Welche Benutzer-Typen oder User-Funktionen sind möglich?

Beschreibung:
Der normale Standard-Prozess zum Programmieren neuer Benutzer zentral über das Webinterface sieht zwingend das 6-Augen-Prinzip vor. Der Programmier-Prozess wird zunächst durch einen Web-Admin aktiviert/freigegeben und vor Ort wird das Anlegen des neuen Benutzer durch einen bereits bestehenden Benutzer legitimiert. Den Standard-Ablauf (6-Augen-Prinzip) finden Sie hier beschrieben. Sofern dieser bestehende Benutzer vor Ort nicht zur Verfügung steht, kann der Programmier-User zum Einsatz kommen. Der Programmier Prozess muss dann nur noch zentral vom Web-Admin freigegeben werden (4-Augen-Prinzip) und anschließend kann der neue Benutzer eigenständig vor Ort seinen persönlichen PIN-Code (oder Karte) programmieren.
Konfiguration des Programmier-Users:
So wird der Programmier-User angelegt. Vergeben Sie zunächst die Rechte im Web und anschließend ein Code direkt am Schloss.

1. Erstellen Sie einen Benutzer mit Name, Vorname, SchlossUserID (Schloss-Benutzer Nummer), usw.
2. Geben Sie dem Benutzer das ► Recht „Code“.
3. Geben Sie dem Benutzer das ► Recht „Benutzer darf nicht öffnen“. Sie finden dieses Recht unter dem Symbol mit der Kette (Rechte bearbeiten).
4. Legen Sie für den Benutzer einen „einfachen“ PIN-Code vor Ort am Schloss an. Anleitung hier.

Ablauf für das Anlegen eines neuen Benutzers:
Wenn Sie einen neuen Benutzer zentral über das Web (im 4-Augen, anstelle des Standard 6-Augen-Prinzips) anlegen möchten, gehen Sie wie folgt vor.

1. Erstellen Sie einen neuen Benutzer mit Name, Vorname, SchlossUserID (Schloss-Benutzer Nummer), usw.
2. Geben Sie dem neuen Benutzer das ► Recht „Code“.
3. Wählen Sie beim neuen Benutzer das Symbol mit dem Schlüssel (Berechtigung zuweisen).
4. Wählen Sie beim ► „Benutzer der Programmierung durchführt“ den Programmier-User aus und klicken Sie auf ► „Programmier-TAN“.
5. Sie erhalten nun eine Anleitung, wo in Schritt 11/12 (und beim 2-Schloss-Systemen auch in Schritt 18/19) der Programmier-User mit dessen Schloss-Benutzer Nummer und dem von Ihnen zuvor angelegten „einfachen“ PIN-Code abgefragt wird.
6. Schicken Sie dem neuen Benutzer die Anleitung und nennen Sie dem neuen Benutzer zusätzlich den „einfachen“ PIN-Code des Programmier-Users.

Anmerkung:
Der „einfache“ PIN-Code des Programmier-Users ist anschließend dem neuen Benutzer bekannt. Dieser PIN-Code kann jedoch nicht zum Öffnen des Tresors verwendet werden, da der Programmier-User nicht Öffnungsberechtigt ist, sondern nur zur Programmierung nach vorheriger „freischaltung“ durch den Web-Admin genutzt werden kann. Alternativ zum Programmier-PIN-Code können Sie natürlich auch eine Programmier-Karte anlegen. Diese Karte würde dann analog zum PIN-Code nur für die Programmierung verwendet werden können.

Beschreibung:
Im Normalfall haben Schloss-Benutzer einen eigenen persönlichen PIN-Code und eine (dauerhafte) Berechtigung das Schloss (im 4-Augen-Prinzip) zu öffnen. In bestimmten Situationen kann es jedoch erforderlich sein, einem Benutzer einen kurzfristige und temporäre Berechtigung zu erteilen. Mögliche Gründe könnten Service-Zwecke (Reperaturen) oder der Einsatz von Vertretungsregelungen bei Abwesenheiten der „normalen“ Benutzer sein. Darüber hinaus gibt es Prozesse, welche so gestaltet sind, dass der Benutzer, welcher das Schloss öffnen soll, generell keine dauerhafte Berechtigung bekommt, sondern immer eine Freigabe aus der Zentrale benötigt. Beispielhafte Prozesse könnten sich am „alten“ Einmal-Code-Prinzip orientieren oder generell immer aus Sicherheitsgründen das Mitwirken einer zentralen Stelle am Öffnungsprozess bestimmter Benutzer voraussetzen. Das 4-Augen-Prinzip (oder 6-Augenm-Prinzip) könnte auf diesem Weg auch aus der Zentrale heraus erfolgen.Konfiguration des Service-Users:
So wird der Service-User angelegt. Vergeben Sie zunächst die Rechte im Web und anschließend ein Code direkt am Schloss.

1. Erstellen Sie einen Benutzer mit Name, Vorname, SchlossUserID (Schloss-Benutzer Nummer), usw.
2. Geben Sie dem Benutzer das ► Recht „Code“.
3. Geben Sie dem Benutzer das ► Recht „Fern“.
4. Geben Sie dem Benutzer OPTIONAL das ► Recht „2-Augen“ – je nachdem, ob Sie das Schloss vor Ort im 4-Augen-Prinzip öffnen wollen (also in Summe 6-Augen: 2 Benutzer vor Ort + zentrale Freigabe) oder vor Ort im 2-Augen-Prinzip öffnen wollen (also in Summe 4-Augen: 1 Benutzer vor Ort + zentrale Freigabe).
5. Der Service-User benötigt jetzt noch einen persönlichen PIN-Code. Sie können diesen PIN-Code über das Web anlegen lassen (Anleitung hier) oder vor Ort am Schloss programmieren (Anleitung hier). Es besteht die Möglichkeit für jenen Benutzer einen PIN-Code zentral vorzugeben oder diesen persönliche durch den Benutzer vergeben zu lassen und somit noch zusätzlich eine Trennung der Verantwortlichkeiten zwischen Zentrale und Schloss-Öffnung zu schaffen. Wenn der PIN-Code der Zentrale nicht bekannt ist, kann die Zentrale auch nicht mit jenem Benutzer das Schloss öffnen, sondern ausschließlich Freigaben zum Öffnen erteilen.

Ablauf für den Öffnungs-Prozess bei einem Service-User:
Wenn der Service-User das Schloss öffnen möchte, gehen Sie wie folgt vor.

1. Service-User meldet sich in der Zentrale und bittet um Freischaltung für die Schloss-Öffnung. Vereinbaren Sie ggf. eine „alternative“ Begrüßungsformel oder einen bestimmten Text, um in einer Bedrohungssituation zentral reagieren und einen stillen Alarm absetzen zu können.
2. Wählen Sie den Menüpunkt ► Benutzerverwaltung ► Benutzer-Fernfreigabe.
3. Wählen Sie ► „Einfach“, um den Benutzer für eine einmalige Öffnung freizuschalten oder wählen Sie ► „Mehrfach“, um den Benutzer für eine bestimmte Anzahl von Öffnungen innerhalb eines Zeitraums freizuschalten. Bei der Mehrfach-Variante ist entwender die Anzahl der zugewiesenen Öffnungen irgendwann aufgebraucht ODER der Zeitraum ist abgelaufen. In beiden Fällen kann der Benutzer dann nicht mehr öffnen. Wenn der Zeitraum ausläuft, obgleich noch eine bestimmte Anzahl an Öffnungen zur Verfügung steht, kann der Benutzer trotzdem nicht mehr öffnen.
4. Der Service-User kann nun mit dem PIN-Code (einfach/mehrfach) das Schloss öffnen.

Anmerkung:
Das Recht zum Erteilen der zentralen Freigabe, muss nicht zwingend beim Web-Administrator liegen. Sie können auch Web-User einrichten, welche ausschließlich Zugriff auf die „Benutzer-Fernfreigabe“ haben, aber nicht andere Einstellungen (Konfiguration, Netzwerkeinstellungen, Benutzermatrix, etc.) tätigen können. Es lassen sich also User definieren, welche den zentralen Freigabe-Prozess unterstützen können, ohne dass jene Web-Benutzer administrative Berechtigungen haben. Um einen solchen Benutzer zu erstellen, hinterlegen Sie Name, Vorname, etc., aber KEINE SchlossUserID (Schloss-Benutzer Nummer). Als Recht vergeben Sie NICHT „Admin“ (Web Administrator). Aktivieren Sie jenen Usern ausschließlich beim Symbol mit dem Schlüssel (Berechtigung zuweisen) den Haken bei „WEB-Login aktivieren“ und vergeben Sie ein Passwort. Der User kann sich dann mit seiner ID-Nr (Personalnummer) und dem Passwort anmelden und den Menüpunkt ► Benutzerverwaltung ► Benutzer-Fernfreigabe auswählen.

Beschreibung:
Im Normalfall öffnen Sie Ihr Schloss über einen zusätzlichen Freigabe-Prozess. Der eigentliche Benutzer benötigt also zusätzlich zum normalen PIN-Code eine Freigabe. Diese Freigabe kann zentral über das Webinterface, OSsecure, OSPlus Kasse mit User/Passwort oder biometrisch erfolgen. Individuell lässt sich dann ggf. noch zusätzlich für die Freigabe ein 4-Augen-Prinzip und eine Zeitverzögerung konfigurieren. Wenn Sie nicht einen solchen Freigabe-Prozess in Ihr Sicherheitskonzept implementiert haben und „klassisch“ mit einem oder zwei Benutzern und deren jeweiligen PIN-Codes öffnen, dann benötigen Sie einen Notfall-User nur dann, wenn Sie mögliche Sperrzeiten und Verzögerungszeiten im Notfall „umgehen“ möchten. Wenn Sie einen Freigabe-Prozess implementiert haben, dann sollten Sie sich zwingend einen Notfall-User anlegen. Konfiguration des Notfall-Users:
So wird der Notfall-User angelegt. Vergeben Sie zunächst die Rechte im Web und anschließend ein Code direkt am Schloss.

1. Erstellen Sie einen Benutzer mit Name, Vorname, SchlossUserID (Schloss-Benutzer Nummer), usw.
2. Geben Sie dem Benutzer das ► Recht „Code“.
3. Geben Sie dem Benutzer optional das ► Recht „2-Aug“ (2-Augen / Einpersonenöffnung) oder legen Sie alternativ einen zweiten Notfall-User an, sofern Sie im 4-Augen-Prinzip öffnen.
4. Geben Sie dem Benutzer optional das ► Recht „-o Min“, sofern Sie auch innerhalb von Sperrzeiten (Sondertage, ausserhalb des Wochenprogramms) und ohne Öffnungszeitverzögerung öffnen möchten.
5. Der Service-User benötigt jetzt noch einen persönlichen PIN-Code. Sie können diesen PIN-Code über das Web anlegen lassen (Anleitung hier) oder vor Ort am Schloss programmieren (Anleitung hier). Beachten Sie bitte, dass der PIN-Code dieses Benutzers sehr sensibel sein kann, da dieser ggf. das 4-Augen-Prinzip, Fernfreigaben und Sperrzeiten umgehen kann. Sie sollten diesen PIN-Code daher ggf. „teilen“ und den ersten Teil des PIN-Codes z.B. durch die Revision und den zweiten Teil durch die Organisationsabteilung vergeben lassen. Sie können ein mögliches 4-Augen-Prinzip natürlich auch beibehalten und dann zwei Notfall-User anlgen und die PIN-Codes auf diese Weise „teilen“. Beachten Sie bitte weiterhin, dass es vorteilhaft sein kann, für jedes Schloss einen „eigenen“ Notfall-Code anzulegen. Ein idividualisierter Notfall-Code lässt sich dann einfacher kommunizieren, da dieser nicht auf andere Schlösser anwendbar ist. Verarbeiten Sie innerhalb des PIN-Codes ggf. eine Filialnummer, o.ä. – es bietet sich beispielsweise an, die Differenz zum jeweiligen Zehnerpaar der Filialnummer zu verarbeiten (z.B. Fil. 651 = 459 Rechnung: 10-6=4 und 10-5=5 und 10-1=9), um die Filialnummer zu „verschleiern“.

Ablauf für den Öffnungs-Prozess bei einem Notfall-User:
Im Notfall kann der PIN-Code durch die zentrale(n) Abteilung(en) an die Benutzer vor Ort kommuniziert werden oder die Code-Träger fahren selber zum Schloss und öffnen dieses. Ein kommunizierter Notfall-Code kann nach der Störungs-Behebung im Schloss gelöscht, bzw. bis zur Codeänderung deaktiviert werden. Entziehen Sie zum Deaktivieren des PIN-Codes das ► Recht „Code“.

Anmerkung:
Neben dem Notfall-User exitiert für jedes Schloss auch immer ein Mastercode (Benutzer 00). Der Mastercode könnte im Notfall selbstverständlich auch genutzt werden. Die Erfahrung zweigt jedoch, dass Sie im Notfall schneller reagieren können, da sich der Notfall-User „einfacher“ kommunizieren lässt, als ein möglicher Mastercode, da dieser häufig für viele Schlösser identisch ist und daher nicht kommuniziert werden kann. Notfall-User können aus den Anforderungen der MaRisk i.Bes. AT 7. – Technisch-organisatorische Ausstattung teilweise zwingend erforderlich sein. Wenn Ihr Öffnungs-Konzept beispielsweise zweingende Freigaben voraussetzt, die Dritt-Applikationen oder die Netzwerk-Komponenten aber gestört sind, dann wäre ohne Notfall-User keine Schloss-Öffnung möglich, was nach den MaRisk-Kriterien ein Risiko für den Geschäftsbetrieb bedeuten kann. (z.B. Automatenbefüllung ist nicht möglich).

Beschreibung:
Für die biometrische Freigabe wird ein Fingerprint-Leser benötigt. Dieser kann an einem Tagestresor, an einem Netzwerk-Anschluss oder in Sparkassen am Kassen-Arbeitsplatz angeschlossen werden. Die Freigabe erfolgt dann über OSsecure oder in Verbindung mit der FI-Signalbox über OSPlus Kasse. Der eigentliche Freigabeprozess lässt sich individuell konfigurieren. Sie können festlegen, ob sich zwei Benutzer biometrisch identifizieren müssen, um die Freigabe zu erteilen und Sie können festlegen, ob eine Zeitverzögerung abläuft, bevor die Freigabe erteilt wird. Je nach Prozess und Konfiguration kann es organisatorisch „sinnvoll“ sein, am Schloss nur noch mit einem Sammel-User zu arbeiten, anstatt allen Benutzern weiterhin „individuelle“ Benutzer einzurichten.Konfiguration des Biometrie-Users:
So wird der Biometrie-User angelegt. Vergeben Sie zunächst die Rechte im Web und anschließend ein Code direkt am Schloss.

1. Erstellen Sie einen Benutzer mit Name, Vorname, SchlossUserID (Schloss-Benutzer Nummer), usw.
2. Geben Sie dem Benutzer das ► Recht „Code“.
3. Geben Sie dem Benutzer das ► Recht „Fern“.
4. Der Biometrie-User benötigt jetzt noch einen persönlichen PIN-Code. Sie können diesen PIN-Code über das Web anlegen lassen (Anleitung hier) oder vor Ort am Schloss programmieren (Anleitung hier). Es besteht die Möglichkeit für jenen Benutzer einen PIN-Code zentral vorzugeben oder diesen persönliche durch den Benutzer vergeben zu lassen und somit noch zusätzlich eine Trennung der Verantwortlichkeiten zwischen Zentrale (Administration) und Schloss-Öffnung zu schaffen. Auch bei Sammel-Usern bietet sich eine „Funktions-Trennung“ zwischen Biometrie-Administration und Schloss-Benutzern an. Lassen Sie bei Sammel-Usern den PIN-Code ggf. vom Markt-/ Filial-/Gruppen- oder Abteilungsleiter vergeben.
5. Für den Betrieb mit der FI-Signalbox (Freigabe aus OSPLus Kasse) ist es noch zusätzlich erforderlich, den Benutzer mit in die Signalbox mit aufzunehmen. Gehen Sie im Menü auf Schloss-Konfiguration ► FI Steuerung und folgen Sie dieser Anleitung.

Ablauf für den Öffnungs-Prozess bei einem Biometrie-User:
Wenn der Biometrie-User das Schloss öffnen möchte, gehen Sie wie folgt vor.

1. Der „berechtigte“ Benutzer legt seinen Finger auf den Fingerprint-Leser. In OSsecure ist es zuvor erforderlich, über die Funktion „BioPIN“ das jeweilige Schloss und den Biometrie-User zu wählen. In OSPlus muss der jeweilige Verschlussbereich ausgewählt werden.
2. Optional legt der zweite Benutzer seinen Finger auf den Fingerprint-Leser.
3. Optional greift eine hinterlegte Zeitverzögerung.
4. Der Biometrie-User kann nun mit dem PIN-Code das Schloss öffnen.

Anmerkung:
Die biometrische Freigabe kann im 4-Augen-Prinzip mit und ohne Zeitverzögerung erfolgen. Vorteil der biometrischen Freigabe ist, dass die Sicherheit erhöht wird (PIN-Code, bzw. Finger kann nicht weitergegeben werden) und die biometrischen „Daten“ lassen sich auch zur Öffnung von Türen, Tagestresoren, Schleusen, etc nutzen. Weiterhin ist die Administration und Verwaltung der biometrischen Benutzer-Daten „einfacher“, da sich diese Filial-Übergreifend synchonisieren lassen. Ein einmalig biometrisch erfasster Benutzer kann somit auf alle Tresore zugreifen, für die er berechtigt wurde – ohne, dass der Benutzer für alle Schlösser einen persönlichen PIN-Code benötigt. Dies vereinfacht Verwaltung der Berechtigungen für Schlösser um ein Vielfaches. Aus Sicht der Revision bietet die Biometrie darüber hinaus eine 100% Identifikation desjenigen, welcher das Schloss geöffnet hat.