Eine Situation, die wir sicher alle kennen: Wenn es darum geht definierte Schutzziele eines Unternehmens im Bereich der physikalischen Sicherheit erreichen zu wollen, bietet uns der Markt eine Vielfalt an technischen Geräten und Technologien. Ob Online- oder Offline-Systeme, mechanische Schließanlagen oder elektronische Depotsysteme – ein reichhaltiges Angebot der verschiedenen Hersteller bietet Lösungen für nahezu jede physikalische Schutzanforderung. Das hat Vorteile – man findet für jeden Anwendungsfall eine Lösung. Doch im Endeffekt führt es oftmals dazu, dass sich aus dieser Vielfalt an spezifischen Lösungsoptionen für das Zutritts- und Berechtigungsmanagement neue Herausforderungen ergeben, was auch bedeutet, dass weitere organisatorische Aufgaben auf uns zu kommen, die in den betrieblichen Alltag integriert und zuverlässig erledigt werden müssen – dazu muss man erst mal das Personal und die Zeit haben.
Schauen wir uns dazu mal ein Beispiel aus der Praxis an: Die einzelnen Hersteller liefern meistens ihre eigenen Softwarelösungen, die ausschließlich zur Administration und Steuerung ihrer Komponenten geeignet sind. Das führt aber dazu, dass proprietäre Systemlandschaften entstehen, welche wiederum nur schwer in die betriebliche IT-Umgebung des Unternehmens integriert werden können. Das liegt daran, dass deren Fokus im Betrieb der eigenen Systeme liegt und eben keine ausgeprägten Integrationsmechanismen vorhanden sind. So kommt es dazu, dass eine Vielzahl von spezifischen Softwaresystemen eingesetzt wird, die in den meisten Fällen zudem durch spezialisierte Administratoren bedient werden müssen. Das kann wirklich viel Zeit und Geld kosten! Und wenn die Administratoren grade nicht erreichbar sind, können Probleme nicht umgehend gelöst werden.
Da es im Rahmen des Zutritts- und Berechtigungsmanagement aus meiner Sicht vor allem darum gehen sollte, Prozess- und Systemlandschaften zu gestalten die den täglichen Anforderungen der dynamischen Prozess- und IT-Umgebungen im Unternehmen gerecht werden, stellt sich die Fragen: Hält diese Vorgehensweisen den permanenten Veränderungen, wie sie in Organisationen täglich Programm sind, tatsächlich stand? Kann jederzeit sichergestellt werden, dass die Vorgaben der betrieblichen- bzw. gesetzlichen Sicherheits- oder Compliance-Verantwortlichen in allen Belangen eingehalten und auch operativ umgesetzt werden?
Ich möchte mit meinem Blogbeitrag 7 Gründe für eine komplett andere Herangehensweise beschreiben – und zwar die eines speziellen Management-Werkzeugs, das die organisatorischen und prozessualen Seiten herstellerübergreifend in den Fokus stellt.
Betrachtete Sie die Steuerung von Berechtigungen für Zutritte oder Zugriffe mal im Kern: Es geht ja darum, dass die richtigen Personen zur richtigen Zeit Zugang zu den richtigen Bereichen, Räumen oder Ressourcen erhalten soll und das eben außerhalb dieser Regeln oder Vorgaben wirksam verhindert wird. Diese Steuerung muss auf jede Person und jeden Raum gleichermaßen und jederzeit nachvollziehbar eingesetzt werden. Das bedeutet konkret: Alle Veränderungen auf Mitarbeiterebene, z.B. Eintritts- und Austrittsvorgänge, Funktions-, Aufgaben- und Arbeitsplatzwechsel sowie alle Veränderungen auf Gebäudeebene, wie Umzug, Neubezug oder Umbau, welche in allen betroffenen Sicherheitssystemen müssen täglich berücksichtigt werden. Weitere Herausforderungen auf unternehmerischer Ebene sind etwa „Merger & Acquisitions“ (M&A) oder Mietverhältnisse, bei denen neue Zutrittssysteme rasch mit in die betriebliche Steuerung integriert werden müssen.
Bild: Zutrittsberechtigungen automtisiert verwalten - jede Person erhält in Abhängigkeit von hinterlegten Regeln die für sie vordefinierten Rechte.
In vielen Unternehmensprozessen haben sich Employee Self Services bereits durchgesetzt. Sie haben bereits sicher bereits Erfahrungen damit gemacht. Z.B. in den Bereichen Bestellwesen, Zeitwirtschaft und Reisemanagement werden Prozesse Mitarbeitern von initiiert, sie durchlaufen (Genehmigungs-) Prozesse und werden unmittelbar in die Zielsysteme übertragen. Durch kurze Laufzeiten, geringen Bearbeitungsaufwand sowie einer transparenten und fehlerfreien Durchführung wird Zeit und Geld gespart. Diese Art der Prozessgestaltung wird auch zunehmend im Bereich der Unternehmenssicherheit eingesetzt: Bestellungen von Mitarbeiterausweisen, Beantragung von Zutrittsmedien oder Berechtigungen, Voranmelde- und Anmeldeprozesse für externe Personen (etwa für Besucher, Warenverkehr oder externe Mitarbeiter) bis hin zur elektronischen Unterweisung von Personen. Somit ist die Gewährleistung von physikalischer Sicherheit mittlerweile ein zentrales IT- und Prozessthema und nicht mehr in erster Linie eine Disziplin des klassischen Zutrittsadministrators oder Schlüsselverantwortlichen.
Zusammengefasst sollte eine zentrale Management Plattform daher über folgende Kernfunktionen verfügen, um die oben genannten Anforderungen zu erfüllen:
Die aufgeführten Punkte zeigen, dass neben einer hohen Flexibilität und erheblichen Funktionsumfang, vor allem die Ausprägung leistungsfähiger Schnittstellen und -technologien von entscheidender Bedeutung sind. Die permanenten Veränderungen müssen erkannt, bewertet und automatisch zu den entsprechenden Zielsystemen transportiert werden. Hierfür sind flexible und belastbare Schnittstellen erforderlich, die mit betrieblichen IT-Monitorsystemen überwacht werden können.
Sie kennen das sicher, die benötigten Informationen sind da – aber eben werden in den unterschiedlichsten Systemen gehalten und können nicht direkt übernommen werden. Relevante Stamm- und Prozessdaten sollen daher automatisch aus vorhandenen Unternehmensanwendungen in den zentralen Informationspool übertragen und synchronisiert werden. Dabei können mehrere parallele Datenquellen entsprechend vollständige Stammsätze liefern. Typische Datensourcen für interne Mitarbeiter, um Stammsatzdaten, Anmeldeinformationen, E-Mail- und Arbeitsplatzinformationen sind bspw. HCM Anwendungen (z.B. SAP HR) und Unternehmens-Directories (z.B. Microsoft Active Directory). Somit kann jeder Mitarbeiter grundsätzlich per „Single Sign On“ (SSO) Zugriff erlangen. Gleichzeitig können alle prozessrelevanten Änderungen identifiziert und entsprechende Veränderungsprozesse automatisch generiert werden. So wären alle Daten direkt, aktuell und über nur eine Plattform verfügbar.
Ebenso sollten weitere Stamm- und Prozessdaten sollten in der zentralen Management Plattform für Zutrittsmanagement verfügbar sein. Dabei handelt es sich typischerweise um Daten von externen Personen, Gebäudestrukturen, Sicherheitszonen, Zutrittssystemen und deren Komponenten. Ebenso muss sie in der Lage sein, die angeschlossenen Zutrittssysteme, idealerweise sogar direkt deren Einzelkomponenten, automatisch und vollständig zu steuern. Somit ergibt sich die Möglichkeit, Berechtigungssteuerung unabhängig von Herstellersystemen oder Technologien zu modellieren und umzusetzen. Je nach Möglichkeiten der proprietären Systeme sind das:
Damit alle betriebspezifischen Anforderungen automatisiert erfüllt werden, müssen alle Regeln und Vorgänge über die angeschlossenen Prozesse und Systeme hinweg in einer zentralen Plattform zusammenfließen. Sicherheitsvorgaben werden hier definiert und an alle Systembestandteile automatisch verteilt. Ein zentrales Reporting gibt jederzeit und auf einen Klick Auskunft darüber, welche Berechtigungen ein Mitarbeiter im Unternehmen hat – und zwar unabhängig von den betroffenen Zutrittssystemen oder der Art des Zutrittsmediums (Schlüssel, Mitarbeiterausweis). Es soll einfach abrufbar sein, welche Berechtigungen und somit welchen Zugang zu welchen Räumen, eine Person hat und welche die zugrundeliegenden Anträge sowie deren Genehmiger sind oder waren – das gilt gleichermaßen für Informationen aus historischen als auch für zukünftigen Zeiträumen.
Da die Prozesse im Bereich der physikalischen Sicherheit für die Steuerung oftmals sehr spezifische Informationen (z.B. die Art der Sicherheitszone, die Kritikalität der Schutzziele) benötigen, die den herkömmlichen Workflow-Systemen nicht zur Verfügung stehen, sollten zentrale Systeme ebenso Standardprozesse anbieten, die betrieblich angepasst werden können.
Darüber hinaus ist es erforderlich, dass solche Managementsysteme entweder weitere Funktionen anbieten oder Schnittstellen zu anderen Spezialanwendungen besitzen (z.B. Besuchermanagement, Identitäten- und Medienverwaltung oder Unterweisungsmanagement), damit alle Prozesse die mit Zutritt im weitesten Sinne zu tun haben, zentral verwaltet werden können.
Die Benutzer solcher Systeme, insbesondere bei Self Service Anwendungen, sollten sehr einfach auf die Anwendungen und Prozesse zugreifen können. Die Zugriffssteuerung und deren Berechtigung erfolgt idealerweise automatisiert und die Bedienung der Systeme über den vorhandenen Browser – ohne jegliche Installation von lokalen Softwarebestandteilen. Die Authentifizierung sollte automatisch über Single Sign On erfolgen, damit der persönliche Zugriff schnell und sicher möglich ist.
Jede relevante Änderung im Managementsystem, ob sie nun durch Schnittstellen oder durch direkte Prozessvorgänge innerhalb des Systems initiiert wurde, muss nachvollziehbar, transparent und revisionssicher mit einer zentralen Funktion für die beteiligten spezifischen Personengruppen abrufbar sein. Im gleichen Maße sind diese Daten entsprechend den gesetzlichen und betrieblichen Datenschutz- und Datensicherheitsvorgaben zu behandeln. Dazu gehört auch das Sicherstellen von Datenlöschungen und die Datenvermeidung.
Die entscheidende Herausforderung aus Sicht der Verantwortlichen für die physikalische Sicherheit ist: Wie können die Sicherheitsvorgaben trotz permanenter Veränderungen in der täglichen Unternehmenswelt tatsächlich operativ umgesetzt und die Ergebnisse validiert werden? Diese Veränderungen gelten insbesondere für
All diese Veränderungen, egal ob sie aus den führenden Systemen oder aus Prozessvorgängen generiert werden, müssen erkannt, bewertet und dann automatisch an die entsprechenden Systeme weitergeben werden, um die gewünschten Schutzziele sicherzustellen.
Die 7 Gründe geben Ihnen ein Bild davon, wie der Einsatz von zentralen Managementsystemen diese Mechanismen gewährleistet und den Verantwortlichen mehr strategische Optionen hinsichtlich des Betriebs unterschiedlicher Herstellersysteme bzw. Technologien ermöglicht. Aber nicht nur das, durch die konsequente Anbindung von Systemen, durch leistungsfähige Schnittstellen und die Bereitstellung von Prozessen und Self Services, Medienbrüche eliminiert und der manuelle Bearbeitungsaufwand minimiert. Eine Denkweise, die sich aus meiner Sicht lohnt.
secure principles powered by gis
Gesellschaft für integrierte Informationssysteme mbH
fon. +[49] 7425.9525.0
info(at)gis-consulting.de
Was denkst du?