Merkur Versicherung AG setzt auf Garancy® Identity Manager als zentrales Verwaltungstool für Berechtigungen

Als die Merkur Versicherung 1798 in Graz gegründet wurde, lag das Heilige Römische Reich unter Kaiser Franz II. gerade in seinen letzten Zügen. Damit ist die heutige Merkur Versicherung AG mit Hauptsitz in Graz unbestritten das älteste Versicherungsunternehmen Österreichs – zugleich aber technisch und organisatorisch stets auf der Höhe der Zeit. Mit der IAM-Lösung von Beta Systems hat die Versicherung heute vollständige Kontrolle darüber, wer wann auf welche Systeme zugreift. Damit erfüllt sie alle Anforderungen der Finanzmarktaufsicht und verschlankt zugleich interne Arbeitsabläufe.

Wo andere Unternehmen während der Pandemie noch überlegten, wie der Papier-Posteingang am besten zu verteilen sei, gab es bei der Merkur schon „eWorkplace“ – einen elektronischen Arbeitsplatz, über den Korrespondenz ausschließlich digital eingeht und per Workflow zum richtigen Mitarbeitenden weitergeleitet wird. „Um viele solcher Anwendungen ist unsere IT-Landschaft in den vergangenen Jahren gewachsen“, erzählt Akad. Vkfm. Eva Kainz-Kaufmann aus der Abteilung Informationstechnologie – IT Management des Versicherungskonzern. Für sie alle gilt: Es muss festgelegt werden, wer welchen Zugriff auf ein System hat und wie lange. Bislang wurden diese Berechtigungen über ein Ticketsystem (Jira) erteilt. Dort musste die Fachabteilung ihre Anforderungen, wer welche Software in welchem Umfang nutzen darf, als Ticket anlegen, die Administratoren der einzelnen Zielsysteme setzten diese für den einzelnen User in den Systemen dann um.

Eine interne IT-Revisionsprüfung 2017 brachte erstmals ans Tageslicht, welchen Aufwand dies real bedeutete. Berechtigungen waren früher nicht an Rollen orientiert, sondern an Personen. So wurde für jede Berechtigungs-anforderung ein einzelnes Ticket erzeugt und es fehlte eine grundlegende Übersicht, wer wann welche Berechtigungen hatte. „Bei Nachfragen der Finanzmarktaufsicht mussten wir diese Informationen immer aus den einzelnen Tickets heraussuchen“, so Eva Kainz-Kaufmann. Nicht zuletzt aus Security-Aspekten heraus ist es unabdingbar, jederzeit zu wissen, wer wo welche Rechte hat und dass man diese ebenso schnell erteilen wie entziehen kann.

Deshalb entschied sich die Versicherung 2019, ein zentrales Verwaltungstool für Berechtigungen einzuführen. Gemeinsam mit einem externen Beratungsunternehmen wurde eine Marktevaluation durchgeführt. Von anfänglich zehn Herstellern kamen drei in die engere Auswahl, das Rennen machte schließlich Beta Systems mit seiner Garancy® IAM-Suite. Neben dem MIS (Merkur Information System) galt es, Lotus Notes, eWorkplace und Microsoft Active Directory (inklusive weiterer darüber angeschlossener Systeme, u.a. zur automatischen Briefgenerierung) mit der IAM-Software zu koppeln.

Umsetzung des Rollenkonzepts als erster Schritt: Parallel zur Einführung der Garancy® IAM-Suite begann die Merkur Versicherung AG mit dem Aufbau eines neuen Rollenkonzepts. Bestehende Systeme und IT-Berechtigungsstrukturen wurden von Grund auf durchforstet und bereinigt.

Mit Einführung der Garancy® IAM-Suite werden neue Berechtigungen heute nur noch rollenbasiert vergeben. Die Rollen legt die Versicherung im HR-System Infoniqa an. Welcher Beschäftigte hat wann angefangen, in welcher Abteilung ist er tätig, welche Stelle bekleidet er dort? Aufgrund dieser Informationen erhält jeder Beschäftigte zwei Basisrollen, die organisatorische sowie die Business-Rolle (entspricht dem Stellenprofil). Die organisatorische Rolle legt grundsätzlich fest, in welcher Abteilung jemand tätig ist, die Business-Rolle beschreibt die genaue Tätigkeit. Diese Einteilung nahm die IT in Absprache mit den Systemeignern sowie mit den Bereichsleitungen der jeweiligen Abteilung vor.