Digitale Sicherheit: Schlüsselverwaltung einfach gemacht

Eine Schlüsselverwaltung muss betriebliche und gesetzliche Anforderungen erfüllen. Excel, Karteikarten, Schlüsselbücher & Co. stoßen hier schnell an Grenzen.

Wissen Sie, wie viele Schlüssel in Ihrem Unternehmen im Umlauf sind? Im Regelfall gilt es mit der Schlüsselverwaltung mehrere 1.000 physische und elektronische Schlüssel, Codes, Transponder und Magnetkarten zu überblicken. Eine besondere Relevanz erhält das Thema Schlüsselverwaltung, wenn man sich vor Augen führt, dass Schlüssel den Zugriff auf Vermögenswerte, Kunden- und Unternehmensdaten oder auch sicherheitsrelevante Bereiche ermöglichen. Verliere ich den Überblick über meine Schlüsselverwaltung kann das weitreichende Konsequenzen nach sich ziehen. Fehlende Nachweise oder nicht vorhandene Schlüsseldaten sind besonders beim Eintritt von Versicherungs- oder anderen Schadensfällen gravierend. Schlüssel müssen Benutzern eindeutig zugeordnet werden können, weil damit Nutzungsrechte verbunden sind.

Es geht bei der Schlüsselverwaltung also u.a. darum, Sicherheitsrisiken zu minimieren und die Einhaltung von Datenschutzstandards zu garantieren. Karteikarten, Schlüsselbücher und Excel eignen sich für kleinere Bestände, steigt die Zahl der im Umlauf befindlichen Schlüssel gewährleisten sie allerdings nicht mehr die notwendige Transparenz. Der Schlüsselbestand wird ohne geeignete Software für die Schlüsselverwaltung schnell unüberschaubar und die damit verbundenen Geschäftsprozesse nicht mehr nachvollziehbar. Eine manuelle Rückverfolgung jedes einzelnen Schlüssels ist sehr mühsam oder gar nicht mehr möglich.

Unterschätzte Komplexität

Eine Schlüsselverwaltung regelt und dokumentiert die Aus- und Weitergabe von Schlüsseln. Was in der Theorie einfach klingt, ist in der Praxis oft deutlich komplexer. Je nach Branche gilt es für die Schlüsselverwaltung verschiedenste Besonderheiten abzubilden: Verwaltung von Bauzylindern in Immobilienverwaltungsunternehmen oder Schlüssel von Untermietern, Tresore unter Doppelverschluss in Banken, Kennzeichnung schutzbedürftiger Räume (z.B. in Rechenzentren oder kommunalen Energieversorgungsunternehmen), Hinterlegung von Berechtigungs- und Vertretungsregelungen oder die Einbindung externer Dienstleister sowie von Konzessionären – um nur einige Beispiele zu nennen. Darüber hinaus sind Verlust- und Fundmeldungen sowie Nachbestellungen zu bearbeiten und die Re-Zertifizierung von Nutzungsrechten durchzuführen (Befristung, Entzug oder Verlängerung von Zutrittsrechten). Dabei gesellen sich zu den betrieblichen Anforderungen an die Schlüsselverwaltung gesetzliche Vorgaben.

Gesetzliche Vorgaben für die Schlüsselverwaltung

Von gesetzlicher Seite greifen beim Thema Schlüsselverwaltung v.a. folgende Vorschriften:

  • Datenschutz-Grundverordnung & Bundesdatenschutzgesetz
  • IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik

Datenschutz-Grundverordnung & Bundesdatenschutzgesetz

Seit Mai 2018 ist in Deutschland die Datenschutz-Grundverordnung (DSGVO) maßgebend für datenschutzrechtliche Bestimmungen, das Bundesdatenschutzgesetz (BDSG) wirkt ergänzend. Mit Blick auf die Schlüsselverwaltung ist in erster Linie Art. 32 DSGVO relevant. Dieser listet technisch-organisatorische Schutzmaßnahmen im Rahmen der Datensicherheit auf. Unter anderem heißt es in (1): „Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Was hier noch recht schwammig klingt, konkretisiert sich, wenn man für die Einrichtung der Schutzmaßnahmen § 64 Abs. 3 S.1 BDSG-neu als Orientierungshilfe heranzieht. Dort heißt es in (3): „Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle).“ Damit habe ich als Unternehmen per Gesetz Sorge zu tragen, dass Unbefugte keinen physischen Zugang zu Räumen bekommen, in denen Datenverarbeitungsanlagen personenbezogene Daten verarbeiten.

IT-Grundschutz-Kompendium

Für die Schlüsselverwaltung entfaltet auch das IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Wirksamkeit. Konkret wird es im Baustein OPR (Organisation und Personal): Dort regelt ORP.4 Identitäts- und Berechtigungsmanagement [pdf], dass Zutritts- und Zugangsrechte zu geschützten Räumen nach dem Need-to-know-Prinzip zu vergeben sind. Darüber hinaus sind sowohl die Vergabe als auch die Rücknahme von Zutrittsrechten zu dokumentieren (ORP.4.A5 Vergabe von Zutrittsberechtigungen).

Zudem hat für die Schlüsselverwaltung der Baustein INF (Infrastruktur) Relevanz. Unter INF.1: Allgemeines Gebäude [pdf] heißt es unter INF.1.A12 Schlüsselverwaltung: „Für alle Schlüssel des Gebäudes SOLLTE ein Schließplan vorliegen. Die Herstellung, Aufbewahrung, Verwaltung und Ausgabe von Schlüsseln SOLLTE zentral geregelt sein. Reserveschlüssel SOLLTEN vorgehalten und gesichert, aber für Notfälle griffbereit aufbewahrt werden. Nicht ausgegebene Schlüssel SOLLTEN sicher aufbewahrt werden. Jede Schlüsselausgabe SOLLTE dokumentiert werden.“

Schlüsselverwaltung
Die gesetzlichen Rahmenbedingungen für die Schlüsselverwaltung auf einen Blick.

Für die Schlüsselverwaltung in Finanzinstituten greifen zudem Teile des Kreditwesengesetzes – und in diesem Zuge insbesondere die Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie die Mindestanforderungen an das Risikomanagement (MaRisk).

Mehr zu diesem Thema finden Sie auf unserem Finance IT Blog:

IT-gestützte Schlüsselverwaltung

Als Unternehmen muss ich mir damit die Frage stellen, wie sich die Vorgaben in der Praxis umsetzen lassen und vor allem wie ich z.B. gegenüber Prüfern stichhaltig nachweisen kann, dass meine Schlüsselverwaltung den Vorschriften auch tatsächlich genügt.

Effizient und rechtssicher lässt sich ein großer Schlüsselbestand auf Dauer nur IT-gestützt verwalten. Die Schlüsselverwaltung muss dabei alle Geschäfts- und Schlüsselprozesse abdecken und so in die Abläufe eingebettet werden, dass Belegschaft und Organisatoren unkompliziert arbeiten können. Frei nach dem Motto: Ordnung ist das halbe Leben, in der Schlüsselverwaltung das ganze.

agentes Key Store Manager (aKSM)
Der agentes Key Store Manager ist eine webbasierte Schlüsselverwaltung zur Dokumentation und Steuerung von Zutrittsberechtigungen. Dabei handelt es sich um ein Full-Stack-Framework mit den neusten Technologien, wie String, Vaadin, OpenJPA und Gradle. Es beinhaltet ein rollenbasiertes Sicherheits-Subsubsystem bis hin zu der Vergabe von Rechten auf Entitäts-Attributen. Aus weit über 70 GUI-Komponenten kann ein Screen erstellt werden. Darunter finden sich Dashboard, Accordion, Charts, Drag & Drop oder Listen mit Mehrfachselektion. Die Schlüsselverwaltung wurde im Responsive Design entwickelt. Für die Erstellung der Geschäftsprozesse wurde die prozessorientierte Vorgehensweise BMP 2.0 verwendet.

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.