Verheiratung zweier Welten

Ein daumennagelgroßes Siliziumstückchen ersetzt alle Firmenausweise und taugt sogar zum Bezahlen. Moderne Krypto-Technik macht es möglich. Probleme bereiten die unflexiblen Unternehmens-strukturen.

Am Eingangstor braucht man ihn, zum Freischalten des Bürocomputers, in der Kantine und vielleicht noch für die Tür zur Abteilung. Ohne Zugangsberechtigungen und Ausweise läuft nichts im modernen Büroumfeld. Die Idee, alle Ausweise in ein System zu packen, ist naheliegend, aber nicht unproblematisch. Bevor eine Firma die Vorteile nutzen kann, ist der Aufbau einer All-in-One-Access-Administration und ein umfassendes Identity- und Access-Management (IAM) nötig, inklusive Card Lifecycle Management, Rollenmodellen und Genehmigungs-Workflows.

Der multifunktionale Mitarbeiterausweis ist daher erst in wenigen Fällen fester Bestandteil des Sicherheitskonzeptes. Obwohl die Vorteile auf der Hand liegen. Eine All-in-One-Access-Lösung vereint mehrere Applikationen auf einem elektronischen Schlüssel. „Der Wunsch der Firmen geht ganz eindeutig hin zu einfachen aber dennoch sicheren Identifizierungsmöglichkeiten. Der klassische Einsatz von mehreren unterschiedlichen Authentisierungsmedien bietet keinen Mehrwert, sondern erzeugt in mehreren Abteilungen redundanten Aufwand. Außerdem lassen sich so keine Synergieeffekte erzielen, wie zum Beispiel frühzeitiges Erkennen des Verlustes eines Ausweises oder das automatische Sperren eines PCs“, erläutert Ga-Lam Chang, Leiter der Abteilung Identity and Security Management Solutions der Peak Solution GmbH.

Derzeit ist es aber noch schwierig, einen Standard für derartige Ausweise bereitzustellen, der alle Applikationen der Zugangsberechtigung umfasst. Denn die Bequemlichkeit soll nicht auf Kosten der Sicherheit gehen. Darum ist der Markt für moderne Access-Systeme noch überschaubar. Multiapplikations-Karten sind aber klar auf dem Vormarsch. Solche Ausweise gibt es, je nach Anwendungsfall, als kontaktlose oder kontaktbehaftete Varianten.

Diese multifunktionalen Mitarbeiterausweise sind in der Lage, unterschiedliche Kodieranforderungen an die Karte zu zentralisieren. Bei den Zielapplikationen kann es sich um eine reine Zutrittskontrolle, die Zeiterfassung, das Kantinenbezahlsystem oder den Zugang zum IT-System handeln. Diese Mitarbeiterausweise zeichnen sich gerade dadurch aus, dass sie über Standorte und Systemgrenzen hinweg Zugang gewähren. Somit sind Szenarien möglich, die bislang nicht, oder nur mit enorm hohem Aufwand realisierbar waren. Dazu zählen temporär veränderbare Identifikations- und Berechtigungsmedien, aber auch die kurzfristige Freigabe von Zutrittsrechten. Damit können sich externe Dienstleister in einem engen zeitlichen und räumlichen Rahmen innerhalb eines Firmenstandortes bewegen. Nach Ende der Arbeiten erlöschen die Rechte sofort wieder.

Für den „normalen“ Mitarbeiter ist der multifunktionale Mitarbeiterausweis die Zugangsberechtigung zum Firmengelände, zur eigenen Abteilung sowie bei Bedarf der Türschlüssel zu besonders gesicherten Räumen. Je nach Sicherheitsniveau kann der elektronische Ausweis durch zusätzliche Authentifizierungs-Anforderungen ergänzt werden. Dazu zählen der Zwang, sich durch Kenntnis eines Zahlencodes oder einer Zeichenkette auszuweisen (PIN oder Passwort), sowie die zusätzliche Abfrage eines biometrischen Merkmales (Ein-, Zwei- oder Drei-Faktor Authentifizierung).

Zudem ersetzt er den IT-Freigabe-Ausweis, den Kantinenausweis, die Zugangsberechtigung zum Lager oder zu Filialen. Wichtiges Element ist das dahinter liegende Identity- und Access-Management (IAM), das „mitdenkt“. Wenn sich jemand unter der Kennung eines Mitarbeiters, der sich nicht auf dem Firmengelände aufhält, in die IT einloggen will, stimmt etwas nicht. Entweder war eine Tür unerlaubterweise geöffnet und der Mitarbeiter befindet sich tatsächlich an seinem Platz, ohne sich vorher ordentlich angemeldet zu haben, oder es handelt sich um den Versuch, sich unerlaubt Zugang zum Firmenrechner zu verschaffen.

Wesentlich häufiger dürfte es in Firmen zum Kaffeepausen-Syndrom kommen. Ein Mitarbeiter verlässt für einige Minuten den Arbeitsplatz, vergisst sich abzumelden und überlässt seinen Zugang damit jedem, der sich in räumlicher Nähe seines Rechners befindet. Wenn der Mitarbeiter dieselbe Karte an der nächsten Tür hingegen wieder als Ausweis braucht, wird er sich entweder selber ausloggen, oder das IAM übernimmt das für ihn.

Wenn sich alle Berechtigungen zentral auf einem Medium befinden, wird ein Verlust außerdem sofort bemerkt und man kann unmittelbar reagieren. Je mehr Funktionen auf einer Chip-Karte vereint sind, desto heikler ist jedoch der Verlust. An das IAM inklusive Card Lifecycle Management werden also hohe Anforderungen gestellt, vor allem was die Reaktionszeiten betrifft. Ein Mitarbeiter, der nirgendwo mehr Zutritt erhält, ist nicht produktiv. Es kommt also auf schnellen Ersatz im Verlustfall an. Die Ausgabe wird dabei komplexer, je mehr Funktionen eine Chip-Karte vereint, denn zumeist sind noch unterschiedliche Abteilungen für die Ausgabe verantwortlich.

Die Existenz multipler, unvereinbarer Identitäten hat historische Gründe und ist heute nicht mehr zeitgemäß. Vor allem an diesem Punkt sehen Experten den größten Handlungsbedarf. Denn während die Karten und die IT bereitstehen, hakt es beim Zusammenspiel der diversen Abteilungen meist noch gewaltig. Teilweise sind auch neue Compliance-Regeln innerhalb der Firmen fällig. Entscheidungen, die aber vor allem bei international tätigen Unternehmen sowieso anstehen. Hier ist an regulatorische Vorgaben, wie Sarbanes-Oxley, ISO 9000 oder Basel II, zu denken. Damit einher geht der Wechsel von der lokal zu entscheidenden Berechtigung hin zu unternehmensweiten Rollenmodellen.

Dieses geht dann nicht mehr von einzelnen Applikationen oder Zugangskontrollen aus, sondern von Anwendungsfällen, aus denen das Management Sicherheitsanforderungen und Verantwortlichkeiten ableiten muss. Diese fließen in elektronisch abgebildete Workflows und Nutzerprofile. In einem voll ausgebauten IAM-System sind für die wichtigen Personengruppen im Unternehmen bereits Standards gesetzt, die Zutrittsrechte für Gebäude, Versorgung mit IT-Ressourcen sowie Zugriffsrechte auf Daten regeln. Wer jeweils für Anträge und Entscheidungen zuständig ist, wird genauso über Rollen definiert. Der große Vorteil eines detaillierten Rollenmodells ist der sinkende Administrationsaufwand und die deutlich höhere Flexibilität bei Rechteveränderungen – zum Beispiel beim Wechsel eines Mitarbeiters in eine andere Abteilung. Auch für Besucher, Lieferanten sowie Partner oder Subunternehmer sind solche Rollen zu erstellen.