Bäckerei Extra! – Die Zutrittskontrolle

Eine Übersicht über die Zutrittskontrolle (“Groupware”) von Bäckerei Extra!

Information: grundsätzlich gibt es einige Ansätze zum Einsatz von Zutrittssystemen. Wir haben uns gegen die Variante, das in Windows verfügbare Zutrittssystem zu verwenden entschieden, weil der Personenkreis, der Bäckerei Extra! am gleichen Computer-Arbeitsplatz verwendet, nicht unbedingt auch jener sein muss, der mit Bäckerei Extra! arbeitet. Es war auch klar, dass die Variante, das LDAP (Lightweight Directory Access Protcol, das üblicherweise in Serverumgebungen verfügbare Zutritts- und Berechtigungs-System) zu verwenden, nicht verwendet werden kann, weil es viele Anwender von Bäckerei Extra! mit nur einem Arbeitsplatz ohne Netzwerk (LAN) geben würde.

Info 1: Die Zutrittskontrolle (IT-Slang: “Groupware“) von Bäckerei Extra! ist auf eine eher kleine Benutzerzahl (weniger als 1000 Benutzer) des Programmes ausgelegt und wurde daher auch entsprechend einfach in der Bedienung gestaltet. Wir haben darauf verzichtet, das normale Windows-Log-in als Berechtigung herzunehmen, weil uns das als eine zu lockere “Berechtigung” erschien. Wir haben andererseits auch auf eine Zugriffsberechtigung via LDAP verzichtet, weil uns das für die Mehrzahl der Bäckereibetriebe nicht als zutreffend erschien.

Info 2: Die Groupware ist aus Bäckerei Extra! heraus auch abschaltbar, sodass jeder Benutzer das Programm starten kann – ohne einen Log-in-Namen und ein Log-in-Passwort eingeben zu müssen. Beachten Sie, dass Sie beim Abschalten der Groupware wählen können, welcher Benutzer für das automatische Log-in verwendet wird. Wir empfehlen, dafür nur einen “Anwender” zu definieren und keinen Administrator! So bleiben wenigstens die wichtigen Programmteile von Bäckerei Extra! vor Missbrauch geschützt!

– Benutzer sind alle Personen, die Bäckerei Extra! verwenden.

– Administratoren sind Benutzer, die innerhalb von Bäckerei Extra! zu allen Aufgaben berechtigt sind und keine Einschränkung dieser Berechtigung erhalten können.

– Anwender sind Benutzer, deren Rechte innerhalb von Bäckerei Extra! sich auf jene Bereiche beschränken, die nicht den Administratoren vorbehalten sind.

– Der erste Programm-Start von Bäckerei Extra! wird von einem Administrator vorgenommen. Es wird vom Programm ein Benutzer namens ADMIN automatisch angelegt, der Administrator gibt beim ersten Log-In sein eigenes Passwort ein. Für alle anderen Benutzer wird ein Datensatz im Programm angelegt. Beim ersten Log-in gibt es die Möglichkeit, ein Passwort festzulegen. Sie können dem Administrator einen anderen Namen vergeben und den ADMIN löschen. Verwenden Sie auf keinen Fall das Passwort “admin” zum Benutzer ADMIN – das ist der billigste Weg der Hacker in Ihr Programm!

– Beim Log-in, also bei der Anmeldung eines Benutzers bei Bäckerei Extra!, sind ein Log-in-Name aus einer ComboBox zu wählen und es ist ein Log-in-Passwort einzugeben. Bei der Eingabe des Passwortes ist es egal, ob sie in Groß- oder Kleinschreibung erfolgen! Max ist ebenso gültig wie MAX, max oder maX. Ein leeres Log-in-Passwort wird nicht akzeptiert! Log-in-Passwörter können jede Länge haben, es muss Ihnen allerdings klar sein, dass mit sehr kurzen Log-in-Passwörtern (zB nur ein Zeichen kurze Passwörter) die Sicherheit gegenüber unerwünschte Besuchern gegen Null zugeht. Das ist besonders dann zu beachten, wenn der Zugriff auf die Daten von Bäckerei Extra! übers Internet erfolgt. Je länger ein Passwort ist und je mehr es mit Sonderzeichen und Ziffern durchmischt ist, um so höhere Sicherheit gegen Hacker und andere böse Buben können Sie erwarten.

Beliebt ist das Knacken von Passwörtern via “brute force Attacke”. Da probiert ein schneller Rechner automatisiert alle möglichen Passwörter aus. Er beginnt bei einem Zeichen, geht weiter zu zwei Zeichen .. irgendwann klappt es. Bäckerei Extra! bricht nach 5 vergeblichen Log-in-Versuchen den Log-in-Vorgang ab und beendet das Programm automatisch!

Ebenso beliebt ist das Knacken von Passwörtern mittels gestohlener Passwort-Listen aus dem Internet. Rat: verwenden Sie kein Passwort für Bäckerei Extra!, das Sie für das Log-in für häufig besuchte Web Sites (Facebook, Google+, Ihre e-Mail usw.) schon verwenden. Und wieder: Bäckerei Extra! bricht nach 5 vergeblichen Log-in-Versuchen den Log-in-Vorgang ab und beendet sich automatisch.

– Passwort-Änderung: Jeder Benutzer von Bäckerei Extra! kann aus dem Programm heraus sein Log-in-Passwort ändern! Allerdings ist es möglich, den Anwendern sowohl das Passwort vorzugeben wie auch die Passwort-Änderung zu blockieren!

– Vergessene Passwörter: falls ein Anwender sein Log-in-Passwort vergessen hat, so kann ein Administrator in der Benutzer-Verwaltung entweder das Passwort auslesen oder per check-box die Neu-Eingabe eines Passwortes beim Log-in durch den Anwender anfordern. Wenn kein Administrator sein Log-in-Passwort mehr kennt (zB der Chef war der einzige Admin und liegt nun bewusstlos im Krankenhaus), dann müssen Sie mit dem Systemhaus Predl Kontakt aufnehmen. Wir überprüfen zuvor (zB Anruf im Krankenhaus, Gespräch mit der Gattin etc.), ob die Situation tatsächlich so dramatisch ist und ermöglichen einem Anwender per Fernwartung den nötigen Administrator-Zugang.

– Fenster mit Administrator-Berechtigung sind grundsätzlich mit Log-in-Name und Passwort eines Administrators gegen den Zugriff von Anwendern geschützt. Diese Fenster wurden von uns bei der Programmierung von Bäckerei Extra! festgelegt. Bei ausgeschalteter Groupware UND einem Anwender als eingeloggtem Benutzer von Bäckerei Extra! muss der Anwender einen Administrator für den Zutritt (zB zum Unternehmensstamm) holen bzw Eingaben / Funktionen in diesen Teilprogrammen dem oder den Administratoren später überlassen. Im Fenster für die Verwaltung der Fensternamen kann ein Administrator aber per checkbox für administrator-pflichtige Fenster bestimmen, ob ein automatisches Log-in – ohne Eingaben! – erfolgen soll, aber nur wenn Bäckerei Extra! von einem eingeloggten Administrator benutzt wird. Alternativ kann für Administratoren in der Benutzer-Verwaltung festgelegt werden, dass ein automatisches Log-in stattfinden soll.

– Benutzer-Gruppen. Jedem Benutzer, auch den Administratoren, muss eine Benutzergruppe zugeordnet werden. Es können in Bäckerei Extra! bis zu 999 Benutzergruppen angelegt werden. Administratoren sind verpflichtend einer Administrator-Gruppe zuzuordnen! Die Benutzergruppen können verwendet werden, um Anwendern (nicht aber den Administratoren!) weitere Zugriffsbeschränkungen auf Programmteile von Bäckerei Extra! aufzuerlegen (siehe Rechte-Verwaltung). zB kann der Zugriff auf die Kalkulation ausgeschaltet werden oder die Möglichkeit, einen Kunden oder Artikel etc. zu löschen oder auch nur zB die Materialkosten der Artikel einzusehen. Wollen Sie für einen Anwender ganz spezielle Rechte bzw Einschränkungen seiner Rechte vergeben, so legen Sie für ihn eben eine eigene Benutzergruppe an.

– Erfassen der Benutzer. Alle Benutzer von Bäckerei Extra! müssen von einem Administrator angelegt werden. Die Benutzer können – wenn der Administrator dies in der Verwaltung der Benutzer so festgelegt hat – ihr Passwort für den Zutritt zu Bäckerei Extra! selbst wählen und haben im Programm die Möglichkeit, ihr Passwort zu ändern. Die Änderung des eigenen Log-in-Passworts ist bei ausgeschalteter Groupware selbstverständlich nicht möglich! Für jeden Benutzer wird auf der ersten Registerkarte festgelegt:
* Der Log-in-Name. Das ist der Name, mit dem sich der Benutzer bei Bäckerei Extra! anmelden wird. Wenn der Log-in Name einmal angelegt wurde, so ist er nicht mehr änderbar! Bei Änderungswunsch muss eben ein neuer Benutzer angelegt werden. Wenn Sie den alten Log-in-Namen löschen, so werden alle zugehörigen Daten zu diesem Benutzer ebenfalls gelöscht! Also alle Aufzeichnungen über Log-ins (Log-in / Log-out Datum / Uhrzeit / Computer). Beachten Sie, dass ein solcher Vorgang in der Protokoll-Datei protokolliert wird!
* Vorname und Nachname des Benutzers
* Das Passwort bzw kein Passwort, wenn der Benutzer sein Passwort selbst aussuchen bzw ändern darf.
* Die Telefon-Nummer, falls der Benutzer telefonisch erreicht werden muss.
* Die Benutzergruppe wird aus einer ComboBox gewählt. Administratoren muss eine Administratoren-Gruppe zugeordnet werden! Für Anwender entscheidet die Gruppen-Zuordnung über seine Rechte.
* Administrator? Wenn der Benutzer einer Administratoren-Benutzergruppe zugeordnet wurde, so ist er hier nochmals explizit als Administrator zu kennzeichnen
* Es kann festgelegt werden, dass der Benutzer sein Passwort beim ersten Log-in selbst eingibt, andernfalls muss zuvor ein Log-in-Passwort angegeben werden.
* Es wird festgelegt, ob das Fenster zur Eingabe / Änderung des Lieferdatums nach dem Log-in automatisch gezeigt werden soll
* Es wird festgelegt, ob für diesen Benutzer die Anzeige der Tooltips automatisch eingeschaltet sein soll. (Der Benutzer kann das im Hauptmenü jederzeit wieder abschalten)
* Es wird festgelegt, ob dieser Benutzer – falls er ein Administrator ist – automatisch in die Fenster mit Admin-Berechtigung eingeloggt werden soll.
* Es wird festgelegt, ob der Benutzer sein Passwort ändern darf
* Auf der zweiten Registerkarte werden die 9 Favoriten des Benutzers festgelegt. Diese Favoriten sind nur durch Administratoren eingebbar bzw änderbar! Sie haben die Wahl, per Schaltfläche alle Favoriten zu löschen oder einen Standard-Satz an Favoriten zu vergeben (und dann ev. zu ändern).

– Geschichte der Log-in / Log-out. Jedes Log-in und Log-out jedes Benutzers wird in Bäckerei Extra! protokolliert. Festgehalten werden jeweils der Benutzername (Log-in-Name), Datum + Uhrzeit, Computername und IP-Adresse. Bei ausgeschalteter Groupware wird der dafür bestimmte Benutzer mit diesen Daten belastet. Diese Log-Datei kann von Administratoren ausgewertet werden.

– Die Groupware ausschalten. Die Groupware kann aus Bäckerei Extra! heraus ausgeschaltet werden. Beim Ausschalten der Groupware durch einen Administrator wird ein Benutzer (ein Administrator oder ein Anwender) bestimmt, dessen Rechte nun automatisch zu Rechten aller Benutzer, die damit ohne die Hürde des Log-in Bäckerei Extra! betreten dürfen, werden. Bestimmen Sie einen Administrator als Benutzer, so hat jeder Benutzer automatisch Administrator-Rechte, kann also auf alle Fenster in Bäckerei Extra! ohne jede Einschränkung zugreifen. Allerdings bleiben Fenster mit Administrator-Berechtigung weiterhin geschützt, der Log-in-Name und das Passwort eines Administrators sind weiterhin erforderlich. War der beim Abschalten gewählte Benutzer ein Anwender, so treffen alle Beschränkungen seiner Benutzergruppe zu!

– Beim aller-erstmaligen Start von Bäckerei Extra! wird ein Benutzer namens “ADMIN” automatisch angelegt, das zugehörige Passwort ist vom sich erstmals einloggenden Benutzer, selbstverständlich einem Administrator, einzugeben!

– Die Protokoll-Datei. Zur Groupware gehört auch eine Protokoll-Datei, die Benutzer / Datum+Uhrzeit von wichtigen Vorgängen im ganzen Bäckerei Extra! protokolliert. Diese Datei ist verschlüsselt und steht zur Auswertung durch Administratoren zur Verfügung. Alle kritischen Vorgänge werden in dieser Datei protokolliert, damit wichtige Änderungen an den Daten auch später noch nachverfolgt werden können.

– Die Hauptmenü-Rechte für Anwendergruppen. Mit diesem Teilprogramm kann ein Administrator festlegen, welche Punkte des Hauptmenüs von Bäckerei Extra! vor einer bestimmten Anwendergruppe versteckt (= unsichtbar gemacht) oder nur gegraut werden sollen. In beiden Fällen sind die betroffenen Teilprogramme für diese Anwendergruppe nicht anwählbar! Beachten Sie: für eine Administratorgruppe wären solche Festlegungen unwirksam – eben weil Administratoren in Bäckerei Extra! alles dürfen.

– Die Rechte auf Fenstern für Anwendergruppen. Hier können die Komponenten (= “Controls”) aller von uns dafür freigegebenen Fenster von Bäckerei Extra! entweder unsichtbar gemacht werden oder gegraut. In beiden Fällen sind die betroffenen Komponenten für die jeweilige Benutzergruppe nicht mehr verwendbar. Sie können also zB festlegen, dass bestimmte Felder oder Tabellenspalten nicht eingesehen werden können oder eine heikle Schaltfläche zum Löschen einfach gegraut darstellen lassen.