Webbasiertes Ausweismanagement für die Deutsche Flugsicherung GmbH
Webbasiertes Ausweismanagement, neue Multifunktionsausweise und ein neues Zutrittsberechtigungssystem
Was mit der Abkündigung der Trovan-Technologie begann, mündet in einen Quantensprung für die DFS Deutsche Flugsicherung.
Das neue, webbasierte Ausweismanagementsystem bildet zukünftig die operative Oberfläche des Ausweismanagements und des Berechtigungsmanagements. Es verfügt über Schnittstellen zu den Zutrittsberechtigungssystemen Bestand und Neu und zu den vielen interaktiven Subsystemen wie Zeiterfassung, bargeldloses Zahlungssystem für gastronomische Einrichtungen, SAP-Anwen-dungen, Position-Logging.
Ein neues Zutrittsberechtigungssystem löst das bestehende Zug um Zug ab. Für den neuen Multifunktionsausweis wurde eine zukunftsorientierte Chip-Technologie ausgewählt, die übergangsweise mit der Trovan-Technologie in einem Ausweis kombiniert wird.
Ausgangslage und Aufgabenstellung
Die DFS betreibt seit 1996 ein bundesweites Zutrittsberechtigungs- und Zeiterfassungssystem für Mitarbeiter und für Fremdfirmen. Die verwendete Trovan-Technologie ist mittlerweile veraltet und wird bei Neuentwicklungen nicht mehr berücksichtigt.
Der Ausweis ist für multifunktionale Anforderungen nicht geeignet. Die Ausweisbeantragung erfolgt in einer Lotus-Umgebung. Schnittstellen zum Zeiterfassungs- und Zutrittsberechtigungssystem sowie zu interaktiven Subsystemen sind nicht vorhanden. Die Datenpflege erfolgt getrennt in den einzelnen Systemen.
Die Aufgabenstellung wurde wie folgt definiert:
- Das Zutrittsberechtigungssystem ist zu erneuern.
- Die Ausweisverwaltung ist in die Systemumgebung zu integrieren.
- Die interaktiven Subsysteme sind mittels Schnittstellen anzubinden.
- Ein multifunktionsfähiger Ausweis mit zukunftsorientierter Chip-Technologie ist einzuführen.
- Das Leitungsnetz des Zutrittsberechtigungssystems ist weitgehend zu verwenden.
Vor Erstellung des Lastenheftes wurden im Anforderungsprofil der Iststand und der Sollstand gegen-übergestellt. Bereits in dieser Phase erfolgte eine relativ hohe Verdichtung der Soll-Anforderungen an die Ausweisverwaltungsprozesse.
Getrennte Systeme für Zutritt und Ausweisverwaltung
Die identifizierten Funktionsbeziehungen, Verfahren und Prozesse zwischen Ausweisverwaltung, Zutrittsberechtigungssystem, Zeiterfassung und den anderen interaktiven Subsystemen weisen der Ausweisverwaltung eine strategisch übergreifende und übergeordnete Bedeutung zu.
Da die notwendigen Verfahren und Prozesse der Ausweisverwaltung, besonders in Verbindung mit einem webbasierten User-Self-Service, in den Zutrittsberechtigungssystemen Bestand und Neu nicht abgebildet werden kann, werden Ausweisverwaltung und Zutrittsberechtigung getrennt.
Das Ausweismanagementsystem (AVS)
Das Ausweismanagementsystem bildet die operative Bedien- und Bearbeitungsoberfläche für alle Basisdienste der Ausweisverwaltung. Hier werden die Stammdaten aller Ausweise (Mitarbeiter, Fremdfirmen und Besucher), die damit verbundenen Zutritts- und Sonderrechte verwaltet.
Die Prozesse und Verfahren der Ausweis- und Besucherverwaltung werden so automatisiert, dass die bisher notwendigen manuellen Bearbeitungsschritte und Workflows im AVS effizienter und revisionssicherer abgewickelt werden.
Das AVS ist eng mit den Zutrittsberechtigungssystemen (ZBS) verknüpft. Die Zutritts- und Zeitzonen werden zwar in den Zutrittsberechtigungssystemen angelegt und geführt, für das neue Zutrittsberechtigungssystem im Ausweisverwaltungssystem automatisch abgebildet und nur noch dort den Ausweisen bei Ausweisvergabe direkt zugeordnet.
Den Zutrittsberechtigungssystemen wurden nur noch die klassischen operativen Funktionen „Steuerung von Türen, Tore, Schranken, Vereinzelungsanlagen, usw.“ zugeordnet. Das Zutrittsberechtigungssystem ist im eigentlichen Tagesgeschäft nicht mehr relevant.
Der webbasierte User-Self-Service (USS)
Bis zum Abschluss der Genehmigung wird der Antrags- und Änderungsprozess zukünftig als Webbasierter User-Self-Service über das Intranet (für DFS-MA) bzw. das Internet (für Fremdfirmenmitarbeiter und Externe) erfolgen. Das Web-Interface ist mittels HTTPS Mechanismen für Verschlüsselung und Authentifizierung abgesichert. Der Zugriff auf den Web-Service erfolgt mittels Zugangsberechtigungscode. Für alle Benutzer, die über das Intranet auf das AVS zugreifen, werden die in der DFS-Domino-Directory verwalteten Benutzernamen und Kennwörter verwendet.
Die interaktiven Verbundsysteme
Entsprechend der Funktionsbeziehungen kommuniziert das AVS mit einer Vielzahl von interaktiven Verbundsystemen.
Dazu gehören:
- Zutrittsberechtigungssystem Bestand
- Zutrittsberechtigungssystem Neu
- Zeitwirtschaftssystem
- E-Mail-Service Lotus Notes
- Personalverwaltung SAP R/3 HR
- Bargeldloses Zahlungssystem für gastronomische Einrichtungen
- Position-Logging (PoLo)
Für den Datenaustausch werden Protokolle bzw. Dateiformate wie z. B. LDAP, ODBC, SOAP (XML), CSV-Dateien genutzt.
Multifunktionsausweis und Transpondertechnologie
Die bisherigen, technologisch veralteten Ausweise werden durch moderne, berührungslose und multifunktionsfähige Ausweise ersetzt. Die Auswahl der neuen Chip-Technologie erfolgte in einer gesonderten Studie. Nach einer ersten Vorauswahl wurden die Leistungsmerkmale nachfolgender Technologien gegenübergestellt:
- Dual-Interface-Lösung (Java-Card) Legic Advant 4k + Mifare Classic/Std. 4K + PKI auf Basis SmartMX
- Legic Advant 4k + PKI-Krypto-Chip
- Mifare DESFire + PKI-Krypto-Chip
Nach Vergleich der drei Technologien fiel die Entscheidung wegen der Konformität zum PoLo-System auf Legic Advant 2K. Für den Übergang werden im Ausweis Trovan-Technologie und Legic-Advant kombiniert. Die Segmentierung berücksichtigt Zutrittsberechtigung, Verpflegungsabrechnung und Zeiterfassung. Die Segmentierung des Chips erfolgt so offen, dass weitere Segmente für zusätzliche Funktionen angelegt werden können.
Fazit:
Nach Vergleich der drei Technologien fiel die Entscheidung wegen der Konformität zum PoLo-System auf Legic Advant 2K. Für den Übergang werden im Ausweis Trovan-Technologie und Legic-Advant kombiniert. Die Segmentierung berücksichtigt Zutrittsberechtigung, Verpflegungsabrechnung und Zeiterfassung. Die Segmentierung des Chips erfolgt so offen, dass weitere Segmente für zusätzliche Funktionen angelegt werden können.
Dieser Fachbeitrag ist in der Fachzeitschrift SecurityInsight, Ausgabe April 2010 erschienen. Autor: Volker Kraiss