Zutritts- und Besuchermanagement: Geschäftsprozesse für die Sicherheit
Zutritts- und Besuchermanagement heißt Schutz vor Know-how-Verlust und Diebstahl - hier geht es um Güter und geistiges Eigentum, um finanzielle Risiken und den guten Ruf eines Un...
Zutritts- und Besuchermanagement heißt Schutz vor Know-how-Verlust und Diebstahl - hier geht es um Güter und geistiges Eigentum, um finanzielle Risiken und den guten Ruf eines Unternehmens. Die Erlangener Firma Astrum IT bietet seit vielen Jahren individuelle Lösungen sowie Standardsoftware - vor allem im medizintechnischen und Healthcare-Bereich. Matthias Erler von GIT-SICHERHEIT.de sprach über die jüngsten Entwicklungen des Unternehmens mit Horst-Werner Feldmann. Er ist geschäftsführender Gesellschafter bei Astrum IT und der 2007 neu gegründeten Firma Fokus:Zeit.
GIT-SICHERHEIT.de: Herr Feldmann, Astrum IT ist ja Anfang der 90er Jahre gegründet worden und hat ziemlich schnell Anerkennung gefunden. Da gab es den Gründerpreis der IHK Mittelfranken, Sie waren Finalist im Manager-Magazin-Wettbewerb „Entrepreneur des Jahres" und vieles mehr. Wie groß ist
das Unternehmen heute?
Horst-Werner Feldmann: Wir haben heute rund 140 Mitarbeiter - begonnen haben wir mit 15.
Erst 2004 wurden ja die Geschäftsfelder Engineering, Consulting, IT-Betrieb und Risikomanagement in das eigenständige Unternehmen Astrum IT überführt - danach kamen Sie Schlag auf Schlag mit neuen Lösungen auf den Markt?
Horst-Werner Feldmann: Ja, 2005 konnte das seit 2000 entwickelte Riskit als erste Application-Service-Provider-Lösung (ASP) für Risikomanagement platziert werden. Im Jahr 2007 kamen wir mit der Neuauflage des Besucher-/Fremdfirmenmanagementsystems Visit.net auf den Markt. Wichtige Schritte auf dem Weg waren auch unsere Vertriebspartnerschaft mit Bosch Sicherheitssysteme (2008) und die Ernennung zum Microsoft Gold-Partner 2010.
2007 kam es ja auch zur Gründung der Firma Fokus:Zeit, und worum geht es dort genau?
Horst-Werner Feldmann: Das hängt damit zusammen, dass wir den Bereich der Personallogistik-Produkte (Personaleinsatzplanung und Zeitwirtschaft) an die Ingersoll Rand Gruppe verkauft hatten. Im Nachgang machten sich 2007 zwei der Mitarbeiter, die bis dahin in diesem Themenbereich beschäftigt waren, selbstständig - eben mit der Firma Fokus:Zeit. Ich trat Anfang 2008 dort ein und vertrete heute beide Unternehmen. Wir beraten hier bei allen Fragen der Personallogistik: Die Berechnung von Personalbedarfen, der Entwurf von spezifischen Arbeitszeitmodellen und die systemische Unterstützung durch Softwarelösungen für Personaleinsatzplanung und Zeitwirtschaft gehören genauso zu unseren Aufgaben wie die Beratung bei der Auswahl und Einführung von Zutrittslösungen für Mitarbeiter, Besucher und Fremdfirmenmitarbeiter. Fokus:Zeit ist in diesen Themenfeldern lediglich beratend tätig und verkauft keine Software- und Hardware-Produkte - eine Ausnahme bilden Beratungsprodukte (HR-Prozessleitstand, Designwerkzeuge für Arbeitszeitmanagement etc.).
...anders bei Astrum IT.
Horst-Werner Feldmann: Ja - Astrum IT liefert Produkte in den Geschäftsfeldern Healthcare und Medizintechnik, Access und Security, Verwaltung und Management sowie IT-Services, also Rechenzentrumsbetreuung, IT-Betreuung, Hosting etc. Außerdem bieten wir Managed- und Engineering-Services für Großunternehmen wie Siemens und für kleinere Unternehmen gleichermaßen.
Was gehört zu diesen Services?
Horst-Werner Feldmann: Bei den vorgenannten Services handelt es sich im Wesentlichen um die Entwicklung und Betreuung von Applikationen für den Kunden, weitergehende Services wie Installation, Konfiguration, Einrichtung der Software und Upgrade-Services sowie die Betriebsführung.
Die Beratung von Geschäftsprozessen ist ebenfalls ein Thema für Sie. Geben Sie uns ein Beispiel?
Horst-Werner Feldmann: Nehmen Sie den Prozess der Einstellung eines Mitarbeiters. Hier ist es nicht mehr damit getan, dass die Personalabteilung sich Arbeitszeugnisse, Krankenversicherung und Lohnsteuerkarte aushändigen lässt und den neuen Mitarbeiter an die Fachabteilung übergibt. Das ist heute deutlich komplizierter. Bis der Mitarbeiter produktiv mitarbeiten kann, müssen viele weitere Punkte geklärt werden: Schulung und Einweisung, Abbildung in der Zeiterfassung und im Dienstplanprogramm, ggf. Zuteilung von Arbeitskleidung, Beschaffung von Hardware, Einrichtung von Zertifikaten und VPN-Zugang, Code-Karten müssen eingerichtet werden, ein Parkplatz muss zugeordnet werden. Noch komplexer wird es, wenn die Stelle von unterschiedlichen Kostenträgern - teils vielleicht von einer Drittmittelstelle - bezahlt wird.
Wie wird das gemanagt?
Horst-Werner Feldmann: In der Praxis vieler Unternehmen gibt es hier zwei gängige Wege: Entweder es gibt einen sehr intelligenten Mitarbeiter, der sämtliche Systeme von SAP bis zum Identity Management beherrscht - oder man verwendet einen Laufzettel und viel E-Mail-Verkehr. Dabei kann einiges schief gehen, was vor allem mit den Kommunikationsabläufen zu tun hat: Einer der erforderlichen Ansprechpartner ist vielleicht krank, bei dem anderen bleiben Unterlagen lange liegen, es gibt Verzögerungen durch den Postlauf oder im E-Mail-Verkehr - das kann Wochen dauern. Oder stellen Sie sich vor, der oben genannte intelligente Mitarbeiter fällt in einem kritischen Zeitraum (z. B. durch Krankheit) aus. Ein weiteres Problem besteht darin, dass Mitarbeiter im Laufe ihrer Betriebszugehörigkeit immer mehr Schlüssel und Zugangsberechtigungen erhalten, ohne dass ihnen die Rechte (Schlüssel, Code-Karte, Zertifikate) entzogen werden, wenn diese nicht mehr benötigt werden. Dies spielt besonders im Falle des Austritts eines Mitarbeiters aus dem Unternehmen eine Rolle.
Wie sieht Ihr Lösungsweg aus?
Horst-Werner Feldmann: Diesen Geschäftsprozess „Eintritt" kann man ja beschreiben. Das Neue an unserer Methode ist dabei: Wir definieren nicht einen Geschäftsprozess innerhalb eines SAP-Moduls, sondern einen, der durch mehrere IT-Anwendungen gelegt wird (HR-Lösung, Zeitwirtschaft- und Zutritt, Payroll und Identity Management). Eine Herausforderung besteht darin, den Pfad (für den Prozess „Eintritt") so durch diese Systeme zu legen, dass deren spezifische Rechtesysteme berücksichtigt werden. Die Übergabe eines Prozessschritts an eine andere Rolle des Unternehmens (Betriebsrat) erfolgt weiterhin per E-Mail. Neu in diesem Fall ist das Eskalationsmanagement: Der Prozess überwacht, ob die angeforderte Aktion innerhalb einer bestimmten Zeitspanne durchgeführt wurde, sendet selbstständig Erinnerungen oder eskaliert eine nicht durchgeführte Arbeit an eine weitere Person im Unternehmen. Wir steuern den Geschäftsprozess und erreichen für unsere Kunden schnellere Prozessdurchlaufzeiten. Gleichzeitig haben Manager immer die Möglichkeit zu sehen, „wo der Prozess gerade steht".
Wie bildet sich das in den Tätigkeitsfeldern von Astrum IT bzw. Fokus:Zeit ab?
Horst-Werner Feldmann: Bei Fokus:Zeit übernehmen wir solche Aufgaben als Beratungsmandat - da kann es beispielsweise um die effiziente Gestaltung einer Einstellung, eines Austritts aus dem Unternehmen oder die einer Schwangerschaft gehen. Astrum IT entwickelt ganz ähnlich einem Baukasten elementare Prozessbausteine (Abfrageauswahl, Eskalation, Checkliste, Vertreterregelung, etc.), mit denen z. B. der Eintrittsprozess auf die individuellen Anforderungen des jeweiligen Kunden konfiguriert wird. Durch dieses Baukastensystem kann der Prozess „Eintritt" als Standardprodukt von beliebigen Unternehmen genutzt werden. In der Positionierung gegenüber dem Wettbewerb setzt die Firma Astrum IT auf wiederverwertbare Standardlösungen für Geschäftsprozesse und Prozesssteuerung.
Ihre Kundenlösungen bestehen also aus einer sehr engen Verzahnung von Beratung und Softwarelösungen...
Horst-Werner Feldmann: Ja. Wir liefern zwar letztlich ein Stück Software, aber nicht aus der Box. Je nachdem, mit welchen Systemen der Kunde arbeitet, beraten wir, wie und mit welchem Aufwand eine Lösung mit Standardprodukten zu realisieren ist, wobei im Schnitt 10 bis 20% der Software immer noch individuell für den Kunden entwickelt werden muss. Diese Sonderentwicklungen fließen grundsätzlich in das Standardprodukt ein und unterliegen der Standard-Wartung. Unterschiede gibt es z. B. beim Betriebsrat - in manchen Unternehmen will oder muss er bei bestimmten Fragen mitbestimmen, in anderen begnügt er sich mit einer Information. Das hängt meist mit unterschiedlichen Betriebsvereinbarungen zusammen. In aller Regel ist eine solche Lösung mit unseren bestehenden Prozessprodukten machbar. Diese definierten Prozesse - Eintritt, Austritt, Schwangerschaft, Versetzung etc. - bezeichnen wir bei uns als HR-Prozessleitstand.
Warum „Leitstand"?
Horst-Werner Feldmann: Viele der genannten Prozesse passen nicht in die reine Prozesslehre hinein. In Anlehnung an Fertigungsprozesse mit standardisierten, wiederverwertbaren Abläufen haben wir diesen Begriff gewählt. Hinzu kommt, dass neben den rein sequenziellen Workflows unsere HR-Prozesse parallele Aktivitäten abbilden und Steuerfunktionen ermöglichen. Beispiel: Ein Mitarbeiter beantragt Urlaub. Der Prozess ist in Bearbeitung und der Mitarbeiter erkrankt. Die Aufgabe besteht nun darin, den Urlaubsantrag zurückzuziehen und eine Krankmeldung anzustoßen.
Lassen Sie uns über Ihren Bereich Access und Security noch etwas sprechen. Was gibt es hier Neues aus dem Hause Astrum IT?
Horst-Werner Feldmann: Auch hier treiben wir den Prozess der Standardisierung weiter - z. B. mit der Weiterentwicklung unseres Besuchermanagementsystems Visit.net für das Management von Fremdfirmenmitarbeitern. Diese werden in der Regel nicht im SAP-System geführt, weil eine verwaltungsmäßige Trennung von den eigenen Mitarbeitern gewünscht ist. Die Bedarfslage ist aber jeweils die gleiche: Auch hier müssen ärztliche Untersuchungen nachgehalten, Code-Karten ausgegeben, Parkplätze zugewiesen werden etc. Auch bei Fremdfirmenmitarbeitern sind die Eintritts- und Austrittsprozesse weitgehend dieselben wie bei den eigenen Mitarbeitern. Sie stehen zwar nicht auf der Payroll - aber auch hier braucht man, um ein Beispiel zu nennen, möglicherweise einen Arbeitsnachweis, der für die Faktura an den Entleiher geschickt wird.
...und es geht um die Verbesserung der Sicherheit im Unternehmen vor allem wenn Dritte involviert sind, wie Besucher und Fremdfirmenmitarbeiter.
Horst-Werner Feldmann: Das ist von vitaler Wichtigkeit für die Sicherheit im Unternehmen. Viele Firmen machen sich gerade bei Mitarbeitern nicht viel Arbeit, die vielleicht nur drei bis vier Monate im Unternehmen sind, obwohl viele sicherheitsrelevante Aspekte geregelt werden müssen: Sind VPN-Zugänge gelöscht? Schlüssel zurückgegeben? Wurden Werkzeuge und andere überlassene Gegenstände wieder abgeliefert? Wichtig auch: Warum verlässt der Mitarbeiter oder die Mitarbeiterin das Unternehmen? Ist vielleicht ein Werksverbot nötig, dessen Einhaltung dann auch nachgehalten werden muss? Ich muss ja mitkriegen, ob mir eine Persona non grata von einer Entleihfirma noch einmal angeboten wird.
Auch virtuelle Zugänge sind ja besonders problematisch?
Horst-Werner Feldmann: Das kann in der Tat sehr kritisch sein für ein Unternehmen. Oft ist nicht gewährleistet, dass Passwörter und VPN-Zugänge rechtzeitig gesperrt werden. Dem Missbrauch ist hier Tür und Tor geöffnet.
Das 2007 neu aufgelegte Besuchermanagementsystem Visit.net kann das aber auch schon heute?
Horst-Werner Feldmann: Was die Administration und die Verwaltung von Daten angeht, ja; eine prozessuale Integration in die vorgenannten Systeme durch den HR-Prozessleitstand werden wir im Herbst vorstellen. Für unsere Kunden bedeutet dieses Vorgehen, dass der Ein- und Austrittsprozess für Besucher und Fremdfirmenpersonal wie eine Transaktion durchgeführt wird. Das heißt, der Eintritt erfolgt vollständig mit allen Rechten, die dem Mitarbeiter zuzuweisen sind. Der Austritt ist dann vollständig abgearbeitet, wenn diese Rechte mit dem letzten Arbeitstag wieder vollständig entzogen wurden. Hiervon betroffen sind die Ausgabe von Schlüsseln und Code-Karten, die Erteilung von VPN-Zugängen und Zertifikation, Kantinen- und Parkplatzberechtigungen etc. Wir schließen hiermit eine Sicherheitslücke in Unternehmen, die so für die eigenen Mitarbeiter nicht besteht, für Besucher und Fremdfirmenmitarbeiter jedoch weitgehend ungelöst ist.
Geben Sie uns noch einmal ein Beispiel aus Ihrer Praxis?
Horst-Werner Feldmann: Ein typisches Beispiel ist etwa ein Klinikverbund mit mehr als 10.000 Mitarbeitern, den wir beraten haben. Dort gibt es eine sehr komplexe Überstundenregelung. Statt zehnmaliger Kopie pro Antragsformular, die jeweils von verschiedenen Stellen unterschrieben und per Rohrpost und Ähnlichem verschickt werden, empfehlen wir den Einsatz unseres HR-Prozessleitstands. Diese gemeinsame Lösung von Astrum IT und Fokus:Zeit realisiert und gewährleistet in einfachen Prozessschritten die Arbeit des gesamten Genehmigungsprozesses in kürzester Zeit und ohne etwas zu vergessen. Darüber hinaus unterstützt ein Prozess die Entscheider. Es stehen z.B. Anträge auf Ausbezahlung von Überstunden in Höhe von 250.000 € an. Das Budget beträgt jedoch nur 125.000 €. Hier kann ein Prozess Verfahrensalternativen anbieten (jeder erhält 50%, first come first served, älteste Ansprüche zuerst etc.).
Business Partner
Astrum IT GmbHAm Wolfsmantel 2
91058 Erlangen
Deutschland
Meist gelesen
Coded Processing: Funktionale Sicherheit ohne spezielle Hardware ermöglichen
Im Interview mit GIT SICHERHEIT erläutern Claudio Gregorio (Innotec) und Martin Süßkraut (Silistra Systems) wie die Technologie funktioniert.
Vieles ist noch ungeklärt: Justizvollzug als Bestandteil der kritischen Infrastruktur
Ein Beitrag von Wilfried Joswig, Geschäftsführer beim Verband für Sicherheitstechnik VfS.
Globale Konzernsicherheit bei der BMW Group
CSO Alexander Klotz ist für die globale Konzernsicherheit bei BMW Group zuständig. GIT SICHERHEIT hat sich mit ihm über Aufgaben und potentielle Bedrohungen unterhalten.
Konzernsicherheit und Krisenmanagement bei Carl Zeiss
Risikobasierter Sicherheitsansatz: "Wer alles schützen will, schützt nichts." GIT SICHERHEIT im Interview mit Sven Franke, Head of Security, Crisis Management & BCM bei Carl Zeiss.
Gesundheit von Pferden mit KI überwachen
Mit einer Kombination von Videotechnologie und KI geht der Hersteller Novostable neue Wege bei der Gesundheitsüberwachung von Pferden.