In Zeiten digitaler Geschäftsmodelle, flexibler Arbeitsorganisation und der Zusammenarbeit mit immer mehr externen Partnern wird Identity- und Access Management (IAM) zu einer Kernaufgabe der Sicherheitspolitik. Unternehmen und Behörden müssen den Zugang zu Know-how und Daten wirkungsvoll schützen; zunehmend mehr Organisationen setzen dafür auf ein zentrales Zutritts- und Ausweismanagement.

Benutzerverwaltung: Vielfalt weffizient managen
Risiken und Gefahren lauern nicht nur im virtuellen Raum, sondern auch auf physischer Ebene. Deshalb muss der Zutritt zu Gebäuden und Arbeitsbereichen ebenso klar geregelt und kontrollierbar sein wie der zu Systemen und Daten. Aufgrund gewachsener Strukturen verfügen viele Unternehmen jedoch über Zutrittskontrollsysteme unterschiedlicher Hersteller. Daraus resultiert ein hoher manueller Aufwand für die Verwaltung der Identitäten und Zutrittsrechte; viele Daten sind redundant und globale Sicherheitsrichtlinien lassen sich nicht automatisch durchsetzen. Zudem erschwert das Fehlen übergeordneter Prozesse und Regularien (beispielsweise bei Ein- und Austritt von Mitarbeitern) das Handling für die Administration. Zum echten Risiko wird der Wildwuchs bei den Zutrittskontrollsystemen jedoch vor allem durch die Mehrfachpflege der Identitäten und durch im Ergebnis inkonsistente Daten.

Zunehmend mehr Organisationen entscheiden sich daher für ein zentral gesteuertes Ausweis- und Berechtigungsmanagement. Während es beim Ausweismanagement um die Verwaltung der Mitarbeiterausweise und der darauf gespeicherten Informationen zum Benutzer und dessen Zutrittsberechtigungen geht, umfasst ein professionelles Berechtigungsmanagement noch weitaus komplexere Prozesse. Die Zusammenführung beider Bereiche in einem System hat für die anwendenden Organisationen unter anderem folgende Vorteile:

• Zentrale Richtlinien und übergeordnete Prozesse (beispielsweise für Genehmigungen) schaffen Klarheit und schließen Sicherheitslücken
• Effiziente und einfache Abläufe, beispielsweise mit Hilfe von Self-Service-Funktionen, reduzieren den administrativen Aufwand
• Zutritts- und Nutzungsrechte lassen sich global und automatisch zuteilen und entziehen (beispielsweise Rollen- oder Attribut-basiert)
• Manuelle Prozesse werden weitgehend eliminiert – das reduziert Risiken

Ein zentrales Ausweis- und Berechtigungsmanagement lässt sich auf bestehenden Infrastrukturen aufsetzen: So ermöglichen beispielsweise die Plattformlösungen von neXus, Spezialist für Identity- und Access Management (IAM), die Integration bestehender Systeme verschiedener Hersteller, was bereits getätigte Investitionen schützt und den Kunden außerdem eine exklusive Bindung an einen Anbieter erspart.

Für die Einrichtung eines zentralen Ausweis- und Berechtigungsmanagements ist natürlich je nach Status in der Organisation einiges an Vorarbeit zu leisten, insbesondere eine gründliche Analyse der bestehenden Systeme und Daten. In dem neuen zentralen System werden dann zunächst virtuelle Profile erzeugt, die Berechtigungen aus verschiedenen Zutrittskontrollsystemen enthalten können. Diese Profile lassen sich durch ein zuvor definiertes Regelwerk automatisch zuweisen beziehungsweise entziehen und manuell durch berechtigte Sacharbeiter im zentralen System verändern. Änderungen werden in Echtzeit in die verschiedenen Zutrittskontrollsysteme übertragen. Eine Beantragung per Self-Service entlastet die zuständigen Mitarbeiter; Freigaben durch definierte Personen gewährleisten die Sicherheit des Prozesses.

Flughäfen – hier ist die Welt (sicher) zu Hause
neXus ist in zahlreichen Branchen zu Hause, zur „Königsklasse“ der Einsatzgebiete zählen aber sicherlich die Flughäfen. Zum einen sind ihre Abläufe außerordentlich komplex, zum anderen unterliegen sie besonders strengen gesetzlichen Anforderungen.

neXus bietet für Flughäfen eine Plattformlösung, mit der sich sämtliche Zutrittskontrollsysteme herstellerunabhängig als ein System darstellen und für alle Personengruppen zentral verwalten lassen – von den Ausweis- und Zutrittskontrollstellen bis hin zum Parkraum- und Kantinenmanagement. Sämtliche Daten sind automatisch sofort und einheitlich in allen Subsystemen verfügbar. Im Ergebnis profitieren die Flughafengesellschaften damit von effizienteren und kostengünstigeren Prozessen, kombiniert mit maximalen Sicherheitsstandards.

So berücksichtigt die Plattformlösung von neXus nicht nur eine Vielfalt an Sicherheitsanforderungen, die sich aus gesetzlichen Regelungen für die Luftfahrt ergeben, sondern hat beispielsweise auch die erforderlichen Sicherheitstrainings der Mitarbeiter im Blick – und benachrichtigt diese im Zweifelsfall, wenn neue Schulungen fällig werden oder Zertifikate auslaufen. Auch die Fristenüberwachung von Ausweisen und Berechtigungen wird flughafenweit durchgeführt. Fremdfirmen am Flughafen können ihre Mitarbeiter über User-Self-Services anmelden sowie Zuverlässigkeitsüberprüfung und Sicherheitstrainings beantragen und durchführen.

Ausweismanagement: Hier kommt nicht jeder rein!
Zutrittskontrollsysteme sind heute ohne Chipkarten und andere Identitätsträger (Token, Smartphone) nicht denkbar, die über die Jahre eine Vielzahl an Funktionen übernommen haben (Kantine, Parkplatz, Zeiterfassung). Mit ihnen lässt sich der Zutritt zu sensiblen Unternehmensbereichen effizient steuern – allerdings nur, wenn sie gut verwaltet werden und somit ein Missbrauch ausgeschlossen werden kann. Angesichts der Vielfalt an Systemen und Funktionen, in deren Kontext Karten genutzt werden, empfiehlt sich dafür ein zentrales Ausweismanagement.

Zu den Anwendern entsprechender Lösungen zählen nicht nur Unternehmen, sondern auch Behörden. So hat beispielsweise das Landratsamt Ostallgäu mit einem neuen multifunktionalen und gleichzeitig anwenderfreundlichen Kartensystem sein Zutritts- und Berechtigungsmanagement modernisiert. Das System regelt derzeit die Zeiterfassung, den Zugang zu Gebäuden und Räumen sowie die Anmeldung am PC. Die Nutzer benötigen jetzt nur noch ihren Ausweis und eine einzige PIN für die PC-Anmeldung, um dann sicher auf alle digitalen Anwendungen zugreifen zu können. Für die Verwaltung der Karten und elektronischen Identitäten kommt eine webbasierte standardisierte Lösung von neXus zum Einsatz. Diese beinhaltet eine Vielzahl vordefinierter Workflows und ermöglicht eine einfache Personalisierung und Verwaltung der ID-Medien sowie der Zertifikate.

Besuchermanagement als „Visitenkarte“
Ein zentrales Zutritts- und Ausweismanagement bietet demnach nicht nur hohe Sicherheitsstandards, sondern reduziert auch den administrativen Aufwand in Unternehmen und Behörden. Zudem ermöglicht es die Bündelung verschiedenster Funktionen und Prozesse von Abrechnung bis Zeiterfassung, und der Handling-Aufwand für die Nutzer wird gering gehalten.

Von reibungslosen und auf maximale Sicherheit ausgerichteten internen Prozessen profitiert dann auch der externe Besucher: Bei seinem Eintreffen liegt der gedruckte RFID-gestützte Besucherausweis schon bereit, der ihm Zutritt zu fest definierten Bereichen im Gebäude verschafft. Bereits im Vorfeld hat er automatisch eine Outlook-Einladung zum Termin mit weiteren Unterlagen wie Anfahrtskizze oder Sicherheitsbelehrungen erhalten. Das hinterlässt einen positiven Eindruck – und sensible Bereiche in Unternehmen oder Behörde bleiben wirksam geschützt. Organisationen, die die Produktion von Ausweisen nicht in-house abwickeln wollen, können zudem über den Webdienst neXus Online Services von neXus unterschiedliche Zugangs- und Identifikationsprodukte (beispielsweise RFID-Ausweise oder Zugangstoken) selbst gestalten, bestellen und verwalten. Die Lieferung erfolgt innerhalb von 48 Stunden. Auf diese Weise stellt ein effizientes und gleichzeitig serviceorientiertes Besuchermanagement Unternehmen und Behörden eine professionelle Visitenkarte aus – im Zweifelsfall ein gelungener Start für den weiteren Kontakt!

Hinweis: Um Ausweis- und Berechtigungsmanagement geht es beim Security Breakout von neXus am 14. April 2016 in München (Veranstaltungsort: Design Offices, Highlight Towers).
Weitere Informationen zur Veranstaltung: https://identity-access-management-nexus.de/Ausweis-und-Berechtigungsmanagement/