Eine adäquate Steuerung sowie der Schutz eigener Daten ist für Banken erfolgskritisch, stellt sie jedoch zugleich vor große Herausforderungen. Im Zeitalter der Digitalisierung werden Daten überwiegend in IT-Systemen gespeichert und verarbeitet – Geschäftsprozesse sind zunehmend digital abgebildet. Unrechtmäßiger oder unkontrollierter Zugriff auf IT-Systeme gefährdet Unternehmen; nicht vorhandene Verfahren über die Einrichtung von Zugriffsrechten wirken sich spürbar auf die Effizienz der Geschäftsprozesse aus. Folglich sind auch die aufsichtsrechtlichen Anforderungen an die Steuerung von Zugriffen in den letzten Jahren drastisch gestiegen. Prüfer fokussieren sich zunehmend auf die Wirksamkeit des Benutzer- und Berechtigungsmanagements (Identity und Access Management). Wie die erfolgreiche Implementierung einer solchen Lösung die Weichen für die Zukunft stellt, zeigt ein Projekt der Managementberatung Horváth & Partners bei der Bank für Sozialwirtschaft.
Die Bank für Sozialwirtschaft (BFS) gehört zu den zehn größten Banken im Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR). Sie konzentriert sich auf das Geschäft mit Unternehmen, Verbänden, Einrichtungen, Stiftungen und anderen Organisationen, die in den Bereichen Soziales, Gesundheit und Bildung tätig sind. Das Leistungsangebot der BFS umfasst die drei klassischen Säulen einer Universalbank: Kreditgeschäft, Einlagen- / Wertpapiergeschäft und Zahlungsverkehr. Im Jahr 2019 belief sich die Bilanzsumme auf 8,68 Mrd. €. Das Unternehmen beschäftigte mehr als 480 Mitarbeiter an seinem Hauptsitz in Köln sowie in seinen 16 Geschäftsstellen.
MAßGESCHNEIDERTE IAM-LÖSUNG SICHERT REGULATORISCHE ANFORDERUNGEN UND SCHAFFT IT-SICHERHEIT
Als Finanzinstitut unterliegt die BFS den Anforderungen des Kreditwesengesetzes und somit auch den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den Bankaufsichtlichen Anforder-ungen an die IT (BAIT). Die in den letzten Jahren gestiegenen regulatorischen Anforderungen sowie der damit einhergehende Fokus der Bankenaufsicht und Jahresabschlussprüfer auf das Thema IT-Sicherheit, stellten die BFS vor die komplexe Aufgabe, ihr Identity und Access Management (IAM) vollständig neu zu ordnen. Historisch gewachsene Berechtigungsstrukturen, die dezentral ausgerichtete Berechtigungsverwaltung, fehlende Protokollierungs- und Auswertungsmechanismen sowie manuelle Verfahren zur Berechtigungsrezertifizierung waren den Anforderungen der Aufsicht nicht mehr gewachsen. Die im Laufe der Jahre vorangetriebene Weiterentwicklung und Digitalisierung der Geschäftsprozesse resultierte in einer umfangreichen IT-Landschaft. Um diese Komplexität beherrschbar zu machen und die verschiedenen Digitalisierungsinitiativen optimal unterstützen zu können, entschloss sich die BFS unter der Projektleitung von Alexander Schwarz eine zukunftsfähige softwaregestützte IAM-Lösung einzuführen. Durch eine anstehende Sonderprüfung der Bundesbank war der Umsetzungszeitraum für den kompletten Aufbau eines bankweiten IAM mit lediglich 18 Monaten sehr begrenzt – branchenüblich sind etwa drei bis fünf Jahre.
Eine maßgeschneiderte Lösung sowie eine zielgerichtete und strukturierte Umsetzungsphase, begleitet von einem umfangreichen Veränderungsmanagement zur Sicherstellung der organisationsweiten Akzeptanz und Verankerung der Lösung, waren entscheidend für den Projekterfolg.
GANZHEITLICHE STRATEGIE ERMÖGLICHT DIE UMSETZUNG AMBITIONIERTER ZIELE
Im Rahmen einer Voranalyse definierten die Experten von Horváth & Partners eine Strategie zur vollständigen Neuordnung des IAM. Neben der Realisierung von Quick-Wins zur Sicherung der anstehenden Jahresabschlussprüfung, setzen die Experten ein umfangreiches Maßnahmenprogramm zum Aufbau eines ganzheitlichen IAM auf. Zur Umsetzung dieses ambitionierten Plans wurde ein Team aus unterschiedlichen fachlichen und technischen Experten unter Leitung von Horváth & Partners zusammengestellt.
Um ein Mindestschutzniveau zu erreichen, lag der Fokus der ersten Projektphase auf der Umsetzung der regulatorisch geforderten Rezertifizierung von Berechtigungen. Hierfür wurde die IT-Landschaft durchgängig analysiert, alle relevanten IT-Systeme identifiziert und in einem zentralen Repository erfasst. Eine vollumfängliche Vorgaben- und Regelungsstruktur flankierte das Vorgehen. Zentraler Erfolgsfaktor war die Befäh-igung der Führungskräfte zur Rezertifizierung durch eine adressatengerechte Aufbereitung der teilweise sehr technischen Berechtigungsinformationen.
Unter Hochdruck setzte das Projektteam ein workflowgestütztes Rezertifizierungsverfahren auf Basis der neu eingeführten IAM-Software SailPoint um und bereitete die über 15.000 Berechtigungen der BFS den Führungskräften zur Rezertifizierung auf.
ERHÖHTE ORGANISATORISCHE EFFIZIENZ DURCH AUTOMATISIERTE PROZESSE
Zur Realisierung einer Best-Practice-IAM-Lösung war die komplette Neugestaltung sämtlicher IAM-Kern- und Begleitprozesse erforderlich. Die in der Strategie definierte Prozesslandschaft wurde früh im Projektverlauf in über 30 User Stories spezifiziert, softwarebasierte Prozesse wurden mit dem technischen Implementierungspartner KOGIT abgestimmt und in iterativ aufeinanderfolgenden Phasen implementiert. Enge und agile Abstimmungszyklen innerhalb des Entwicklungsteams und mit dem Kunden stellten die effiziente Umsetzung sicher. Neben der Erfüllung der regulatorischen und sicherheitsrelevanten Anforderungen legten die Experten viel Wert darauf, die Effizienz durch einen hohen Grad an Automatisierung und Digitalisierung zu steigern. Stammdatensysteme wurden technisch in das IAM integriert, Zielsysteme wie SAP oder Active Directory an SailPoint technisch angebunden.
TRANSPARENZ ÜBER ALLE IT-BERECHTIGUNGEN DANK EINES ZENTRALEN BESTELLKATALOGS IN SAILPOINT
Direkt zu Beginn des Projekts fand die Detailspezifikation des zum Einsatz kommenden Berechtigungsmodells statt. Dieses musste einerseits die Flexibilität für agiles Arbeiten, anderseits aber auch die Möglichkeit zur effizienten und aufgabenorientierten Bündelung und Verwaltung von Zugriffsrechten gewährleisten. In mehrstufigen Workshop-Serien mit allen Fachbereichen der BFS wurde die Einhaltung der relevanten Compliance-Anforderungen, wie zum Beispiel des Need-to-Know-Prinzips, durch Adjustier-ung bzw. Neugestaltung der IT-Zugriffsberechtigung-en sichergestellt. Dabei kamen intelligente Modellierungstools von Horváth & Partners zum Einsatz. Um der Komplexität der Berechtigungsstruktur der SAP-Landschaft gerecht zu werden, haben die Experten zusätzlich die Lösung SAP GRC zur Analyse und Mitigation von SAP-spezifischen Berechtigungsrisiken eingeführt – ein zwingender Schritt zur nachhaltigen und risikobewussten SAP-Berechtigungssteuerung.
Durch eine etablierte und erprobte Vorgehensweise war das Horváth-Projektteam in der Lage, die Berechtigungsstrukturen aller insgesamt 90 relevanten Systeme innerhalb weniger Monate zielgerichtet zu überarbeiten und in Berechtigungskonzepten zu dokumentieren. Die Berechtigungen wurden dem Endanwender zur Sicherstellung der regulatorisch-konformen und transparenten Verwaltung in einem zentralen Bestellkatalog in SailPoint zur Verfügung gestellt.
PRIVILEGIERTE BENUTZER WERDEN BESONDERS GESCHÜTZT
Aus Sicht der IT-Sicherheit stellen privilegierte Benutzer mit umfangreichen, häufig uneingeschränkten Funktionsumfängen, wie Administrator- und Notfallbenutzer, ein besonders hohes Risiko dar. Dies betrifft neben Applikations-Administratoren vor allem die Zugriffsberechtigungen auf IT-Infrastrukturen. Derzeit führen die Experten von Horváth & Partners ein Privileged Access Management (PAM) gekoppelt mit einer Security Information und Event Management (SIEM)-Lösung ein. Dieses ist in das IAM integriert und stellt die effektive Verwaltung sowie Protokollierung und Echtzeitüberwachung von Aktivtäten der privilegierten Benutzer sicher.
Im ersten Schritt wurden die privilegierten Benutzer der BFS identifiziert und analysiert. Neben der Festlegung der Governance-Strukturen lag der Fokus zudem auf der Einführung einer kundengerechten SIEM-Lösung und des damit einhergehenden Überwachungsprozesses der Basisinfrastrukturen, wie Windows, Oracle oder Linux. Bei der Implementierung der Lösung wird insbesondere Wert auf die Zukunfts- und Integrationsfähigkeit von weiteren IT-Security-Themen gelegt. In weiteren Schritten ist geplant, die Lösung auf kritische IT-Applikationen auszuweiten.
Eine klare Zielstellung, konsequentes Projektmanagement und umfassendes Expertenwissen seitens Horváth & Partners sowie die enge und partnerschaftliche Zusammenarbeit zwischen externen und internen Projektpartnern bilden die Grundlage für den Projekterfolg.
PROJEKTZIEL ERREICHT: IAM ERFOLGREICH IN DER ORGANISATION VERANKERT, SONDERPRÜFUNG OHNE MÄNGEL BESTANDEN
Zur nachhaltigen Verankerung des IAM in den Fachbereichen ist die frühzeitige und enge Einbindung der Fachverantwortlichen in das Projekt essenziell. Durch zahlreiche Schulungen, Workshops und umfangreiche Kommunikationsmaßnahmen wurde das Vorhaben systematisch in der Organisation platziert und das notwendige Know-how in allen Ebenen der Organisation vermittelt. Das Ergebnis spricht für sich. Die anstehende Sonderprüfung zum IAM meisterte die BFS mängelfrei. Die von Horváth & Partners umgesetzte Lösung schafft zudem nachhaltige und beherrschbare Strukturen im IAM, automatisiert die gesetzlich geforderte Nachweisführung und trägt wesentlich zur Reduktion sowie zur Früherkennung von Zugriffsrisiken bei.
Kontakt
Dennis Müllerschön