Sicherheit für KRITIS-Unternehmen
Besucherprozesse professionell steuern und passend absichern

KRITIS-Unternehmen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Bei deren Ausfall oder Beeinträchtigung treten nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatischen Folgen ein. Beispielsweise zählen Organisationen und Einrichtungen aus den Sektoren Energie, Transport, Finanzen, Verwaltung, Informationstechnik und Telekommunikation zu den kritischen Infrastrukturen.

Aufgrund ihrer Systemrelevanz müssen KRITIS-Unternehmen besonders sicherheitsbewusst sein. Um insbesondere eine Gefährdung durch externe Besucher auszuschließen, sollten kritische Infrastrukturen für den Umgang mit Besuchern sichere Prozesse etablieren. Der workflow-basierte „Visitor Service“ der Peak Security Suite bietet die hierfür erforderlichen Werkzeuge.

Die Vor-Anmeldung von Besuchern erfolgt üblicherweise durch den im Unternehmen besuchten Ansprechpartner. Dieser wird systemseitig durch das Besuchermanagement der Peak Security Suite unterstützt. In sicherheitskritischen Umfeldern wird von Besuchern allerdings verlangt, dass sie umfangreiche persönliche Daten hinterlegen, um eine lückenlose Protokollierung und Nachverfolgung zu gewährleisten. Zudem muss sichergestellt werden, dass die Daten der Besucher aktuell sind.

Um Fehler bei der Verwaltung von Besucherdaten zu vermeiden liegt es also nahe, dass Besucher ihre persönlichen Daten und Besuchsvorgänge über das Internet selbstständig pflegen. Der „Visitor Service“ der Peak Security Suite macht dies möglich: Nachdem die Vor-Anmeldung durch den Ansprechpartner im Unternehmen erfolgt ist, erhält der Besucher eine E-Mail mit Link. Hierüber kann er - nach erfolgreicher Authentisierung - den Besuch bestätigen und alle erforderlichen Daten zu seiner Person eintragen bzw. ergänzen. Die Authentisierung des Besuchers erfolgt über sichere Verfahren wie z.B. OIDC oder SAML. Als Identity Provider kann beispielsweise Google, Microsoft, Amazon oder Facebook verwendet werden. Zudem erhält der Besucher eine kalendarische Ansicht seiner Besuche. Damit kann er zukünftige Besuche ankündigen, neu terminieren oder stornieren sowie ggf. mitgebrachte Gegenstände (z.B. Notebook, Foto, etc.) anmelden, einen Parkplatz reservieren, spezielle Berechtigungen anfordern (z.B. Wifi-Zugang, Kantinengutscheine, etc.) und weitere Personen zum Besuch hinzufügen. Die Workflow-Engie der Peak Security Suite sorgt im Hintergrund dafür, dass alle erforderlichen Genehmigungsprozesse regelkonform gesteuert werden.

In einigen Branchen sind Besucher und externe Mitarbeiter dazu verpflichtet, eine Sicherheitseinweisung vor Ihrem Aufenthalt zu absolvieren. Dies dient einerseits zur Belehrung des Besuchers, ist andererseits aber auch eine rechtlich erforderliche Absicherung (Compliance) für das gastgebende Unternehmen. Häufig gibt es auch für verschiedene Bereiche unterschiedliche Einweisungen: An Flughäfen wird beispielsweise oft danach unterschieden, wo eine Person zum Einsatz kommt (z.B. Vorfeldführerschein, Luftsicherheitsschulung, Gastronomie). Jede dieser Einweisungen hat einen Gültigkeitszeitraum und muss somit in einem festgelegten Intervall wiederholt werden. Eine Übersicht über alle absolvierten Einweisungen ist Bestandteil des Visitor Services. Fehlt eine Einweisung, wird sie dem Besucher per Link angeboten. Die Peak Security Suite stellt sicher, dass ein Besuch erst dann freigegeben und der Check-In am Empfang durchgeführt werden kann, wenn der Besucher oder externe Mitarbeiter alle für ihn erforderlichen Einweisungen absolviert hat.

Entsprechend der Gesamtarchitektur der Peak Security Suite ist der Visitor Service als Dienst implementiert. Die Kommunikation mit dem Basissystem findet über eine lose Kopplung via HTTP/REST Schnittstelle statt. Auf diese Weise kann der Visitor Service nach außen hin problemlos als Cloud-Service des Unternehmens betrieben werden.