Von: Erik Donner
Eine Smartcard ist mehr als nur ein Speicher für geheime Informationen. Unternehmen nutzen sie, um ihre Prozesse zu vereinfachen. Geschäftsvorgänge, die eine oder mehrere Unterschriften erfordern, laufen dank eines digitalen Ausweises ganz auf der elektronischen Ebene ab und werden nicht mehr durch den Medienbruch zwischen digitalen Dokumenten und der herkömmlichen Unterschrift auf Papier gebremst.
Darüber hinaus können Firmen mit Multifunktionskarten ihre Mitarbeiter besser an sich binden. Denn die elektronischen Ausweise bieten dem Personal attraktive Services. Sie dienen nicht nur als Pass an der Firmenpforte sondern auch als Fahrscheine für die örtlichen Verkehrsbetriebe, als Token für den Zugriff auf Online-Angebote des Unternehmens oder als Rabattmarken beim Einkauf in einem Partnergeschäft.
Sicherer Log-on
Weil Chipkarten bei den Firmen wie bei den Mitarbeitern beliebt sind, kommen sie überall zum Einsatz, wo Zugriffe oder Zutritte zu überwachen sind. Am Haupteingang, wo eine Empfangsperson den Firmenausweis prüft, oder im Intranet, wo die Benutzer anhand ihrer digitalen Zertifikate und öffentlichen Schlüssel kontrolliert werden.
Eine sichere Anmeldung an Rechnersystemen ist für beide wichtig: für den Anwender und das Unternehmen oder den Serviceprovider. Für den Benutzer ist sie die Voraussetzung dafür, dass er vertrauliche E-Mails und Dateien geschützt übertragen kann. Außerdem gewährleistet der Log-on per Karte, dass der User an jedem Arbeitsplatz im Firmennetz seine persönliche Oberfläche vorfindet. Aus der Sicht des Dienstleisters oder des Unternehmens garantiert die Authentifizierung via Scheckkarte, dass nur autorisierte Personen Zugriff auf Netzwerkressourcen erhalten. Damit schützen sie die Vertraulichkeit von Personal- und Firmendaten.
Zu den Benutzern eines digitalen Ausweises gehören sowohl Abteilungen und interne Dienstleister als auch das Personal. Nutzergruppen sind zum Beispiel:
- Mitarbeiter,
- Kantinenbetreiber,
- die IT-Abteilung,
- externe Sicherheitsunternehmen,
- Partnerfirmen und
- Kunden.
bessern die Geschäftsprozesse und die Mitarbeiterbindung.
Partner und Kunden können die Finanzierung einer Chipkarte unterstützen. Erfahrungen aus bisher durchgeführten Projekten bei großen deutschen Unternehmen haben gezeigt, dass Chipkarten von Partnerfirmen gern als Werbefläche genutzt werden. Werbeeinnahmen decken in vielen Fällen die Materialkosten der Ausweise. Geben mehrere Abteilungen oder Firmen gemeinsam eine Karte heraus, sparen sie Kosten für die Planung und das Management.
Gemeinsame Planung
Nutzergruppen von Smartcards sind oft in sich geschlossene Organisationen oder Abteilungen, die eigene Ziele verfolgen und selbst abrechnen. Bei der Einführung der übergreifenden Kartentechnik müssen sich diese auf die gemeinsame Plattform und die darauf installierten Anwendungen einigen. Deshalb sollten alle Beteiligten von Anfang an mit gleichen Rechten an den Planungsgesprächen teilnehmen. Externe Berater unterstützen die Projektarbeit und moderieren die Gespräche zwischen den Teilnehmerfirmen.
In enger Beziehung zu den Koordinierungsgesprächen steht die Diskussion über den Datenschutz. Vor allem die Betriebsräte sind daran interessiert. Firmen beugen Widerständen bei den Mitarbeitergremien am besten dadurch vor, dass sie von Anfang an klarstellen, welche Daten sie zu welchem Zweck übertragen und speichern. Bei den Zugriffsrechten sollten sie verschiedene Benutzerrollen unterscheiden und mit den Mitarbeitern absprechen. Damit vermeiden sie die Vergabe zu vieler Administrationsrechte.
Ein Hindernis, über das viele Unternehmen bei der Einführung einer Chipkarte stolpern, ist die Dimension des Vorhabens. Sie begehen häufig den Fehler, dass sie im ersten Anlauf bereits alle gewünschten Applikationen auf der Karte zu integrieren versuchen. Günstiger ist in der Regel ein schrittweises Vorgehen. Die Struktur der Chips, und zwar sowohl der kontaktlosen als auch der kontaktbehafteten, und selbst Magnetstreifen erlauben es dem Anwender, Dienste nach und nach einzubauen. Zum Beispiel kann eine Firma zunächst nur den kontaktlosen Teil nutzen und IT-Applikationen erst später integrieren. Voraussetzung dafür ist allerdings eine detaillierte Planung, die künftige Erweiterungen bereits vorwegnimmt.
Persönliche Daten
Weil das Serviceangebot eines von mehreren Abteilungen verwendeten digitalen Ausweises auf einzelne Benutzer zugeschnitten sein soll, enthält die Karte persönliche Daten. Dabei müssen die auf der Karte angelegten Datenbestände automatisch konsolidiert werden. In der Regel existiert zu jeder Applikation eine eigene Datenbanken mit Benutzerinformationen. Angaben zum Namen des Users sind dadurch mehrfach gespeichert. Damit die Sperrung einer Chipkarte auch zur Blockade des Zugriffs auf Firmenanwendungen führt, werden die getrennten Informationssysteme einer Smartcard aufeinander abgeglichen. Wer Chipkarten einführen will, kommt deshalb um das Thema Kartenmanagement nicht herum.
Die genannten Beispiele verdeutlichen häufige Probleme beim Einstieg in die digitale Kartentechnik. In den meisten Fällen können die Schwierigkeiten von den Partnern durch eine gute Vorbereitung und eine ausgefeilte Projektstruktur schon von vornherein ausgeräumt werden. Die Beteiligten vermeiden viele Konflikte, wenn sie an den Projektentscheidungen teilhaben und wichtige Daten offenlegen.
Folgende Vorgehensweise für die Einführung einer multifunktionalen Chipkarte hat sich bei bisherigen Projekten der Siemens AG bewährt.
1. Auswahl der Dienste
Im ersten Schritt muss diskutiert werden, welche Dienste sofort und welche mittelfristig, das heißt in den kommenden zwei bis fünf Jahren, auf die Karte zu bringen sind. Die Applikationen auf der Karte ziehen sehr oft Anpassungen an Firmenanwendungen nach sich, deren Kosten die Projektteilnehmer anfangs abschätzen und budgetieren müssen.
2. Auswahl der Technik
Im nächsten Schritt legen die Unternehmen fest, welchen Dienst sie auf welchem Datenträger unterbringen wollen. Dabei prüfen sie, ob sie vorhandene Chipkartensysteme übernehmen können. In den meisten Fällen lassen sich Magnetstreifenverfahren kostengünstig auf kontaktlose Techniken umstellen. Bei der Auswahl von Produkten achten sie insbesondere bei den Kryptochips darauf, dass sie Standardschnittstellen wie PKCP (Cryptographic Service Provider) und CSS (Public Key Cryptography Standard) unterstützen. Die Karten sollten Interfaces zu gängigen Applikationen und Betriebssystemen haben.
3. Design der Karte
Die optische Gestaltung einer Smartcard erfordert viel Zeit. Oft brauchen Projektpartner Monate, bis sie alle Details zum Aussehen abgesprochen haben. Nachdem die Datenträger festliegen, deren Position auf dem Kartenkörper genormt ist, geht es in dieser Phase zum Beispiel darum, ob und an welcher Stelle der Ausweis ein Lichtbild trägt. In die Diskussion um das Äußerliche fließen Meinungen der Werbeträger, des Betriebsrats und der Smartcard-Techniker ein. Damit Firmen prüfen können, ob die Farbe des Grundlayouts stimmt, lassen sie sich vom Kartenproduzenten Testkarten erstellen.
4. Definition der Personalisierung
In diesem Stadium legen die Beteiligten die Regeln für die Personalisierung und das Kartenmanagement fest. Sie entscheiden, welche Daten auf dem Ausweis gespeichert werden, welche Benutzerdatenbanken als Grundlage dienen und welche Kartenservices den Anwendern und Benutzergruppen zur Verfügung stehen sollen. Dabei unterscheiden sie zwischen Bestimmungen für die Erstausgabe und Konfigurationen für den Dauerbetrieb. Sie definieren zum Beispiel die nötigen Schritte einer Namensänderung oder einer Kartensperrung in allen Systemen. Planen die Teilnehmer eine Public-Key-Infrastruktur, müssen sie sich über die Voraussetzungen einer sicheren Ausgabe von Zertifikaten oder eines geschützten Transports der PIN einigen.
5. Entwurf des Pilotprojekts
Im letzten Akt wagen die beteiligten Firmen einen ersten Gehversuch, der nur eine kleine Benutzergruppe und wenige Applikationen auf den Weg bringt. Besonderes Augenmerk legen sie darauf, wie gut der Rolloutprozess funktioniert.
Nach dem erfolgreichen Abschluss des Pilotprojekts planen die Teilnehmer die Einführung der Chipkarte. Große Unternehmen stellen Abteilung für Abteilung auf den Kartenbetrieb um. Aufgrund von monatelangen Lieferzeiten hoher Stückzahlen ist die Erstausgabe von Ausweisen langfristig zu planen. (kpl)
Zur Person
Erik Donner
ist Senior Consultant Security und Directory Services im Bereich Information and Communication Networks bei der Siemens AG in Essen.