IAM-Lösung: Hamburgische Investitions- und Förderbank erfüllt BAIT-Vorgaben in nur fünf Monaten
Zscheile
Fünf Monate Projektlaufzeit für die Einführung einer Identity-Access-Management-Software ist wohl branchenweiter Rekord. Dafür müssen einige Faktoren zusammenkommen: Ein kleines, schlagkräftiges Projektteam mit kurzen Entscheidungswegen und vor allem: gute Vorbereitung. Die Hamburgische Investitions- und Förderbank hatte mit Unterstützung eines externen Beraters bereits im Vorfeld Fachrollen und Freigabeprozesse exakt definiert. Diese Informationen konnten der Beta Systems Software AG, Hersteller der IAM-Softwarelösung Garancy Identity Manager, als Arbeitsgrundlage übergeben werden. Ihre Implementierung in der IAM-Lösung und deren Produktivsetzung verliefen dadurch wesentlich schneller als in vergleichbaren IT-Vorhaben.
von Volker Loebel, stellvertretender Abteilungsleiter Finanz- und Rechnungswesen und Teamleiter Bilanzen/Meldewesen bei der Hamburgischen Investitions- und Förderbank (IFB)
Anlass, sich mit der Anschaffung einer IAM-Software zu beschäftigen, waren die bankaufsichtlichen Anforderungen der BaFin an die IT. Deswegen unterzog sich die IFB (Website) Anfang 2018 einem Audit durch PWC, um herauszufinden, wo sie hier steht. Das Berechtigungsmanagement stellte innerhalb dieser Anforderungen das größte Teilprojekt heraus.Durchdachte Struktur war bereits vorhanden
Bislang organisierte die Bank das Thema über Berechtigungskonzepte, Excel-Listen und manuelle Prozesse für die IT-Anwendungen. Für Berechtigungsanträge gab es Vorlagen, die ausgedruckt und unterzeichnet wurden, für die Windows-Berechtigungen in Active Directory waren bereits Gruppierungen, quasi Rollen, eingerichtet worden. Ähnlich auf der SAP-Seite, wo gewisse Sammelrollen für Abteilungen und Teams existierten. Es war damit bereits eine durchdachte Struktur vorhanden. Mit einem IAM-System kann man nun, anders als beim manuellen Vorgehen, viel besser einen übergreifenden Ansatz verwirklichen und Fachrollen über alle Systeme einrichten. Dieses Vorgehen empfahl auch Jochen Schneider, der als externer Spezialist für Qualitätsprojekte in der IT bereits eine Reihe von Banken und Förderbanken beim Aufsetzen von IAM-Konzepten beraten hat und auch die IFB bei diesem Vorhaben unterstützte.
Bei der IFB gab es zwar Rollen für die verschiedenen Anwendungen, was aber nicht bedeutete, dass alle Beschäftigten automatisch die gleichen Berechtigungen hatten. Die Rollen wurden individuell kombiniert. Erhielt ein Beschäftigter eine neue Aufgabe, war seine Berechtigung eher personen- als rollenbezogen. So existierten diverse Einzel- und Gruppenberechtigungen parallel zueinander.
Die BAIT fordern zudem, dass Rechte sich aus den Aufgaben der Beschäftigten ergeben. Deswegen sollen die Rollen aus den Fachabteilungen kommen, denen damit die Verantwortung für ihre Definition obliegt.”
Dieser Ausgangslage sah sich die IFB im Sommer 2018 gegenüber. Gestartet wurde daraufhin ein dreiteiliges Konzept. Der erste Handlungsstrang: Festlegen von internen Richtlinien, Governance, Prozessen und des Regelwerks, wie Berechtigungen verwaltet werden – losgelöst von jeglicher Technik. In Teil 2 konstruierten wir im IAM-Team in enger Zusammenarbeit mit den Fachabteilungen die Fachrollen. Aus der Ablauforganisation, den Stellenbeschreibungen und Workshops mit allen Abteilungen schälten sich so fachliche Aufgabenpakete heraus. Sie wurden so gebündelt, dass sie in Fachrollen münden können. Der dritte Abschnitt waren die Auswahl von Beta Systems als im Förderbankenbereich erfahrener Softwarelieferant und die Implementierung des Garancy Identity Managers.
Überschaubare Anzahl an Fachrollen
Vieles ließ sich auch schon aus systembezogenen Rollen in Windows und SAP übernehmen. Diese Konzepte wurden mit dem Projekt nicht komplett über den Haufen geworfen. In die Fachrollen wurden dann die Berechtigungen kleinerer Anwendungen, die manchmal nur von einer Handvoll Personen genutzt werden, eingeflochten. Ziel war es, die Entwicklung der Fachrollen nicht ausufern zu lassen. Es wurde erreicht:
Wo andere (wenn auch größere) Unternehmen mitunter bis zu 4.000 Rollen verwalten, zählt die IFB mit ihren doch immerhin 260 Beschäftigten plus externe Fachkräfte nur exakt 103 – überschaubar und auch für die spätere Implementierung in Software viel einfacher zu handhaben.”
Die Festlegung der Fachrollen war damit, noch bevor der Garancy Identity Manager überhaupt in Spiel kam, weitgehend gelöst. Auch die Freigabeprozesse für die Berechtigungsvergabe – also wie Fachrollen an einzelne Beschäftigte verteilt werden – hatte das Projektteam in Workflow-Charts hinterlegt. Diese mussten später nur noch im Garancy Process Center hinterlegt werden.
Darum funktionierte die Einführung schneller als anderswo
Eine Forderung der BAIT ist die Berechtigungsvergabe entlang der fachlichen Aufgaben. Die IFB hat die Regelungen der MaRisk dazu beim Wort genommen‘: Man darf Rechte zu Rollen zusammenfassen. Diese müssen allerdings aus den Aufgaben hergeleitet sein und bestimmte Grenzen bei der Kombination von Rechten zu Rollen, wie z. B. die Funktionstrennung, dürfen nicht überschritten werden. Aufgrund dieses Vorgehens konnte die Bank dem Beta-Systems-Team bereits ein vollständiges Regelwerk der Segregation of Duties an die Hand reichen.
Zscheile
Zügig bearbeitete das Projektteam auch die besondere Behandlung der kritischen Berechtigungen. Die MaRisk unterscheidet diese von normalen Berechtigungen, so müssen sie etwa gesondert bearbeitet werden und unterliegen engeren Kontrollzyklen.
In ihrem Regelwerk definierte die IFB vorab, was kritische Berechtigungen sind und legte zudem fest, ob diese auf Einzelrechteebene oder Ebene der Fachrolle verwaltet werden sollen. Man entschied sich für die zweite Alternative.”
Die einzelnen kritischen Berechtigungen wurden also zu einer – dann kritischen – Fachrolle gebündelt. Auf diese Weise ließ es sich umgehen, die Identity-Management-Software mit zusätzlichen Prozessen und Berechtigungsrollen ausstatten zu müssen, die man später dann doch nicht benötigt.
Die Einführung der Software war schließlich der dritte Strang. Das Team von Beta Systems erhielt 103 fertige Fachrollen inklusive der Vorgaben, wer für einen neuen Beschäftigten Berechtigungen beantragen und genehmigen darf – das gesamte Regelwerk also. Dieses musste während des Customizings nur noch im Garancy Identity Manager hinterlegt werden. Weil die Prozesse bewusst einfach gehalten waren, ließen sie sich auch mit den Standardtransaktionen von Garancy darstellen. Weiterer Vorteil: Man konnte hier bereits mit den echten Abläufen arbeiten und testen.
System war nach fünf Monaten Projektlaufzeit produktiv
Das Customizing erledigte Beta Systems in Eigenregie und lieferte die konfigurierte Software wenige Wochen darauf an die IFB aus. So hielten sich auch die Projektkosten im Rahmen, da kaum Reisekosten anfielen und weniger interne Ressourcen bei der IFB gebunden waren.
Am 28 Juni 2019 konnte die IFB ihr neues Identity-Management-System produktiv schalten – mit insgesamt nur fünf Monaten Projektlaufzeit für die IDM-Einführung ein wohl branchenweiter Rekord!”
Gestartet wurde mit der Anbindung von SAP und Windows (Active Directory und Exchange) an den Garancy Identity Manager. Parallel wurden HR-Daten über eine CSV-Datenanlieferung importiert. Für diese zentralen Applikationen können die Fachabteilungen nun Rechte in der Beta-Systems-Software eigenständig vergeben, ändern und entziehen – selbstverständlich immer den hinterlegten Freigaberegeln folgend. Alle 30 Führungskräfte der 12 Abteilungen im Haus arbeiten mit der Software.
Die weiteren insgesamt 67 Anwendungen werden nach und nach über den Standardkonnektor u-connect von Beta Systems an die neue Software angebunden. Sie werden künftig im Wesentlichen von der IT-Abteilung der Bank, dem technischen Betrieb verwaltet. Diese nimmt Order-to-Admin-Aufträge an und setzt sie in den Systemen um. Enthält eine Fachrolle ein Recht in einem Order-to-Admin System und einer Person wird diese Fachrolle zugeordnet, verschickt Garancy eine E-Mail an den IT-Administrator, der dann die Zuordnung vornimmt.
Berechtigungsmanager vermittelt zwischen Fachbereichen und technischem Betrieb
Im Zuge des Projektes hat die IFB auch eine neue Funktion geschaffen: Der Berechtigungsmanager ist im technischen Betrieb angesiedelt und vermittelt zwischen ihm und den Fachbereichen.”
Im Zuge des Projektes hat die IFB auch eine neue Funktion geschaffen: Der Berechtigungsmanager ist im technischen Betrieb angesiedelt und vermittelt zwischen ihm und den Fachbereichen.”
Er überwacht zudem die Freigabe von Berechtigungskonzepten und ist in manchen Freigabeprozessen das zweite Paar Augen, was die Rollenzuordnung oder -änderung angeht.
Rezertifizierung der Berechtigungen
Anfang September 2019 startete die erste Rezertifizierungskampagne mit dem „Garancy Recertification Center“, einem weiteren Baustein des Garancy IAM Portals von Beta Systems. Sie dauerte drei Wochen und wurde durch mehrere Workshops begleitet, um eine hohe Resonanz zu erzeugen. Dort wurde erklärt, wie man Fachrollen und ihnen zugeordnete Beschäftigte freigibt, zunächst in SAP und Windows, später in einer zweiten Runde dann auch den Order-to-Admin-Systemen. Die IDM-Zukunft bei der IFB hat also begonnen und in Sachen Berechtigungsmanagement ist die Bank heute auf dem aktuellen Stand der Technik.Volker Loebel, Hamburgischen Investitions- und Förderbank
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/100336
Schreiben Sie einen Kommentar