Physische und digitale Sicherheit muss im Rathaus heute ganzheitlich gedacht werden. In einem professionellen Identitäts- und Zugangsmanagement laufen die Fäden zusammen. Die Behörden gewinnen so einen vollständigen Überblick und können alle sicherheitsrelevanten Prozesse zentral steuern.
Sicherheit ist heute ein umfassendes Thema. Wo im 20. Jahrhundert noch Schließanlagen und die ersten Überwachungskameras ausreichten, wird heute eine ganze Palette von IT-Sicherheitslösungen benötigt, vom Virenscanner über Firewalls bis hin zu sicheren Login-Verfahren. Wichtig ist dabei vor allem, physische und digitale Sicherheit ganzheitlich zu denken und nach Möglichkeit unter einen Hut zu bringen. Denn je mehr einzelne Systeme im Einsatz sind, desto größer wird der Verwaltungsaufwand, und desto unübersichtlicher sind die Schnitt- und Schwachstellen.
Ein guter Start für die Planung eines ganzheitlichen Konzeptes ist ein Blick auf die in der Organisation verwendeten Identitäten. Diese haben in der physischen Welt zum Beispiel die Form von ausgegebenen Schlüsseln oder Dienstausweisen, in der digitalen Welt sind es Benutzernamen und Passwörter, Netzwerkkomponenten-IDs und IP-Adressen. Sicherheit basiert zu einem großen Teil auf der Vertrauenswürdigkeit dieser Identitäten sowie auf deren sicherer Bereitstellung, Verwaltung und Kontrolle. Anders gesagt: Wenn Sie nicht wissen, wer im Besitz Ihrer Schlüssel ist, dann nützt Ihnen auch das sicherste Schloss nichts.
Öffentliche Verwaltungen müssen sowohl den Zutritt zu Gebäuden als auch den digitalen Zugriff auf wichtige Ressourcen und personenbezogene Daten schützen. Gerade in öffentlichen Verwaltungsgebäuden ist es grundlegend, dass Zutrittsrechte professionell geregelt sind und beispielsweise PCs umfassend geschützt sind. Daher bietet sich ein zentrales Identity-und-Access-Management-System an, das Identitäten für verschiedene Anwendungsszenarien ausgibt und überwacht.
Identitäten in der physischen Welt: Ob als Dienstausweis oder Schlüsselanhänger, in der physischen Welt finden sich zahlreiche Anwendungsszenarien für vertrauenswürdige Identitäten: Zutrittskontrolle, Follow-Me-Print, Kantine/Bezahlfunktion, Parken und Zeiterfassung.
Ausgabe von digitalen Identitäten: Identitäten können auf verschiedenen Identitätsträgern ausgegeben werden: als elektronischer Dienstausweis, als USB-Token, als Schlüsselanhänger, als virtuelle Smartcard auf dem Mobiltelefon, oder auch als Software-Token auf dem Rechner.
Identitäten in der digitalen Welt: In der digitalen Welt werden Identitäten hauptsächlich für die Authentifizierung eingesetzt. Zum Beispiel für die sichere Anmeldung am Arbeits-PC mit dem Dienstausweis, oder die Anmeldung an den in der Behörde genutzten Anwendungen (Cloud oder lokal) mit smartphone-generiertem Einmalpasswort. Auch digitale Signaturen und E-Mail- sowie Datenverschlüsselung lassen sich auf Basis vertrauenswürdiger Identitäten umsetzen.
Mit einem multifunktionalen elektronischen Dienstausweis lassen sich sowohl Identitätsnachweis als auch umfassende Sicherheitsfunktionen kombinieren. Er soll Türen öffnen, Drucken mit Follow-Me-Print ermöglichen, Bezahlfunktionen unterstützen, Zeit erfassen, als zweiter Faktor bei der Anmeldung am Arbeits-PC oder an Anwendungen dienen, E-Mails und Dokumente verschlüsseln sowie digital signieren.
Bis auf die zwei letzten Punkte ließe sich alles mit RFID-Technologie, also einem Ausweis mit Funktransponder (kontaktlose Übertragung), umsetzen. Für Verschlüsselung und digitale Signaturen wird jedoch eine Public Key Infrastruktur (PKI) benötigt. Anstelle des RFID-Transponders befindet sich dann auf der sogenannten Smartcard ein Kryptochip, der mithilfe asymmetrischer Verschlüsselung das Ausstellen und Lesen von digitalen Zertifikaten ermöglicht.
Professionelles Managementsystem ist wichtig
Mit der Ausgabe von Dienstausweisen ist es jedoch nicht getan. Wichtig ist, dass diese über den gesamten Lebenszyklus verwaltet werden. Ein professionelles Managementsystem bietet hierfür standardisierte und anpassbare Prozesse: Erstellung und Ausgabe von Dienstausweisen mit den dazugehörigen Zugangsberechtigungen (diese können individuell oder auf Basis von Gruppen automatisch vergeben werden), Anfrage und Freigabe von Berechtigungen, Überwachung und Erneuerung der Gültigkeit von Ausweisen und digitalen Zertifikaten sowie das Sperren und Entsperren von Ausweisen.
Außerdem bieten viele Systeme Self-Service-Funktionen, sodass neue Ausweise oder Berechtigungen problemlos von den Mitarbeitern selbst beantragt werden können, wodurch Zeit und Kosten gespart werden.
Authentifizierung geht auch per Smartphone
Wer auf den Ausweis verzichten möchte, dem stehen heute zumindest für einige Funktionen digitale Alternativen zur Verfügung. So ermöglichen Authentifizierungs-Apps die sichere Authentifizierung mit dem Smartphone. Beim Anmeldeprozess, beispielsweise an einem Cloud-Dienst, gibt der Anwender seinen Username und Passwort ein. In der Authentifizierungs-App wird er dann zum zweiten Authentifizierungsschritt aufgefordert. Dieser kann durch Eingabe einer PIN oder biometrisch (z. B. Fingerabdruck, Apple-Face-ID) erfolgen. Mithilfe eines Software-Tokens auf dem PC lassen sich Einmalpasswörter generieren, die für die Authentifizierung verwendet werden. Somit lassen sich die Sicherheitsvorteile der Multi-Faktor-Authentifizierung kostengünstiger nutzen.
Ob mit Smartphone oder Dienstausweis – für den Anwender wird durch Einführung einer professionellen Authentifizierungslösung vieles komfortabler. Wo es sich vorher mehrere verschiedene Passwörter zu merken galt, reicht nun eine einzige PIN in Kombination mit dem zweiten Faktor. Single-Sign-On-Lösungen ermöglichen es, alle in der Behörde verwendeten Fachverfahren und Anwendungen (Cloud und lokal) im geschützten Rahmen zusammenzufassen. Somit müssen sich die Mitarbeiter nur einmal anmelden und haben Zugriff auf alle von ihnen benötigten Ressourcen.
Volker Kunz
Der Autor
Volker Kunz ist Geschäftsführer der Nexus Technology (Deutschland) in Ettlingen, einem Anbieter von Identity- und Sicherheitslösungen
Info: Den kostenlosen Leitfaden „Eine Identität für physischen und digitalen Zugang nutzen“ können Sie hier herunterladen.