Dieser Artikel beschreibt, wie in OSsecure verschiedene Berechtigungen für unterschiedliche Mitarbeitergruppen (z.B. normaler Service-Mitarbeiter und Auszubildender oder interner Benutzer und externer Benutzer) administriert werden können. Im Folgenden zwei Beispiele für das Öffnen von Fächern eines Tagestresors und das Öffnen von Hintergrundbeständen.
Tagestresor Fächer
Zwei Benutzer sollen unterschiedliche Rechte für das Öffnen eines Tagestresor-Faches haben. In dem Fach wird beispielsweise bei der externen Geldanlieferung durch den Werttrasporter (WTU) das vorbestellte Geld abgelegt, um dieses nicht in der Filiale liegen zu haben. Aus Sicht der Gefährdungsbeurteilung ist es sinnvoll, das Geld möglichst schnell wegzuschließen. Das Fach in welchem das Geld deponiert wird, kann durch den externen WTU ohne Zeitverzögerung geöffnet werden. Es entstehen keine Wartezeiten und die Gefährdung wird reduziert. Wenn zwei Service-Mitarbeiter das Fach öffnen, muss hingegen eine Wartezeit greifen. Es gibt für beide Benutzergruppen (WTU und Mitarbeiter) unterschiedliche Berechtigungs-Anforderungen.
Ein ähnliches Beispiel ist auch die Anforderung Auszubildende und normaler Service-Mitarbeiter vom Berechtigungskonzept her unterschiedlich zu behandeln. Normale Service-Mitarbeiter dürfen zusammen ein Fach öffnen. Zwei Auszubildende zusammen jedoch nicht, sondern nur in Kombination mit einem Service-Mitarbeiter.
1. Berechtigungsgruppen anlegen: Wechseln Sie unter ► Konfiguration auf ► Berechtigungskonzept. Wählen Sie ► Neues Berechtigungskonzept anlegen und benennen Sie die neue Rolle nach Ihren Wünschen (Azubi oder WTU). Schränken Sie die Rolle ggf. noch zeitlich nach Ihren Wünschen ein, indem Sie definieren, dass jene Rolle nur Montag bis Freitag zwischen 8 Uhr bis 16 Uhr aktiv ist. Außerhalb jener Zeitfenster sind die Benutzer jener Gruppe nicht berechtigt.
2. Berechtigungen einem Benutzer zuweisen: Wechseln Sie unter ► Konfiguration auf ► Stammdaten. Wählen Sie ► „Standortbezogenheit bearbeiten“ und weisen Sie die neu angelegte Berechtigungsgruppe (z.B. Azubi) den Benutzern zu.
3. Unterschiedliche Berechtigungsfunktionen definieren: Wechseln Sie unter ► Konfiguration auf ► Geräte verwalten. Wählen Sie das Fach, welches unterschiedliche Berechtigungen für normale Mitarbeiter (Standard) und Azubis haben soll. Wiederholen Sie den Vorgang ggf., wenn alle Fächer jene Berechtigung haben sollen. Wählen Sie ► „Standortbezogenheit bearbeiten“ und weisen Sie die neu angelegte Berechtigungsgruppe (z.B. Azubi) dem Fach zu. Es sollten also zwei Berechtigungsgruppen für jenes Fach berechtigt sein (siehe Abbildung – Punkt 1). Einmal sind die normalen Mitarbeiter (Standard) in der Gruppe Kassenmitarbeiter (Beispiel) angehakt und ein zweiter Haken ist bei der neuen Gruppe (Azubis) gesetzt. Rechts neben den Gruppen ist das Symbol noch „ausgegraut“ und die Bearbeitung deaktiviert (siehe Abbildung – Punkt 2). Schließen Sie den Berechtigungsdialog mit ► speichern.
Rufen Sie sich nun den Berechtigungsdialog für das Fach erneut auf und wählen Sie ► Fach-Zugriffsrechte bearbeiten. Das zuvor noch ausgegraute Symbol ist nun farbig. Wählen Sie das ► bearbeiten Symbol neben der Berechtigungsgruppe Azubi, um die Berechtigungen abweichend zum Standard zu definieren. Entfernen Sie den Haken bei ► Standardwerte für diese Rolle übernehmen.
Es öffnet sich nun das Dialogfenster, in welchem Sie die Berechtigungen (abweichend vom Standard) für das entsprechende Fach individuell für die Gruppe „Azubi“ definieren können. Markieren Sie das Kästchen ► Die Personen müssen sich zum Öffnen in unterschiedlichen Rollen befinden (siehe Abbildung unten). Diese Einstellung bewirkt, dass bei zwei erforderlichen Personen jeder Benutzer einer anderen Berechtigungsgruppe angehören muss (z.B. Kassenmitarbeiter und Azubi). Da jene Berechtigungsanforderung nur für die Gruppe Azubi definiert wurde und nicht für die Standard-Berechtigungen jenes Faches, gilt jene Regel auch nur für die Azubis und nicht für die Kassenmitarbeiter. Zwei Azubis können allein nicht das Fach öffnen, sondern immer nur zusammen mit einem Kassenmitarbeiter. Zwei normale Kassenmitarbeiter, welche sich in der gleichen Rollen befinden, bekommen aber weiterhin zusammen das Fach geöffnet. Die normalen Standard-Berechtigungen werden unter ► Konfiguration auf ► Geräte verwalten ► und dann mit einem Klick auf das Symbol „Gerät bearbeiten“ jeweils neben dem Fach definiert.
Wiederholen Sie die Schritte für alle anderen Fächer und Tagestresore, welche Sie entsprechend berechtigen möchten.
Analog zum Beispiel der Auszubildenden, kann auch eine gesonderte Verzögerungszeit für die externen Benutzer definiert werden, welche Geld anliefern (Werttransport). Für die WTU gelten in der UVV-Kassen andere Bestimmungen (u.a. Bewaffnung, keine Zeitverzögerung). Sie berechtigen neben den Kassenmitarbeitern also auch den WTU und rufen sich anschließend den Dialog erneut auf, entfernen den Haken bei Standardwerte und setzen die Verzögerungszeit auf 0 Sekunden. Sobald ein WTU-Benutzer also bei jener Fachöffnung (zum deponieren des Geldes) mitwirkt, greift keine Verzögerungszeit. Öffnen hingegen zwei Mitarbeiter (Standard) das Fach greifen 5 Min Verzögerungszeit. Ein Vorteil jener Lösung liegt darin, dass jene Konfiguration UVV-konform ist und sogar die Gefährdung zusätzlich reduziert (das Geld ist schneller aus der Gefahrenzone). Der entscheidende Vorteil liegt aber auch in der Reduzierung der Wartezeit für den WTU, was nebenbei noch zu einer Kosteneinsparung führt.
Tresorschlösser, Hintergrundbestand (TwinLock)
Für Tresorschlösser können auch unterschiedliche Berechtigungsanforderungen konfiguriert werden – ähnlich, wie bei den Fächern eines Tagestresors. Im Detail bestehen kleine Unterschiede zwischen den unterschiedlichen Schloss-Typen. Alle (alten) Tresor-Schlösser, welche mittels potentialfreiem Kontakt über das Sperrelement des Schlosses mit an OSsecure angebunden sind, lassen sich analog dem oben beschriebenen Prozess (siehe Tagestresor Fach) konfigurieren.
Alle BioPIN Schlösser (TwinLock IP – Netzwerk oder TwinLock WTU) werden unter dem Punkt ► Konfiguration auf ► Geräte verwalten ► TwinLock BioPIN konfiguriert. Unter dem Punkt „Schloss bearbeiten“ befindet sich wieder die Möglichkeit unterschiedliche Rollen für die Freigabe des Tresors zu definieren. Diese Einstellung wirkt sich dann jedoch auf alle Berechtigungsgruppen aus. Um bei dem obigen Beispiel (Azubi) zu bleiben, würden zwei normale Service-Mitarbeiter (welche der Gruppe Kassenmitarbeiter angehören), den Tresor zu zweit nicht freigegeben bekommen, sondern immer nur zusammen mit einer anderen Gruppe (Kassierer, Azubi, etc.).
Es gibt daher verschiede Varianten, um die Schloss-Systeme entsprechend für Auszubildende zu konfigurieren.
Die „beste“ Varinate für die Konfiguration des BioPINs ist ► hier beschrieben. Jener Artikel beschreibt die Konfiguration der Berechtigungsgruppen.
Eine andere „sichere“ und praktikabel Variante für die Trennung der Verantwortlichkeiten zwischen Azubi und normalem Service-Mitarbeiter kann dadurch erreicht werden, dass den Azubis keine Öffnungs-PIN-Codes kommuniziert werden. Auszubildende können also den Tresor „biometrisch“ freigeben, aber nicht öffnen. Die Azubis wirken also an der Öffnung mit, die eigentliche und abschließende Tresoröffnung erfolgt jedoch durch einen „normalen“ Service-Mitarbeiter, da nur jene Mitarbeitergruppe den geheimen Öffnungs-PIN kennt. Der Öffnung-Prozess für WSS sieht dann wie folgt aus:
Aus Sicht der UVV-Kassen sind Azubis genauso zu behandeln, wie die normalen Servicemitarbeiter. Azubis unterliegen also den gleichen Sicherheitsanforderungen. Sofern die Auszubildenden keine Öffnubgs-Codes der Tresore haben und daher Tresore nicht öffnen können, werden die Anforderungen der internen Revision und der UVV-Kassen gerecht. Azubis können allein den Tresor nicht öffnen, sondern nur bei dem von den UVV-Kassen geforderten biometrischen Freigabeprozess mitwirken. Sofern der geheime und feste PIN-Code bereits gemeinschaflich genutzt wurde, lassen Sie diesen durch Ihre „normalen“ Benutzer nach dieser Anleitung ändern/umstellen.
Für Das BioPIN Verfahren und den Öffnungs-Prozess des Wertbehältnis gibt es verschiedene Varianten, deren Unterschiede hier beschrieben sind.