnem Eis. Nach der Datenschutz-Grundverordnung (DSGVO) drohen nicht nur hohe Bußgelder für die unzureichende Sicherung personenbezogener Daten. Viel gravierender könnte die Haftungsfrage im Schadensfall sein.
Denn wer als Verantwortlicher trotz bekannter Risiken keine geeigneten Maßnahmen ergreift, handelt möglicherweise grob fahrlässig. Ein klassisches Beispiel: Ein Angreifer verschafft sich über ein ungesichertes AMS Zugang zu sensiblen Unternehmensbereichen. Die Versicherung könnte in diesem Fall die Zahlung verweigern, weil der Schaden durch grob fahrlässiges Verhalten des Unternehmens ermöglicht wurde. Die Begründung: Wer Sicherheitslücken dieser Größenordnung ignoriert, kann sich nicht auf Unwissenheit berufen.
Zudem stellt sich die Frage der Beweisbarkeit. Anders als bei einem physischen Einbruch hinterlassen digitale Angriffe selten sichtbare Spuren. Ohne ausreichende Protokollierung und Monitoring könnte es schwerfallen, die genauen Umstände eines Vorfalls zu rekonstruieren. Hier droht ein doppeltes Risiko: Weder die Versicherung zahlt, noch kann der Täter ermittelt werden.
Die Pflicht zur Sicherung personenbezogener Daten endet nicht an der virtuellen Haustür. Sie umfasst auch die Gewährleistung, dass physische Zugangskontrollen nicht zum Einfallstor für Angreifer werden. Unternehmen sollten daher schnell handeln, um sowohl rechtlich als auch faktisch auf der sicheren Seite zu sein.
Nachweispflicht und Vorsorge: Was Unternehmen jetzt tun müssen
Die Tatsache, dass Zugangssysteme zunehmend digitalisiert und vernetzt sind, erfordert umfassende Sicherheitsmaßnahmen. Unternehmen sollten dringend prüfen, ob ihre AMS-Systeme über das Internet erreichbar sind und ob Sicherheitsupdates regelmäßig eingespielt werden. Ein erster Schritt könnte die Einführung von Firewalls, VPNs und strikten Zugriffsregeln sein.
Darüber hinaus ist ein kontinuierliches Monitoring unerlässlich, um verdächtige Aktivitäten frühzeitig zu erkennen. Regelmäßige Sicherheits-Audits können dabei helfen, Schwachstellen zu identifizieren, bevor sie von Angreifern ausgenutzt werden. Auch die Schulung von Mitarbeitern spielt eine entscheidende Rolle, um die Sensibilität für dieses Thema zu erhöhen.
Ignorierte Sicherheitslücken sind kein Kavaliersdelikt
Die Erkenntnisse der Modat-Studie sind ein Weckruf für Unternehmen aller Branchen. Unsichere Zugangssysteme stellen nicht nur ein erhebliches Risiko für die physische Sicherheit dar, sondern können auch zu erheblichen rechtlichen und finanziellen Konsequenzen führen. Wer die Augen vor diesen Gefahren verschließt, riskiert nicht nur den Verlust sensibler Daten, sondern setzt auch die Existenz des Unternehmens aufs Spiel.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
