Kritische Geschäftsprozesse zu sichern, gewinnt seit Jahren für Unternehmen verschiedenster Branchen an Priorität. Gleichzeitig steigen die Anforderungen an die Cybersicherheit für Informationssysteme – zum einen dank zunehmender Vernetzung und mobilem Arbeiten, zum anderen, weil die Bedrohung durch Cyberangriffe stetig steigt. Zutrittskontrollsysteme sind ein wichtiger Baustein eines Sicherheitskonzepts, mit dem Unternehmen diesen Herausforderungen und Bedrohungen begegnen.
Neun von zehn Unternehmen wurden im vergangenen Jahr Opfer von Datendiebstahl, Spionage und Sabotage. Der deutschen Wirtschaft entsteht dadurch ein jährlicher Schaden von 203 Milliarden Euro. Zu diesem Ergebnis kommt die aktuelle Studie des Branchenverbandes Bitkom vom August 2022. Vor allem Unternehmen, die zur kritischen Infrastruktur zählen, rechnen in den kommenden Monaten mit einer gleichbleibend starken Bedrohung durch Cyberangriffe. Die Politik hat bereits Anfang 2022 reagiert und mit der BSI-KRITIS-Verordnung KRITIS-V den Kreis der Unternehmen erweitert und verschärft, unter anderem für die Sektoren Energie, Transport und Verkehr.
„Zero-Trust“ ersetzt klassische Sicherheitskonzepte
IT-Sicherheitsverantwortliche setzen daher bei der Absicherung ihres Unternehmensnetzwerks immer mehr auf das Konzept „Zero-Trust“. Dabei werden IT-Systeme so gesichert, dass grundsätzlich keinem zugreifenden Gerät außerhalb und innerhalb eines Unternehmens vertraut wird. Jeder Zugriff eines Nutzers wird individuell authentifiziert, die Identität und Integrität des Gerätes fortlaufend geprüft. Besonders in Zeiten hybrider Arbeitsmodelle gewinnt dieses Sicherheitskonzept an Relevanz. Reserve-Proxys, Firewalls, Spamfilter, Antivirenprogramme und Verschlüsselungen sind nur einige Instrumente aus dem Baukasten der IT-Verantwortlichen die Unternehmensinfrastruktur vor Schaden zu bewahren. Dabei geht es beim Thema Unternehmensschutz auch um die physische Absicherung von materiellen wie immateriellen Unternehmenswerten. Wer ein wirkungsvolles Zero-Trust-Konzept umsetzen will, sollte alle Aspekte in einem Sicherheitskonzept berücksichtigen und nicht nur die bloße Absicherung von Unternehmensnetzwerken im Blick haben. Das Konzept definiert, wer, wann, wo, warum und wie Zugriff auf Daten hat und was mit diesen Daten gemacht werden darf. Dazu gehört, dass auch die Beschäftigten regelmäßig zum verantwortungsvollen Umgang mit Unternehmensdaten geschult werden. Genau da setzt auch ein zeitgemäßes Zutrittsmanagement-System an, welches Zutrittskontrolle mit einem Identitätsmanagement kombiniert. Zutrittskontrollsysteme gehören gemeinsam mit Zugangs- und Zugriffskontrollmechanismen in IT-Umgebungen wie Rechenzentren und Serverräumen zum IT-Grundschutz im Sinne eines wirksamen Informationssicherheitssystems (ISMS). Daher stehen Sicherheitsverantwortlichen bereits umfangreiche Schutzmechanismen zur Verfügung: von biometrischen Zutrittslesern, Raumzonenkontrollen oder Vereinzelungsanlagen für besonders sicherungsbedürftige Zugänge.
Zutrittsrechte zentral und automatisiert
Doch je höher die Sicherheitsanforderungen an die abzusichernden Gebäude und das Betriebsgelände werden, umso komplexer werden diese an ein Zutrittskontrollsystem. Zudem steigt das Risiko mit zunehmender Fluktuation von Arbeitskräften, vielen Besucherströmen und wenn externe Firmen Tätigkeiten auf dem Betriebsgelände wahrnehmen. Eine Lösung, die diese hohen Sicherheitsanforderungen von Unternehmen erfüllen kann, ist beispielsweise das Zutrittskontrollsystem IF-6040 der Firma Interflex Datensysteme GmbH. Die Software enthält Module für Zutrittskontrolle, Zeitwirtschaft und Besuchermanagement und kann als On-Premise als auch cloudbasierte Managed Services eingesetzt werden. Mit der Softwarelösung lassen sich Zutrittsberechtigungen zentral verwalten und automatisiert steuern. IT-Sicherheitsverantwortliche erhalten damit einen schnellen und systematischen Überblick über die Frequentierung an allen Zutrittspunkten. Die Zutrittsberechtigungen können auch weltweit und standortübergreifend verwaltet werden, beispielsweise durch ein umfassendes Benutzer-/ Rollenberechtigungskonzept. Da diese in der Systemlösung dynamisch vergeben werden können, lässt sich auf diese Weise die Verwaltung von unter Umständen tausenden Zutrittsberechtigungen vereinfachen. So werden diese nicht direkt einer Person zugewiesen, sondern indirekt der Organisationseinheit in einem Unternehmen. Sicherheitsverantwortliche und IT-Abteilungen werden durch die automatisierte und dynamische Vergabe und Steuerung von Berechtigungen entlastet, so dass sie sich anderen wichtigen Aufgaben der IT-Sicherheit widmen können. Eine Zutrittslösung wie die IF-6040 bietet aber noch mehr Möglichkeiten, wie beispielsweise die Organisation von Einfahrtsberechtigungen, die Zutrittswiederholsperre, die Zwei-Personen-Zutrittsprüfung, eine Fahrstuhl- oder Schleusensteuerung oder eine zeitabhängige Sperrung einzelner Türen. Sicherheitsverantwortliche können mithilfe definierter Raumzonen die Zutrittsbewegungen in besonders sensiblen Unternehmensbereichen verfolgen oder als Grundlage für ein umfassendes Evakuierungsmanagement nutzen. Hinzu kommt, dass sich die Lösung über die OpenAPI REST flexibel erweitern lässt, wenn sich Anforderungen an die Unternehmenssicherheit verändern.
Sicherheit als ganzheitlicher Ansatz
Das A und O moderner Zutrittskontrollsysteme ist die Verschlüsselung von sämtlichen Kommunikationskanälen und die Möglichkeit, schnell und unkompliziert Sicherheits-Updates einzuspielen, so dass die Software jederzeit dem aktuellen Stand entspricht. Zutrittskontrollsysteme sollten dem Ansatz „Security-by-Default“ und „Security-by-Design“ folgen, das heißt bereits bei der Entwicklung und im gesamten Lebenszyklus der Soft-/ und Hardware werden wichtige Sicherheitsaspekte berücksichtigt, wie zum Beispiel der Einsatz von Verschlüsselungs-technologien und Authentifizierungsmaßnahmen. Auch das System IF-6040 folgt diesen Grundsätzen. Das ist besonders in Schließumgebungen mit drahtloser Funkverbindung wichtig. So hat Interflex im vergangenen Jahr mit der neuen Hardware-Produktlinie Opendor air eine batteriebetriebene, wirelessfähige Serie aus Schließkomponenten vorgestellt. Das Beispiel zeigt: Selbst bei einer unterbrochenen Funkverbindung, wie im Szenario eines Blackouts, ist ein autarker Betrieb möglich – können demnach Zutrittsbuchungen an der Tür weiterhin durchgeführt werden – da an der Schließkomponente die letzten 1.000 berechtigten Buchungen gespeichert werden.
Sicherheit als Momentaufnahme
Letzten Endes geht es beim Thema Zutrittskontrolle als Baustein einer modernen Unternehmensinfrastruktur um mehr als um eine reine Zutrittsprüfung. Sicherheitssysteme wie die IF-6040 zeigen, dass es auch um die Optimierung organisatorischer und technischer Unternehmensprozesse und um die Entlastung bei wichtigen IT-Aufgaben geht. IT-Sicherheitsverantwortliche sollten bei der Absicherung der Unternehmensinfrastruktur nach innen und außen alle Ebenen im Blick haben und alle Komponenten einbeziehen. Damit lässt sich ein physischer Schutz im Sinne eines Zero-Trust-Modells sicherstellen. Dennoch ist Sicherheit kein Zustand, sondern immer eine Momentaufnahme. Es bedarf daher stets einer kontinuierlichen Überprüfung der Bedrohungen und Weiterentwicklung aller Sicherungsmaßnahmen, um jetzt und in Zukunft einen erfolgreichen Schutzschild gegen Cyberangriffe aufzubauen.