Die physische Zugangskontrolle umfasst Maßnahmen und technische Systeme, die den unbefugten physischen Zugang zu geschützten Bereichen wie Gebäuden oder Räumen und den dort installierten Datenverarbeitungsanlagen verhindern sollen. Sie ist eine unverzichtbare Komponente der Informationssicherheit.
Die physische Zugangskontrolle ist eine unverzichtbare Komponente der Informationssicherheit und bietet Schutz vor unbefugtem physischem Zugang.
Der englische Begriff für physische Zugangskontrolle lautet Physical Access Control. Die Abkürzung ist PAC. Bevor der Begriff näher erklärt werden kann, sind einige Vorbemerkungen notwendig. Begriffe wie Zugangskontrolle, Zutrittskontrolle und Zugriffskontrolle werden häufig unsauber verwendet, durcheinander geworfen oder synonym gebraucht. Dabei lassen sich die Begriffe Zutritt, Zugang und Zugriff in ihrer grundsätzlichen Bedeutung voneinander abgrenzen. Mit Zutritt ist das physische Betreten eines geschützten Bereichs wie eines Gebäudes oder eines Raums gemeint. Die Zutrittskontrolle regelt, wer einen Sicherheitsbereich betreten darf und wer nicht. Als Zugang wird die Möglichkeit bezeichnet, digitalen oder physischen Zugang zu Ressourcen, Informationen oder IT-Systemen zu erhalten, um diese zu nutzen. Als Zugriff bezeichnet man die logische Nutzung von Anwendungen und Daten durch Personen oder Systeme, die Zugang zu den entsprechenden Ressourcen haben.
Ist nun von physischer Zugangskontrolle die Rede, handelt es sich in der Regel um eine Kombination aus Zutritts- und Zugangskontrolle. Die physische Zugangskontrolle umfasst Maßnahmen, Verfahren und technische Systeme, die regeln, wer Zutritt zu geschützten Bereichen wie Gebäuden oder Räumen und physischen Zugang zu den dort installierten IT-Systemen und Datenverarbeitungsanlagen erhält. Die physische Zugangskontrolle ist eine unverzichtbare Komponente der Informationssicherheit und kommt mit weiteren Kontrollmaßnahmen wie der logischen Zugangskontrolle und der Zugriffskontrolle zum Einsatz. Zutritts-, Zugangs- und Zugriffskontrolle ergänzen sich gegenseitig. Sie erfüllen jeweils spezifische Aufgaben, um Lokationen, IT-Systeme, Datenverarbeitungsanlagen, Anwendungen und Daten zu schützen.
Die physische Zugangskontrolle nutzt sowohl technische als auch organisatorische Maßnahmen, die sicherstellen, dass nur befugte Personen physischen Zugang erhalten. Für den physischen Zugang müssen Personen authentifiziert werden oder über entsprechende physische oder digitale Zugangserlaubnisse wie Schlüssel oder Codes verfügen. Zur Überwachung und Durchsetzung der physischen Zugangssicherheit können Zugangskontrollsysteme unterschiedlicher Art zum Einsatz kommen.
Die Ziele der physischen Zugangskontrolle
Wichtigstes Ziel von Physical Access Control ist es, zu verhindern, dass Unbefugte Zutritt zu geschützten Bereichen oder physischen Zugang zu Datenverarbeitungsanlagen erhalten. Gleichzeitig soll berechtigten Personen der physische Zugang gestattet werden. Physical Access Control dient dem Schutz von Eigentum, Personen, IT-Ressourcen und Informationen und verbessert das allgemeine Sicherheitsniveau innerhalb einer Organisation, einer Einrichtung oder eines geschützten Bereichs. Das Risiko für die Verletzung der Informationssicherheit oder des Datenschutzes wird durch die physische Zugangskontrolle reduziert. Gleichzeitig trägt Physical Access Control dazu bei, dass gesetzliche Vorgaben, branchenspezifische Regelungen oder Compliance-Richtlinien eingehalten werden.
Abgrenzung zur logischen Zugangskontrolle
Die physische Zugangskontrolle lässt sich von der logischen Zugangskontrolle abgrenzen. Während die physische Zugangskontrolle verhindert, dass Personen Zutritt zu geschützten Bereichen und physischen Zugang zu Datenverarbeitungsanlagen oder anderen Ressourcen erhalten, konzentriert sich die logische Zugangskontrolle auf die Kontrolle des digitalen, virtuellen Zugangs von Personen oder Systemen zu IT-Ressourcen und Daten. Es kommen Verfahren und technische Lösungen zum Einsatz, die den Zugang beispielsweise zu Servern, Netzwerken oder Dateien per Authentifizierung beispielsweise über Zugangskennungen, Login-Passwörter, Sicherheits-Token oder biometrische Merkmale erlauben, verbieten oder einschränken. Physische und logische Zugangskontrolle kommen meist in Kombination zum Einsatz.
Komponenten, Funktionen und Arten der physischen Zugangskontrolle
Die physische Zugangskontrolle setzt sich aus technischen und organisatorischen Kontrollmaßnahmen und -verfahren zusammen. Sie lässt sich in mehrere grundlegende Funktionskomponenten unterteilen. Es wird unterschieden zwischen Zugangspunkten, Berechtigungsnachweisen (Identifikatoren), Eingabegeräten (Tastaturen oder Lesegeräte), Bedienfeldern und Servern der Zugangskontrolle.
Ein Zugangspunkt verfügt über eine bestimmte Form einer physischen Zugangsbarriere und kann so den Zugang von nicht oder noch nicht authentifizierter Personen einschränken. Es kann sich beispielsweise um ein Schloss, ein Tor oder ein Drehkreuz handeln.
Ein Identifikator ist ein Nachweis für eine Zugangsberechtigung einer Person wie ein Schlüssel, eine PIN, ein biometrisches Merkmal oder eine Magnetkarte. Je nach Art lässt sich der Identifikator zum Beispiel über ein Lesegerät einlesen oder über eine Tastatur eingeben. Ein Bedienfeld empfängt die über ein Lesegerät oder eine Tastatur eingegebenen oder ausgelesenen Informationen und gleicht sie gegebenenfalls mit einem Zugangskontrollserver ab. Je nach Ergebnis öffnet oder schließt sich die physische Barriere des Zugangspunkts.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Weitere typische Funktionen der physischen Zugangskontrolle sind neben den eigentlichen Kontrollfunktionen die Überwachung von Eingängen, Gebäudebereichen oder Räumen beispielsweise mithilfe von Überwachungskameras und Videoaufzeichnung sowie die Protokollierung aller Zugangsversuche. Über die Protokollierung und die Nutzung von Überwachungskameras und Aufzeichnungssystemen lässt sich nachvollziehen, wer zu welchem Zeitpunkt einen bestimmten Bereich betreten oder verlassen hat (beziehungsweise es versucht hat), wo sich welche Personen gerade aufhalten und womit sie beschäftigt sind. Überwachungskameras haben für die Zugangskontrolle sowohl präventiven als auch reaktiven Charakter. Darüber hinaus verfügt die physische Zugangskontrolle über Alarmierungsfunktionen für den Fall, dass unbefugte Zugangsversuche festgestellt werden.
Eine herkömmliche Tür mit einem mechanischen Schloss ist eine grundlegende und sehr einfache Art eines physischen Zugangskontrollsystems. Über den Besitz und die Nutzung eines Schlüssels sowie die Betätigung der Tür kann sich eine Person Zugang zu einem Gebäudebereich oder zum Inneren eines Serverschranks verschaffen. Eine weitere analoge Form der Zugangskontrolle ist der Einsatz von Wach- und Schutzpersonal, das für den physischen Zugang zu Gebäudebereichen die Authentifizierung von Personen durchführt und Schließanlagen betätigt.
In sensiblen Bereichen kommen heute aber leistungsfähigere und komplexere Zutrittskontrollsysteme zum Einsatz, die digitale, elektronische und mechanische Funktionen sowie analoge Formen der Zugangskontrolle kombinieren. Schlösser können elektronisch beispielsweise über Identifikatoren wie RFID-Transponder, NFC-Karten, Chip-Karten, Magnetkarten, PIN-Codes oder biometrische Merkmale geöffnet oder geschlossen werden. Die Authentifizierung übernehmen IT-Systeme mit entsprechender Datenhaltung für das Zugangsmanagement.
Typische Einsatzbereiche von PAC-Systemen
Physische Zugangskontrollsysteme kommen in ihren verschiedenen Formen sowohl im privaten als auch im geschäftlichen und professionellen Bereich zum Einsatz. Geht es um den privaten Bereich, handelt es sich in der Regel um einfache Systeme bestehend beispielsweise aus mechanischen oder elektronischen Schlössern und Überwachungskameras. Der Einsatz von leistungsfähigen, professionellen PAC-Systemen, die ein hohes Sicherheitsniveau ermöglichen, macht überall dort Sinn, wo sensible Bereiche, IT-Ressourcen und Informationen vor unbefugtem physischem Zugang geschützt werden müssen. Beispiele für typische Anwendungsbereiche und Branchen sind:
Bürogebäude
Geschäftsräume
Entwicklungs- und Forschungsstätten
Lagerhallen
Produktionshallen
Rechenzentren und Serverräume oder Server-Racks
Telekommunikationsinfrastruktur
Kritische Infrastrukturen (KRITIS)
militärische Anlagen
Flughäfen
öffentliche Verkehrsinfrastrukturkomponenten
Krankenhäuser
Finanzinstitute
Herausforderungen der physischen Zugangskontrolle
Die Implementierung physischer Zugangskontrollsysteme ist mit einigen Herausforderungen verbunden. Um ein hohes Sicherheitsniveau zu erreichen und unbefugten physischen Zugang zuverlässig zu verhindern, müssen die Systeme zahlreiche technische wie organisatorische Anforderungen erfüllen. Die Systeme sollten flexibel und skalierbar sein, um das Wachstum von Unternehmen oder Organisationen zu unterstützen. Zudem müssen die Systeme in bestehende Infrastrukturen und Sicherheitslösungen integrierbar sein. Die Anschaffung, Installation und der Betrieb professioneller Zugangskontrollsysteme erfordern finanziellen und personellen Aufwand. Eine weitere Herausforderung besteht hinsichtlich der Benutzerfreundlichkeit. Die Systeme müssen sicher, aber auch einfach und komfortabel zu nutzen und zu bedienen sein. Weitere Herausforderungen der physischen Zugangskontrolle sind:
hohe Widerstandsfähigkeit gegenüber Angriffen und physischen oder logischen Manipulationen
hohe Effizienz in Betrieb, Verwaltung, Wartung und Überwachung der Systeme
Minimierung der Auswirkungen von menschlichem Versagen
Einhaltung rechtlicher Anforderungen
datenschutzkonforme Speicherung und Verarbeitung personenbezogener Daten
Sicherstellung einer hohen Ausfallsicherheit der Zugangskontrollsysteme
Verfügbarkeit von mechanischen Notfalllösungen, beispielsweise bei Stromausfall oder IT-Störungen
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/a3/5f/a35feaad2b3c9bc96e50c09f06bf3e04/0125182351v1.jpeg "Ein All-in-One-Schlüssel kann digitale Authentifizierung mit physischer Zutrittskontrolle vereinen. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/94/b6/94b6eabbf39e00f7ce256b86aaab40c5/0124877086v1.jpeg "Das Active Directory ist ein Verzeichnisdienst von Microsoft für Windows-Netzwerke und dient der Verwaltung von Netzressourcen und -objekten. (Bild: © Weissblick - stock.adobe.com / Vogel IT-Medien GmbH)")