Mit ihren Online-Plattformen für die Vermögensverwaltung, den Börsenhandel oder ­Zahlungsverkehr sind Unternehmen der Fintech-Branche besonders angreifbar. Nicht ­vergessen werden sollte aber, dass der Schutz sensibler Daten nicht nur im Netz stattfindet, sondern bereits ganz real an der Tür beginnt – mit der physischen Zutritts­kontrolle zum Rechenzentrum oder zum Gebäude. So setzt die Fintech Group als einer der Keyplayer der Online-Banking-Technologie für ihre Gebäudesicherheit auf ein ­komplexes Zutrittskontrollsystem vom Security-Experten PCS. Das Unternehmen ­verwendet aktuelle RFID- und Biometrie-Technologien – gleichzeitig berücksichtigt es in mehreren Migrationsphasen die besonderen Gegebenheiten der Niederlassungen vor Ort.

Der Hauptsitz der Fintech Group in Frankfurt am Main ist der Dreh- und Angelpunkt des Unternehmens. Im Empfangsraum wird den Besuchern – oft hochrangige Bankvorstände oder Politiker – die Kernkompetenz des Unternehmens plastisch vor Augen geführt: Hinter fünffach verstärktem Glas arbeitet, für alle sichtbar, das Data-Center der IT. Dass diese zentrale IT besonders vor Eindringlingen und krimi­neller Energie geschützt werden muss, versteht sich von selbst. Beim Verantwortlichen für das Rechenzentrum, Chief Procurement & Information Officer Tobias Kluß hat die Sicherheit oberste Priorität. Er setzt seit 2015 für den physischen Schutz des Data Centers auf die Handvenenerkennung von PCS. Diese biometrische Zutrittskontrolle verifiziert anhand des Venenmusters eines Menschen die Identität zweifelsfrei und nicht manipulierbar. Die Anwendung ist einfach, sympathisch und schnell. Die Handvenenerkennung stellt sicher, dass nur eingelernte, verifizierte Mitarbeiter das Data-Center betreten können.

Gestiegene Sicherheitsanforderungen
Neben der Intus-Handvenenerkennung setzt die Fintech Group auch die PCS-Zutrittskontrolle mittels RFID zum Schutz ihrer Räumlichkeiten ein. Dabei machte die Smart-Bank von Anfang an deutlich, dass die Zutrittskontrolle sich wachsenden Sicherheits-Anforderungen anpassen muss. Klar war zum Beispiel, dass das im gesamten Mietobjekt Frankfurt eingesetzte Leseverfahren Legic Prime den steigenden Sicherheitsanforderungen nicht mehr genügen würde. Ziel war es deshalb, langfristig auf die abhörsicheren und verschlüsselten Leseverfahren der neueren RFID-Generation umzusteigen. Die Ausgangslage in den Fintech-Niederlassungen war heterogen – und PCS war gefordert, flexible Lösungen zu finden und in verschiedenen Modernisierungsphasen umzusetzen.

Altbestand integriert
Am Standort Frankfurt bestand die erste Herausforderung im Projekt darin, dass das bisherige Alt-Zutrittskontrollsystem streikte. Neue Hard- und Software musste beschafft werden. Fintech bestellte Zutrittsleser für die bisherigen Legic-Prime-Mitarbeiterausweise. Da eine neue Lösung so schnell wie möglich umgesetzt werden sollte, fiel die Entscheidung bei der Software zunächst auf eine Interimslösung von PCS, nämlich sowohl eine Standalone-Software für die Biometrie als auch das Einstiegssoftware-Paket Intus Access, um möglichst rasch starten zu können. Nach kurzer Übergangsphase erfolgte der Umstieg auf die Software Dexicon Enterprise, die leistungsstarke Funktionen bei der Zutrittskontrolle vorweisen kann und die biometrische Handvenenerkennung integriert. Diese Software lässt sich leicht administrieren, zum Beispiel lassen sich weitere Zutrittsleser oder neues Personal sehr einfach anlegen, Zutrittsrechte definieren und RFID-Karten zuweisen.

Aufgrund der positiven Erfahrungen mit Dexicon hat Projektleiter Kluß den Vermieter des Objekts mit PCS in Verbindung gebracht. Auch dieser entschloss sich, für seine übrigen Mieter eine eigenständige Software-Lizenz anzuschaffen, um die Zutrittsleser in der Tiefgarage, in den Aufzügen und den übrigen Etagen verwalten zu können. Die bisherigen Ausweise konnten behalten werden.

Offline-Zutrittskontrolle für Einzelbüros
Auch innerhalb des internen Fintech-Verwaltungsbereichs sind Zonen eingerichtet, die für verschiedene Gruppen zugänglich sind. Dies ist notwendig, da die strengen Compliance-Regeln und sogenannte „Chinese Wall“-Vorschriften eine Geheimhaltung, zum Beispiel von Vertragsverhandlungen, sogar innerhalb des Kollegenkreises unbedingt notwendig machen. Büro- oder Brandschutztüren, die nachträglich nicht verkabelt werden konnten, wurden auf Grund der Sicherheitsanforderungen mit elektronischen Türterminals Intus Pegasys ausgestattet. Dafür mussten die Legic-Prime Ausweise einmalig mit dem zusätzlich erforderlichen Intus Pegasys-Segment ausgestattet werden, was mit einer separaten Kodierstation direkt vor Ort umgesetzt wurde. Allerdings können aus Performance-Gründen die Schreibberechtigungen nicht an den Zutrittskontroll-Lesern erfolgen. Daher dient ein speziell konfiguriertes Zeiterfassungsterminal Intus 5200 als Ladestation für die Offline-Zutrittskontrolle. Mitarbeiter holen sich dort die Berechtigungen mit zeitlich befristeten Gültigkeiten ab. Alle Zutrittskomponenten werden zentral von der Software Dexicon gesteuert.

Erweiterung der Zutrittskontrolle in Neuss
Anders gelagert ist die Situation am Standort Neuss. Er befindet sich in einem komplett neu renovierten Mietobjekt. Aus Sicherheitsgründen soll dort die gesamte Zutrittskontroll-Anlage auf die als langfristig sicher geltende Lesertechnologie Mifare Desfire umgestellt werden. Denn diese RFID-Technologie ist aufgrund einer neuen und besseren Verschlüsselungstechnik abhörsicher. Dazu tragen auch Session-abhängige Kryptoschlüssel bei, die bei jedem Lesevorgang aktiviert werden. In Neuss werden im Bürobereich, am Haupteingang und in der Tiefgarage Intus RFID-Zutrittsleser installiert, die mit der Mifare Desfire-Technologie ausgestattet sind. Auch die Einbruchmeldeanlage ist mit der Zutrittskontrolle verknüpft und kann über einen Mifare Desfire-Leser scharf geschaltet werden.

Mischbetrieb unterschiedlicher ­Ausweistechnologien
Im nächsten Schritt möchte die Fintech Group auch in der Zentrale Frankfurt auf den Mifare Desfire-Standard mit hohem Sicherheitslevel umsteigen. Dafür muss PCS die Herausforderung lösen, dass an den auch von den anderen Mietern benutzten Zutrittslesern sowohl Legic-Prime-Ausweise als auch parallel Mifare Desfire-Ausweise akzeptiert werden.

Der Lösungsansatz ist ungewöhnlich: Die dort eingesetzten PCS-Legic-Leser sind mittels Multi-ISO-Firmware auf verschiedene Leseverfahren gleichzeitig einstellbar: Dies kann z. B. Legic Prime, Legic Advant, Mifare Classic, Mifare Desfire EV1/EV2 sein. Der Vorteil liegt auf der Hand: Fintech kann ohne Austausch der Hardware auf die abhörsicheren Mifare Desfire EV1/EV2-Karten umstellen. Da diese Ausweise auch eine schnellere Performance vorweisen, können zukünftig direkt am Zutrittsleser auch die Berechtigungen für die Offline-Zutrittskontrolle geschrieben werden. Damit entfällt das zusätzliche Berechtigungsterminal.

Auch der Vermieter hat Vorteile: Er kann sukzessive und ohne Zeitdruck die Legic-Ausweise gegen Mifare Desfire-EV1/EV2 austauschen und kann dann nach Austausch der Ausweise ebenfalls den hohen Sicherheitsstandard erfüllen.

Bewährt in der täglichen Praxis
Der zuständige Projektleiter Tobias Kluß ist mit dem Projekt sehr zufrieden, denn PCS hat sehr flexibel reagiert und für die verschiedenen Steps des Projektes jeweils gangbare Lösungen vorgeschlagen. Aufgrund der vollen Mandantenfähigkeit der Zutrittskontroll-Software Dexicon ist sie auch für weitere Niederlassungen der Bank geeignet. Zusammen mit der Biometrie ist das gesamte Zutrittskontroll-System ganz nach dem Geschmack des zukunftsorientierten Fintech-Unternehmens: Innovative Technik, die unkompliziert und hochsicher ist und sich in der täglichen Praxis bewährt. Weitere Filialen sind bereits in Vorbereitung ihres Sicherheitssystems – die PCS Zutrittskontrolle soll für den nächsten Standort von Anfang an mitgeplant werden.