Zutrittskontrolle der Zukunft: Trend zur Digitalisierung hält an

Kartenlesersysteme und physische Ausweise werden in der Zugangsverwaltung immer stärker von anderen Lösungen zur Zutrittskontrolle verdrängt, die immer öfter ein Smartphone oder mobiles Endgerät nutzen. Da das Smartphone zu einem alltäglichen Begleiter geworden ist, mit dem weit mehr als nur telefoniert oder geschrieben wird, liegt es nahe, sich damit auch zu legitimieren. Es reiht sich damit in einer Reihe von Lösungen zur berührungslosen Zutrittskontrolle ein, zu der auch biometrische Verfahren wie die Gesichtskontrolle oder der Iris-Scan gehören. Ziel ist es, das Identitätsmanagement und die eigentliche Kontrolle so zu vereinfachen, dass sich am Ende Ressourcen und Zeit einsparen lassen.

Auch wenn sich Systeme basierend auf Zutrittskarten insbesondere für Besucher in puncto Handhabung und Sicherheit seit Langem bewährt haben, besteht in vielen Unternehmen mittlerweile der Wunsch nach flexibleren Möglichkeiten. Hier kommen die Smartphones und ihre Fähigkeit, Apps für die unterschiedlichsten Anwendungen in Verbindung mit Technologien wie NFC (Near Field Communication), Face ID, WLAN oder Bluetooth zu verwenden, ins Spiel. Das Smartphone wird zum Ausweis, der je nach Anwendungsfall neu konfiguriert werden kann. Berührungslose biometrische Verfahren wie die Gesichtserkennung oder auch Handvenenscanner gewinnen ebenfalls an Bedeutung in Behörden oder Unternehmen. Mittlerweile arbeiten solche Systeme – wie etwa Face ID auf Smartphones schnell und immer präziser. Längere Wartezeiten an biometrischen Lesern sind damit Vergangenheit. Der Vorteil gegenüber Smartphones und anderen Identifikationsmedien liegt auf der Hand: Biometrische Identitäten können nicht verlegt werden und lassen sich in der Regel nur unter sehr großem Aufwand kopieren.

Die Verwendung von „mobile Credentials“ steht hierbei für die Identifikation einer Person mit einem einzigartigen digitalen Schlüssel. Dieser kann mittels App, einem QR-Code oder auch per SMS und E-Mail auf dem Gerät hinterlegt werden. Das Sicherheitspersonal oder die Administratoren der Zugangskontrollplattform können für jeden Systembenutzer einen mobil nutzbaren Ausweis erstellen, mit Optionen zur Beschränkung des Zugangs zu bestimmten Bereichen je nach der Rolle der Person. Wenn sich die Zugangsoptionen für einen Mitarbeiter ändern oder ein Mieter aus einer Immobilie zieht, lassen sich die mobilen Zugangsdaten schnell deaktivieren, um Sicherheitsrisiken zu minimieren. Die Identifizierung an einem Terminal oder Türschloss erfolgt per App, in der der Anwender seine Identität gegenüber der Datenbank und der damit verbundenen Berechtigungen im System bestätigt.

In einigen Szenarien ist dies auch möglich, ohne dass eine App aktiv benutzt wird, etwa per NFC oder Bluetooth. In diesem Fall scannen die angebundenen Lesegeräte, ob sich eine Person mit einer Berechtigung einer Tür nähert und geben diese frei. Für besonders sensible und schützenwerte Bereiche ist auch die Zwei-Faktor-Authentifizierung denkbar, etwa per Biometrie (berührungslos) oder durch Eingabe eines PINs. Zur Erweiterung biometrischer Lösungen sind auch solche in der Entwicklung, die Verhaltensmuster der Person miteinfließen lassen. Physische Attribute wie Fingerabdrücke und Gesichtserkennung können etwa mit Tippmustern kombiniert werden. Auf diese Weise entsteht ein robuster, personalisierter Authentifizierungsprozess, der Cyberkriminellen das Nachahmen erschwert.

Aber auch Sprache ist inzwischen eine weitere Möglichkeit zur bequemen und berührungslosen Identifikation. Verschiedene Faktoren einschließlich der Analyse der Sprache des Sprechers durch künstliche Intelligenz zur Sicherstellung seiner „Echtheit“ sollen das Risiko einer Nachahmung minimieren.

Der nächste logische Schritt ist die Einbindung von Wearables, also tragbaren Geräten wie Uhren, Armbändern, Anstecknadeln und ähnlichem. Da diese Geräte nicht erst aus der Tasche gezogen werden müssen, ist ihre Nutzung nochmal einfacher und schneller als mit dem Smartphone, mit dem sie verbunden sind. Die Miniaturisierung solcher IoT-Geräte erlaubt damit beinahe jede Form der Nutzung an Kleidung oder Schmuck. Die Eigentliche Verschlüsselung der Daten erfolgt weiterhin auf dem Smartphone.

Die Digitalisierung der Zutrittsverwaltung führt fast zwangsläufig zum nächsten logischen Schritt, Besuchermanagement und Zutrittskontrolle unter einem Dach zu vereinen. Die spart nicht nur Kosten, sondern ermöglicht vor allem einen ganzheitlichen Ansatz bei der Zugangskontrolle und deren Verwaltung. Ebenso wie für Mitarbeiter können auch Besucher statt physischer Ausweise eine App auf ihr Smartphone oder Tablet herunterladen, auf der die Mobile Credentials gespeichert werden. Der Vorteil in der Verwaltung liegt auf der Hand: Statt zwei System für Besuchermanagement und Zutrittskontrolle zu steuern, gibt es nur noch eine zentrale Datenbank, in der alle Berechtigungen hinterlegt sind. Durch die Anbindung an die Cloud kann ein zentrales Management aller Berechtigungen zudem von überall her erfolgen. Administratoren und Sicherheitsverantwortliche können auf fehlende Berechtigungen oder Probleme wesentlicher schneller reagieren als bei physischen Ausweismitteln, da im Zweifel dem Nutzer einfach eine neue Berechtigung zugesandt wird.

Obwohl viele Unternehmen die mobile Zutrittskontrolle aus Gründen der Bequemlichkeit und der verbesserten Sicherheit bereits einsetzen, ist diese Art Zutrittslösung mit einigen Herausforderungen verbunden. Nicht jedes Unternehmen kann eine Zutrittsverwaltung über Mobile Credentials in sein bestehendes System integrieren, wenn aus organisatorischen Gründen physische Identmedien notwendig sein sollten. In diesem Fall empfiehlt es sich, ein System zu wählen, das sowohl mobile als auch physische Zugangsdaten unterstützt. Bei der Integration einer mobilen Zutrittskontrolle in ein bestehendes Zugangsverwaltungssystem ist es ebenfalls sinnvoll in die Zukunft zu denken und ein Netzwerk zu entwerfen, in dem Sicherheitskameras, Alarme und Gebäudemanagementsysteme über ein cloudbasiertes Netzwerk mit den Zutrittslesern zusammen eingebettet sind.

Rein proprietäre Lösungen wird es künftig immer weniger geben, denn gerade die Anwendungen in der mobilen Zutrittskontrolle erfordern offene Schnittstellen. Die OSS Association arbeitet seit einiger Zeit an standardisierten Protokollen. Mit dem OSS Standard Offline für physische Identmedien ist in der Vergangenheit der erste Schritt getan worden, nun geht es um ähnliche Standards für mobile Anwendungen. Der Standard OSS Mobile Access (OSS-MA) standardisiert jene Schnittstellen, welche notwendig sind, um das Smartphone als Schlüssel (oder als Mobile Credential) zu nutzen. Die Frage der Interoperabilität betrifft daneben auch die Verwaltung der Zugriffsrichtlinien. Dies kann ein größeres Problem darstellen, da jede Cloud-Plattform einen eigenen proprietären Satz von Richtlinien (Policies) verwendet. Jede Ebene der Architektur – Anwendung, Identität, Daten und Netzwerk – hat ihre eigene Version der Richtlinien. Dieser Multiplikatoreffekt mit all den verschiedenen Kombinationen, erschwert das Verständnis, welche Richtlinien überhaupt vorhanden sind, und macht es fast unmöglich, sie effektiv zu verwalten. Standardisierungsbestrebungen wie IDQL und Hexa sollen eine Vereinheitlichung von Richtlinien über mehrere Cloud-Umgebungen hinweg ermöglichen, um sicherstellen, dass Zugriffsrichtlinien einheitlich durchgesetzt werden und interoperabel sind.

Die fortschreitende Digitalisierung der Zutrittsysteme und der dazugehörigen Gewerke in Verbindung mit Cloud-Anbindung erfordert ein paralleles Mitdenken der Cybersicherheit. „Secure by Design, Secure by Default“ bedeutet, dass IT-Sicherheit in allen Gewerken bereits in der Entwicklung mitgedacht und umgesetzt wird. Das gilt für die Hardware ebenso wie für die notwendige Software. In einem Netzwerk aus IoT-Geräten bildet jedes einzelne Gewerk einen möglichen Schwachpunkt, den Angreifer ausnutzen könnten, um ins Netzwerk einzudringen. Alle IoT-Geräte müssen demnach in ihrer Kommunikation bestmöglich verschlüsselt sein, idealerweise nach AES (Advanced Encryption Standard). Dasselbe gilt natürlich für alle Protokolle für WLAN oder Bluetooth, da viele Gewerke zunehmend kabellos eingebaut werden, um Installationskosten zu sparen und mehr Flexibilität beim Aufbau eines Sicherheitsnetzwerks zu erhalten. Mittels Chip-on-Board-Technologie lassen sich Verschlüsselungen und Zertifizierungen von Geräten manipulationssicher in die Hardware integrieren. Informationen wie Sicherheitsschlüssel zur Geräteauthentifizierung und Registrierung im IoT sind damit deutlich besser geschützt als bei einer softwarebasierten Speicherung von kryptografischen Schlüsseln. Die Cybersicherheit in der Zugangskontrolle erstreckt sich aber nicht nur auf die Einbindung aller Gewerke in ein Gesamtnetzwerk, sondern auch darauf, wo die Daten liegen und verarbeitet werden – und das passiert immer häufiger in einer Cloud-Umgebung.

In der Cloud selbst besteht das Problem, dass die Daten oftmals bei einem Anbieter liegen, womit sich Unternehmen von diesem abhängig machen und seiner Sicherheitsarchitektur vertrauen müssen. Eine Lösung hierfür könnte künftig sein, die Daten in der Cloud redundant abzusichern, ähnlich wie bei den physischen Festplatten. Die RAID-Technologie (Redundant Array of Independent Disks) lässt sich auch auf die Cloud übertragen. Bei der Übertragung in das Netz werden Datensätze zunächst in Blöcke aufgespalten, verschlüsselt und danach auf verschiedene, voneinander unabhängige Dienstleister verteilt. Keiner der Cloud-Hoster kommt dabei in den vollständigen Besitz aller Datenfragmente. Hierdurch ließe sich die Datensicherheit und Integrität deutlich erhöhen und die Abhängigkeit von einem einzelnen Dienstleister stark verringern.

Die Zukunft der Zutrittsverwaltung ist digital und mobil, gepaart mit biometrischen Lösungen zur Identifizierung von Personen und ihren Berechtigungen. Gleichzeitig verlagert sich die Datensicherheit immer stärker in die Cloud, womit sich für die Themen Datensicherheit neue Herausforderungen ergeben. Insgesamt gesehen, wird die Zutrittskontrolle ebenso wie die Videoüberwachung künftig in einem ganzheitlichen Ansatz bewertet werden. Alle Gewerke sind untereinander vernetzt und liefern ein vollständiges Lagebild zur Sicherheit in einem Objekt.