Vier Branchen. Eine gemeinsame Anforderung: nachvollziehbare Windows-Anmeldung.

CodeB ist kein horizontaler SaaS. Die Produktlinie ist über Jahre geformt worden in klinischen Umgebungen, auf Fertigungslinien, in Windows-Embedded-Industrieanlagen und in regulierten Büros — Orte, an denen die Windows-Anmeldung Betriebs-Infrastruktur ist, kein Kästchen, das es anzukreuzen gilt, und zunehmend eine NIS2-Pflicht.

Kritische Infrastruktur · NIS2

Alle vier Sektoren fallen unter NIS2-Pflichten.

Die NIS2-Richtlinie (EU 2022/2555) ordnet Organisationen aus Energie, Verkehr, Wasser, Lebensmittel, Gesundheitswesen, Herstellung essenzieller Güter, öffentliche Verwaltung, digitale Infrastruktur und vielen weiteren Sektoren als wesentliche oder wichtige Einrichtungen ein. Artikel 21 verlangt ausdrücklich risikogerechte Authentifizierung für jedes System, das den Betrieb berührt. Ob Sie ein Krankenhaus, ein CNC-OEM, ein Verpackungsmaschinen-Betreiber oder ein reguliertes Büro sind — CodeB liefert die kryptografisch nachvollziehbare Windows-Anmeldung, die Ihre zuständige Behörde erwartet, On-Premises, auf Ihrer eigenen Infrastruktur.

Artikel 21 Wesentliche Einrichtungen Wichtige Einrichtungen DORA IEC 62443 EU CRA

Was hier schwierig ist

Klinisches Personal meldet sich pro Schicht Dutzende Male an und ab. Passwörter werden unter Tastaturen geschrieben. Geteilte Konten machen die Rekonstruktion einer Zugriffsspur unmöglich. Die kontaktlosen und PKI-Karten, die Ihr Krankenhaus bereits ausgibt, könnten als Anmelde-Tokens dienen, sind aber typischerweise nicht von Haus aus mit Windows verdrahtet.

Deutsche Kliniken: die regulatorische Übersicht

Deutsche Krankenhäuser und Praxen unterliegen einer dichter gestaffelten Pflichtenkette als fast jeder andere Sektor. CodeB wird in diesem Umfeld eingesetzt, weil es zu jedem dieser Punkte sauber passt:

DSGVO & BDSG — Patientendaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Personenbezogene Authentifizierung ist das Fundament jeder belastbaren Datenschutz-Folgenabschätzung. Geteilte Konten untergraben sie vom ersten Tag an.
§ 203 StGB — Verschwiegenheitspflicht — Das deutsche Strafrecht nimmt Ärztinnen, Zahnärzte und klinisches Personal persönlich in die Verantwortung, das Patientengeheimnis zu wahren. Eine starke, nachvollziehbare Windows-Anmeldung schafft den technischen Nachweis, dass der Zugriff auf autorisierte Personen beschränkt war.
§ 75c SGB V — Seit 2022 muss jedes deutsche Krankenhaus IT-Sicherheit „nach dem Stand der Technik“ umsetzen. Die Bundesärztekammer und die DKG lesen das als verbindliche Vorgabe für MFA an klinischen Arbeitsplätzen. CodeB ist die MFA-Schicht direkt am Windows-Anmelde-Bildschirm.
B3S Krankenhaus & KRITIS — Der branchenspezifische Sicherheitsstandard für Krankenhäuser nach § 8a BSIG. Abschnitt 5 (Identitäts- und Berechtigungs-Management) verlangt ausdrücklich starke Authentifizierung für klinische Systeme. CodeB liefert das, ohne dass eine separate IAM-Plattform danebengestellt werden muss.
KHZG-Förderung — Das Krankenhauszukunftsgesetz hat 15 % der Digitalisierungsmittel ausdrücklich für IT-Sicherheit vorgesehen. CodeB qualifiziert sich als förderfähige Maßnahme unter FT 10 (IT-Sicherheit), sodass der Rollout über Ihren KHZG-Antrag finanzierbar ist.

Wie CodeB eingesetzt wird

Station-Wechsel-Arbeitsplätze

NFC-Tap zur Anmeldung. Karten-Entfernung ist per Richtlinie konfigurierbar — nichts tun, Workstation sperren oder Anwender abmelden. Sitzungen folgen der Pflegekraft über die Station via Windows Roaming Profiles oder VDI.

NFC Active Directory Roaming Profiles

Krankenhaus-PKI-Anmeldung

Bereits vom Krankenhaus ausgegebene PKI-Karten als X.509-Anmelde-Tokens weiterverwenden — keine separate Ausgabe, kein paralleler Credential-Speicher. Personenbezogene Zuordnung bei jedem Aktenzugriff.

X.509 PKI Krankenhaus-Karten Personenbezogen

Apotheken- und Labor-Terminals

USB-Token-Anmeldung für Werkbank-artige Labor-Stationen, an denen NFC-Lesegeräte unpraktisch sind, mit personenbezogener Zuordnung bei jedem Abgabe- oder Analysator-Vorgang.

USB-Token Personenbezogen

Hervorgehobene Fallstudie

Automatische Anmeldung an T2med (Java-Klinik-Software).

T2med ist die Java-basierte Klinik-Software, die in deutschen Hausarzt-Praxen weit verbreitet ist. Mit CodeB tippt die behandelnde Person eine NFC-Karte einmal an und landet bereits angemeldet in T2med — ohne Windows-Passwort, ohne T2med-Passwort, ohne handgetippten TOTP-Code.

Wie es funktioniert

Der CodeB Credential Provider sichert die Windows-Anmeldung mit einem zweiten Faktor — NFC-Karte oder TOTP — und ermöglicht gleichzeitig die passwortlose Anmeldung. Eine autorisierte NFC-Karte oder ein TOTP-Code ersetzt vollständig den Benutzername-Passwort-Schritt. Eine registrierte Karte vor das Lesegerät halten und die Windows-Sitzung öffnet sich.

Die mitgelieferte Web-SSO-Engine erweitert dieselbe Authentifizierung auf Webanwendungen, klassische Windows-Anwendungen und Java-basierte Desktop-Anwendungen. Sie erkennt das Anmelde-Fenster der Anwendung, trägt die passenden Anmeldedaten ein und — falls ein TOTP-Code erforderlich ist — berechnet und gibt diesen ein. T2med ist ein typisches Beispiel: Einmal konfiguriert, tippt die behandelnde Person die Karte an, und T2med öffnet sich bereits authentifiziert.

Einrichtung in vier Schritten

CodeB herunterladen. Holen Sie sich codeb_tray.zip von unserer Download-Seite.
Credential Provider installieren. Führen Sie CredentialProviderInstaller.exe aus dem Zip-Archiv aus und klicken Sie auf Install Credential Provider.
Web-SSO-Eintrag für T2med anlegen. Starten Sie CodeBWebSSO.exe, klicken Sie auf Add Domain, tragen Sie t2med ein und klicken Sie auf Done. Ein Standard-Konto t2user ist für das Demo-System voreingestellt — ersetzen Sie es durch Ihre eigenen Anmeldedaten oder fügen Sie nach Bedarf weitere Benutzer hinzu.
Tray-Helfer starten. Führen Sie codeb_tray.exe aus dem Zip-Archiv aus — dies ist der Prozess, der die Anmeldedaten zur Laufzeit in T2med einträgt.

Ergebnis: Beim nächsten Start von T2med ist die behandelnde Person automatisch angemeldet.

Was hier schwierig ist

OT-Umgebungen vertragen nur wenig Störung. Windows-Updates sind ein Quartalsereignis, kein Dienstag. Bediener tragen Handschuhe; Touchscreens sind ungenau; Karten gehen verloren. Trotzdem verlangen NIS2 und Kunden-Audits inzwischen die personenbezogene Zurechnung jeder Aktion, die das MES berührt.

Wie CodeB eingesetzt wird

MES-Bediener-Stationen

Gehärtete USB-Token-Anmeldung an Linien-Terminals. Die Tokens sind in Bediener-Armbändern versiegelt; ein fehlendes Token sperrt die Station automatisch.

USB-Token Auto-Sperre NIS2

Engineering- und CAD-Arbeitsplätze

PKI-Smartcard-Anmeldung für Engineering-Arbeitsplätze, mit derselben Identitätsspur für externe Dienstleister wie für interne Ingenieure.

X.509 PKI Engineering-Arbeitsplätze Dienstleister-Zugang

Qualitäts- und Umrüst-Kabinen

Tap-and-Go-NFC für schnelle Schichtübergaben, mit TOTP als zweitem Faktor, wo der Vorgesetzten-Freigabe-Prozess es verlangt.

NFC TOTP Step-Up-MFA

Was hier schwierig ist

OEM-Maschinen-Steuerungen basieren auf der Windows-Version, die aktuell war, als die Maschine das Werk verließ — und sie bleiben zehn bis zwanzig Jahre im Einsatz, oft in Netzen ganz ohne Internet. Das HMI hat typischerweise zwei Benutzergruppen: den Schicht-Bediener, der die Maschine fährt, und den Service-Ingenieur, der sie nachkonfiguriert. Beide benötigen nachvollziehbare Anmeldung, zunehmend unter NIS2, weil die Trägerbranche (Lebensmittel, Pharma, Energie, Wasser, Herstellung essenzieller Güter) im Anwendungsbereich liegt.

Wie CodeB eingesetzt wird

Bediener-Anmeldung am HMI

NFC-Tap mit der Firmenkarte des Bedieners entsperrt das Maschinen-HMI; die Karte bleibt während der Schicht beim Bediener. Karten-Entfernung kann je nach Maschinen-Sicherheits-Richtlinie auf „nichts tun“, „Bildschirm sperren“ oder „Bediener abmelden“ konfiguriert werden.

NFC HMI Bediener-Rolle

Zugang für Service-Ingenieure

X.509-PKI-Smartcard-Anmeldung für den OEM-Service-Ingenieur, der die Maschine konfiguriert, trennt „Bedienen“ von „Konfigurieren“ und erzeugt einen manipulations-sicheren Audit-Eintrag, der die Service-Handlung mit einem namentlich genannten Ingenieur verknüpft.

X.509 PKI Service-Modus Audit-Spur

OEM-Bundle für Maschinenbauer

OEMs können CodeB im Steuer-Image des Geräts vorinstallieren, sodass der Kunde eine NIS2-fähige Maschine ab Werk erhält. Die Lizenzbedingungen kommen der langen Betriebsdauer entgegen — Dauerlizenzen laufen auf der Version, für die sie ausgestellt wurden, ohne jährlichen Verlängerungsdruck bei einer 15-Jahre-Maschine weiter.

OEM-Bundle Dauerlizenz Air-Gap-fähig

Was hier schwierig ist

Büro-Umgebungen sind heterogen: Notebooks unterwegs, Desktops On-Prem, Azure Virtual Desktop für externe Dienstleister. Auditoren erwarten kryptografisch nachvollziehbare Anmeldung — die meisten Umgebungen verlassen sich aber noch immer auf Passwort plus SMS-Code, beides phishbar.

Wie CodeB eingesetzt wird

Hybride Notebook-Rollouts

Entra-eingebundene Notebooks mit PKI-Smartcards im sicheren Element; eine TOTP-App als Backup, wenn die Karte zu Hause vergessen wurde.

Entra ID PKI TOTP

Empfangs-Kioske und Besprechungsraum-Bildschirme

NFC-Tap von einem Besucher-Ausweis oder Mitarbeiter-Ausweis zum Freigeben der Kiosk-Sitzung, mit personenbezogener Zuordnung jedes Besucher- oder Mitarbeiter-Eintrags.

NFC Besucher-Verwaltung

Passt zu keiner dieser Branchen ganz?

Die Produktlinie baut auf Standards — Windows Credential Providers, X.509, OIDC, ICAO 9303. Wenn Ihre Umgebung Windows einsetzt, hat CodeB sehr wahrscheinlich bereits ein Bereitstellungs-Muster dafür.

Erzählen Sie uns von Ihrer Umgebung Produkte ansehen