Unter Sicherheitsaspekten wäre es sinnvoll, unter Kostengesichtspunkten erwünscht, wenn beim Ausscheiden eines Mitarbeiters mit einem Knopfdruck - und damit schnell und zuverlässig - alle Zugriffsberechtigungen gelöscht werden könnten. Machbar ist das, allerdings nicht ganz einfach. So ist es nicht selten, dass technische, wirtschaftliche, betriebspolitische oder rechtlichen Gründe ein umfassendes Identitäts- und Berechtigungsmanagementsystem unter Einbeziehung von Zutrittskontrolle und Zeiterfassung verhindern oder dessen Funktionalität einschränken.

Angenommen der Mitarbeiter heißt Zdzislaw Brzeczyszczykiewicz - ein realer Name aus Polen. Die Wahrscheinlichkeit, dass seine Aufnahme in die diversen Verzeichnisse eines deutschen Unternehmens pannenfrei und übereinstimmend gelingt, ist begrenzt. Kritisch wird dies, wenn er aus dem Unternehmen ausscheidet und die ihm gewährten diversen Berechtigungen zurückgenommen werden sollen. Ein automatischer Datenaustausch zwischen betrieblichen Subsystemen anhand des Namens wird bei unterschiedlicher Erfassung nicht gewährleistet sein.

Je größer die Organisation, je umfangreicher die Liegenschaften und je zahlreicher die Personen, desto schwieriger wird es in der Regel, eine organisationsweit in sich stimmige Datenhaltung zu gewährleisten. Die insbesondere in großen, dynamisch wachsenden Unternehmen permanent ablaufenden Umstrukturierungsprozesse erfordern daher ein funktionsfähiges Identity Managementsystem (IDM). Die Anforderungen an solche Systeme sind unterschiedlich. Manche beschränken sich auf die Synchronistation personenbezogener Daten, andere sind geeignet, die mit Workflow-Prozessen verknüpften Entwicklungen direkt in das Management der Berechtigungen einzubeziehen und diese jeweils anzupassen. Ein wesentliches Element ist meist ein Verzeichnisdienst, in dem die am häufigsten von anderen Prozessen benötigten Mitarbeiterdaten, zum Beispiel Name, Mailadresse, Telefon etc. gespeichert sind.

Für die Berechtigungsvergabe werden dann idealerweise rollenbasierte Konzepte zugrundegelegt. Dabei werden Berechtigungen nicht mehr direkt jeder einzelnen Person zugewiesen, sondern einer Rolle, also einer Aufgabe oder einem Prozess. Den Beschäftigten können dabei jeweils eine oder mehrere der definierten Rollen zugewiesen werden. Auch hierarchisch abgestufte Rollenzuweisungen sind möglich. Ein einfaches Beispiel: Wechselt ein Vertriebler vom Außendienst in den Innendienst, würde die Rolle "Vertrieb" beibehalten, aber "Außendienst" durch "Innendienst" ersetzt. Das könnte dann zu veränderten Berechtigungen für den Zutritt (andere Zeitfenster) oder auch für den Zugriff auf bestimmte Betriebsmittel führen. Der Vorteil des Rollenkonzepts liegt in der höheren Transparenz bei der Vergabe von Berechtigungen, größerer Nähe zu den Prozessen und einfacheren, weil bei vielen Anpassungen zunächst nicht personenbezogenen, Arbeitsschritten.

Trivial ist die Erstellung der Rollen und der zugehörigen Berechtigungen nicht. Sie erfordert neben einer umfassenden Kenntnis der betrieblichen Prozesse auch Detailwissen über das Leistungsvermögen und die Anforderungen der Subsysteme, die die Berechtigungsabfragen durchführen. Hinzu kommt die sowohl innerorganisatorisch wie juristisch schwierige Frage, wer unter welchen Bedingungen Änderungen von Rollen und deren Zuschreibung vornehmen kann.

Berechtigungsmanagement umfasst die Steuerung sämtlicher Zugriffe auf Betriebsmittel. Darunter fallen nicht nur Zutrittskontrollen, sondern auch Bereiche wie Parken, Kantine und Zeiterfassung, Rechner-, Maschinen- oder Schrankzugriffe, Kopierersteuerung oder die Einbindung von Videotechnik, etwa beim Zugriff auf Aufzeichnungen. Die Detailtiefe, in die bei der Berechtigungsvergabe eingetaucht werden kann, lässt sich mittlerweile beliebig festlegen. Ein Beispiel: Netzwerkdrucker lassen sich inzwischen auch so konfigurieren, dass Druckaufträge erst dann abgearbeitet werden, wenn der Drucker das vorgehaltene Identmedium eines Berechtigten erkennt. Nur dieser hat dann direkten Zugriff auf die Ausgabe, unberechtigter Zugriff auf Ausdrucke wird verhindert. Auch eine Kopierernutzung kann besser reguliert werden. Für Hochsicherheitsbereiche beispielsweise lassen sich Sicherheitskopierer, die eine zweite Kopie zu Aufsichtszwecken anlegen, derart konfigurieren, dass wiederum über einen Kartenleser derjenige erfasst wird, der die Kopien angefertigt hat. Man erfährt also nicht nur, was im Unternehmen kopiert wird, sondern auch von wem.

Lösungsansätze

Unabhängig von der Unternehmensgröße und -komplexität ist es vorteilhaft, wenn effizient gearbeitet wird, im Personalsystem Identitäten also nur einmal erfasst werden müssen. Wenn alles an einem Arbeitsplatz geschieht, sinkt die Zahl fehlerhafter Eingaben und die weitere Datenpflege wird wesentlich vereinfacht. Das Sperren von verlorenen Berechtigungen, das Entsperren, Mediendruck und Ausgabe erfolgt ebenfalls an einem Arbeitsplatz mittels eines mehr oder weniger umfangreichen Identmanagementsystems. Manchmal reicht auch schon ein ambitioniertes Ausweisverwaltungsprogramm, um Einsparungen zu erzielen.

Für die Umsetzung einer Integration im Bestand gibt es eigentlich nur zwei Varianten: Es wird eine proprietäre Lösung eines Herstellers genutzt, der ein umfassendes Konzept entwickelt hat, in dem die einzelnen Subsysteme bereits werkseitig aufeinander abgestimmt sind. Oder das Unternehmen bedient sich der Arbeit von Systemintegratoren, die Bausteine verschiedener Hersteller "unter einen Hut" bringen. Bei der ersten Variante ist eine starke Bindung an ein System nötig, die in aller Regel zu höheren (Folge-)Kosten führen dürfte. Für die zweite Variante ist Voraussetzung, dass die Hersteller der Subsysteme oder der angeschlossenen Einzelkomponenten ihre Schnittstellen für den Systemintegrator freigeben. Je nach gewünschtem Integrationsgrad wird die Umsetzung dann mehr oder weniger aufwendig, denn um ein vorhandenes Personalsystem, Identity Management, eine Public Key Infrastruktur, Ausweissysteme und andere Interessenten an einer Integration zusammenzubringen, ist eine komplexe Middleware erforderlich. Zusätzliche Fallstricke gibt es, wenn für ein Subsystem, etwa durch verteilte Liegenschaften oder Bereichszukäufe, unterschiedliche technische Lösungen eingesetzt werden. Nicht unterschätzt werden sollte bei der Entwicklung von Integrationskonzepten aber auch, dass es nicht nur technische Hemmnisse, sondern auch organisationsinterne Widerstände geben kann. Das können juristische Bedenken sein, die der Datenschutzbeauftragte formuliert, es kann die Organisationsform sein, etwa eigenständige Profitcenter mit weitreichenden Kompetenzen, es können aber auch Abstimmungsprobleme zwischen Abteilungen sein, etwa zwischen komfortorientierter IT, kostenbewusstem Facility Management und der auf Sicherheit fokussierten Corporate Security.

Probleme bei der Einführung von Berechtigungssystemen im Bestand kommen oft auch vonseiten des Betriebsrats. Es empfiehlt sich daher besonders aus datenschutzrechtlichen Aspekten, egal um welche Form der "Kontrolle" es geht, diesen frühzeitig einzubeziehen. Die Lagerung der personenbezogenen Daten im System ist dabei wohl das geringere Problem. Diese erfolgt anwendungsbezogen gesplittet in den jeweiligen Untersystemen. Die konkreten Daten für Zutritt, Zeiterfassung, Kantine oder Rechnerzugriff werden nach wie vor getrennt gehalten, auch wenn sie über die Middleware gesteuert werden. Kritischer ist meist die Lösung für den Zugriff auf diese Daten. Der Zentralcomputer wird deshalb wohl am besten unter der Obhut der Personalabteilung aufgestellt. Physisch könnte es sich anbieten, dass der zentrale Verwaltungsrechner für das Identity Management in einem separaten Raum ungebracht ist, da Auswertungen von Verstößen üblicherweise nach dem 4-Augen-Prinzip zusammen mit einem Betriebsrat erfolgen.

Ausweiskombination mit Zutrittskontrolle

Ohne Schnittstellenzugriff und ohne innerbetrieblichen Konsens kann es keine Integrations-, sondern nur Kombinationslösungen geben, etwa ein gemeinsamer Ausweis. Doch bereits dies senkt Kosten - bei Brieftaschenverlust ist für das Unternehmen nur noch einer statt mehrerer Ausweise nachzuproduzieren.

Geht es um Zutrittskontrolle, ist die Grundlage jeder Berechtigungssteuerung eine funktionierende Gebäudelogik. Davon ausgehend kann eine Verzweigung von Zugriffen bis in einzelne Arbeiten hinein aufgebaut werden. Zur Steuerung stehen prinzipiell zwei probate Möglichkeiten zur Verfügung: "Wissen" und "Besitz", wobei diese einzeln oder in Kombination eingesetzt werden können. Besitz bedeutet beispielsweise, ein Zutritt wird nur bei "Vorlage" eines Identmediums gewährt. Das wird meist eine Karte sein - RFID, Magnetstreifen, Wiegand, IR-codiert - oder aus der Abfrage biometrischer Merkmale bestehen. "Wissen" ist der sogenannte geistige Verschluss – ein Code oder eine PIN.

In der Praxis wird zur einfachen Berechtigungskontrolle üblicherweise ein auf "Besitz" basierendes Ausweissystem benutzt, wichtigere Unternehmensbereiche (Technikräume, RZ-Anlagen, Tresore etc.) erhalten zusätzliche geistige Verschlüsse in Form von Tastaturen zur PIN-Eingabe. Karten für Ausweissysteme können mittlerweile innerhalb von zwei Minuten mit Multifunktionsdruckern erstellt werden. Es sind alle Arten von Beschriftungen und (Logo-) Druck und sogar das Laminieren von Hologrammen möglich. Auch das Encodieren, also das Aufspielen von Berechtigungen auf oder in den kartenimplementierten Speicher, erfolgt mittlerweile in einem Arbeitsgang.

Aktuelle Ausweissysteme mit Speicherchip bieten die Möglichkeit, die Daten mehrerer Anwendungen verschlüsselt in voneinander unabhängigen Speicherbereichen abzulegen. Die RFID-Lösung MIFARE DESFire beispielsweise kann bis zu 28 Applikationen unterbringen. Das dürfte bei den bisher üblichen betrieblichen Einsatzszenarien ausreichen. Beschränkt wird der Einsatz dann höchstens von der Größe der einzelnen Datensätze. Eine andere Variante des Kombi-Ausweises ist die Kopplung unterschiedlicher Speichertechnologien, etwa die Ergänzung um einen Magnetstreifen oder einen weiteren Chip, etwa einen Krypto-Chip für die IT-Nutzung. Angeboten werden auch schon Karten und Kartenerstellungssysteme, die proprietäre unterschiedliche RFID-Lösungen kombinieren und beschreiben.

Sinnvoll sind Integration oder Kombination überall dort, wo ein Mehrwert für den Nutzer entsteht. Das kann ein Komfortgewinn für den Mitarbeiter, eine Kostensenkung für das Unternehmen oder ein Sicherheitsgewinn sein. Für eine wirtschaftliche Betrachtung ist dann noch die Lebensdauer der Lösung zu berücksichtigen. Sie sollte sich an den üblichen Nutzungserwartungen von Verwaltungsgebäuden und Rechenzentren bis zur nächsten Nutzungsänderung orientieren, meist zehn Jahre. Denn mit einer solchen Nutzungsänderung geht meist auch eine Änderung der Kontrolltechniken aufgrund von weiter entwickelten Techniken einher. RFID-Karten sollten diese Lebensdauer erreichen können. Bei kontaktbehafteten Karten sollte allerdings schon nach ca. fünf Jahren ein Austausch einkalkuliert werden.
sob