Berechtigungen clever managen

Ein Zutrittskontrollsystem ist in der Regel zentraler Bestandteil einer Sicherheitsinfrastruktur von Unternehmen und Organisationen. Das Sicherheitspersonal kann damit nicht nur den Perimeter, sondern auch alle Räume und Bereiche innerhalb des Firmengeländes überwachen. Darüber hinaus lassen sich Zutrittsberechtigungen für Mitarbeiter verwalten, Anmeldedaten von beispielsweise ausgeschiedenen Mitarbeitern deaktivieren und individuelle Zutrittspläne erstellen.

Allerdings setzen auch fortschrittlichste Zutrittskontrolllösungen auch heute noch einige manuelle Schritte voraus, die das Sicherheitspersonal unnötig Zeit und Unternehmen vermeidbare Investitionen kostet, da sich Security Teams nicht auf ihre eigentlichen Aufgaben konzentrieren können. Dazu im Folgenden einige Beispiele.

Sobald ein neuer Mitarbeiter in einem Unternehmen anfängt oder bestehende Mitarbeiter die Abteilung bzw. den Arbeitsbereich wechseln, müssen die auf den Zutrittskarten gespeicherten Daten und Berechtigungen angepasst werden. Gerade in größeren Organisationen wird die Liste neuer bzw. gewechselter Mitarbeiter schnell sehr lang. Gleichzeitig sind diese umgehend auf neue Berechtigungen angewiesen, um die betrieblichen Prozesse nicht unnötig  auszubremsen. Nicht selten kann es dabei vorkommen, dass dem Sicherheitspersonal bei der Vergabe neuer Zutrittsberechtigungen unbewusst Fehler unterlaufen, die mitunter katastrophale Auswirkungen haben können.

Nicht selten kann es auch vorkommen, dass externe Dienstleister wie Handwerker oder Lieferanten, Geschäftspartner, Kunden oder VIP-Gäste auf der einen Seite, aber auch Mitarbeiter für bestimmte Aufgaben einen zeitlich begrenzten Zugriff auf bestimmte Bereiche im Unternehmen benötigen. In diesem Fall muss das Sicherheitspersonal mit den entsprechenden Abteilungsleitern oder Managern die individuellen Anfragen überprüfen und die Zutrittsberechtigungen festlegen. Die Abstimmung kann mitunter zeitaufwendig sein und vermeidbare Verzögerungen entstehen, da ein sorgfältiges Tracking notwendig ist.

Das Sicherheitspersonal muss außerdem daran denken, solche vorübergehenden Zutrittsrechte rechtzeitig wieder zu entziehen. Viele Verantwortliche setzen sich dafür entsprechende Wiedervorlagen im Online-Kalender, andere wiederum erfassen solche Vorgänge und Anfragen manuell in einer Excel-Tabelle. Auch dabei können minimale Fehler oder Ungenauigkeiten die Betriebseffizienz negativ beeinflussen und im schlimmsten Fall die eigene Organisation einem Sicherheitsrisiko aussetzen, wenn beispielsweise Berechtigungen für externe Auftragnehmer nicht entzogen werden.  

Besonders in stark regulierten Branchen müssen Unternehmen regelmäßige Audits ihrer Zutrittskontrollsysteme durchführen. Die Systeme werden dann auf Herz und Nieren geprüft und detaillierte Berichte angefordert. Genau definierte Unternehmensrichtlinien schreiben darüber hinaus genau vor, dass nur einschlägig geschultes Personal mit entsprechenden zugewiesenen Rollen und abgelegten Sicherheitsprüfungen bestimmte Räume oder Standorte betreten dürfen. Etwaige Ausnahmen oder spontane Anfragen müssen genauestens erklärt und begründet werden.

Systemadministratoren haben in solchen Situationen oft mit schier unüberwindbar wirkenden Papierbergen zu kämpfen, müssen E-Mails suchen oder sonstige Daten aus Excel-Tabellen extrahieren, um Berechtigungen zu rechtfertigen. Wie auch immer Unternehmen oder Organisationen diese Prozesse handhaben, sind diese in der Regel langwierig und mühsam sowie fehleranfällig und nicht selten diskutabel im Hinblick auf die Compliance-Vorgaben.

Derartige Aufgaben fallen häufig und ungeplant an und können das Sicherheitspersonal von ihren eigentlichen Aufgaben ablenken, was am Ende zu riskanten Fehlern führen kann. Bereits eine oder zwei eingebundene Personen können zu Engpässen in regulären Sicherheitsprozessen führen und die Effizienz des Teams negativ beeinträchtigen.

Unternehmen und Organisationen, die auf der Suche nach einem neuen Zutrittskontrollsystem sind, sollten sich über intelligentes Zutrittsmanagement Gedanken machen. Genetec bietet dafür beispielsweise seine Lösung Clear ID an.

Clear ID ermöglicht eine zentralisierte Verwaltung der Zutrittsrechte von Mitarbeitern und Auftragnehmern. Gleichzeitig automatisiert das System durch eine attributbasierte Erteilung von Berechtigungen zahlreiche zeitraubende Aufgaben, die sonst manuell durchgeführt werden müssen. Das Sicherheitspersonal verteilt Zutrittsrechte anhand bestimmter Mitarbeiterattribute wie zugehöriger Abteilung, Standort, Stellenbezeichnung, Stellenbeschreibung, Unternehmenszugehörigkeit, Gehaltsgruppe, Schulungsstand, Zertifizierungen oder bereits abgelegten Sicherheitsprüfungen. 

Wird beispielsweise ein Mitarbeiter aus der Marketingabteilung in München an den Standort Berlin versetzt, passt das System automatisch die Zutrittsrechte des Mitarbeiters an. Die attribut- und richtlinienbasierte Vergabe von Berechtigungen spart den Security Teams damit mehrere zeitraubende Arbeitsschritte. Darüber hinaus haben moderne, intelligente Zutrittsmanagementlösungen noch weitere Vorteile.

Mitarbeiter haben die Möglichkeit, auf ein cloudbasiertes Self-Service-Portal zuzugreifen. Damit können sie Anfragen, beispielsweise für den temporären Zugriff, aktualisierte Attribute oder den Zutritt von Besuchern oder externen Dienstleistern selbst anfragen. Manager oder Abteilungsleiter können jederzeit und von jedem Ort aus Systemprüfungen und die Teamplanung durchführen.

Sobald eine Zutrittsanfrage eingereicht wurde, erhält der zuständige Manager oder Entscheidungsträger eine automatische Benachrichtigung. Er kann daraufhin die Anfrage im Portal prüfen und anschließend genehmigen oder ablehnen. Zudem kann er Änderungen an den Berechtigungen vornehmen oder diese zeitlich befristen. Seine Entscheidung kann er am Ende bei jeder Gewährung oder jedem Widerruf individuellen begründen, um den Vorgang später vollständig nachvollziehbar zu machen.

Nachdem ein Karteninhaber mit allen Attributen wie Abteilung, Stellenbezeichnung, Stellenbeschreibung, Standort etc. erfasst wurde, stellt das Zutrittsmanagementsystem sicher, dass alle relevanten Berechtigungen gemäß Sicherheitsrichtlinien des Unternehmens erteilt werden. Dieser automatisierte Vorgang minimiert die Gefahr manueller Fehler und stellt sicher, dass die Zutrittsrechte immer auf dem aktuellen Stand sind.

Solche Lösungen für intelligentes Zutrittsmanagement lassen sich heute auch schon ohne Probleme und hohe Investitionen in eine vorhandene Sicherheitsinfrastruktur implementieren. Es gibt Hersteller, die solche Systeme mit einer Zutrittskontrolllösung vereinheitlichen. Das vereinfacht und beschleunigt die Einrichtung und ermöglicht eine vollständige Synchronisation zwischen beiden Systemen. Zutrittsmanagementsysteme sind heute zudem als cloudbasierten Service gegen eine jährliche Abonnementgebühr verfügbar.