Fallstudie: Mit AirID zur kontaktlosen ­Zugangskontrolle
Quelle: Oscards

Fallstudie: Mit AirID zur kontaktlosen ­Zugangskontrolle

Bei Oscards wird im Zuge einer anstehenden Zertifizierung das Sicherheitskonzept überarbeitet und mit AirID ein neues System für das Management der Zugangskontrolle eingeführt.

Artikel erschienen in Swiss IT Magazine 2017/01

     

Kleine und mittlere Unternehmen haben oft eine ganze Fülle von Systemen im Einsatz, die mit jeweils eigenen Prozeduren für die Zugangskontrolle ausgestattet sind. Das bedeutet für die Mitarbeiter, dass sie sich täglich mehrmals an unterschiedlichen Systemen an- und wieder abmelden müssen. Das ist nicht nur ineffizient, sondern stellt auch die Sicherheitskonzepte der Unternehmen auf die Probe. Für die IT-Abteilungen entsteht dadurch ein nicht zu unterschätzender administrativer Aufwand, um die Datensicherheit und den Datenschutz zu gewährleisten. Die Firma Oscards wollte im Zuge einer angestrebten Zertifizierung sowohl die Sicherheit im Unternehmen erhöhen als auch die Prozesse vereinfachen. Auf der Suche nach einer Lösung wurde sie bei MPI Technologies fündig. Das Unternehmen vertreibt die seit 2014 erhältliche AirID der deutschen Firma Unicept in der Schweiz. Das Gerät ist Sichtausweishülle und mobiler Smartcard-Reader in einem und ermöglicht die kontaktlose Authentisierung.

Prozesse sicherer machen und gleichzeitig ­vereinfachen

Oscards aus dem zürcherischen Pfäffikon stellt Karten in allen Formen und Farben her. Unter anderem ist sie darauf spezialisiert, Smartcards zu produzieren, die im Security-Bereich, im E-Commerce und nicht zuletzt im Gesundheitswesen eingesetzt werden können. Um diese Karten nach der Produktion für den jeweiligen Verwendungszweck zu initialisieren, arbeitet das Unternehmen mit persönlichen Daten, die es zu schützen gilt. Aus diesem Grund hat sich das KMU unter Geschäftsführer Marco Mumenthaler dazu entschlossen, sich 2017 für die internationale Norm ISO 27001 zertifizieren zu lassen. Damit einher geht eine Anpassung aller Geschäftsprozesse und der IT-Infrastruktur, um die hohen Anforderungen an die Sicherheitsstandards zu erfüllen, die für die Zertifizierung vorausgesetzt werden. "Wir arbeiten vermehrt mit sensiblen Kundendaten, die schützenswert sind, und müssen unseren Beitrag leisten, damit der Kunde weiss, dass diese in den richtigen Händen sind und dass nur Leute, die auch wirklich damit arbeiten, Zugriff darauf haben. Wir müssen irgendwie nachweisen können, was wann und wo mit den Daten passiert. Was ist gelöscht worden, wann haben wir sie bekommen und in welchen Auftrag sind sie hineingeflossen?", so Mumenthaler.
Oscards arbeitet unter anderem für Versicherungen, Banken, den Bund und andere Unternehmungen, die sensible Daten speichern, wie zum Beispiel Krankenkassen. Sie alle stellen Anforderungen an den Datenschutz, die es zu berücksichtigen gilt. Als KMU besteht die Herausforderung darin, die Umsetzung solcher Vorgaben unter Berücksichtigung des administrativen Aufwandes anzugehen. Die eingesetzten Lösungen müssen sich möglichst nahtlos in das operative Tagesgeschäft integrieren lassen und weitgehend automatisiert sein. Dabei ist wichtig, einer Fragmentierung der Prozesslandschaft vorzubeugen, die durch den Einsatz vielerlei unterschiedlicher Systeme entstehen kann.

Ein Gerät für viele Fälle

Auch bei Oscards kamen bisher mehrere, unabhängig voneinander funktionierende Lösungen für die Zugangskontrolle zum Einsatz. Für die Anmeldung an den Fat Clients, mit denen etliche der 25 Angestellten arbeiten, wurde beispielsweise eine stationäre Lösung mit einem Smartcard-Reader eingesetzt, eine Public-Key-Infrastruktur (PKI) fehlte im Unternehmen aber ganz. Der Nachteil liegt auf der Hand: Verlässt ein Mitarbeiter seinen Arbeitsplatz und vergisst dabei, die Smartcard aus dem Reader zu nehmen, dann sind die Daten auf seinem Client potentiell frei zugänglich. Für Oscards eine ungenügende Lösung. Weil zugleich die Sicherheit in weiteren Bereichen des Unternehmens erhöht werden sollte, hat man sich auf die Suche nach einem System begeben, das sich in möglichst viele Prozesse integrieren lässt und gleichzeitig einfach ist in Handhabung und Verwaltung. Dabei ist man auf die AirID von Unicept gestossen.


Als Kartenproduzent habe man sich grundsätzlich für eine solche Lösung interessiert, erzählt Marco Mumenthaler. Denn obwohl sein Unternehmen die dafür benötigten Karten nicht spezifisch herstellt, hätte es die Technologie dazu, und die AirID wird ohne Smartcard vertrieben. Deshalb sei man mit grosser Neugierde an das Projekt herangegangen und wollte das System genau verstehen. Man habe bis dahin bereits verschiedene Stand-Alone-Lösungen im Einsatz gehabt, aber nur mit stationären Systemen gearbeitet. AirID hingegen funktioniert kontaktlos und biete dadurch einen zusätzlichen Nutzen. Mumenthaler präzisiert: "Eine unserer Anforderungen war, dass wir die AirID auch mit anderen Applikationen einsetzen können. So haben wir beispielsweise eine Zutrittskontrolle, ein Zeiterfassungssystem und andere Systeme zur Erfassung von Betriebsdaten, die wir gerne mit einem einzigen Gerät nutzen möchten. AirID bietet die Möglichkeit, Dual-Interface-Karten zu verwenden, auf denen zum Beispiel eine NFC- und eine RFID-Applikation läuft, während gleichzeitig die Authentisierung über den Bluetooth-Chip der AirID möglich ist. Bestechend an dieser Lösung ist, dass sich die verschiedenen Übertragungstechnologien nicht gegenseitig beeinträchtigen." Relevant in Bezug auf die Datensicherheit und den Datenschutz ist hierbei vor allem die Auto-Logout-Funktion. Dank der Bluetooth-Technologie sperrt die AirID den Zugang zum jeweiligen System automatisch, sobald ein Mitarbeiter sich von diesem entfernt, wobei die Distanz festgelegt werden kann. Umgekehrt werden die Systeme auch automatisch entsperrt, wenn sich ihnen ein Mitarbeiter nähert. Dieser muss dann nur noch seinen PIN-Code eingeben, um sich wieder anzumelden.

Die Lösung muss für die IT und die Mitarbeiter gut verträglich sein

Dies kommt auch der IT entgegen. Laut Francesco Brossi, IT-Leiter bei Oscards, müsse ein solches System einfach und zentral zu verwalten und ausserdem verträglich sein für die Mitarbeiter. "Wir wollten mehr Sicherheit und haben gemerkt, dass man die User manchmal dazu zwingen muss, sich an die Sicherheitsrichtlinien zu halten, wie zum Beispiel daran, alle drei Monate die Passwörter zu ändern." AirID nehme einen Teil dieser Arbeit ab, denn die Mitarbeiter hätten das Gerät immer bei sich, und wenn sie sich vom Arbeitsplatz entfernten, dann werde dieser automatisch gesperrt. "Für sie darf es nicht mühsam sein, sich immer wieder einzuloggen, was aber normalerweise der Fall ist, weil man zuerst den Bildschirm entsperren und sich dann mit einem komplexen Passwort anmelden muss. Dank Zwei-Faktor-Authentifizierung mit 256-Bit-Verschlüsselung ist diese Lösung auch sicherer, denn man braucht neben dem PIN noch die Daten der Smartcard, die in der AirID steckt.", so Brossi. Der grösste Vorteil einer solchen Lösung ist indes sicher, dass sie den Übergang zwischen den unterschiedlichen Prozessen im operativen Alltag erleichtert. Sie kann den Zutritt zu den Räumlichkeiten eines Unternehmens regeln und gleichzeitig die Zeiterfassung übernehmen, ausserdem den Zugang zum PC oder Laptop an den Arbeitsplätzen sichern sowie denjenigen zu mobilen Geräten wie Smartphones und Tablets, denn AirID funktioniert sowohl mit Windows als auch mit Blackberry, iOS und Android. Mit Bluetooth verwende die Karte ausserdem einen weltweiten Standard, der nicht exotisch ist und darum auch kein spezielles Gegenstück benötige, ergänzt Brossi. Wenn das Gerät nicht mehr funktionieren sollte, kann man es einfach austauschen, denn die relevanten Informationen sind alle auf der eingesteckten Smartcard gespeichert. Praktischerweise muss es auch nur alle paar Wochen wieder aufgeladen werden.
Bei der Implementierung der Lösung musste Oscards im Herbst 2016 bei null beginnen und zuerst eine PKI-Infrastruktur aufbauen, denn AirID arbeitet mit Zertifikaten, um berechtigte Personen eindeutig zu identifizieren. Anstatt eine vorgefertigte Software zu kaufen, entschied man sich dafür, das System in die bestehende Windows-Umgebung zu integrieren. Dadurch habe die Implementationsphase zwar länger gedauert, meint Brossi, aber dank dem Support durch Unicept konnte sie dennoch in wenigen Wochen abgeschlossen werden. Die One-Fits-All-Lösung ist aber auch AirID nicht. Wie Marco Mumenthaler betont, müsse man pragmatisch damit umgehen: "Wenn man ein solches System flächendeckend einsetzen würde, hätte man vermutlich das Problem, dass gewisse Funktionen, die aus datenschutztechnischer Sicht weniger relevant sind, in ihrer Arbeit behindert werden könnten." Ein KMU sollte sich daher genau überlegen, wo eine solche Lösung eingesetzt werden soll, zum Beispiel nur in Bereichen, in denen die Mitarbeiter mit sensiblen Daten umgehen, fügt er an. "Ein Gerät wie die AirID allein ist zudem nur ein Teil des gesamten Sicherheitskonzeptes, es braucht dazu natürlich noch die richtigen Prozesse, damit das Ganze kohärent funktioniert."

Vom Wert zu schützender Daten

Bei Oscards ist AirID seit wenigen Monaten im Rahmen einer Testphase im Einsatz. Aktuell nur im Personalisierungsbereich, wo Leute arbeiten, die täglich mit sensiblen Daten zu tun haben. Anhand der Resultate dieser Testphase wird zu entscheiden sein, wie weit die Lösung ausgerollt wird, ob nur bei Oscards oder gar in der ganzen Unternehmensgruppe von Schellenberg Druck, zu der Oscards neben drei weiteren Unternehmen gehört. "Wir könnten dann auch so weit gehen, dass wir mit diesem System und unseren Maschinen in der Produktion auf Wunsch eine lückenlose Nachverfolgung der Daten eines Kunden bieten könnten, indem wir aufzeigen, wer wann was an welcher Maschine und in welchen Räumlichkeiten mit welchen Daten gemacht hat", so Mumenthaler. AirID sei hierbei natürlich nur eine von vielen Komponenten, die dazu nötig seien, aber man könne damit Daten, die im operativen Geschäft anfallen, automatisiert protokollieren. Es sei daher ein guter Ansatz und eine Ergänzung zu den Lösungen, die bereits im Einsatz sind. "Die Sammlung und Aufbereitung betrieblicher Daten ist ungemein aufwändig", weiss Mumenthaler, "und das merkt man meistens erst, wenn ein Problem auftritt. Dann sollte man in der Lage sein, schnell und kompetent Auskunft zu geben über das Ausmass des Schadens und darüber, welche Daten wann wo und vor allem wie kompromittiert wurden. Das gibt auch dem Kunden Sicherheit und so kann unter Umständen sogar aus einem Schadensfall etwas Gutes entstehen." (luc)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER