SECURITY insight 1/12

Schwerpunkt: ZutrittskontrolleZutrittsrechte als HolschuldPlädoyer für ein nachhaltiges Berechtigungsmanagement im UnternehmenEin Praxisbericht von Heinz LorseOb Zutrittsberechtigung an Tor oder Zugriffsberechtigung am Arbeitsplatz – „Exos9300“ ist nach Einschätzung des prominenten Sicherheitsleiters Lorse für alle Anforderungengerüstet.Ingenieur N. stattete seinem ehemaligen Arbeitgeber am Wochenende eineninoffiziellen Besuch ab. Dabei nutzte er eine, wie er von früher wusste, nurangelehnte und nicht ins Zugangssystem eingebundene Fluchttür. Der elektronischgesicherten Haupteingangstür schenkte er keine Beachtung. Zielsicherbetrat er das Büro seines früheren Chefs und kopierte sich die gesamten auf C:/gesicherten Konstruktionszeichnungen auf einen USB-Stick. Die ihm von damalsbekannten Passwörter waren nicht geändert worden. Gut gelaunt verließ er dasGebäude. Die Daten förderten seine Karriere nachhaltig.Was kann uns diese zwar fiktive, aberim wirklichen Leben immer wieder vorkommendeBegebenheit lehren? DasUnternehmen pflegt – wie viele andere– einen offenen Zugang zu Betrieb undDaten. Offenbar wird „Zutrittssicherheit“mit „Betriebssicherheit“ verwechselt.Die Geschichte steht beispielhaft für dasweit verbreitete Fehlen ganzheitlicherSicherheitskonzepte.KleinstaatereiIn vielen „Stab-Linien-Unternehmen“herrscht „Kleinstaaterei“. Die Vorgesetztenberichten nach oben, nicht nachder Seite. Unternehmenssicherheit istjedoch eine Querschnittsaufgabe. Compliance,Security und Safety beäugensich argwöhnisch anstatt gemeinsam einnachhaltiges Sicherungskonzept zu entwickeln.Das Fehlen verbindlicher Wertvorgabenverschlimmert die Situation. ImErgebnis herrscht in punkto Sicherheitdie „organisierte Verantwortungslosigkeit“.Darunter leiden die Prozesse – undder Kunde merkt es zuerst.Ein Mittel zur Beseitigung dieses Missstandsist ein nachhaltiges Berechtigungsmanagementfür Mitarbeiter undExterne. Ausnahmslos! Ganzheitlich verstanden,sprechen wir dann von „CorporateAccess Control Management“(CACM) und verstehen darunter alleMaßnahmen, die berechtigten eigenenund fremden Personen zu bestimmtenBereichen, Gebäuden, Räumen und definiertenSystemen (PC, Maschinen undmaschinellen Einrichtungen) ungehindertZugang verschaffen. Der Menschmit seinen Rechten steht im Vordergrund,nicht die Verbote.Den Zugang einfach und verantwortetzu gewähren, fördert die Motivation derMitarbeiter und die Effektivität der Arbeit.Darin liegt der wertmäßige Unterschied.Ein so aktiv eingesetztes Berechtigungsmanagementfindet bei den MitarbeiternAnerkennung und trägt damit zur Wertschöpfungbei.Arme KeyloggerVoraussetzung für ein in diesem Sinnewirksames Berechtigungsmanagementsystemist ein ganzheitliches Risikomanagement.Es erfasst alle Bereiche undFunktionen, also Verwaltung und Betrieb.Für den Betrieb technischer Anlagen geltenumfangreiche rechtliche Vorschriften.Viele Hersteller schützen den Zugangdurch jeweils eigene Zugangssysteme.Diese sind bunt und vielfältig, häufig inder Wirkung begrenzt. Es ist nicht effektiv,solche Systeme parallel zu pflegen.Im Beschaffungsprozess sollte darumdie Nutzung des betrieblich vorhandenenBerechtigungsmanagements zur Voraussetzunggemacht werden.Das System Exos 9300 des AnbietersKaba erfüllt diese Anforderungen. Durchdie intuitive Bedienung ist es sowohl füreigene als auch für fremde Personenim Standard einsetzbar. Der Mitarbeiterhat Zugangsrechte zum Betrieb, zur Verwaltung,zu bestimmten Räumlichkeitenund zu Systemen. Als Zugangsmediumdient ein frei segmentierbarer „Legic“-Ausweis oder -Button (1.024 KB). Dieseröffnet Türen, Tore, Drehkreuze, dientder Zeiterfassung, dem Aufruf/Druck vonZeit-, Urlaubs- und Lohndaten, startet denGabelstapler oder maschinelle Anlagen,öffnet Systemzugänge für die Administrationder Steuertechnik von Anlagen,ist zugleich bargeldloses Zahlungsmittelim Betriebsrestaurant und Vieles mehr.Der Tischleser mit aufliegendem Aus-Mit der „C-lever“-Funktion werdenOnline- und Offline-Komponenten gleichermaßengesteuert.weis/Button öffnet die Nutzung des PCs.Kein Medium, keine Nutzung. Arme Keylogger!In der Praxis ebenfalls erprobt:Die Einbindung von Tankstellen – dasEnde von Verbrauchsabweichungen.Und: Die mechanischen Schließsystemewerden ebenfalls eingebunden – dasEnde des Medienbruchs. Durch Schnittstellenwerden vor- und nachgelagerteSysteme integriert.Exos 9300 steuert Online- und Offline-Komponenten in industrietauglicher Ausführung(„C-Lever“). Ein potenzialfreierSI-Autor Heinz Lorse ist LeiterBetriebssicherheit/Service beieinem deutschen Erfrischungsgetränke-Produzentenin Gerolstein inder Vulkaneifel.SchwerpunktKontakt genügt. Diesen besitzen auchKopierer, Produktionsanlagen und alles,was mit Strom betrieben wird. Dazu zählenauch Toröffnungen, die mittels integrierterVideo-Sprachkommunikationssystemegesteuert werden. Die Mitarbeiterder Leitstelle öffnen Türen und Tore unterBeachtung der erforderlichen Sicherheitsanforderungen.Die „Card-Link“-Funktionbaut ein virtuelles Netzwerk mit zeitlicherValidierung des Keys auf. Dessen Verlustist darum unerheblich.Der Ausbau von Komponenten kann stufenweiseerfolgen, gemäß Bedarf. Das„Zugangsrad“ muss nicht neu erfundenwerden. Die Standardprofile werdengemäß Anforderung ausgewählt und Personenzugewiesen, individuell nach Vorgabeder Verantwortlichen, aus einem Menüvon Vorlagen. Dazu gehört – ganz wichtig– auch die zeitliche Ablaufgrenze derRechte. Dann wird der Key automatischwertlos. Das beherrscht jede qualifizierteWerkschutzfachkraft. Die Systemsteuerungobliegt den üblichen Fachleuten.Pflicht zur ZuweisungDer Nutzen: In der Praxis hat sich dieserSystemansatz bewährt. Durch dieindividuell zugewiesenen Rechte habenMitarbeiter eine klare Orientierung. DieRechte werden zur Holschuld, die Zuweisungzur Pflicht des Verantwortlichen.Die Sicherheitsabteilung steuert diesenProzess. Die Daten fremder Nutzer sindeine unverzichtbare Grundlage für dieRechnungsprüfung. Die Einfahrtserfassungder Lieferanten gibt Auskunft, ob„Just-in-Time-Lieferungen“ auch just intime erfolgen. Der Koordinator überzeugtsich am Arbeitsplatz, ob die Fremdhandwerkeranwesend sind oder nicht.Berechtigungsmanagement in diesemSinne verstanden, hat sich zu CACM entwickelt,in dem die Sicherheit das Ergebnissicherer Prozesse ist. Unternehmenmit diesen Voraussetzungen werdenkeine Schwierigkeiten mit Fluchttürenhaben, ganz sicher!www.kaba.deDer Wunschjedes Einzelnenzähltprimion – security solutionsDurchgängige und individuelleGesamtlösungen für• Sicherheitstechnik• Zutrittskontrolle• Zeiterfassung• Videotechnikwww.primion.de24Security insight 1/2012 25