Strom aus. Schloss auf. Niemand hat das gewollt – aber alle haben es so gebaut.
Das Red Team verbringt zwei Stunden damit, den richtigen Sicherungskasten zu finden. Dann dauert es vier Sekunden. Die Sicherung für den Flur raus, der REX-Sensor verliert Strom, der Türmagnet fällt ab – und die Tür zum Serverraum steht offen. Kein Badge, keine Manipulation, keine Social-Engineering-Komponente. Nur eine Sicherung und das Wissen, wie die Tür bei Stromverlust konfiguriert ist.
Das ist kein exotischer Angriffsvektor. Es ist die direkte Konsequenz einer Planungsentscheidung, die in tausenden Gebäuden genau so getroffen wurde – oft ohne dass jemand bewusst darüber nachgedacht hat. Die Frage, ob eine Tür bei Stromausfall auf- oder zugeht, ist in Deutschland keine Designpräferenz. Sie ist eine normative Anforderung – und je nach Türtyp zeigen diese Anforderungen in entgegengesetzte Richtungen.
Das eigentliche Problem ist nicht, dass Türen bei Stromausfall aufgehen. Das Problem ist, dass die meisten Betreiber nicht wissen, welche ihrer Türen wie konfiguriert sind – und dass niemand je getestet hat, was beim Auslösen einer einzelnen Sicherung passiert.
Fail-Safe vs. Fail-Secure: Ein Grundbegriff mit weitreichenden Konsequenzen
Bevor wir in die Angriffsvektoren einsteigen, müssen zwei Begriffe präzise verstanden werden – denn sie werden in der Praxis regelmäßig verwechselt, und die Verwechslung hat direkte sicherheitsrelevante Konsequenzen.
Beide Prinzipien sind in Deutschland normativ vorgeschrieben – aber für unterschiedliche Türtypen. Das Problem entsteht, wenn diese Anforderungen im selben Gebäude, im selben Flur, manchmal an der selben Türanlage aufeinandertreffen. Und wenn niemand eine vollständige Übersicht hat, welche Tür wie konfiguriert ist.
Ein typisches Bürogebäude hat beides: Fluchtwegtüren, die bei Stromausfall öffnen müssen, und Brandschutztüren, die bei Stromausfall geschlossen bleiben müssen. Die Sicherheitsarchitektur ergibt sich aus dem Zusammenspiel beider – und Fehler in der Planung oder Wartung erzeugen Lücken in beiden Richtungen.
Türtypen, Normen und das gesetzlich erzwungene Dilemma
Um die Angriffsvektoren zu verstehen, muss man wissen, welche Türen in deutschen Gebäuden welchem Regime unterliegen. Die Normlandschaft ist komplex, aber die sicherheitsrelevanten Kernaussagen sind eindeutig.
Das gesetzlich erzwungene Dilemma: Sicherheit vs. Sicherheit
Brandschutz und Zutrittssicherheit zeigen in entgegengesetzte Richtungen – und beide sind Pflicht.
Fluchtwegtüren müssen bei Stromausfall öffnen, damit Menschen im Brandfall fliehen können. Brandschutztüren müssen bei Stromausfall geschlossen bleiben, damit Feuer und Rauch sich nicht ausbreiten. Beide Anforderungen sind normativ bindend, beide sind sicherheitskritisch.
Für einen Angreifer bedeutet das: Fail-Safe-Türen sind strukturell angreifbar über Stromunterbrechung – nicht als Designfehler, sondern als gesetzlich erzwungenes Merkmal. Wer weiß, welche Türen im Gebäude welchem Regime unterliegen, weiß welche Türen sich durch Stromunterbrechung öffnen lassen.
Die eigentliche Schwachstelle ist nicht das Prinzip selbst – es ist die fehlende Dokumentation, fehlende USV-Absicherung und das fehlende Wissen der Betreiber darüber, welche ihrer Türen wie reagieren.
Die vollständige Angriffskette: Vom Sicherungskasten zur offenen Tür
Das Tückische an diesem Angriffsvektor: Er hinterlässt im Zutrittskontrollsystem keinen Badge-Log-Eintrag. Die Tür hat sich durch einen Stromausfall geöffnet – das ist kein Sicherheitsereignis aus ZKS-Perspektive, sondern ein Betriebszustand. Nur ein kombinierter Alarm aus Türkontaktsensor und Stromausfall-Detektion würde anschlagen.
# Voraussetzung: Fail-Safe-Tür, Zugang zum Sicherungskasten
Ziel-Türtyp: Ruhestrom-Öffner (Türmagnet oder E-Öffner Fail-Safe)
Werkzeug: Zugang zum Unterverteiler im Gebäude
Aktion: Sicherung für Zielstromkreis auslösen
Reaktion: Türmagnet stromlos → Tür öffnet durch Federmechanismus
Zeitfenster: Bis Sicherung zurückgesetzt wird oder Alarm ausgelöst wird
→ Kein Badge, kein ZKS-Log, kein Alarm (ohne Türkontaktsensor + Stromausfall-Monitoring)
Schwachstellen-Matrix: Was in Audits wie häufig funktioniert
| Schwachstelle | Angriffsvektor | Häufigkeit in Audits | Risiko |
|---|---|---|---|
| Ungesicherter Sicherungskasten / Unterverteiler | Direkter Stromausfall für Zielbereich ohne Zutrittshürde | Sehr häufig | KRITISCH |
| Fail-Safe-Tür ohne USV-Absicherung | Jede externe Stromunterbrechung öffnet die Tür unkontrolliert | Standard | KRITISCH |
| Kein Türkontaktsensor / kein Stromausfall-Monitoring | Öffnung durch Stromausfall erzeugt keinen Alert im ZKS | Sehr häufig | HOCH |
| Falsch konfigurierte Brandschutz-Fluchttür | Tür blockiert Fluchtweg bei Stromausfall (Fail-Secure statt Fail-Safe) | Gelegentlich | HOCH |
| Fehlende Türtyp-Dokumentation | Betreiber weiß nicht, welche Türen wie reagieren – kein gezieltes Gegentesten möglich | Häufig | MITTEL |
| USV vorhanden, aber nicht getestet | USV fällt bei realem Stromausfall aus – Fail-Safe-Verhalten tritt trotzdem ein | Gelegentlich | MITTEL |
Wie du Stromausfall-Angriffe und Planungsfehler systematisch ausschließt
Die Herausforderung bei diesem Thema: Fail-Safe abschaffen ist keine Option – es ist gesetzlich vorgeschrieben. Die Lösung liegt nicht in einer anderen Konfiguration, sondern in einer vollständigen Härtung der Randbedingungen: Wer den Strom kontrolliert, kontrolliert die Tür. Also muss der Strom geschützt werden.
- Türtyp-Inventar erstellen: Dokumentiert für jede gesteuerte Tür im Gebäude: Typ (Fluchtweg, Brandschutz, kombiniert), Öffnerprinzip (Fail-Safe / Fail-Secure), zugehöriger Stromkreis und USV-Status. Ohne diese Liste ist gezielte Härtung nicht möglich – und im Audit-Fall nicht nachweisbar.
- Sicherungskästen und Unterverteiler absichern: Elektroverteilungen in allgemein zugänglichen Bereichen müssen unter Zutrittskontrolle gebracht werden. Ein offener Unterverteiler im Flur neben der gesicherten Tür hebelt die gesamte Zutrittskontrolle aus. Schloss, Kameraüberwachung und Tamper-Alarm sind das Minimum.
- USV für kritische Fail-Safe-Türen: Türmagnete und Ruhestrom-Öffner an sicherheitskritischen Bereichen müssen über eine unterbrechungsfreie Stromversorgung gespeist werden. Die USV muss regelmäßig getestet werden – eine USV, die nie geprüft wurde, ist keine Sicherheitsmaßnahme.
- Türkontaktsensoren mit Stromausfall-Korrelation: Jede Öffnung einer gesicherten Tür muss im SIEM oder der Alarmanlage registriert werden – auch wenn kein Badge gelesen wurde. Ein Türkontaktsensor, der bei gleichzeitig gemeldetem Stromausfall im Zielstromkreis auslöst, ist ein präziser Indikator für diesen Angriffsvektor.
- Kombinierte Türen von Fachplaner abnehmen lassen: Türen, die gleichzeitig Brandschutz- und Fluchtweganforderungen erfüllen müssen, gehören in die Hände eines zertifizierten Brandschutzplaners. Planungsfehler bei diesem Türtyp sind häufig, schwer erkennbar und können im Ernstfall Leben kosten – in beide Richtungen.
- Stromausfall-Simulation im Pentest: Ein Physical-Security-Audit, der diesen Angriffsvektor nicht explizit testet, ist unvollständig. Das gezielte Auslösen einer Sicherung unter kontrollierten Bedingungen zeigt in Minuten, welche Türen betroffen sind – und ob das Monitoring anspricht. Wir führen diesen Test als Standardbestandteil physischer Audits durch.
Fail-Safe ist keine Schwachstelle – es ist eine Schutzfunktion für Menschenleben. Die Schwachstelle ist ungesicherter Zugang zur Stromversorgung, fehlende USV und fehlendes Monitoring. Wer diese drei Punkte schließt, neutralisiert den Angriffsvektor ohne die Fluchtwegsicherheit zu gefährden.
Fazit: Die Schwachstelle ist nicht das Gesetz – es ist die Lücke zwischen Planung und Betrieb
Das Gesetz zwingt Betreiber, Fluchtwegtüren fail-safe zu bauen. Das ist richtig so – es schützt Menschenleben. Aber dasselbe Gesetz erzeugt einen Angriffsvektor, wenn der Strom, der diese Türen geschlossen hält, nicht geschützt ist.
In der Praxis bedeutet das: Wer den Sicherungskasten kennt und den Stromkreis der Ziel-Tür zuordnen kann, hat einen zuverlässigen, spurenarm nutzbaren Zugangsvektor – in jedem Gebäude, das Fail-Safe-Türen betreibt, ohne die Stromversorgung zu sichern. Das sind sehr viele Gebäude.
Die gefährlichste Aussage in diesem Kontext ist: „Wir haben das so gebaut, weil es die Norm verlangt." Normen definieren Mindestanforderungen – keine vollständige Sicherheitsarchitektur. Was die Norm nicht verbietet, muss trotzdem bedacht werden. Fail-Safe plus offener Sicherungskasten ist normkonform und trotzdem eine Lücke.
Weißt du, welche deiner Türen sich bei einem Stromausfall öffnen – und wer Zugang zum Sicherungskasten hat?
Wir testen Stromausfall-Vektoren, prüfen Türtyp-Konfigurationen und liefern ein vollständiges Fail-Safe/Fail-Secure-Inventar deines Gebäudes.
Physical Security Audit anfragen →