Der Schutz eigener Daten ist für Banken und Sparkassen erfolgskritisch, stellt sie jedoch zugleich vor große Herausforderungen. Ein Projekt zeigt, wie die Implementierung eines Identity und Access Managements die Weichen für die Zukunft stellen kann.
Im Zuge der Digitalisierung gewinnt das Identity und Access Management an Bedeutung.
Partner des Bank Blogs
Die adäquate Verwaltung und der Schutz der eigenen Geschäftsdaten sind insbesondere für Finanzinstitute erfolgskritisch. Geschäftsprozesse sind heutzutage überwiegend digital abgebildet, Daten werden größtenteils in IT-Systemen verarbeitet. Unkontrollierte Zugriffe auf sensible Geschäftsdaten und intransparente Berechtigungsstrukturen gefährden Unternehmen und wirken sich spürbar auf die Effizienz ihrer Geschäftsprozesse aus.
Die aufsichtsrechtlichen Anforderungen an die Steuerung von IT-Zugriffen sind in den letzten Jahren drastisch gestiegen. Bei der Umsetzung von Identity und Access Management (IAM) besteht weiterhin für viele Institute großer Handlungsbedarf. Wie die erfolgreiche Implementierung einer solchen Lösung die Weichen für die Zukunft stellt, zeigt ein Projekt der Managementberatung Horváth bei der Bank für Sozialwirtschaft (BFS).
Scharfe aufsichtsrechtliche Anforderungen an das Berechtigungsmanagement
Finanzinstitute unterliegen den Anforderungen des Kreditwesengesetzes (KWG) und somit auch den Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT).
Die in den letzten Jahren gestiegenen regulatorischen Vorgaben und der damit einhergehende Fokus der Aufsicht und Wirtschaftsprüfer auf das Thema IT-Sicherheit stellen Finanzinstitute vor die komplexe Aufgabe, ihr Identity und Access Management (IAM) neu zu ordnen. Historisch gewachsene Berechtigungsstrukturen, dezentral ausgerichtete Berechtigungsverwaltungen, häufig fehlende Protokollierungs- und Auswertungsmechanismen sowie manuelle Verfahren zur Berechtigungsrezertifizierung sind den Anforderungen der Aufsicht nicht mehr gewachsen. Zeitgleich resultiert die im Laufe der Jahre vorangetriebene Digitalisierung der Geschäftsprozesse bei vielen Finanzinstituten in einer umfangreichen und komplexen IT-Landschaft.
Die Bank für Sozialwirtschaft erkennt Handlungsbedarf
Um diesen Herausforderungen zu begegnen und ihre verschiedenen Digitalisierungsinitiativen optimal unterstützen zu können, entschloss sich die Bank für Sozialwirtschaft (BFS) bereits im Jahr 2018, unterstützt durch die Managementberatung Horváth, eine zukunftsfähige softwaregestützte IAM-Lösung einzuführen. Die BFS gehört mit einer Bilanzsumme in 2020 von 9,49 Mrd. € zu den zehn größten Banken im Bundesverband der Volksbanken und Raiffeisenbanken (BVR) und fokussiert sich auf das Geschäft mit Unternehmen, Verbänden, Einrichtungen, Stiftungen und anderen Organisationen, die in den Bereichen Soziales, Gesundheit und Bildung tätig sind. Das Leistungsangebot der BFS umfasst die drei klassischen Säulen einer Universalbank: Kreditgeschäft, Einlagen-/ Wertpapiergeschäft und Zahlungsverkehr. Das Unternehmen beschäftigte mehr als 480 Mitarbeiter an seinem Hauptsitz in Köln sowie in seinen 16 Geschäftsstellen.
Der Umsetzungszeitraum für den kompletten Aufbau eines bankweiten IAM bei der BFS war mit 18 Monaten sehr begrenzt – für ein Unternehmen mit vergleichbaren Strukturen ist branchenüblich etwa zwei bis drei Jahre zu rechnen.
Ganzheitliche Strategie zur Umsetzung ambitionierter Ziele
Im Rahmen einer Voranalyse definierten die Experten von Horváth eine Strategie zur vollständigen Neuordnung des IAM. Neben der Realisierung von Quick-Wins zur Sicherung der anstehenden Jahresabschlussprüfung, wurde ein umfangreiches Maßnahmenprogramm zum Aufbau eines ganzheitlichen IAM aufgesetzt. Zur Umsetzung dieses ambitionierten Plans wurde ein Team aus unterschiedlichen fachlichen und technischen Experten zusammengestellt.
Um kurzfristig ein Mindestschutzniveau zu erreichen, lag der Fokus der ersten Projektphase auf der Umsetzung der regulatorisch geforderten Rezertifizierung von Berechtigungen. Hierfür wurde die IT-Landschaft durchgängig analysiert, alle relevanten IT-Systeme identifiziert und in einem zentralen Repository erfasst. Eine vollumfängliche Vorgaben- und Regelungsstruktur flankierte das Vorgehen. Der zentraler Erfolgsfaktor war die Befähigung der Führungskräfte der BFS zur Durchführung der Rezertifizierung durch eine adressatengerechte Aufbereitung der teilweise sehr technischen Berechtigungsinformationen.
Die Umsetzung des IAM bei der Bank für Sozialwirtschaft erfolgte in mehreren Phasen.
Steigerung organisatorischer Effizienz durch automatisierte Prozesse
Die Realisierung einer Best-Practice-IAM-Lösung erforderte die komplette Neugestaltung sämtlicher IAM-Kern- und Begleitprozesse. Die in der IAM Strategie definierte Prozesslandschaft wurde früh im Projektverlauf über User Stories spezifiziert und die softwarebasierten Prozesse in iterativ aufeinanderfolgenden Phasen implementiert.
Enge und agile Abstimmungszyklen innerhalb des Entwicklungsteams stellten die effiziente Umsetzung sicher. Neben der Erfüllung der regulatorischen und sicherheitsrelevanten Anforderungen wurde viel Wert daraufgelegt, die Effizienz durch einen hohen Grad an Automatisierung und Digitalisierung zu steigern. Stamm-, bzw. Quelldatensysteme sowie Zielsysteme, wie z.B. SAP oder Active Directory, wurden technisch in das IAM-System integriert.
Transparenz dank eines zentralen Bestellkatalogs
Direkt zu Beginn des Projekts fand die Detailspezifikation des Berechtigungsmodells statt. Dieses sollte einerseits die Flexibilität für agiles Arbeiten, anderseits aber auch die Möglichkeit zur effizienten und aufgabenorientierten Bündelung und Verwaltung von Zugriffsrechten gewährleisten. Mit allen Fachbereichen der BFS wurde die Einhaltung der relevanten Compliance-Anforderungen, wie zum Beispiel des Need-to-Know-Prinzips, durch Adjustierung bzw. Neugestaltung der IT-Zugriffsberechtigungen sichergestellt. Dabei kamen die intelligenten Modellierungstools von Horváth zum Einsatz.
Um der Komplexität der Berechtigungsstruktur der SAP-Landschaft gerecht zu werden, wurde zusätzlich die Lösung SAP GRC Access Control zur Analyse und Mitigation von SAP-spezifischen Berechtigungsrisiken eingeführt – ein zwingender Schritt zur nachhaltigen und risikobewussten SAP-Berechtigungssteuerung.
Privilegierte Benutzer werden besonders geschützt
Aus Sicht der IT-Sicherheit stellen privilegierte Benutzer mit umfangreichen, häufig uneingeschränkten Funktionsumfängen, wie Administrator- und Notfallbenutzer, ein besonders hohes Risiko dar. Dies betrifft neben Applikations-Administratoren vor allem die Zugriffsberechtigungen auf IT-Infrastrukturen. Zur effizienten und sicheren Verwaltung, wurde ein Privileged Access Management (PAM) gekoppelt mit einer Security Information und Event Management (SIEM)-Lösung eingeführt. Durch die Integration in das IAM konnte die effektive Verwaltung sowie Protokollierung und Echtzeitüberwachung von Aktivtäten der privilegierten Benutzer sichergestellt werden.
Hierzu wurden im ersten Schritt die privilegierten Benutzer der BFS identifiziert und analysiert. Neben der Festlegung von Governance-Strukturen lag der Fokus auf der Einführung einer kundengerechten SIEM-Lösung und des damit verbundenen Überwachungsprozesses der Infrastrukturkomponenten, wie z.B. Windows, Oracle oder Linux. Privilegierte Benutzer wurden systematisch von normalen Benutzerkonten abgegrenzt und mittels Multi-Faktor-Authentifizierungsverfahren abgesichert. Bei der Implementierung der Lösung wurde insbesondere Wert auf die Zukunfts- und Integrationsfähigkeit von weiteren IT-Security-Themen gelegt.
Projektziel erreicht: IAM erfolgreich in der Organisation verankert
Zur nachhaltigen Verankerung des IAM in den Fachbereichen war die frühzeitige und enge Einbindung der Fachverantwortlichen der BFS in das Projekt essenziell. Durch Schulungen, Workshops und umfangreiche Kommunikationsmaßnahmen wurde das Vorhaben systematisch in der Organisation platziert und das notwendige Know-how in allen Ebenen der Organisation vermittelt. Das Ergebnis spricht für sich. Die anstehende Prüfung zum IAM wurde ohne jegliche Feststellung gemeistert.
Ein systematisches IAM stellt die Weichen für die Zukunft
Die Einführung einer ganzheitlichen IAM-Lösung stellt für die meisten Unternehmen in der Tat eine komplexe Aufgabenstellung dar. Neben der erforderlichen Fachexpertise und IAM-Erfahrung werden umfassendes IT-Knowhow und umfangreiche Change Management-Fähigkeiten zur nachhaltigen Verankerung der Lösung benötigt.
Mehrwerte eines ganzheitlichen Identity und Access Managements.
Ein Investment, das sich lohnt: Ein systematisch umgesetztes IAM steigert die Transparenz und Effizienz der Geschäftsprozesse durch automatisierte rollenbasierte Zugriffsvergabe, stellt die gesetzlich geforderte Nachweisführung sicher und trägt wesentlich zur Reduktion und Früherkennung von IT-Sicherheitsrisiken. Als solches stellt es ein zentraler Treiber und Enabler für die weitere Digitalisierung von Unternehmen dar.
Mehr zu Identity and Access Management (IAM)bei Hórvath finden Sie hier:
