Schlüsselverwaltung: Der Gesetzgeber und die betriebliche Ordnung

Banken arbeiten mit vielen physischen und elektronischen Schlüsseln. Die Challenge: Eine Schlüsselverwaltung, die betriebliche und gesetzliche Anforderungen erfüllt.

Jeder kennt das Sprichwort „Ordnung ist das halbe Leben”. Im privaten wie betrieblichen Leben hängt Ordnung häufig davon ab, wie viele Personen, Sachen und Räume im Spiel sind – das gilt auch für die Schlüsselverwaltung. Alleine behält man fast immer problemlos den Überblick über sein Terrain und dort gelagerte Dinge. Spürbar komplexer wird es, sobald weitere Menschen dazukommen. Zu Hause sind das Familienmitglieder oder Mitbewohner, in der Arbeitswelt Mitarbeiter und Kollegen. 

Die Alleinherrschaft über Gegenstände, Dokumente, Wertsachen, Schlüssel, Schränke und Räume geht unweigerlich verloren und Ordnung ist gefragt. In Familien mühen sich seit jeher Eltern, mit Regeln einen halbwegs geordneten Zustand in den familiären Alltag zu bekommen. In Banken gibt es dafür bekanntlich einen eigenen Bereich, die Betriebsorganisation, welche auch die Schlüsselverwaltung berücksichtigen muss. Diese hat – im Gegensatz zum Familienoberhaupt – aber längst nicht mehr freie Hand bei der Gestaltung und Umsetzung. Nein, der Gesetzgeber mischt sich hier ein und spart nicht mit Vorschriften, die selbstredend gut gemeint sind und Schaden abwenden sollen.

Gesetzliche Vorgaben für die Schlüsselverwaltung

Beim Thema Schlüsselverwaltung muss nicht nur die Aus- und Weitergabe von Schlüsseln geregelt und dokumentiert werden. Auch der Entzug von Zutrittsberechtigungen sowie weitere Besonderheiten sind zu beachten: Tresore unter Doppelverschluss, lückenlose Dokumentation schutzbedürftiger Räume und Vertretungsregelungen in Krankheits- oder Urlaubszeiten. Dabei greifen von gesetzlicher Seite für die Schlüsselverwaltung vor allem folgende Vorschriften:

  1. Kreditwesengesetz
  2. Datenschutz-Grundverordnung (DSGVO)
  3. IT-Grundschutz-Kompendium

1. Kreditwesengesetz, BaFin und Zutrittsrechte

Das Kreditwesengesetz verpflichtet in § 25a (1) Kreditinstitute zu einer “ordnungsgemäße(n) Geschäftsorganisation” und “technisch-organisatorische” Ausstattung, die alle gesetzlichen Bestimmungen erfüllen kann. Das wirkt zunächst beinahe lapidar, ist es aber mitnichten. Denn die Formulierung alle gesetzlichen Bestimmungen fordert Banken dazu auf, organisatorisch permanent up to date zu sein. Für die Schlüsselverwaltung führt uns dies zu den Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie die Mindestanforderungen an das Risikomanagement (MaRisk).

Wirkung für die Schlüsselverwaltung entfalten die BAIT [pdf] und hier vor allem die Anforderung 6. Identitäts- und Rechtemanagement. Detailliert auf alle Punkte einzugehen würde an dieser Stelle den Rahmen sprengen, sie seien hier lediglich kurz angeschnitten: 

  • Standardisierte Prozesse und Kontrollen (6.1)
  • Berechtigungskonzept nach dem Sparsamkeitsgrundatz (6.2)
  • Zugänge müssen jederzeit zuordenbar sein (6.3)
  • Genehmigungs- und Kontrollprozesse für Vergabe, Änderung der Entzug von Berechtigungen (6.4)
  • Überprüfung von Berechtigungen (Rezertifizierung) (6.5)
  • Dokumentation von Aktivitäten und Rezertifizierungen (6.6)
  • Protokollierung und Überwachung der Nutzung von Berechtigungen (6.7)
Zudem schreibt die BaFin in den MaRisk im allgemeinen Teil 7.2 zur technisch-organisatorischen Ausstattung der Banken, dass IT-Systeme zum Schutz der Daten grundsätzlich “gängige Standards” beachten sollen. Ein kleiner Satz, der alle Finanzinstitute beim Thema Schlüsselverwaltung im Handumdrehen zur DSGVO mitsamt darin geregelten Zutrittsrechten sowie zum IT-Grundschutz-Kompendium führt.
 

2. Zutritte in der DSGVO

Für datenschutzrechtliche Bestimmungen ist in Deutschland die DSGVO (Datenschutz-Grundverordnung) maßgebend – das Bundesdatenschutzgesetz (BDSG) wirkt ergänzend. Mit Blick auf die Schlüsselverwaltung greift vor allem Art. 32 DSGVO, der technisch-organisatorische Schutzmaßnahmen im Rahmen der Datensicherheit auflistet. Unter anderem heißt es in (1): „Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“ 

Was hier noch recht schwammig klingt, konkretisiert sich, wenn man für die Einrichtung der Schutzmaßnahmen§ 64 Abs. 3 S.1 BDSG-neuals Orientierungshilfe heranzieht. Dort heißt es in (3): „Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle).“ Damit habe ich als Unternehmen per Gesetz Sorge zu tragen, dass Unbefugte keinen physischen Zugang zu Räumen bekommen, in denen Datenverarbeitungsanlagen personenbezogene Daten verarbeiten. Aber wie setzt man das in einem verzweigten Unternehmen um und weist gegenüber der Geschäftsleitung und Prüfern nach, dass die Schlüsselverwaltung den Vorschriften auch tatsächlich genügt?

3. IT-Grundschutz-Kompendium

Für die Schlüsselverwaltung hat zudem das IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Relevanz. Konkret wird es im Baustein OPR (Organisation und Personal). Hier regelt ORP.4 Identitäts- und Berechtigungsmanagement [pdf], dass Zutritts- und Zugangsrechte zu geschützten Räumen nach dem Need-to-know-Prinzip zu vergeben sind. Darüber hinaus sind im Rahmen der Schlüsselverwaltung sowohl die Vergabe als auch die Rücknahme von Zutrittsrechten zu dokumentieren (ORP.4.A5 Vergabe von Zutrittsberechtigungen).

Zudem hat für die Schlüsselverwaltung der Baustein INF (Infrastruktur) Relevanz. Unter INF.1: Allgemeines Gebäude [pdf] heißt es unter INF.1.A12 Schlüsselverwaltung: „Für alle Schlüssel des Gebäudes SOLLTE ein Schließplan vorliegen. Die Herstellung, Aufbewahrung, Verwaltung und Ausgabe von Schlüsseln SOLLTE zentral geregelt sein. Reserveschlüssel SOLLTEN vorgehalten und gesichert, aber für Notfälle griffbereit aufbewahrt werden. Nicht ausgegebene Schlüssel SOLLTEN sicher aufbewahrt werden. Jede Schlüsselausgabe SOLLTE dokumentiert werden.“

Viele Sparkassen stehen aktuell vor der Herausforderung, auf Lotus Notes Domino-Applikationen basierende Schlüsselverwaltungen abzulösen. Mehr dazu können Sie im Beitrag Digitale Schlüsselverwaltung für Sparkassen erfahren.

IT-gestützte Schlüsselverwaltung

Die oben genannten Beispiele zur Regelung von Zutrittsrechten zeigen, dass unsere deutsche bzw. europäische Legislative in Sachen Organisation und Ordnung mitunter sehr konkrete Vorstellungen hat. Die Herausforderung für Organisatoren und IT-Verantwortliche besteht darin, eine Umsetzungslösung für die Schlüsselverwaltung zu finden, die im optimalen Fall nicht allein die gesetzlichen, sondern auch die innerbetrieblichen Bedürfnisse erfüllt.

Um das Beispiel der Zutrittsrechte ein letztes Mal aufzugreifen: Ab einer bestimmten Organisationsgröße und Mitarbeiterzahl macht ein in ordentlichen Bahnen laufendes, digitales Verfahren zur Ausgabe, Weitergabe, Rückgabe und Dokumentation von physischen oder elektronischen Schlüsseln, die per se Zutrittsrechte zu Räumen und Gebäuden repräsentieren, sowieso Sinn. Die Einführung einer Schlüsselverwaltung bei der Sparkasse Saarbrücken zum Beispiel zeigt, dass über die gesetzlichen Ansprüche hinaus interne Aspekte eine wichtige Rolle spielen:

  • Aus-, Weiter- und Rückgabe von Schlüsseln nach dem Vier-Augen-Prinzip
  • Gruppenbesitz von Schlüsseln
  • Wertgegenstände unter Doppelverschluss (Tresore)
  • Zentrale und/oder dezentrale Schlüsselausgaben mitsamt Dokumentation
  • Vertretungsregelungen für Urlaub oder Krankheit
  • Automatischer Abgleich des Mitarbeiterbestands
  • Automatischer Hinweis auf offene Geschäftsvorfälle

agentes Key Store Manager (aKSM)

Der agentes Key Store Manager ist eine webbasierte Schlüsselverwaltung zur Dokumentation und Steuerung von Zutrittsberechtigungen. Dabei handelt es sich um ein Full-Stack-Framework mit den neusten Technologien, wie String, Vaadin, OpenJPA und Gradle. Es beinhaltet ein rollenbasiertes Sicherheits-Subsubsystem bis hin zu der Vergabe von Rechten auf Entitäts-Attributen. Aus weit über 70 GUI-Komponenten kann ein Screen erstellt werden. Darunter finden sich Dashboard, Accordion, Charts, Drag & Drop oder Listen mit Mehrfachselektion. Die Anwendungen wurden im Responsive Design entwickelt. Für die Erstellung der Geschäftsprozesse wurde die prozessorientierte Vorgehensweise BMP 2.0 verwendet.
Tipp!

Der Schlüssel zum Erfolg liegt in der IT

Aus Bankensicht sinnvoll ist, die Zutritts- bzw. Schlüsselverwaltung so in die alltäglichen betrieblichen Abläufe einzubetten, dass Belegschaft und Organisatoren unkompliziert arbeiten können und Transparenz über den Verbleib relevanter Schlüssel haben. Hier gilt das Sprichwort: “Ordnung machen ist nicht schwer, Ordnung halten aber sehr”. Denn um langfristig Nutzen aus dem System zu ziehen und es tatsächlich in Ordnung zu halten, muss die Schlüsselverwaltung einfach zu handhaben und zu warten sein, in die Systemlandschaft passen sowie vor allem Veränderungen überschaubar ermöglichen. Dann ist Ordnung nicht nur das halbe, sondern im betrieblichen Alltag sogar das ganze Leben.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Schlüsselverwaltung – immer auf dem aktuellen Stand

Dieser Artikel zum Thema Schlüsselverwaltung wurde von Elisabeth Schoss-Leppert am 15. Oktober 2018 erstmalig veröffentlicht. Die letzte Aktualisierung fand am 29. Oktober 2021 durch Claus Stielenbach statt.


Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel