Das Prinzip „Network-On-Card", also das Netzwerk auf einer Karte, gilt als die perfekte Verbindung von Online- und Offline-Sicherheitssystemen. In GIT-SICHERHEIT.de wurden bereits etliche Ansätze und Applikationen nach diesem Prinzip vorgestellt. In der Praxis erweist sich eine solche Lösung als Schlüssel, um die Zugangsrechte und die Gültigkeit von Ausweisen stets reaktionsschnell aktualisieren und anpassen zu können.
Nehmen wir die Offline-Rechte. Sie lassen sich bspw. so weit einschränken, dass verlorene oder gestohlene Identifikationsmittel binnen weniger Stunden zu sperren sind. Mit dem „Netzwerk-auf-der-Karte"-Prinzip lassen sich viele praktische Dinge machen. Dieser Artikel stellt sie vor.

Wohin es auch geht - Kontrolle gefragt
Ob in Unternehmen, Krankenhäusern oder Behörden: überall gibt es Bereiche und Räume, die zuverlässig vor dem Zutritt Unbefugter zu schützen sind, um Diebstählen, Sabotageakten und Wirtschaftsspionage vorzubeugen oder um den allgemeinen Sorgfaltspflichten und Datenschutzbestimmungen genüge zu tun. Rechenzentren, Produktionshallen, für den Besucherverkehr gesperrte Stationen oder auch einfach Bürotrakte voller Computer und Aktenorder, die wertvolles Geschäftswissen und geistiges Eigentum repräsentieren.

So gewinnt das Thema „berechtigter Zutritt" allerorten an Bedeutung, und glücklich darf sich schätzen, wer bereits ausgeklügelte, zentral gesteuerte Systeme eingerichtet hat, die mit Hilfe von Ausweislesegeräten an allen relevanten, hoch frequentierten Zugängen weitgehend automatisch die Zutrittsrechte prüfen. Doch selbst wer bereits über eine solche Sicherheitsinfrastruktur verfügt und diese idealerweise nahtlos mit der Zeitwirtschaft gekoppelt hat, dürfte früher oder später feststellen, dass weiterhin „blinde Flecken" existieren: Zugänge, bei denen es einfach nicht wirtschaftlich ist, diese ebenfalls über Online-Terminals zu sichern. Das kann weniger frequentierte Türen und den Zutritt zu Büros, Lagerräumen, Spinde, Abstellplätzen und Archivräumen ebenso betreffen wie einzelne Schränke. An solchen Punkten empfiehlt es sich, das vernetzte Zutrittskontrollsystem durch moderne Offline-Komponenten abzurunden, die sich kostengünstig, schnell und flexibel installieren lassen. Seien es komplette Türschließsysteme mit Beschlägen und Türdrückereinheiten oder einfach auszutauschende elektronische Schließzylinder.

Wie „Stand-alone" einbinden
Bleibt die entscheidende Frage, wie solche Stand-alone-Komponenten am besten zu gestalten und in die unternehmensweite Sicherheitsinfrastruktur einzubinden sind? Der Rückgriff auf mechanische Schließsysteme, die herkömmlich per Schlüssel bedient werden, dürfte in den wenigsten Fällen noch zeitgemäß sein. Zu groß sind die Risiken. Denn geht ein Schlüssel verloren, muss häufig nicht nur ein Zylinder ausgetauscht werden. Zudem ist es für die Beschäftigten natürlich weitaus bequemer, wenn sie mit denselben Ausweisen, mit denen sie sich Zugang zum Firmengebäude und zum Parkplatz verschaffen oder ihre Zeitbuchungen vornehmen, auch alle offline gesicherten Türen öffnen können - sofern sie denn über die erforderliche Berechtigung verfügen.

Bei der Umsetzung eines solchen Szenarios lassen sich zwei alternative Konzepte verfolgen: „Daten im System" oder „Daten auf der Karte". Anfänglich entschieden sich noch viele Betriebe dafür, die Informationen, welche Person zu welcher Zeit welches Offline-Schließsystem öffnen darf, jeweils im Beschlag oder Zylinder vorzuhalten. Doch das erwies sich in der Praxis als zeitintensive Sisyphusarbeit. Denn die Zutrittsrechte und alle etwaigen Änderungen müssen bei dieser Lösung jeweils mit Hilfe eines Programmiergerätes mühsam in jede einzelne Offline-Komponente gebracht werden. Und auch die Sperrung einer verlorenen Ausweiskarte ist nur mit viel Aufwand an jeder einzelnen Tür möglich.

Nix los an Türen - ein Fall für die Daten-Karte
Folglich bevorzugen immer mehr Unternehmen und Behörden bei der Sicherung weniger frequentierter Zugänge und Türen den Ansatz des portablen Netzes mit „Daten auf der Karte", wie ihn bspw. die Interflex Datensysteme GmbH mit NetworkOnCard als Baustein der Zutrittskontrollsysteme anbietet. Anstatt die Berechtigungen wie bei Online-Terminals vom Host-System via Netzwerk an die Lesegeräte zu senden, führt bei diesem Modell jeder Nutzer seine jeweiligen Berechtigungen gleich auf seiner lesbaren Ausweiskarte mit sich. So bleibt der Aufwand zur Administration der Schließsysteme ohne direkte Verbindung zum Zentralsystem minimal. Es genügt, jedes Offline-Gerät einmalig mit der Systemkarte zu initialisieren. Ob eine Zutrittsbuchung zulässig ist, eine Tür also geöffnet werden darf, entscheidet die Stand-alone-Komponente dann jeweils anhand der Berechtigungsdaten, die sie selbst kennt (zugeordnete Türgruppe, gesperrte Ausweise etc.), und der personenbezogenen Daten, die auf dem RFID-Chip der Karte stehen. Dazu zählen neben der Ausweisnummer bspw. auch die Gültigkeitsdauer sowie Angaben, welches Zeitmodell für die Prüfung herangezogen wird oder an welchen Firmenstandorten und Türgruppen der Ausweis buchungsberechtigt ist.

Bei der Programmierung der Ausweise haben Unternehmen je nach Anwendungsfall die Wahl zwischen zwei Optionen: Entweder werden die Buchungsberechtigungen einmalig an zentraler Stelle auf den Ausweis geschrieben, oder es werden jeden Morgen bei der ersten Buchung an einem Online-Terminal gleich auch die Zutrittsrechte für die Offline-Geräte erneuert. So lassen sich problemlos auch tagesaktuelle Berechtigungen vergeben - ein Verfahren, das sich in der Praxis sehr bewährt hat, bietet es doch maximale Sicherheit bei minimalem Aufwand. Verlorene Ausweise stellen kein Sicherheitsrisiko mehr dar, weil sie nach Ablauf der Berechtigung nach 24 Stunden - oder je nach Parametrierung kürzer - ungültig werden. Die Daten für die Übertragung der Berechtigungen auf den Ausweis ist so kurz, dass sie nicht als störend empfunden wird. Gleichzeitig schafft die Technologie die Grundlagen, um über die Ausweiskarten des Personals laufend die Konfiguration aller unvernetzten Schließsysteme auf dem neuesten Stand zu halten, deren Buchungsvorgänge zu dokumentieren und Informationen zum Ladestatus ihrer Batterien zu erfassen.

Dank der Standortkennung auf den Berichtigungsausweisen sind mit NetworkOnCard auch Großinstallationen möglich: Bis zu 65.000 Standorte, 1.024 Türgruppen und 16 Einzeltüren lassen sich auf einer Karte speichern. Zu den Unternehmen, die ein solches portables Netz realisiert haben, gehört unter anderem die deutsche Landesgesellschaft von British American Tabacco. In der Hamburger BAT-Zentrale wurden rund 470 Bürotüren mit den Schließzylindern ausgestattet und mittels NetworkOnCard in das vorhandene Online-System integriert. „Die unkomplizierte Installation der elektronischen Zylinder begeisterte uns genauso wie die effiziente Administration der Zutrittskontrolle", unterstreicht Dirk Fengler, der bei BAT für das Gebäudemanagement verantwortlich ist: „Sämtliche Zutritte werden nun zentral verwaltet, ohne dass die Türen elektronisch verkabelt sind."