-
Die
Erfindung betrifft eine Vorrichtung zur Zugangskontrolle zu einem
mindestens einen Zugang aufweisenden gesicherten Bereich und zu
mindestens einem weiteren gesicherten Bereich, dessen Zugang sich
innerhalb des gesicherten Bereiches befindet, bei dem für den mindestens
einen Zugang des gesicherten Bereichs eine Online-Zugangskontrolleinheit
vorgesehen ist, durch die zumindest eine Identifikationsnummer eines
mindestens eine Zugangsberechtigung enthaltenden Datenträgers lesbar
ist, und bei dem dem weiteren Zugang des oder der weiteren gesicherten
Bereichen eine weitere Zugangskontrolleinheit zugeordnet ist.
-
Eine
derartige Vorrichtung ist bekannt. Die bekannten Vorrichtungen gliedern
sich prinzipiell in zwei Gruppen, nämlich Online-Systeme und Offline-Systeme.
-
Bei
Online-Systemen sind die einzelnen Online-Zugangskontrolleinheiten
mit einer Zentraleinheit verkabelt, so dass Änderungen der Zugangsberechtigungen
zentral vorgenommen werden können. Online-Systeme
besitzen aber den Nachteil, dass ihre Installation aufgrund der
dabei notwendigen Verkabelung teuer ist.
-
Bei
Offline-Systemen ist vorgesehen, dass jeder Zugang gesondert abgesichert
ist und keine Verkabelung der Offline-Zugangskontrolleinheiten mit
anderen Zugangskontrolleinheiten oder einer Zentraleinheit vorgesehen
ist. Offline-Systeme sind daher einfacher und folglich billiger
zu installieren. Diese Offline-Systeme besitzen aber den Nachteil, dass Änderungen
von Zugangsberechtigungen nur schwierig durchzuführen sind. Geht z. B. ein Datenträger verloren,
müssen
entweder mit einem System-Programmiergerät alle einzelnen Zugangskontrolleinheiten
abgegangen werden, um diesen Datenträger und somit die auf ihm gespeicherte
Zugangsberechtigung ungültig
zu schalten, oder ein neuer Datenträger (mit einer erhöhten Versionsnummer) muß bei jeder
einzelnen Zugangskontrolleinheit neu eingelernt werden, wodurch
der Datenträger
mit der niedrigeren Versionsnummer ungültig geschalten wird.
-
Solange
aber die Offline-Zugangskontrolleinheiten nicht umprogrammiert sind,
ist es also für nicht-autorisierte
Personen möglich,
sich mittels dieses Datenträgers
Zugang zu einem kontrollierten Bereich zu verschaffen, was insbesondere
aus Sicherheitsaspekten zu vermeiden ist.
-
Es
ist nun Aufgabe der vorliegenden Erfindung, eine Vorrichtung der
eingangs genannten Art derart weiterzubilden, dass bei einer vereinfachten Installation
und Pflege eine höhere
Betriebssicherheit gegeben ist.
-
Zur
Lösung
dieser Aufgabe sieht eine erfindungsgemäße Vorrichtung vor, dass durch
mindestens eine erste Online-Zugangskontrolleinheit die Identifikationsnummer
des ihr zugeführten
Datenträgers
auf ihre Gültigkeit überprüfbar und
bei einer gültigen
Identikationsnummer auf den Datenträger eine temporäre Zugangsberechtigung
schreibbar ist, und dass von mindestens einer zweiten Offline-Zugangskontrolleinheit
die temporäre
Zugangsberechtigung des ihr zugeführten Datenträgers lesbar
und der Zugang zu den von ihr kontrollierten Bereichen freigebbar
ist, wenn auf dem Datenträger
eine gültige
temporäre
Zugangsberechtigung enthalten ist.
-
Durch
die erfindungsgemäßen Maßnahmen wird
in vorteilhafter Art und Weise eine Vorrichtung zur Zugangskontrolle
geschaffen, die sich durch eine einfache Installation und Systempflege
bei gleichzeitig erhöhter
Betriebssicherheit auszeichnen, da hier nur die den äußeren gesicherten
Bereich kontrollierenden Zugangskontrolleinheiten als Online-Zugangskontrolleinheiten
ausgeführt
werden müssen, während die
weiteren Zugangskontrolleinheiten, die den Zugang zu weiteren gesicherten
Bereichen, die sich innerhalb des äußeren gesicherten Bereichs
befinden, in vorteilhafter Weise als Offline-Einheiten ausgebildet
werden können.
-
Vorteilhafte
Weiterbildungen der Erfindung sind Gegenstand der Unteransprüche.
-
Weitere
Einzelheiten und Vorteile der Erfindung sind dem Ausführungsbeispiel
zu entnehmen, das im folgenden anhand der einzigen Zeichnung beschrieben
wird. Diese 1 zeigt schematisch ein Ausführungsbeispiel
einer Vorrichtung zur Zugangskontrolle.
-
In
der 1 ist nun schematisch ein gesicherterer Bereich
S dargestellt, der drei Zugänge
S1, S2, S3 aufweist, über
die der gesicherte Bereich S zugänglich
ist. Die Anzahl von drei Zugängen
S1, S2 und S3 besitzt nur einen beispielhaften Charakter. Vielmehr
ist es auch möglich,
z. B. nur einen einzigen Zugang S1 oder mehr als drei Zugänge S1 – S3 vorzusehen.
Jeder dieser Zugänge
S1 – S3
weist jeweils eine Zugangskontrolleinheit 1a – 1c auf, deren Funktion weiter
unten noch erläutert
wird. Innerhalb des gesicherten Bereichs S befinden sich weitere gesicherte
Bereiche WS1 – WS3,
deren Zugänge
WS1' – WS3' jeweils einer zweiten
Zugangskontrolleinheit 2a – 2c zugeordnet ist.
-
Eine
derartige Situation tritt z. B. bei einem Altersheim oder einem
Krankenhaus auf, wobei der gesicherte Bereich S das Areal des Altersheims
oder Krankenhauses ist. Die Zugänge
S1, S2 und S3 entsprechen beispielsweise einem Haupteingang, einem
Nebeneingang und einem Lieferanteneingang. Bei einer derartigen
Konstellation ist es in der Praxis äußerst schwer möglich, die
Zugänge
S1 – S3
derart abzusichern, dass keine nicht-autorisierte Person Zutritt
zu dem gesicherten Bereich S erhält,
da es immer wieder vorkommt, dass z. B. ein autorisierter Mitarbeiter
einem Dritten, der sich z. B. als Kollege ausgibt, in den gesicherten
Bereich S mitnimmt. Es ist daher regelmäßig erforderlich, dass außer dem
gesicherten Bereich S die weiteren gesicherten Bereiche WS1 – WS3 – wie z.
B. ein Labor oder ein EDV-Raum oder auch ein Apothekenbereich in
einem Krankenhaus oder ein Wohnbereich in einem Altersheim – vorgesehen
sind, für
die eine spezielle Berechtigung erforderlich ist, damit zu ihnen
Zutritt gewährt
wird, um insbesondere einen Zutritt zu den weiteren gesicherten
Bereichen WS1 – WS3
durch nicht-autorisierte Personen, z. B. von Personen, die einen
verlorengegangenen oder gestohlenen Datenträger gefunden haben oder verwenden,
zu verhindern. Hierzu wäre
es mit den bekannten Vorgehensweisen erforderlich, auch die zweiten
Zugangskontrolleinheiten 2a – 2c als Online-Zugangskontrolleinheiten
auszubilden, um Änderungen
in der Zugangsberechtigung zeitnah durchführen zu können.
-
Um
nun auch die die Zugänge
WS1' – WS3' zu den weiteren
gesicherten Bereichen WS1 – WS3 kontrollierenden
Zugangskontrolleinheiten 2a – 2c als
einfacher zu installierende Offline-Zugangskontrolleinheiten auszubilden
zu können,
ist bei der beschriebenen Vorgangsweise nun vorgesehen, dass die
als Online-Zugangskontrolleinheiten ausgebildeten ersten Zugangskontrolleinheiten 1a – 1c auf
einen ihnen zugeführten
Datenträger
eine temporär beschränkte Zugangsberechtigung
schreiben. Hierzu liest jede Online-Zugangskontrolleinheit 1a – 1c die Identifikationsnummer
des ihr zugeführten
Datenträgers
und überprüft, ob der
ihr zugeführte
Datenträger nicht
gesperrt ist oder gesperrt werden soll. Verläuft diese Überprüfung positiv, so wird auf den
Datenträger
die temporär
beschränkte
Zugangsberechtigung, z. B. das Datum des aktuellen Tages, geschrieben und
die Online-Zugangskontrolleinheit 1a – 1c gibt den ihr
zugeordneten Zugang S1 – S3
frei.
-
Erkennt
nun die Online-Zugangskontrolleinheit 1a – 1c,
dass kein Zugang gewährt
werden soll, so wird auf den Datenträger keine temporär beschränkte Zugangsberechtigung
geschrieben und der Zugang wird verweigert.
-
Um
nun einen der weiteren gesicherten Bereiche WS1 – WS3 zu betreten, wird der
Datenträger der
entsprechenden Offline-Zugangskontrolleinheit 2a – 2c zugeführt. Diese überprüft den Datenträger nun
darauf, ob auf ihm eine gültige
temporäre
Zugangsberechtigung geschrieben ist. Ist dies der Fall, gewährt sie
Zugang zum entsprechend gesicherten Bereich WS1 – WS3, ggf. nach der Durchführung von weiteren
Sicherheitsüberprüfungen wie
z. B., ob auf dem Datenträger
eine für
den speziellen gesicherten Bereich WS1 – WS3 erforderliche besondere
Zugangsberechtigung vorhanden ist.
-
Erkennt
die Offline-Zugangskontrolleinheit 2a – 2c, dass auf dem
Datenträger
keine gültige
temporäre
Zugangsberechtigung enthalten ist, so verweigert sie den Zugang
zum gesicherten Bereich WS1 – WS3.
Auf diese Art und Weise ist es besonders einfach möglich, Personen,
die einen verlorengegangenen und/oder ungültig geschalteten Datenträger verwenden,
den Zugang zum gesicherten Bereich WS1 – WS3 zu verwehren.
-
Vorzugsweise
ist vorgesehen, dass die Offline-Zugangskontrolleinheit 2a – 2c den
ihr zugeführten
Datenträger
sperrt, wenn er keine gültige
temporäre
Zugangsberechtigung aufweist.
-
Die
oben genannte Vorgangsweise kann optional noch dahingehend erweitert
werden, dass die Online-Zugangskontrolleinheiten 1a – 1c nicht
nur die vorstehend genannte temporäre Zugangsberechtigung auf
den Datenträger
schreiben, sondern dass vorzugsweise vorgesehen ist, dass diese
Online-Zugangskontrolleinheiten 1a – 1c auf den Datenträger weitere,
temporär
gültige
spezielle Zugangsberechtigungen schreiben, die für einen gewissen Zeitraum zusätzlich zu
den bereits auf dem Datenträger
vorhandenen Zugangsberechtigungen gelten sollen. Als Beispiel für derartige
spezielle Zugangsberechtigungen sind z. B. eine temporär beschränkte, territoriale Zugangsberechtigung
oder eine temporär
beschränkte
funktionale Zugangsberechtigung zu nennen, z. B., dass der jeweilige
Mitarbeiter durch diese spezielle Zugangsberechtigung innerhalb
der Gültigkeit
der temporären
Zugangsberechtigung einen weiteren Bereich betreten darf, zu dem
er ansonsten keinen Zutritt hat, und/oder Funktionen ausführen darf, wie
z. B. Anlagen bedienen oder verwenden darf, zu deren Benutzung/Verwendung
er regulär
nicht befugt ist.
-
Die
beschriebene Vorrichtung zeichnet sich dadurch aus, dass durch die
Kombination von Online-Zugangskontrolleinheiten 1a – 1c und
Offline-Zugangskontrolleinheiten 2a – 2c in Verbindung
mit der von den Online-Zugangskontrollheiten 1a - 1c vergebenen
temporären
Zugangsberechtigung in vorteilhafter Art und Weise ein Zugangskontrollsystem
geschaffen wird, das in seiner Funktionalität demjenigen eines vollständigen Online-Zugangskontrollsystems
gleicht, bei dem aber lediglich einige wenige Zugangskontrolleinheiten 1a – 1c als
Online-Zugangskontrolleinheiten ausgeführt sein müssen, während die übrigen Zugangskontrolleinheiten
lediglich für
einen Offline-Betrieb ausgelegt sein müssen. Eine derartige Vorgehensweise
besitzt den Vorteil einer besonders einfachen Installation und Pflege.