Schlüsselverwaltung: Der Gesetzgeber und die betriebliche Ordnung

Schlüsselverwaltung: Der Gesetzgeber und die betriebliche Ordnung

Banken arbeiten täglich mit zahlreichen physischen und elektronischen Schlüsseln. Die Herausforderung: Eine Schlüsselverwaltung, die sowohl die betrieblichen als auch die gesetzlichen Anforderungen erfüllt.

Jeder kennt das Sprichwort „Ordnung ist das halbe Leben“. Im privaten wie betrieblichen Leben hängt Ordnung häufig davon ab, wie viele Personen, Sachen und Räume im Spiel sind. Alleine behält man fast immer problemlos den Überblick über sein Terrain und dort gelagerte Dinge. Spürbar komplexer wird es, sobald weitere Menschen dazukommen. Zu Hause sind das Familienmitglieder oder Mitbewohner, in der Arbeitswelt Mitarbeiter und Kollegen. Die Alleinherrschaft über Gegenstände, Dokumente, Wertsachen, Schlüssel, Schränke und Räume geht unweigerlich verloren und Ordnung ist gefragt. In Familien mühen sich seit jeher Eltern, mit Regeln einen halbwegs geordneten Zustand in den familiären Alltag zu bekommen. In Banken gibt es dafür bekanntlich einen eigenen Bereich, die Betriebsorganisation. Diese hat – im Gegensatz zum Familienoberhaupt – aber längst nicht mehr freie Hand bei der Gestaltung und Umsetzung. Nein, der Gesetzgeber mischt sich hier ein und spart nicht mit Vorschriften, die selbstredend gut gemeint sind und Schaden abwenden sollen.

Gesetzliche Vorgaben

Beim Thema Schlüsselverwaltung muss nicht nur die Aus- und Weitergabe von Schlüsseln geregelt und dokumentiert werden. Auch der Entzug von Zutrittsberechtigungen sowie weitere Besonderheiten sind zu beachten: Tresore unter Doppelverschluss, lückenlose Dokumentation schutzbedürftiger Räume und Vertretungsregelungen in Krankheits- oder Urlaubszeiten. Dabei greifen von gesetzlicher Seite vor allem folgende Vorschriften:

  1. DSGVO
  2. IT-Grundschutzkatalog des BSI
  3. Kreditwesengesetz

1. Zutritte in der DSGVO

Aktuellstes Beispiel ist die Datenschutz-Grundverordnung (DSGVO), in welcher die Bestimmungen für Datensicherheit verschärft wurden. Wer zum Beispiel unter die technisch-organisatorischen Maßnahmen (TOMs) nach § 9 BDSG (Bundesdatenschutzgesetz) fällt – und das ist fast jede Einrichtung in Wirtschaft, Wissenschaft und Verwaltung – hat nun per Gesetz Sorge zu tragen, dass keine Unbefugten Zutritt, also physischen Zugang zu Räumen bekommen, in denen Datenverarbeitungsanlagen personenbezogene Daten verarbeiten. Eigentlich klar verständlich. Aber wie setzt man das in einem verzweigten Unternehmen um und weist gegenüber der Geschäftsleitung und Prüfern nach, dass die Schlüsselverwaltung den Vorschriften auch tatsächlich genügt?

2. BSI und Zutrittsrechte

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist dem Ministerium für Inneres angegliedert, existiert seit über 25 Jahren und ist zentraler Sicherheitsdienstleister des Bundes. Es befasst sich mit der Identifikation neuer Lücken in der IT-Sicherheit des Bundes und veröffentlicht Standards zu deren Vermeidung. Im IT-Grundschutzkatalog des BSI, Maßnahmenkatalog M 2.6 (Vergabe von Zutrittsberechtigungen), ist hinterlegt, dass Zutrittsrechte zu geschützten Räumen nach dem Need-to-know-Prinzip zu vergeben sind. Darüber hinaus sind sowohl die Vergabe als auch die Rücknahme von Zutrittsrechten zu dokumentieren. Der gesamte zweite Maßnahmenkatalog bezieht sich nur auf den Unternehmensbereich „Organisation“ und beschreibt konkret, was man zur Vermeidung von IT-Sicherheitslücken tun sollte.

3. Kreditwesengesetz, BaFin und Zutrittsrechte

Das Kreditwesengesetz verpflichtet in § 25a (1) Kreditinstitute zu einer „ordnungsgemäße(n) Geschäftsorganisation“ und „technisch-organisatorische“ Ausstattung, die alle gesetzlichen Bestimmungen erfüllen kann. Das wirkt zunächst beinahe lapidar, ist es aber mitnichten. Denn die Formulierung alle gesetzlichen Bestimmungen fordert Banken dazu auf, organisatorisch permanent up to date zu sein. So schreibt die Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin, in den MaRisk 2017 (Mindestanforderungen an das Risikomanagement) im allgemeinen Teil 7.2 zur technisch-organisatorischen Ausstattung der Banken, dass IT-Systeme zum Schutz der Daten grundsätzlich „gängige Standards“ beachten sollen. Ein kleiner Satz, der alle Finanzinstitute im Handumdrehen zum BSI-Grundschutz und auch zur DSGVO mitsamt darin geregelter Zutrittsrechte führt.

IT-gestützte Schlüsselverwaltung

Die oben genannten Beispiele zur Regelung von Zutrittsrechten zeigen, dass unsere deutsche bzw. europäische Legislative in Sachen Organisation und Ordnung mitunter sehr konkrete Vorstellungen hat. Die Herausforderung für Organisatoren und IT-Verantwortliche besteht darin, eine Umsetzungslösung zu finden, die im optimalen Fall nicht allein die gesetzlichen, sondern auch die innerbetrieblichen Bedürfnisse erfüllt.

Um das Beispiel der Zutrittsrechte ein letztes Mal aufzugreifen: Ab einer bestimmten Organisationsgröße und Mitarbeiterzahl macht ein in ordentlichen Bahnen laufendes, digitales Verfahren zur Ausgabe, Weitergabe, Rückgabe und Dokumentation von physischen oder elektronischen Schlüsseln, die per se Zutrittsrechte zu Räumen und Gebäuden repräsentieren, sowieso Sinn. Die Einführung einer Schlüsselverwaltung bei der Sparkasse Saarbrücken zum Beispiel zeigt, dass über die gesetzlichen Ansprüche hinaus interne Aspekte eine wichtige Rolle spielen:

  • Aus-, Weiter- und Rückgabe von Schlüsseln nach dem Vier-Augen-Prinzip
  • Gruppenbesitz von Schlüsseln
  • Wertgegenstände unter Doppelverschluss (Tresore)
  • Zentrale und/oder dezentrale Schlüsselausgaben mitsamt Dokumentation
  • Vertretungsregelungen für Urlaub oder Krankheit
  • Automatischer Abgleich des Mitarbeiterbestands
  • Automatischer Hinweis auf offene Geschäftsvorfälle

Der Schlüssel zum Erfolg liegt in der IT

Aus Bankensicht sinnvoll ist, die Zutritts- bzw. Schlüsselverwaltung so in die alltäglichen betrieblichen Abläufe einzubetten, dass Belegschaft und Organisatoren unkompliziert arbeiten können und Transparenz über den Verbleib relevanter Schlüssel haben. Hier gilt das Sprichwort: „Ordnung machen ist nicht schwer, Ordnung halten aber sehr“. Denn um langfristig Nutzen aus dem System zu ziehen und es tatsächlich in Ordnung zu halten, muss es einfach zu handhaben und zu warten sein, in die Systemlandschaft passen sowie vor allem Veränderungen überschaubar ermöglichen. Dann ist Ordnung nicht nur das halbe, sondern im betrieblichen Alltag sogar das ganze Leben.

 

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.