Wissen Sie, wie viele Schlüssel in Ihrem Unternehmen im Umlauf sind? Im Regelfall gilt es mit der Schlüsselverwaltung mehrere 1.000 physische und elektronische Schlüssel, Codes, Transponder und Magnetkarten zu überblicken.
Eine besondere Relevanz erhält das Thema Schlüsselverwaltung, wenn man sich vor Augen führt, dass Schlüssel den Zugriff auf Vermögenswerte, Kunden- und Unternehmensdaten oder auch sicherheitsrelevante Bereiche ermöglichen. Verliere ich den Überblick über meine Schlüsselverwaltung kann das weitreichende Konsequenzen nach sich ziehen. Fehlende Nachweise oder nicht vorhandene Schlüsseldaten sind besonders beim Eintritt von Versicherungs- oder anderen Schadensfällen gravierend. Schlüssel müssen Benutzern eindeutig zugeordnet werden können, weil damit Nutzungsrechte verbunden sind.
Es geht bei der Schlüsselverwaltung also u.a. darum, Sicherheitsrisiken zu minimieren und die Einhaltung von Datenschutzstandards zu garantieren. Karteikarten, Schlüsselbücher und Excel eignen sich für kleinere Bestände, steigt die Zahl der im Umlauf befindlichen Schlüssel gewährleisten sie allerdings nicht mehr die notwendige Transparenz. Der Schlüsselbestand wird ohne geeignete Software für die Schlüsselverwaltung schnell unüberschaubar und die damit verbundenen Geschäftsprozesse nicht mehr nachvollziehbar. Eine manuelle Rückverfolgung jedes einzelnen Schlüssels ist sehr mühsam oder gar nicht mehr möglich.
Unterschätzte Komplexität
Eine Schlüsselverwaltung regelt und dokumentiert die Aus- und Weitergabe von Schlüsseln. Was in der Theorie einfach klingt, ist in der Praxis oft deutlich komplexer. Je nach Branche gilt es für die Schlüsselverwaltung verschiedenste Besonderheiten abzubilden: Verwaltung von Bauzylindern in Immobilienverwaltungsunternehmen oder Schlüssel von Untermietern, Tresore unter Doppelverschluss in Banken, Kennzeichnung schutzbedürftiger Räume (z.B. in Rechenzentren oder kommunalen Energieversorgungsunternehmen), Hinterlegung von Berechtigungs- und Vertretungsregelungen oder die Einbindung externer Dienstleister sowie von Konzessionären – um nur einige Beispiele zu nennen. Darüber hinaus sind Verlust- und Fundmeldungen sowie Nachbestellungen zu bearbeiten und die Re-Zertifizierung von Nutzungsrechten durchzuführen (Befristung, Entzug oder Verlängerung von Zutrittsrechten). Dabei gesellen sich zu den betrieblichen Anforderungen an die Schlüsselverwaltung gesetzliche Vorgaben.
Gesetzliche Vorgaben für die Schlüsselverwaltung
Von gesetzlicher Seite greifen beim Thema Schlüsselverwaltung v.a. folgende Vorschriften:
- Datenschutz-Grundverordnung & Bundesdatenschutzgesetz
- IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik
Datenschutz-Grundverordnung & Bundesdatenschutzgesetz
Seit Mai 2018 ist in Deutschland die Datenschutz-Grundverordnung (DSGVO) maßgebend für datenschutzrechtliche Bestimmungen, das Bundesdatenschutzgesetz (BDSG) wirkt ergänzend. Mit Blick auf die Schlüsselverwaltung ist in erster Linie Art. 32 DSGVO relevant. Dieser listet technisch-organisatorische Schutzmaßnahmen im Rahmen der Datensicherheit auf. Unter anderem heißt es in (1): „Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“
Was hier noch recht schwammig klingt, konkretisiert sich, wenn man für die Einrichtung der Schutzmaßnahmen § 64 Abs. 3 S.1 BDSG-neu als Orientierungshilfe heranzieht. Dort heißt es in (3): „Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle).“ Damit habe ich als Unternehmen per Gesetz Sorge zu tragen, dass Unbefugte keinen physischen Zugang zu Räumen bekommen, in denen Datenverarbeitungsanlagen personenbezogene Daten verarbeiten.
IT-Grundschutz-Kompendium
Für die Schlüsselverwaltung entfaltet auch das IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Wirksamkeit. Konkret wird es im Baustein OPR (Organisation und Personal): Dort regelt ORP.4 Identitäts- und Berechtigungsmanagement [pdf], dass Zutritts- und Zugangsrechte zu geschützten Räumen nach dem Need-to-know-Prinzip zu vergeben sind. Darüber hinaus sind sowohl die Vergabe als auch die Rücknahme von Zutrittsrechten zu dokumentieren (ORP.4.A5 Vergabe von Zutrittsberechtigungen).
Zudem hat für die Schlüsselverwaltung der Baustein INF (Infrastruktur) Relevanz. Unter INF.1: Allgemeines Gebäude [pdf] heißt es unter INF.1.A12 Schlüsselverwaltung: „Für alle Schlüssel des Gebäudes SOLLTE ein Schließplan vorliegen. Die Herstellung, Aufbewahrung, Verwaltung und Ausgabe von Schlüsseln SOLLTE zentral geregelt sein. Reserveschlüssel SOLLTEN vorgehalten und gesichert, aber für Notfälle griffbereit aufbewahrt werden. Nicht ausgegebene Schlüssel SOLLTEN sicher aufbewahrt werden. Jede Schlüsselausgabe SOLLTE dokumentiert werden.“

Mehr zu diesem Thema finden Sie auf unserem Finance IT Blog:
IT-gestützte Schlüsselverwaltung
Als Unternehmen muss ich mir damit die Frage stellen, wie sich die Vorgaben in der Praxis umsetzen lassen und vor allem wie ich z.B. gegenüber Prüfern stichhaltig nachweisen kann, dass meine Schlüsselverwaltung den Vorschriften auch tatsächlich genügt.
Effizient und rechtssicher lässt sich ein großer Schlüsselbestand auf Dauer nur IT-gestützt verwalten. Die Schlüsselverwaltung muss dabei alle Geschäfts- und Schlüsselprozesse abdecken und so in die Abläufe eingebettet werden, dass Belegschaft und Organisatoren unkompliziert arbeiten können. Frei nach dem Motto: Ordnung ist das halbe Leben, in der Schlüsselverwaltung das ganze.
agentes Key Store Manager (aKSM)
Bildquelle: Shutterstock