Interview mit Fraport

Wo sehen Sie ganz generell die grössten potenziellen Sicherheitslücken bei Zutrittssystemen wie es der Flughafen betreibt?
Fraport: Die grössten Sicherheitslücken kann man vermeiden, wenn man sich VOR der Einführung Gedanken macht, WIE der Ausweis programmiert wird und in welchem Umfeld er produziert wird. Für die Planung ist es ratsam einen erfahrenen Fachberater vom Anfang an hinzu zu ziehen.

 Was sind die wichtigsten Vorteile ein MTSC von LEGIC zu nutzen?Fraport: Auf Grundlage des LEGIC MTSC können limitierter Tokens erstellt werden. Damit behalten wir die volle Kontrolle über unsere Ausweisstruktur und minimieren ein mögliches Sicherheitsrisiko entscheidend. Mit diesen definierten Sub-Tokens können Verantwortung vergeben und jederzeit auch wieder entzogen werden!»

Wie sollte ein solches Zutrittssystem kontrolliert eingeführt und betrieben werden?
Fraport: «Nachdem wir uns für das MTSC entschieden haben, folgte eine ausführliche Schulung über den Umgang und die damit verbundene Verantwortung mit den Master-Token. Der gesamte Weg dieser Sicherheits-Elemente von LEGIC bis zum Empfänger des Flughafens muss vorbereitet und kontrolliert durchgeführt werden. Auf der einen Seite muss die interne Ausweisproduktion entsprechend räumlich und personell abgesichert; auf der anderen Seite die Master-Token physikalisch streng geschützt abgelegt werden. Eine Entnahme der MTSCs ist nur mittels eines dokumentierten Workflows mit unterschiedlichen Genehmigungsstufen und u. a. nach dem Vier-Augen-Prinzip möglich. Dies betrifft natürlich auch den Einsatz jedes Tokens. Bei Nutzung eines mit Passwörtern oder gemeinsamen Geheimnissen arbeitenden Systems bleibt z.B. der einmal aus einem Tresor entnommene Schlüssel zumindest im Gedächtnis einer Person. Mit einem Token gibt es kein dauerhaftes Wissen in den Händen einer einzelnen Person.»

Ist ein auditierbarer Umgang mit Token umsetzbar?
Fraport: Elementar ist dafür die strukturierte, dokumentierte Planung des bereits genannten festgelegtem Workflows, wie mit Token umgegangen wird.  Jede Nutzung eines Tokens, egal für welchen Einsatz, folgt strikt diesen Vorgaben. Nur so kann der Sicherheitslevel von Anfang an hochgehalten und eine Revisionssicherheit umgesetzt werden.

Nach welchen internen und/oder externen Sicherheitsanforderungen haben Sie das erwähnte Verfahren bewerten lassen?
Fraport: «Wir erfüllen selbstverständlich die gängigen Anforderungen wie z.B. aus Anhang 9 der ISO-27001. Dies wurde und wird durch interne Revisionen/Audits unserer eigenen, jedoch unabhängigen Abteilungen geprüft. Das MTSC-Konzept unterstützt uns dabei diese hohen Anforderungen mit praxisnahen Verfahrens-beschreibungen zu erfüllen.»

Wie wichtig ist für den Flughafen der direkte Kontakt mit LEGIC?
Fraport: «Eine direkte und umgehende Information zu aktuellen Fragen und neuen Themen ist für den Einsatz entscheidend. Zusätzlich bietet uns der direkte Kontakt die Planungssicherheit für kommenden Entwicklungen.»

Weitere Informationen dazu, wie Sie mit LEGIC MTSC die vollständige Kontrolle über Ihre Zutrittskontrollsystem übernehmen können, finden Sie unter www.legic.com/de/mtsc oder kontaktieren Sie LEGIC unter www.legic.com/de/kontakt

 

Frankfurt Flughafen Success Story herunterladen