Der Schutz eigener Daten ist für Banken und Sparkassen erfolgskritisch, stellt sie jedoch zugleich vor große Herausforderungen. Ein Projekt zeigt, wie die Implementierung eines Identity und Access Managements die Weichen für die Zukunft stellen kann.

Identity und Access Management in Banken und Sparkassen

Im Zuge der Digitalisierung gewinnt das Identity und Access Management an Bedeutung.

Partner des Bank Blogs

Die adäquate Verwaltung und der Schutz der eige­nen Geschäftsdaten sind insbesondere für Finanzinstitute erfolgskritisch. Geschäftsprozesse sind heutzutage überwiegend digital abgebildet, Daten werden größtenteils in IT-Systemen verarbei­tet. Unkontrollierte Zugriffe auf sensible Geschäftsdaten und intransparente Berechtigungsstrukturen gefährden Unternehmen und wirken sich spürbar auf die Effi­zienz ihrer Geschäftsprozesse aus.

Die aufsichtsrechtlichen Anforderungen an die Steu­erung von IT-Zugriffen sind in den letzten Jahren drastisch gestiegen. Bei der Umsetzung von Identity und Access Management (IAM) besteht weiterhin für viele Institute großer Handlungsbedarf. Wie die erfolgreiche Implementierung einer solchen Lösung die Weichen für die Zukunft stellt, zeigt ein Projekt der Managementberatung Horváth bei der Bank für Sozialwirtschaft (BFS).

Scharfe aufsichtsrechtliche Anforderungen an das Berechtigungsmanagement

Finanzinstitute unterliegen den Anforderun­gen des Kreditwesengesetzes (KWG) und somit auch den Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT).

Die in den letzten Jahren ge­stiegenen regulatorischen Vorgaben und der damit einhergehende Fokus der Aufsicht und Wirtschaftsprüfer auf das Thema IT-Sicherheit stellen Finanzinstitute vor die komplexe Aufgabe, ihr Identity und Access Management (IAM) neu zu ordnen. Historisch gewachsene Berechtigungsstrukturen, dezentral ausgerichtete Berechtigungsverwaltungen, häufig fehlende Protokollierungs- und Auswertungsmechanismen sowie manuelle Verfahren zur Berechtigungsrezertifizierung sind den Anforderungen der Aufsicht nicht mehr gewachsen. Zeitgleich resultiert die im Laufe der Jahre vorangetriebene Digitalisierung der Geschäftsprozesse bei vielen Finanzinstituten in einer umfangreichen und komplexen IT-Landschaft.

Die Bank für Sozialwirtschaft erkennt Handlungsbedarf

Um diesen Herausforderungen zu begegnen und ihre verschiedenen Digitalisierungsinitiativen optimal unterstützen zu können, entschloss sich die Bank für Sozialwirtschaft (BFS) bereits im Jahr 2018, unterstützt durch die Managementberatung Horváth, eine zukunftsfähige softwaregestützte IAM-Lösung einzuführen. Die BFS gehört mit einer Bilanzsumme in 2020 von 9,49 Mrd. € zu den zehn größten Banken im Bundesverband der Volksbanken und Raiffeisenbanken (BVR) und fokussiert sich auf das Geschäft mit Unternehmen, Verbänden, Einrichtungen, Stiftungen und anderen Organisationen, die in den Bereichen Soziales, Gesundheit und Bildung tätig sind. Das Leistungsangebot der BFS umfasst die drei klassischen Säulen einer Universalbank: Kreditgeschäft, Einlagen-/ Wertpapiergeschäft und Zahlungsverkehr. Das Unternehmen beschäftigte mehr als 480 Mitarbeiter an seinem Hauptsitz in Köln sowie in seinen 16 Geschäftsstellen.

Der Umsetzungszeitraum für den kompletten Aufbau eines bankweiten IAM bei der BFS war mit 18 Monaten sehr begrenzt – für ein Unternehmen mit vergleichbaren Strukturen ist branchenüblich etwa zwei bis drei Jahre zu rechnen.

Ganzheitliche Strategie zur Umsetzung ambitionierter Ziele

Im Rahmen einer Voranalyse definierten die Ex­perten von Horváth eine Strategie zur vollständigen Neuordnung des IAM. Neben der Re­alisierung von Quick-Wins zur Sicherung der anstehenden Jahresabschlussprüfung, wurde ein umfangreiches Maßnahmenprogramm zum Auf­bau eines ganzheitlichen IAM aufgesetzt. Zur Umsetzung dieses ambitionierten Plans wurde ein Team aus unterschiedlichen fachlichen und technischen Ex­perten zusam­mengestellt.

Um kurzfristig ein Mindestschutzniveau zu erreichen, lag der Fo­kus der ersten Projektphase auf der Umsetzung der re­gulatorisch geforderten Rezertifizierung von Berechti­gungen. Hierfür wurde die IT-Landschaft durchgängig analysiert, alle relevanten IT-Systeme identifiziert und in einem zentralen Repository erfasst. Eine vollum­fängliche Vorgaben- und Regelungsstruktur flankierte das Vorgehen. Der zentraler Erfolgsfaktor war die Befähigung der Führungskräfte der BFS zur Durchführung der Rezertifizierung durch eine adressatengerechte Aufbereitung der teilweise sehr technischen Berechtigungsinformationen.

Die Umsetzung des IAM bei der Bank für Sozialwirtschaft erfolgte in mehreren Phasen.

Steigerung organisatorischer Effizienz durch automatisierte Prozesse

Die Realisierung einer Best-Practice-IAM-Lösung erforderte die komplette Neugestaltung sämtlicher IAM-Kern- und Begleitprozesse. Die in der IAM Strategie definierte Prozesslandschaft wurde früh im Projektverlauf über User Stories spezifiziert und die softwarebasierten Prozesse in iterativ aufeinanderfolgenden Phasen implementiert.

Enge und agile Abstimmungszyklen innerhalb des Entwicklungsteams stellten die effiziente Umsetzung sicher. Neben der Erfüllung der regulatorischen und sicherheitsrelevanten Anforderungen wurde viel Wert daraufgelegt, die Effizienz durch einen hohen Grad an Automatisierung und Digitalisierung zu steigern. Stamm-, bzw. Quelldatensysteme sowie Zielsysteme, wie z.B. SAP oder Active Directory, wurden technisch in das IAM-System integriert.

Transparenz dank eines zentralen Bestellkatalogs

Direkt zu Beginn des Projekts fand die Detailspezifikation des Berechtigungsmodells statt. Dieses sollte einerseits die Flexibi­lität für agiles Arbeiten, anderseits aber auch die Möglichkeit zur effizienten und aufgabenorientierten Bündelung und Verwaltung von Zugriffsrechten ge­währleisten. Mit allen Fachbereichen der BFS wurde die Einhaltung der relevanten Compliance-Anforderungen, wie zum Beispiel des Need-to-Know-Prinzips, durch Adjustierung bzw. Neugestaltung der IT-Zugriffsberechtigungen sichergestellt. Dabei kamen die intelligenten Model­lierungstools von Horváth zum Einsatz.

Um der Komplexität der Berechtigungsstruktur der SAP-Landschaft gerecht zu werden, wurde zusätzlich die Lösung SAP GRC Access Control zur Analyse und Mitigation von SAP-spezifischen Berechtigungsrisiken eingeführt – ein zwingender Schritt zur nachhaltigen und risikobewussten SAP-Berechtigungssteuerung.

Privilegierte Benutzer werden besonders geschützt

Aus Sicht der IT-Sicherheit stellen privilegierte Benut­zer mit umfangreichen, häufig uneingeschränkten Funktionsumfängen, wie Administrator- und Notfallbenutzer, ein besonders hohes Risiko dar. Dies betrifft neben Applikations-Administratoren vor allem die Zugriffsberechtigungen auf IT-Infrastrukturen. Zur effizienten und sicheren Verwaltung, wurde ein Privileged Access Management (PAM) gekoppelt mit einer Security Information und Event Manage­ment (SIEM)-Lösung eingeführt. Durch die Integration in das IAM konnte die effektive Verwaltung sowie Proto­kollierung und Echtzeitüberwachung von Aktivtäten der privilegierten Benutzer sichergestellt werden.

Hierzu wurden im ersten Schritt die privilegierten Benutzer der BFS identifiziert und analysiert. Neben der Festlegung von Governance-Strukturen lag der Fokus auf der Einführung einer kundengerechten SIEM-Lösung und des damit verbundenen Überwachungsprozesses der Infrastrukturkomponenten, wie z.B. Windows, Oracle oder Linux. Privilegierte Benutzer wurden systematisch von normalen Benutzerkonten abgegrenzt und mittels Multi-Faktor-Authentifizierungsverfahren abgesichert. Bei der Implementierung der Lösung wurde insbesondere Wert auf die Zukunfts- und Integrationsfähigkeit von weiteren IT-Security-Themen gelegt.

Projektziel erreicht: IAM erfolgreich in der Organisation verankert

Zur nachhaltigen Verankerung des IAM in den Fach­bereichen war die frühzeitige und enge Einbindung der Fachverantwortlichen der BFS in das Projekt essenziell. Durch Schulungen, Workshops und umfangreiche Kommunikationsmaßnahmen wurde das Vorhaben systematisch in der Organisation platziert und das notwendige Know-how in allen Ebenen der Organisa­tion vermittelt. Das Ergebnis spricht für sich. Die anstehende Prüfung zum IAM wurde ohne jegliche Feststellung gemeistert.

Ein systematisches IAM stellt die Weichen für die Zukunft

Die Einführung einer ganzheitlichen IAM-Lösung stellt für die meisten Unternehmen in der Tat eine komplexe Aufgabenstellung dar. Neben der erforderlichen Fachexpertise und IAM-Erfahrung werden umfassendes IT-Knowhow und umfangreiche Change Management-Fähigkeiten zur nachhaltigen Verankerung der Lösung benötigt.

Mehrwerte eines ganzheitlichen Identity und Access Managements.

Ein Investment, das sich lohnt: Ein systematisch umgesetztes IAM steigert die Transparenz und Effizienz der Geschäftsprozesse durch automatisierte rollenbasierte Zugriffsvergabe, stellt die gesetzlich geforderte Nachweisführung sicher und trägt wesentlich zur Reduktion und Früherkennung von IT-Sicherheitsrisiken. Als solches stellt es ein zentraler Treiber und Enabler für die weitere Digitalisierung von Unternehmen dar.


Mehr zu Identity and Access Management (IAM)bei Hórvath finden Sie hier: