Success Story

Auf der Überholspur zur funktionierenden IAM-Lösung – bei der IFB Hamburg

Mit dem Garancy® Identity Manager hat die IFB anwendungsübergreifende Fachrollen zentral zur Verfügung gestellt. Sie automatisiert und verkürzt außerdem die Berechtigungsvergabe bei Neueinstellungen, Weggängen und sich ändernden Aufgabegebieten einzelner Beschäftigter.

Die Software von Beta Systems ist technisch ausgereift und läuft äußerst stabil. Auch von der Zusammenarbeit mit dem Beratungsteam sind wir sehr angetan. Bei Rückfragen oder Problemen gab es sehr schnell und kompetent Auskunft.

IFB Hamburg Logo
Volker Loebel
Deputy Head of the Finance and Accounting Department & Team Leader for Balance Sheets/Reporting, IFB

Ausgangssituation

„Anlass, sich mit der Anschaffung einer IAM-Software zu beschäftigen, waren die bankaufsichtlichen Anforderungen der BaFin an die IT“, erklärt der zuständige Teilprojektleiter Volker Loebel, stellvertretender Abteilungsleiter Finanz- und Rechnungswesen und Teamleiter Bilanzen/Meldewesen bei der Hamburgischen Investitions- und Förderbank (IFB). Deswegen unterzog sich die IFB einem Audit durch PWC, um heraus- zufinden, wo sie hier steht. Das Berechtigungsmanagement stellte innerhalb dieser Anforderungen das größte Teilprojekt heraus. Durchdachte Struktur war bereits vorhanden.

Bislang organisierte die Bank das Thema über Berechtigungskonzepte, Excellisten und manuelle Prozesse für die IT-Anwendungen. Für Berechtigungsanträge gab es Vorlagen, die ausgedruckt und unterzeichnet wurden, für die Windowsberechtigungen in Active Directory waren bereits Gruppierungen, quasi Rollen, eingerichtet worden. Ähnlich auf der SAP-Seite, wo gewisse Sammelrollen für Abteilungen und Teams existierten.

Bei der IFB gab es zwar Rollen für die verschiedenen Anwendungen, was aber nicht bedeutete, dass alle Beschäftigten automatisch die gleichen Berechtigungen hatten. Die Rollen wurden individuell kombiniert. Erhielt ein Beschäftigter eine neue Aufgabe, war seine Berechtigung eher personen- als rollenbezogen. So existierten diverse Einzel- und Gruppenberechtigungen parallel zueinander. Die BAIT fordern zudem, dass Rechte sich aus den Aufgaben der Beschäftigten ergeben. Deswegen sollen die Rollen aus den Fach- abteilungen kommen, denen damit die Verantwortung für ihre Definition obliegt. Bei der IFB waren die Berechtigungskonzepte bislang vornehmlich aus der IT herausgetrieben.

Herausforderung

Eine Forderung der BAIT ist die Berechtigungsvergabe entlang der fachlichen Aufgaben. Die IFB hat die Regelungen der MaRisk dazu beim Wort genommen: Man darf Rechte zu Rollen zusammenfassen. Diese müssen allerdings aus den Aufgaben hergeleitet sein und bestimmte Grenzen bei der Kombination von Rechten zu Rollen, wie z.B. die Funktionstrennung, dürfen nicht überschritten werden. Aufgrund dieses Vorgehens konnte die Bank dem Beta Systems-Team bereits ein vollständiges Regelwerk der Segregation of Duties an die Hand reichen.

Implementierung

Zügig bearbeitete das Projektteam auch die besondere Behandlung der kritischen Berechtigungen. Die MaRisk unterscheidet diese von normalen Berechtigungen, so müssen sie etwa gesondert bearbeitet werden und unterliegen engeren Kontrollzyklen. In ihrem Regelwerk definierte die IFB vorab, was kritische Berechtigungen sind und legte zudem fest, ob diese auf Einzelrechteebene oder Ebene der Fachrolle verwaltet werden sollen. Man entschied sich für die zweite Alternative. Die einzelnen kritischen Berechtigungen wurden also zu einer, dann kritischen, Fachrolle gebündelt.

„Auf diese Weise umgingen wir es, die Identity-Management-Software mit zusätzlichen Prozessen und Berechtigungsrollen ausstatten zu müssen, die man später dann doch nicht benötigt“, wie Jochen Schneider erläutert. Die Einführung der Software war schließlich der dritte Strang. Das Team von Beta Systems erhielt 103 fertige Fachrollen inklusive der Vorgaben, wer für einen neuen Beschäftigten Berechtigungen bean- tragen und genehmigen darf – das gesamte Regelwerk also. Dieses musste während des Customizings nur noch im Garancy® Identity Manager hinterlegt werden. Weil die Prozesse bewusst einfach gehalten waren, ließen sie sich auch mit den Standardtransaktionen von Garancy® darstellen.

Weiterer Vorteil: Man konnte hier bereits mit den echten Abläufen arbeiten und testen. Berater Jochen Schneider: „Genau dadurch zeichnet sich dieses Projekt aus. Andere Banken suchen sich zunächst die Technik aus, bevor sie ihre internen Prozesse festlegen. Hier war es genau andersherum.“

Genau dadurch zeichnet sich dieses Projekt aus. Andere Banken suchen sich zunächst die Technik aus, bevor sie ihre internen Prozesse festlegen. Hier war es genau andersherum.

IFB Hamburg Logo
Jochen Schneider
Consultant, IFB

Ergebnis

Lösung nach nur 5 Monaten produktiv: Das Customizing erledigte Beta Systems in Eigenregie und lieferte die konfigurierte Software wenige Wochen darauf an den Kunden aus. So hielten sich auch die Projektkosten im Rahmen, da kaum Reise- kosten anfielen und weniger interne Ressourcen bei der IFB gebunden waren. Am 28 Juni 2019 konnte die IFB ihr neues Identity-Management-System produktiv schalten – mit insgesamt nur fünf Monaten Projektlaufzeit für die IDM-Einführung ein wohl branchenweiter Rekord.

Im Zuge des Projektes hat die IFB auch eine neue Funktion geschaffen: Der Berechtigungsmanager ist im technischen Betrieb angesiedelt und vermittelt zwischen ihm und den Fachbereichen. Er überwacht zudem die Freigabe von Berechtigungskonzepten und ist in manchen Freigabeprozessen das zweite Paar Augen, was die Rollenzuordnung oder -änderung angeht.

Anfang September 2019 startete die erste Rezertifizierungskampagne mit dem „Garancy® Recertification Center“, einem weiteren Baustein des Garancy® IAM Portals von Beta Systems. Sie dauerte drei Wochen und wurde durch mehrere Workshops begleitet, um eine hohe Resonanz zu erzeugen. Dort wurde erklärt, wie man Fachrollen und ihnen zugeordnete Beschäftigte freigibt, zunächst in SAP und Windows, später in einer zweiten Runde dann auch den Order-to-Admin-Systemen.

Die IDM-Zukunft bei der IFB hat also erst begonnen, aber schon nach den ersten Monaten zeichnet sich ein erstes Resümee ab: „Die Software von Beta Systems ist technisch ausgereift und läuft äußerst stabil“, so Volker Loebel. „Auch von der Zusammenarbeit mit dem Beratungsteam sind wir sehr angetan. Bei Rückfragen oder Problemen gab es sehr schnell und kompetent Auskunft.“ So kann der nächste Audit kommen – in Sachen Berechtigungsmanagement ist die IFB heute auf dem aktuellen Stand der Technik.

Kunde

IFB Hamburg Logo
Gründungsjahr
2013
Zahl der Beschäftigten
260
Hauptsitz
Hamburg
Sektor
Finanzdienstleister
Hamburgische Investitions- und Förderbank IFB
Besenbinderhof 31
20097 Hamburg
Deutschland

Tags

IAM

Teilen

Weitere Ressourcen

Success Story
NAV Logo

NAV spart Lizenzkosten durch Ersetzen von CA-Spool

Outputmanagement NAV: Eine enge Zusammenarbeit zwischen NAV und Beta Systems führte zu neuen Funktionen in Beta DocZ, die die erfolgreiche Ablösung von CA Spool ermöglichten.
Blog-Artikel
bars-b-00017.svg

Was ist Output Management?

In der heutigen dynamischen Geschäftswelt ist die Steuerung des Informationsflusses für den Erfolg jeder Organisation von entscheidender Bedeutung. Hier kommt Output Management ins Spiel - ein Begriff, der vielleicht nicht jedem geläufig ist, der aber eine Schlüsselrolle bei der Steigerung der Effizienz und Effektivität von Geschäftsprozessen spielt. Dieser Artikel gibt einen Überblick über Output Management, seine Definition, seine Relevanz und die Vorteile, die es Unternehmen bietet.
Blog-Artikel
bars-a-00033.svg

Kostet Ihre Mainframe Output Management Lösung mehr als sie sollte?

Denken Sie über eine Alternative zu Ihrem bestehenden Broadcom CA Spool oder CA View System nach? Wir können Ihnen helfen, Ihre Kosten massiv zu senken!