Einführung einer neuen IAM-Lösung bei der Thüringer Aufbaubank

Die regulatorischen Anforderungen der MaRisk nehmen eher zu denn ab. Mit ihrer bisherigen IAM-Lösung konnte die Thüringer Aufbaubank diese nicht mehr bewältigen. Deshalb hat das Unternehmen im Jahr 2019 einen Schwenk vollzogen und arbeitet jetzt mit dem Garancy® Identity Manager. Er erlaubt insbesondere die vorher nur wenig praktizierte Umsetzung eines Rollenkonzeptes, mit dem sich das Prinzip „Kein Recht ohne Rolle“ konsequent anwenden lässt. Die Tage des Laufzettels, auf dem ausgeführt wurde, wer wann welche Berechtigung in welchem IT-System benötigt, sind bei der Thüringer Aufbaubank (TAB) schon lange vorbei.

Circa 800 Beschäftigte zählt die Förderbank inklusive Tochtergesellschaften, die größtenteils am Hauptstandort Erfurt arbeiten. Bereits 2016 hatte die Aufbaubank im Rahmen eines ITGovernance-Projektes ein Tool zur zentralen Identitäts- und Berechtigungsverwaltung eingeführt. Nach einem Jahr Betrieb und mit Blick auf die Entwürfe der MaRisk und der BAIT wurde jedoch deutlich: Die Software würde den steigenden regulatorischen Anforderungen in der damaligen Ausprägung auf Dauer nicht genügen.

Eine Prüfung nach §44 KWG, angeordnet von der BaFin und durchgeführt durch Prüfer*innen der Bundesbank, bestätigte die Meinung der TAB und gab den endgültigen Anstoß: Das bisherige IAM-Konzept sollte überdacht, eine neue Lösung angeschafft werden. Tommy Grimmer, Leiter der Abteilung IT-Steuerung bei der Thüringer Aufbaubank: „Wichtig war uns, dass sie eine gute Usability mitbringt und alle jetzigen und kommenden Anforderungen der MaRisk und BAIT – soweit absehbar – erfüllt. Deshalb entschieden wir uns für die Software von Beta Systems, nicht zuletzt, weil eine Reihe anderer Banken bereits mit Garancy® arbeitet und uns positive Erfahrungen berichteten."

Rechte werden nur über Rollen beantragt: Im ersten Schritt übernahm das Projektteam 2019 alle bisher verwalteten Berechtigungen 1:1 in das neue System Garancy® Identity Manager. In der zweiten, ab 2020 startenden Stufe, beschäftigte sich die Aufbaubank mit dem Redesign der Berechtigungen. Das Grundprinzip dabei: Kein Recht ohne Rolle, d.h. Rechte werden nur über Rollen beantragt, die Vergabe von Einzelrechte erfolgt nur in Ausnahmefällen (bspw. temporäre Lese- und Schreibrechte auf Projektverzeichnisse).

Mit Profilen und Rollen arbeitet die Aufbaubank schon seit langem, vor allem in der Sachbearbeitung. Die Berechtigungsgestaltung treibt also schon immer die Fachlichkeit, „aber nie so umfänglich und tiefgreifend, wie sie das Minimal- bzw. Need-to-know-Prinzip gefordert hätte“, blickt Tommy Grimmer zurück. Auf Fachbereichsebene wurde also bereits geclustert, aber nicht mit dem Niveau und der Tiefe wie nun mit der neuen IAM-Lösung.

„Erst mit Beta Systems werden die Rollen wirklich auf Fachlichkeit, Stellen und Funktionen geschnitten“, erklärt Cindy Schöneweck, Compliance-Referentin in der IT-Steuerung der Aufbaubank und eigens für das neue IAM-Vorhaben eingestellt.

In enger Abstimmung mit der Organisationsabteilung, den Fachbereichen und der unabhängigen IT-Beraterin Dr. Claudia Walhorn, die Garancy® bereits in anderen (Investitions-)Banken mit eingeführt und begleitet hat, koordinierte sie die Einführung des IAM-Systems. Einer ihrer Grundsätze: Für jede Anwendung mit Benutzer*innenverwaltung existiert ein eigenes Berechtigungskonzept. In der Anwendung „Intranet“ gibt es zum Beispiel Rechte zum Lesen, Schreiben und Administrieren.

Diese werden gebündelt in sogenannte Basis,- Organisations-, Fach- oder Funktionsrollen (Rollentypen), die sich aus dem Organigramm der Bank ableiten. So haben alle Beschäftigten eine Basisrolle, die die Zeiterfassung, den Zugriff auf bestimmte Applikationen (E-Mail, AD) und Netzlaufwerke etc. regelt. Zu jeder Stellenbeschreibung gibt es außerdem eine Fachrolle, ferner Organisationsrollen für Organisationseinheiten und bereichsübergreifende Funktionsrollen (u.a. Personalrat).

In den Sachgebieten verfügen viele Beschäftigte über dieselbe Fachrolle. So sind ca. 200 Personen aus zwei großen Fachbereichen rund 21 Fachrollen zugeordnet. Diese Rollenaufteilung nimmt die Bank derzeit in Garancy® in enger Absprache mit den Fachbereichen vor und bereinigt in diesem Zuge auch bestehende Rechte.

Administrativer Aufwand bei der Rechtevergabe sinkt Aus dem Prinzip „Kein Recht ohne Rolle“ folgt also bei der Aufbaubank: Wer dieselbe Stellenbeschreibung hat, hat auch dieselben Zugriffsrechte und dem wird dieselbe Fachrolle zugewiesen.

Bei jedem Neuzugang werden nun aus einem bestehenden Set an Rechten und Rollen genau die ausgewählt, die für die eigene Tätigkeit benötigt wird. Rollenbildung vereinfacht also die Zuweisung der Rechte: Alle bekommen die Basis-, Fach- und ggf. Organisations- und Funktionsrolle, die das künftige Profil im Unternehmen widerspiegelt.

Dadurch sinkt der administrative Aufwand bei der Rechtevergabe deutlich.