Sicherheitskonvergenzen – Herausforderung für den Kopf

Inhaltsverzeichnis

Die Konvergenz zweier Branchen ist für Anbieter und Dienstleister ein reizvolles Thema. Es locken neue Geschäftspotenziale durch neuartige Lösungen und Produkte. Das ist die eine Seite. Auf der anderen Seite gilt es, mit Gewohntem zu brechen und Altgedientes zu verändern – bei Kunden und Partnern. Deshalb dauert es oft lange, bis zwei eigenständige Produktbereiche im Markt akzeptiert sind und gekauft werden.

Mit dem Zusammenwachsen der beiden Bereiche der logischen und der physikalischen Unternehmenssicherheit verhält es sich nicht anders. Der physikalische Teil, das sind die Einlass- und Schließsysteme ins Unternehmen. Der logische Part ist der Zugang zum Unternehmensnetzwerk. Einen wichtigen Schritt dorthin haben HID Global und ActivIdentity mit ihrem Merger Ende letzten Jahres getan. Es ist der bisher erste und einzigartige Ansatz, der die beiden Abläufe zu einem großen Ganzen zusammenfasst. Den langen Atem bis zum Erfolg müssen sie indessen noch beweisen.

"Dieser Zusammenschluss ist ein Novum. Hier bietet jemand etwas an, das zwar sinnvoll ist, es steht jedoch in den Sternen, in wie weit sich die Kunden da mitentwickeln und mitmachen", prognostiziert Dr. Matthias Rosche, Director Consulting und Business Development beim Security-Spezialisten Integralis Deutschland. Er kennt sowohl die logischen Lösungen von ActivIdentity und die physikalische von HDI und weiß um die Verständigungsschwierigkeiten. Beide Seiten arbeiten zwar mit Zutrittskarten, doch das Card-Management ist aus logischer und physikalischer Sicht auf zwei Parteien verteilt. Auch die Projekte werden jeweils aus Sicht ihrer eigenen "Welten" generiert und die Beteiligten werkeln nebeneinander her.

Das Handicap – sie reden nicht miteinander

Erst rund 12 Prozent aller Kunden haben neusten Studien zufolge bisher diese beiden Welten in ihren Unternehmen durchgängig verknüpft: Das bedeutet, es wird nicht nur produktseitig die physikalische und logische Zugangsberechtigung auf eine Karte gepackt, sondern auch das Management ist in einer Hand und die Administratoren berichten an die gleichen Ansprechpartner.

Zwar ist die Verknüpfung von Informationen für physikalischen und logischen (kryptologischen) Zugang auf einem Medium wie Token oder Smartcard inzwischen State of the Art, doch das ist nicht das Problem. "Natürlich lässt sich auf einer einzigen Karte viel Funktionalität unterbringen", bestätigt Dr. Rosche. "Doch nach wie vor werden sie über zwei Frontends und zwei Parteien administriert." Auf der einen Seite wird beispielsweise die Zutrittskontrolle für Räume und Gebäude über das SAP-Frontend gemanagt, eine IT-Lösung ist für den logischen Zugang etwa zu Applikationen zuständig.

Entsprechend agieren beim physikalischen Zugang auf der einen Seite der Werksschutz und die Facility-Abteilung und reporten in der Regel an den Chief Financial Officer (CFO). Auf der anderen Seite administriert die IT den logischen Zugang zu den IT-Systemen und ist dem Chief Information Officer (CIO) berichtspflichtig. Beide Parteien sprechen trotz eigentlich ähnlicher Interessen, nämlich der Sicherheit des Unternehmens, wenig bis gar nicht miteinander. Bei den Kunden ist die Zusammenlegung der beiden Zugangssysteme bisher weder angekommen noch vorgesehen.

Der Mehrwert der Kombi-Karte – mehr Sicherheit

Dabei bietet die gemeinsame Karte mehrere Vorteile. Einen finanziellen, der durch das Zusammenlegen der physikalischen und logischen Zugangsberechtigung auf eine einzige Corporate Badge (Karte) zustande kommen. "Wichtiger ist allerdings die Vereinfachung der Administration und noch wichtiger: Mit den kombinierten Lösungen steigt das Sicherheitsniveau der Unternehmen eklatant", erklärt Andreas Schremmer, Director Sales Central & Eastern Europe bei ActivIdentity.

Aktionen wie das Öffnen einer Tür und das Betreten des Gebäudes werden ebenso in Log-Files festgehalten wie das Anmelden im Firmennetzwerk oder auch Informationen der Personal- und Unternehmenssoftware. Werden diese physikalischen und logischen Log-Daten der Unternehmens-IT verknüpft, ergeben sich spannende Szenarien. Es lassen sich bestimmte Bewegungsmuster als Gesamtheit erfassen und mit anderen Informationen in Bezug setzen: Tür wird von Person A geöffnet, diese Person ist aber als krank gemeldet oder gerade in einem anderen Gebäude: Dann gibt es einen Alarm.

Ein Mitarbeiter identifiziert sich mit seiner Corporate Badge sowohl beim Eintritt und der Authentifizierung ins Firmengebäude, für den persönlichen Rechnerzugang, aber auch für den Zutritt in Kantine oder Toilette. So ist sichergestellt, dass er etwa in der Mittagspause seinen Rechner wirklich abgesichert zurück lässt, da er seinen Badge immer mitführen muss: Denn ohne Karte keine Spaghetti, ohne Badge aber auch kein Zugriff durch Unbefugte auf den Rechner.

"Die Mitarbeiter sind mit der kombinierten Karte gezwungen, Dinge, die sie jetzt schleifen lassen oder als nicht so wichtig ansehen, sicherheitstechnisch sauber zu erledigen", hebt Dr. Rosche die Vorteile hervor. Wenn bestimmte Regeln in den Sicherheitspolicies festgehalten werden, können in kritischen Fällen Alerts generiert werden, die zu mehr Sicherheit führen.

Partner müssen in zwei Welten zuhause sein

Sowohl HID als auch AcitvIdentity verfügen über einen eigenen Fachhandelskanal. Den zertifizierten Partnern steht es frei, seinen Kunden jeweils die Lösungen des anderen Herstellers anzubieten. Doch agieren die meisten nach wie vor hauptsächlich in ihren angestammten Gewässern und generieren dort Projekte für entweder physikalische Zugangslösungen oder aber Authentifizierung und logischen Access. Sie bewegen sich damit jeweils in dem Mitbewerbsumfeld des einzelnen Lösungssegments wie etwa starker Authentifizierung, Card Management oder Schließsysteme. Übergreifende Projekte, was bisher auch immer herstellerübergreifend bedeutete, sind die rühmliche Ausnahme: Sie sind den großen spezialisierten Systemhäusern wie etwa Integralis vorbehalten, die von jeher in beiden Höfen spielen.

Nun bieten HID/ActiveIdentity erstmals ein komplettes Portfolio von Lösungen aus Schließsystem und logischem Zugang aus einer Hand. Dies eröffnet für Reseller reizvolle Aussichten, doch fällt der Umsatz niemand in den Schoß. "Um diese Lösungen zu verkaufen, brauchen wir die richtigen Partner", weiß auch Schremmer. Diese Systemhäuser benötigen ein sehr umfassendes Know-how: Sie müssen in den beiden Welten der Schließanlagen und IT-Security fit sein. Spezialwissen in starker Authentifizierung und PKI sind Schremmer zufolge unbedingte Voraussetzung. Diese hochkarätigen Partner zu finden und auszubilden, ist die nächste anstehende Aufgabe des neuen Unternehmens.

Hier greift das Partnerprogramm des Unternehmens: Für die Zertifizierung jeder Lösungskategorie – etwa Card, Token, Single Sign On etc. – muss ein Reseller ein Training von vier Tagen absolvieren, das ihn 2000 Euro kostet. "Diese Differenzierung ist nötig, denn jedes Projekt ist anders. Unsere Partner müssen gewaltig mitdenken und entsprechendes Wissen mitbringen", fordert Schremmer. Der Hersteller stellt zur Unterstützung der Partner ein starkes Professional-Service- und Presales-Team bereit. Schremmer verspricht dafür qualifizierte Projekte aus beiden Welten.

"Wir sind mit Systemhäusern und Partnern im Gespräch, die das nötige Know-how vorweisen können. Wir liefern ihnen überzeugende Verkaufsargumente für unsere Lösungen", verspricht Schremmer. "Aber natürlich sind uns auch Partner willkommen, die mit uns auch den altbekannte Weg weitergehen – also entweder HID oder ActivIdentity verkaufen."

Migrationsangebote machen den Umstieg schmackhaft

Helfen sollen den Partnern auch attraktive Migrationsangebote, die das Interesse der Kunden für den Wechsel schüren. Hier ist es Schremmer wichtig darauf hinzuweisen, dass durch offene Architekturen, die in seiner Lösung eingesetzt werden, bei einem Umstieg der Investitionsschutz gewährleistet ist. So kann der Kunde bei einem Umstieg die Karten von Drittanbietern weiter verwenden und die ActivIdentity-Lösungen funktionieren ebenfalls mit anderen Schließsysteme und Endgeräten. Allerdings wird es kein Anbieter alleine schaffen, den Markt zu verändern. Hier müssen die Hersteller in einer konzertierten Aktion – ähnlich wie bei der Cloud – an einem Strang ziehen und den Markt entwickeln. Nur dann wird es das Thema schaffen.

"HDI und ActivIdentity sind vorgeprescht. Das ist interessant und zukunftsträchtig. Nun müssen sie aber noch investieren, um die Botschaft und die Mehrwerte in den Markt und zu den Kunden zu kommunizieren", fordert Dr. Rosche. "Sie müssen mit Dienstleistern zusammenarbeiten, die in beiden Bereichen unterwegs sind und überzeugende Business Cases schaffen. Nur dann werden mehr Unternehmen verstehen, dass diese Konstellation sicherheitstechnisch eine andere Liga ist."

itsa wieder mit einer Convergence Area

Die Sicherheitsmesse itsa arbeitet bereits seit längerem an dem Thema Konvergenz und wird es auch in diesem Jahr wieder präsentieren. Attraktiver platziert wurde das Areal mit seinem Vortragsforum, "so dass jeder dran vorbeikommt", erklärt Veronika Laufersweiler von Secumedia, dem Veranstalter und Kooperationspartner der Messe Nürnberg. Dort finden sich Anbieter aus beiden Bereichen und Dienstleister wie Sicherheitsspezialist und Systemhaus Accessec, die Konvergenzprojekte umsetzen. Für Reseller, die in diesem Segment Ambitionen haben, lohnt sich ein Abstecher dorthin auf jeden Fall. (map)