Bei der Realisierung von Sicherheit liegt ein wesentlicher Aspekt nicht in der Technik, sondern in der Betrachtung der Geschäftsprozesse, die innerhalb eines Unternehmens von Abteilung zu Abteilung sowie zwischen einzelnen Unternehmen oder Wirtschaftszweigen der Erfahrung nach ganz unterschiedlich aussehen und realisiert sind. Nicht nur bei der Umsetzung von Datenschutz und Informationssicherheit gilt es, die Geschäftsprozesse zu analysieren. Auch beispielsweise bei der Implementierung einer regel- und gesetzeskonformen Zutrittsorganisation müssen Geschäftsprozesse beschrieben und modelliert werden. Hierzu zählen zum Beispiel die Prozesse des On-/Off-Boardings von Mitarbeitern und externen Dienstleistern, Prozesse zur Erlangung von erforderlichen Zutrittsberechtigungen und den entsprechenden Identifikationsmerkmalträgern, Prozesse bei Verlust von Schließmedien, Beschaffung neuer Komponenten bis zur Entsorgung ebendieser und so weiter.
Diese Prozesse können anhand von Flussdiagrammen visualisiert werden, wobei ein Entwickler diese dann in Programmcode umwandeln muss, um so Geschäftsprozesse als Workflow in einer entsprechenden Softwareapplikation abzubilden. Einfacher geht es seit inzwischen fast 20 Jahren mit BPMN. Die Business Process Model and Notation wurde ab dem Jahr 2001 entwickelt und zuletzt im Jahr 2011 als Version BPMN 2.0 von der Object Management Group (OMG) veröffentlicht. BPMN 2.0 beschreibt eine grafische Notation inkl. Ausführungssemantik für Geschäftsprozesse. Das bedeutet, dass Prozesse anschaulich und verständlich grafisch dargestellt werden, ohne Programmierkenntnisse besitzen zu müssen. Denn innerhalb des Metadatenmodells wird XML-Code (Extensible Markup Language) erzeugt, der direkt in entsprechende Software eingebettet werden kann. Solche Software kann z. B. dazu genutzt werden, Prozesse der Zutrittsorganisation regel- und gesetzeskonform transparent abzubilden. BPMN ist als Norm ISO/IEC 19510:2013-07 Information technology – Object Management Group Business Process Model and Notation standardisiert. Sollen Geschäftsprozesse mittels BPMN abgebildet werden, sind am Markt verschiedene BPMN-Tools erhältlich. Eines, das von vielen Physical-Identity-and-Access-Managementherstellern zur Umsetzung einer workflowbasierenden Zutrittsorganisation genutzt wird, ist Camunda BPMN (www.camunda.com). Diese in Deutschland entwickelte Software ist kostenlos im Netz erhältlich und bietet die beschriebenen Möglichkeiten zur Definition von Prozessen und deren anschließenden Ausführung.
Veröffentlichung in Sicherheits-Berater, 13/2020
