Eines meiner Lieblingsthemen ist die Konvergenz der IT-Sicherheit mit allen Bereichen der physischen Sicherheit, hauptsächlich der Physical Access Control Systems, PACS, und deren Anbindung an IAM Tools.
Auf der letzten European Identity Conference hatte der Convergence Track eine sehr gute Akzeptanz gefunden, und so war es nur logisch, dass ich als Experte für die Informationssicherheit meine Kenntnisse auf Seiten des physischen Schutzes erweitere. Die international renommierte Messe „Security" in Essen bot hierfür die passende Möglichkeit.
Wie wenig Berührungsängste tatsächlich noch existieren, zeigte sich mir relativ schnell anhand der „bekannten Gesichter" die man auf diesem ungewohnten Terrain sehen konnte. So trat gerade am Mittwoch auf der Bühne des Security Forums Frau Isabel Münch vom BSI auf, besser bekannt als die Mutter des Grundschutzhandbuchs. Die Anzahl der aufmerksamen Hörer im Auditorium und der hochkarätigen Sprecher zeigt deutlich, dass die anfängliche Kontaktscheue dem gegenseitigen Interesse an den Themen „der anderen Seite" gewichen ist.
Aber zurück zum Thema: Konvergenz!
Mehrere Anbieter und Integratoren haben auf der Messe interessante Kombinationen von Produkten gezeigt, so unter anderem das für seine SSO Appliance bekannte Unternehmen Imprivata und der hierzulande noch eher unbekannte Anbieter von Zeit & Zutrittlösungen, nedap.
Im Gespräch mit Vertretern beider Unternehmen wurde der Ansatz hinter der Kombination SSO/PACS relativ schnell klar, zumal einige andere Anbieter ähnliche Ansätze bereits gezeigt haben. Interessant war aber die Strategie von nedap, statt teurer Terminals mit Spezialhardware komplett auf standardisierte IT-Komponenten zu setzen. Bedenkt man, dass der Großteil der Zeit & Zutritt Anbieter bis zu 1.000 € für ihre nicht- untereinander kompatiblen Terminals verlangt und diese vom Design eher fern ab von Design Ikonen wie Apple entworfen werden, ist die Idee von nedap geradezu revolutionär. Joris Lampe erklärte mir daraufhin, dass seine Strategie auf die Austauschbarkeit und Interoperabilität der Komponenten hinaus läuft, und er sich als Anbieter in Software abgebildeter Funktionalität sieht. Ich werde die Entwicklung dieser Strategie eng verfolgen...
Wie sehr die Informationssicherheit mit der physischen Sicherheit zusammen wächst, konnte man an fast allen Ständen der etablierten Hersteller wie Kaba, Bosch, Honeywell, Interflex, HID und Co. erfahren. Alle Anbieter zeigten mehr oder weniger innovative Applikationen von bekannten Sicherheitstechnologien zur Zugangskontrolle, insbesondere Biometrie (Retina, Iris, Fingerabdruck, Handvenenerkennung) und Karten/Token. Mit einer RCID-Integration (Radio Controlled IDentification) stach KABA heraus. Ein etwa Autoschlüssel großer Token der in der Tasche getragen werden kann um Zutritt zu Gebäuden oder Abschnitten zu erhalten. Die Überraschung hierbei ist jedoch, dass es keine klassische „Proximity" Lösung darstellt, sondern die Identifikation und Authentisierung erst im Moment des Hautkontaktes mit dem Türgriff oder der Vereinzelungsschleuse vorgenommen wird.
Aus Sicht der echten Integration zwischen den IAM Systemen der Software Welt und den Zutrittssystemen der Hersteller zeigte sich leider wenig Innovation - der Großteil der Anbindungen muss immer noch als Individualprojekt erfolgen.
Als Fazit der Veranstaltung kann man sagen: ein Besuch lohnt sich! Jedenfalls für den physisch-technisch interessierten IT-Manager, oder denjenigen, der ein ganzheitliches Sicherheitskonzept für sein Unternehmen erstellen möchte. Ein Blick über den Zaun ist auf jeden Fall auch auf Projektleiter interessant, die den Einsatz von multifunktionalen Token oder SmartCards planen, da auf der Security eine Vielzahl sachkundiger Aussteller geduldig jede Frage zu Frequenzen, Protokollen und Schnittstellen beantwortet. Wer die eher „Verkäufer" orientierte Cebit kennt, dürfte ob der durchschnittlichen Kompetenz des Standpersonals überrascht sein!