Firmenausweise zur Zutrittskontrolle nutzen Mehr IT-Sicherheit durch Integration von Identity- und Card-Management

Autor / Redakteur: Dr. Stefan Blum, (ISC)²-zertifizierter CISSP / Stephan Augsten

Das Management von Firmenausweisen sollte stärker mit dem Identity- und Access-Management verzahnt werden. So lassen sich administrative Prozesse effizienter gestalten und die IT-Sicherheit erhöhen. Dieser Artikel liefert einen Überblick darüber, was man bei der gegenseitigen Integration beachten sollte.

Firmen zum Thema

Erst wenn der Firmenpass zur automatischen Zutritts- und Zugriffskontrolle genutzt wird, schöpft man sein volles Potential aus.
Erst wenn der Firmenpass zur automatischen Zutritts- und Zugriffskontrolle genutzt wird, schöpft man sein volles Potential aus.
( Archiv: Vogel Business Media )

In vielen Unternehmen sind das Identity and Access Management (IAM) und die Verwaltung der Firmenausweise zwei „getrennte Welten“. Erst in den Human-Resources-Prozessen des Unternehmens kommen sie zusammen.

Während die interne IT- oder eine Fachabteilung die IAM-Prozesse im Unternehmen bestimmt, werden die Card Management Prozesse von der Unternehmenssicherheit bzw. den lokalen Infrastruktur-Abteilungen gesteuert. Für einen besseren Überblick haben wir in der Bildergalerie eine Tabelle hinterlegt, die eine Übersicht der Prozesse in einem solchen Szenario bietet.

Aufgrund der unterschiedlichen Verantwortlichkeiten im Unternehmen sind die Systeme und Tools, die die IAM- und Card-Management-Prozesse unterstützen, häufig ohne Schnittstellen zueinander implementiert. Der Unternehmensausweis wird daher häufig nur als Sichtausweis zur Zutrittskontrolle eingesetzt.

Manchmal wird dieser Ausweis auch noch zusätzlich mit einer Bezahlfunktion für Kantine/Kiosk/Automaten ausgestattet. Parallel zum „Sichtausweis-Prozess“ beantragen die Mitarbeiter eine oder mehrere Benutzerkennungen und Passwörter zur Authentifizierung an IT-Systemen.

In diesem Kontext wird zwischen folgenden Systemen unterschieden:

IAM System: IAM-Systeme unterstützen unternehmensweit die Prozesse zur Verwaltung der (IT-bezogenen) Identitäten, Accounts, Rechte und Rollen. Als Teil des IAM Systems gibt es ein Corporate Directory, welches führend die Identität und die Attribute der Mitarbeiter speichert.

Card Management System: Card-Management-Systeme unterstützen technisch die Arbeitsschritte der Card-Management-Prozesse. Diese beginnen bei der Erfassung bzw. dem Import von Ausweisdaten und der optischen Personalisierung von Ausweisen (d.h. Bedrucken mit Lichtbild und Namen des Mitarbeiters).

Es folgt die elektrische Personalisierung von kontaktlosen und/oder kontaktbehafteten Chips mit Kartenanwendungen wie Zutrittskontrolle, Public Key Infrastructure (PKI), Kantinenbezahlfunktionen, Geldkartenfunktion und Speicherung von Daten auf Magnetstreifen. Zu guter Letzt gilt es natürlich auch, den Kartenlebenszyklus zu protokollieren (z.B. Karte ausgegeben, Karte gestohlen gemeldet und gesperrt).

Anwendungen: IT Anwendungen nutzen die Identitäten aus den IAM-Systemen des Unternehmens. In Abhängigkeit von der IAM-Strategie der Organisation werden wichtige Fachanwendungen (z.B. Personalwirtschaftssystem, Hochinformationssystem) dazu genutzt, IAM Prozesse anzustoßen (z.B. Erfassung Daten neuer Mitarbeiter durch HR).

Seite 2: Das führende System gibt den Ausschlag

Das führende System gibt den Ausschlag

Durch eine stärkere Verzahnung von IAM und Card Management auf der Prozess- und Technologieebene kann die IT-Sicherheit erhöht und der Aufwand für Mitarbeiter, Personalverantwortliche sowie Personalabteilungen deutlich reduzieren werden. Vor allem die IT-Sicherheit wird durch folgende Aspekte erhöht:

  • Die Prozesse zur sicheren Registrierung und zur Übergabe des Unternehmensausweises (z.B. persönliches Erscheinen zum Erstellen des Lichtbildes oder zum Abholen des Ausweises) können auch zur Übergabe von Authentifizierungsmerkmalen zu IT-Systemen genutzt werden.
  • Ein hohes Maß an Sicherheit wird erreicht, wenn der Unternehmensausweis selbst als Token zur starken Authentisierung gegenüber IT-Systemen genutzt werden kann.
  • Verbesserte Revisionsfähigkeit wird erreicht, wenn die Card-Management- und IAM-Prozesse verzahnt dokumentiert werden, so dass Zugangs- und Zutrittsrechte einer Person zu einem bestimmten Zeitpunkt ohne größeren Aufwand ermittelt werden können.
  • Zugangs- und Zutrittsrechte können bei Bedarf kontextabhängig und minimal vergeben werden.
  • Es ist möglich, einen umfassenden Sperrprozess zu etablieren, in dem sowohl die Zugangs- als auch die Zutrittsrechte eines Mitarbeiters entzogen werden (z.B. bei Ausscheiden aus dem Unternehmen).

Soll ein integriertes Card Management etabliert werden, muss eine architekturelle Entscheidung getroffen werden: Welches der drei Systeme IAM-System, Card-Management-System oder Fachanwendungen soll die „führende“ Rolle in der IT-Architektur des Unternehmens spielen.

Das ist besonders wichtig, denn in dem führenden System werden die Prozesse zum Anlegen der Identitäten, Änderungen von Zugängen und Sperrung umgesetzt. Das vorangestellte System gibt dann die Änderungen über technischen Schnittstellen an die anderen beiden System weiter.

Ist beispielsweise das IAM-System des Unternehmens führend, werden dort bei Einstellung eines neuen Mitarbeiters eine neuen Identität (bzw. Eintrag im Corporate Directory) angelegt und zugehörige Benutzerkonten in den IT-Anwendungen erzeugt. Das Card Management übernimmt wesentliche Daten aus dem IAM-System zur Erstellung und Personalisierung des Mitarbeiterausweises. Gegebenenfalls sind weitere spezifische Daten erforderlich (z.B. Lichtbild).

Eine integrierte Lösung zur Verwaltung der Unternehmensausweise (Card Management) ermöglicht daher die Verzahnung von IT- und Nicht-IT Welt und damit eine effizientere Verwaltung der Identitäten und Unternehmensausweise. Unternehmen sollten die Chance nutzen und für sich überprüfen, wie weit sie von einem integrierten Card Management profitieren können.

Dr. Stefan Blum, CISSP

Dr. Stefan Blum, CISSP, ist Senior Managing Consultant bei IBM Global Business Services für IT-Sicherheit und Datenschutz. Als fortwährendes Mitglied im Autorenteam von (ISC)² hat Stefan Blum zahlreiche Fachartikel im Bereich der IT-Sicherheit veröffentlicht.

(ID:2048606)