Komplettlösungen für die Gebäudeorganisation

So gut wie jedes Unternehmen hat Daten, die nicht in fremde Hände gelangen dürfen. Manche bewahren auch Wertgegenstände auf, hüten Industriegeheimnisse oder schaffen ein geschütztes Lebensumfeld für Menschen. Für alle gilt: Unbefugter Zugang - ob virtuell oder analog - ist unbedingt zu verhindern.

Seit Jahrhunderten schützen Schlösser, seit vielen Dekaden auch Schließanlagen erfolgreich vor ungebetenem Besuch. Das ist bis heute so – auch wenn inzwischen Elektronik vielerorts mechanische Anlagen ablöst. Elektronische Schließanlagen werden digital verwaltet. Zwar verringert sich damit das Risiko durch verloren gegangene Schlüssel, denn diese lassen sich mit wenigen Mausklicks sperren. Dafür ist an anderer Stelle genauer hinzuschauen: Wie lässt sich verhindern, dass Daten gestohlen oder manipuliert werden?

Eine Lösung, die sich hier häufig anbietet, gerade in größeren Schließanlagen insbesondere in Kritischen Infrastrukturen, ist die On-Premise Verwaltung. Die Verwaltungssoftware und die dazugehörige Datenbank werden auf einem dedizierten oder virtualisierten Server im Unternehmen installiert. Meist integriert in das Objekt-Intranet, mit Möglichkeiten zum Single-Sign-On und zur Stammdatenübernahme, aber auch der Vernetzung in Drittgewerke wie Gebäudeleittechnik. Diese Topologie ermöglicht dann auch die Fernwartung durch den Hersteller.

Bei besonderem Schutzbedarf bietet sich an, die Installation vollständig vom Unternehmens-Intranet abzukoppeln, so dass jegliches Einfallstor „von Außen“ geschlossen ist. Alternativ hierzu werden zunehmend Software-as-a-Service (Saas) Modelle genutzt, bei denen die Hersteller elektronischer Schließanlagen ein Cloud-Hosting der Verwaltungssoftware und der Datenbank anbieten. Hierbei ist nebst Sicherheitsaspekten zu bedenken, dass vor Ort im Objekt sämtliche installierte Hardware der Schließanlage, etwa Programmiergeräte, Aufbuchleser und Online-Zutrittskontrollkomponenten, an diese Cloud anzubinden sind. Gerade in größeren Objekten kann dies die Komplexität erhöhen und die Pflege der elektronischen Schließanlage erschweren, die in aller Regel auf rund zwei Dekaden angelegt wird. Zudem ist der Kunde ein Stück weit ausgeliefert gegenüber Sicherheitslücken, die nicht im Objekt begründet sind, sondern unter anderem beim Saas-Anbieter liegen können und somit hinsichtlich ihres Auftretens und ihrer Abstellgeschwindigkeit nicht beeinflusst werden können.

Beim Thema Sicherheit aber einzig das Betreibermodell im Blick zu haben, greift deutlich zu kurz. Denn die elektronische Schließanlage ist gerade in mittleren bis größeren Objekten oft auf Sicht noch eine der letzten Anwendungen, nach dem ERP-System, bei der ein Saas-Modell für die Verwaltungssoftware und die Datenbankverwaltung gewählt wird. Auf welche weiteren Sicherheitsmerkmale ist zu achten, die vor Auswahl einer elektronischen Schließanlage kaufentscheidend sind?

Bei der Anmeldung an der Verwaltungssoftware ist es ratsam, neben Benutzernamen und Kennwort auch gleichzeitig einen zweiten Faktor mit abzufragen. Die Verwaltungssoftware Bluecontrol von Winkhaus beispielsweise löst dies durch das Vorhandensein der sogenannten Programmierkarte, die zum Zeitpunkt der Anmeldung auf dem Programmiergerät liegen muss. Nur so ist eine Programmierung von Berechtigungsänderungen möglich. Dem Datenschutz kann mit diesem System in unterschiedlichsten Ausbaustufen entsprochen werden. Wenn beispielsweise gewünscht ist, dass ein Identmedium wie ein Schlüssel keine eigenen Schließereignisse über das virtuelle Netzwerk transportiert, so kann dieser Transport identmedienscharf deaktiviert werden. Beispielsweise kann aber auch für jede Türkomponente die Protokollierung von Schließereignissen deaktiviert werden - etwa für Räume des Betriebs- oder Personalrates oder für Pausenräume. Für die automatisiert über das virtuelle Netzwerk übertragenen oder mittels Programmiergerät ausgelesene Schließereignisse kann in der Software der Zugriff durch ein Vier- oder gar Sechs-Augen-Prinzip abgesichert werden, sodass sich Schließereignisse nur im Bedarfsfall und beispielsweise im Beisein von Betriebs- oder Personalrat einsehen lassen. Sie sehen: Hier greifen ausgefeilte Mechanismen.

Zurzeit manifestiert sich ein seit vielen Jahren abzeichnender Trend in der Topologie elektronischer Schließ- und Zutrittskontrollanlagen: Allenfalls die Gebäude-Außenhülle und sicherheitskritische Bereiche wie Serverräume werden über eine Online-Zutrittskontrollanlage abgesichert - mit der Möglichkeit zur Online-Türüberwachung. Das eigentliche Gros der Anlage, die Türen im Innen-, Durchgangs- und teilweise auch im Außenbereich, werden mit Offline-Komponenten abgesichert. Diese bieten den Vorteil, ohne Datenleitung „Plug’n’Play“ installierbar zu sein, da bis auf Zutrittsleser die meisten Komponenten batteriebetrieben oder im Zusammenspiel mit Aktivtranspondern batterielos arbeiten. Damit sind sie sowohl für Neubauten als auch für die Nachrüstung gleichermaßen geeignet.

Ein Nachteil dieser Komponenten ist zunächst, dass bei Berechtigungsänderungen oder Schlüsselverlust die entsprechenden Komponenten mit Hilfe des Programmiergeräts manuell upgedated werden müssen. Dies kann gerade in größeren Objekten viel Laufarbeit erzeugen. „Daher setzen wir bei Bluesmart auf das optionale virtuelle Netzwerk“, sagt Dr. Volker Brink, Leiter Produktmanagement Zutrittsorganisation von Winkhaus. Dabei werden in der Regel an Zutrittstüren sogenannte Aufbuchleser installiert. Diese erlauben, die Berechtigung zum Schließen von Türen zu verlängern, beispielsweise genau für einen Arbeitstag. Sie dienen gleichzeitig zur Übertragung von Bewegungsdaten und Warnmeldungen (zum Beispiel für das Batteriemanagement der Komponenten) sowie zur Übertragung von Befehlen ( etwa Berechtigungsänderungen). Zu diesem Zweck sind sie mittels COM-Server über das Unternehmens-Intranet an die Verwaltungssoftware der Schließanlage angebunden. Nur diese „neuralgischen“ Punkte innerhalb der Schließanlage sind nebst erwünschten Online-Zutrittskontrollkomponenten noch konventionell zu verkabeln.

Welchen Vorteil bietet virtuelle Vernetzung außerdem? Sollte ein Schlüssel verloren gehen, können diesem einfach in der Verwaltungssoftware die Schließberechtigungen entzogen werden. Dies begrenzt die potentielle Sicherheitslücke, sofern der Schlüssel während eines aktiven Berechtigungsintervalls aufgefunden wird, auf ein kurzes Zeitfenster. Nämlich maximal das bis zur nächsten Aufbuchung - und zwar ohne dass mit einem Programmiergerät manuell die entzogenen Zutrittsberechtigungen in den Komponenten hinterlegt werden müssen. Nun lässt sich der Aufbuchleser bei Winkhaus Bluesmart noch um ein Touch Terminal ergänzen, um vor Aufbuchung, also vor dem Beschreiben des Identmediums mit einem neuen Berechtigungsintervall von zum Beispiel einem Arbeitstag und vor dem Beschreiben mit neuen Schließberechtigungen, ein PIN-Code abgefragt wird. Werden besonders schutzwürdige Bereiche auf diese Weise abgesichert, zeigt sich schnell, was hinter Werbeaussagen wie „Online-Komfort zum Offline-Aufwand“ steckt. Nämlich die Möglichkeit einer effizienten Objektabsicherung, von der vor allem auch der Anlagenverwalter profitiert, der täglich und über die oben genannten Dekaden mit dem System arbeitet.

„Denken wir weiter in Richtung von Anforderungen, wie wir sie von Kunden unter anderem aus dem Pflegesektor, der Energiewirtschaft und dem Einzelhandel kennen. Und zwar an den Stellen, an denen „in der Fläche“ verteilte Offline-Türkomponenten sich dem Zugriff des Anlagenverwalters entziehen. Gepaart mit dem Kundenwunsch, hier aus Aufwandsgründen keine Aufbuchleser installieren zu wollen, die sich über LTE-Modems selbstredend auch mit der Unternehmens-IT vernetzen ließen. Hier setzen wir an mit Möglichkeiten zur Fernberechtigung von sogenannten Aktivschlüsseln (BS A), die wiederum in Zusammenspiel mit einer Bluesmart App (iOS) auch eine Fernprogrammierung von Türkomponenten ermöglicht“, erläutert Dr. Brink.

Die Programmierung der Schließberechtigungen für diese Schlüssel erfolgt durch den Anlagenverwalter. Aus Sicherheitsgründen werden die jeweils aktuellen Berechtigungsdaten von der Verwaltungssoftware Bluecontrol Professional zum Bluesmart Active Ende-zu-Ende verschlüsselt übertragen. Der Winkhaus Fernberechtigungs- und Programmiertask ist über VPN (virtuelles privates Netzwerk) adressierbar oder läuft alternativ innerhalb der DMZ (demilitarisierte Zone) des Unternehmens. Winkhaus eigene Service-Techniker unterstützen bei der Erstinstallation dieses Dienstes.

Daten werden weder innerhalb der App noch auf dem Smartphone abgelegt. Die App wird lediglich als Anzeige- und Bediengerät für den Aktivschlüssel verwendet. Mit der Rückprotokollierung erhält der Anlagenverwalter eine Bestätigung, ob und in welchem Zeitraum die Programmierbefehle an die Bluesmart Komponenten übertragen wurden. Diese Lösung ist daher auch jederzeit revisionssicher, was den aktuellen Zustand der Schließberechtigungen angeht.

Zusätzlichen Schutz bietet die Funktion des automatischen Verfalls einer Zutrittsberechtigung, beispielsweise nach einem Arbeitstag: Ist der Verlust des Aktivschlüssels zu beklagen, verfällt die Zutrittsberechtigung automatisch nach Ablauf des zuvor festgelegten Zeitfensters.

Elektronische Zutrittsorganisation ist also schon ziemlich weit entwickelt. Sie kann heutzutage viele Sicherheitsaufgaben erfüllen und lässt sich gut individuellen Anforderungen anpassen. Für welche Art von Objekten bietet sich eine solche Lösung an? Ganz gleich ob Filialbetrieb, Stadtverwaltung mit mehreren Liegenschaften oder mittelständisches Unternehmen mit nur einem Standort - mit einem intelligenten System wie Bluesmart lassen sich die unterschiedlichsten Konzepte maßgeschneidert realisieren. Ein breites Produktprogramm eröffnet dafür vielfältige Möglichkeiten.

Neben den Schließanlagenfunktionen kann ein solches vollelektronisches System beispielsweise das Zutritts- und Parkplatzmanagement, die Zeiterfassung und die Steuerung der kompletten Haustechnik erledigen. Auch in die Kantinenabrechnung oder das Alarm- und Energiemanagement lässt sie sich einbinden. Dabei sind Offline-, Online- und kombinierte Offline-Online-Lösungen realisierbar.

Die Organisationstechnologie von Winkhaus kann Schließanlagen mit bis zu 195.000 Komponenten verwalten. Dabei ist eine Bluesmart-Anlage schnell und unkompliziert installiert, denn bei Nutzung dieses virtuellen Netzwerks ist nur der Aufbuchleser mit dem zentralen Rechner konventionell zu verkabeln. Ein umfangreiches Hardwareprogramm bietet für so gut wie jede Tür oder Pforte eine passende Schließanlagenkomponente: ob intelligenter Türbeschlag, Zutrittsleser im Schalterprogramm des Objektes oder das Kernprodukt, ein kompakter, flächenbündiger elektronischer Zylinder,, der Vandalismus vorbeugt und sich auch bestens für denkmalgeschützte Gebäude eignet.

Informationen zwischen den elektronischen Komponenten überträgt das Winkhaus System schnell und kabellos. Überträger ist der elektronische Schlüssel. Der Schlüssel für den Alltag ist wasserdicht (IP68), batterielos und wartungsfrei und trägt einen RFID-Chip im Inneren, der sowohl programmierte Transaktionen als auch aus Türkomponenten ausgelesene Daten transportiert. Daneben kann ein aktiver Schlüssel genutzt werden, um beispielsweise die oben beschriebenen Fernberechtigungen auszuführen.

Die elektronischen Bluesmart-Türzylinder haben die gleichen Maße wie mechanische Zylinder und brauchen nicht verkabelt zu werden, so dass bei der Installation aufwändige Umbauten von Türen entfallen. Lange Batteriestandzeiten – von durchschnittlich sechs bis zehn Jahren - gewährleisten auf Dauer den zuverlässigen elektronischen Betrieb. Daher ist der Wartungsaufwand sehr gering. Das Ölen der Zylinder, wie aus dem Bereich der mechanischen Zutrittsorganisation bekannt, entfällt, da die Spitze des elektronischen Schlüssels aus Kunststoff ist und daher kaum Metallabrieb an den Kontaktflächen entsteht, der den Zylinder schwergängig macht. In Zusammenspiel mit Aktivschlüsseln können Schließzylinder auch batterielos betrieben werden.

Der Ereignisspeicher der Bluesmart-Zylinder ist groß. So können beispielsweise im Falle eines Diebstahls die letzten 2.000 Schließereignisse mit Datum und Uhrzeit angezeigt werden, sofern die Ereignisprotokollierung in der Türkomponente aktiviert ist. Für die unterschiedlichsten Türen gibt es passende Komponenten: Dazu gehören Doppel- und Halbzylinder ohne Knauf, die gut vor versehentlicher oder bewusster Beschädigung geschützt sind und den Anwender vor dem Klemmen von Händen und Fingern schützen, Anti-Amokzylinder beispielsweise für Schulen und Hochschulen, Vorhängeschlösser sowie Möbelschlösser, aber auch Zutrittsleser und Türbeschläge. Zudem enthält das Programm Knauf-, Doppelknauf- und Knaufhalbzylinder, die wie Türbeschläge anstelle von Schlüsseln auch mit Karten oder Schlüsselanhänger-Tags beziehungsweise Armbändern betätigt werden können.

Bei Fragen, die sich während der Anwendung und Verwaltung am PC ergeben, steht der online Support von Winkhaus zur Seite. Im Bedarfsfall schaltet sich ein Mitarbeiter auf und kann per Ferndiagnose bei der Lösung helfen. Neben den individuellen Service-Leistungen durch die Techniker für die Endanwender der Schließanlage hat Winkhaus auch ein breites digitales Service-Angebot für seine Handelspartner aufgebaut. Es steht den Kunden zu jeder Tages- und Nachtzeit zur Verfügung: Mit dem Start der neuen Online-Partner-Plattform bietet sich dem Sicherheitsfachhandel jetzt auch die Möglichkeit, beispielsweise Schließpläne online zu erstellen, Artikel zu konfigurieren, Aufträge zu verfolgen, Angebote zu erarbeiten und Medienmaterialien downzuloaden. Auch der Produktkatalog ist komplett digitalisiert.

„Der neue digitale Service erleichtert den beruflichen Alltag für den Händler erheblich – und zwar rund um die Uhr und in Echtzeit“, sagt Rainer Sostmann, Leiter Sales Service. Zum Angebot zählen die „Winkhaus Locking Services“. Das bedienungsfreundliche Tool löst das bekannte „Online Order System“ ab und eignet sich auch für mobile Endgeräte. Hiermit lassen sich Komponenten ordern, Anlagen konfigurieren, online erstellte Schließpläne auch archivieren und aktualisieren. „Dabei kann der Händler sogar seine eigenen individuellen Dateiformate hochladen – das System kann sie einlesen und weiterverarbeiten“, bestätigt Sostmann.

Bei allen Angeboten, ganz gleich ob digital oder analog, Software- oder Hardware-Lösungen, bietet der Hersteller ein hohes Sicherheits-Niveau. Das belegt jetzt auch die erfolgreiche Zertifizierung nach der ISO 27001. Damit empfiehlt sich Winkhaus Zutrittsorganisation auch für Betreiber kritischer Infrastrukturen. Kunden, die sich zum Beispiel für die Zutrittslösungen Bluesmart oder Bluecompact entscheiden, brauchen häufig keine Fragenkataloge an den Lieferanten zu richten oder Lieferantenaudits durchzuführen, um sicherzustellen, dass die betreffenden Prozesse den Anforderungen entsprechen.