Auf der Überholspur zur funktionierenden IAM-Lösung – bei der IFB Hamburg

„Anlass, sich mit der Anschaffung einer IAM-Software zu beschäftigen, waren die bankaufsichtlichen Anforderungen der BaFin an die IT“, erklärt der zuständige Teilprojektleiter Volker Loebel, stellvertretender Abteilungsleiter Finanz- und Rechnungswesen und Teamleiter Bilanzen/Meldewesen bei der Hamburgischen Investitions- und Förderbank (IFB). Deswegen unterzog sich die IFB einem Audit durch PWC, um heraus- zufinden, wo sie hier steht. Das Berechtigungsmanagement stellte innerhalb dieser Anforderungen das größte Teilprojekt heraus. Durchdachte Struktur war bereits vorhanden.

Bislang organisierte die Bank das Thema über Berechtigungskonzepte, Excellisten und manuelle Prozesse für die IT-Anwendungen. Für Berechtigungsanträge gab es Vorlagen, die ausgedruckt und unterzeichnet wurden, für die Windowsberechtigungen in Active Directory waren bereits Gruppierungen, quasi Rollen, eingerichtet worden. Ähnlich auf der SAP-Seite, wo gewisse Sammelrollen für Abteilungen und Teams existierten.

Bei der IFB gab es zwar Rollen für die verschiedenen Anwendungen, was aber nicht bedeutete, dass alle Beschäftigten automatisch die gleichen Berechtigungen hatten. Die Rollen wurden individuell kombiniert. Erhielt ein Beschäftigter eine neue Aufgabe, war seine Berechtigung eher personen- als rollenbezogen. So existierten diverse Einzel- und Gruppenberechtigungen parallel zueinander. Die BAIT fordern zudem, dass Rechte sich aus den Aufgaben der Beschäftigten ergeben. Deswegen sollen die Rollen aus den Fach- abteilungen kommen, denen damit die Verantwortung für ihre Definition obliegt. Bei der IFB waren die Berechtigungskonzepte bislang vornehmlich aus der IT herausgetrieben.

Eine Forderung der BAIT ist die Berechtigungsvergabe entlang der fachlichen Aufgaben. Die IFB hat die Regelungen der MaRisk dazu beim Wort genommen: Man darf Rechte zu Rollen zusammenfassen. Diese müssen allerdings aus den Aufgaben hergeleitet sein und bestimmte Grenzen bei der Kombination von Rechten zu Rollen, wie z.B. die Funktionstrennung, dürfen nicht überschritten werden. Aufgrund dieses Vorgehens konnte die Bank dem Beta Systems-Team bereits ein vollständiges Regelwerk der Segregation of Duties an die Hand reichen.

Zügig bearbeitete das Projektteam auch die besondere Behandlung der kritischen Berechtigungen. Die MaRisk unterscheidet diese von normalen Berechtigungen, so müssen sie etwa gesondert bearbeitet werden und unterliegen engeren Kontrollzyklen. In ihrem Regelwerk definierte die IFB vorab, was kritische Berechtigungen sind und legte zudem fest, ob diese auf Einzelrechteebene oder Ebene der Fachrolle verwaltet werden sollen. Man entschied sich für die zweite Alternative. Die einzelnen kritischen Berechtigungen wurden also zu einer, dann kritischen, Fachrolle gebündelt.

„Auf diese Weise umgingen wir es, die Identity-Management-Software mit zusätzlichen Prozessen und Berechtigungsrollen ausstatten zu müssen, die man später dann doch nicht benötigt“, wie Jochen Schneider erläutert. Die Einführung der Software war schließlich der dritte Strang. Das Team von Beta Systems erhielt 103 fertige Fachrollen inklusive der Vorgaben, wer für einen neuen Beschäftigten Berechtigungen bean- tragen und genehmigen darf – das gesamte Regelwerk also. Dieses musste während des Customizings nur noch im Garancy® Identity Manager hinterlegt werden. Weil die Prozesse bewusst einfach gehalten waren, ließen sie sich auch mit den Standardtransaktionen von Garancy® darstellen.

Weiterer Vorteil: Man konnte hier bereits mit den echten Abläufen arbeiten und testen. Berater Jochen Schneider: „Genau dadurch zeichnet sich dieses Projekt aus. Andere Banken suchen sich zunächst die Technik aus, bevor sie ihre internen Prozesse festlegen. Hier war es genau andersherum.“

Lösung nach nur 5 Monaten produktiv: Das Customizing erledigte Beta Systems in Eigenregie und lieferte die konfigurierte Software wenige Wochen darauf an den Kunden aus. So hielten sich auch die Projektkosten im Rahmen, da kaum Reise- kosten anfielen und weniger interne Ressourcen bei der IFB gebunden waren. Am 28 Juni 2019 konnte die IFB ihr neues Identity-Management-System produktiv schalten – mit insgesamt nur fünf Monaten Projektlaufzeit für die IDM-Einführung ein wohl branchenweiter Rekord.

Im Zuge des Projektes hat die IFB auch eine neue Funktion geschaffen: Der Berechtigungsmanager ist im technischen Betrieb angesiedelt und vermittelt zwischen ihm und den Fachbereichen. Er überwacht zudem die Freigabe von Berechtigungskonzepten und ist in manchen Freigabeprozessen das zweite Paar Augen, was die Rollenzuordnung oder -änderung angeht.

Anfang September 2019 startete die erste Rezertifizierungskampagne mit dem „Garancy® Recertification Center“, einem weiteren Baustein des Garancy® IAM Portals von Beta Systems. Sie dauerte drei Wochen und wurde durch mehrere Workshops begleitet, um eine hohe Resonanz zu erzeugen. Dort wurde erklärt, wie man Fachrollen und ihnen zugeordnete Beschäftigte freigibt, zunächst in SAP und Windows, später in einer zweiten Runde dann auch den Order-to-Admin-Systemen.

Die IDM-Zukunft bei der IFB hat also erst begonnen, aber schon nach den ersten Monaten zeichnet sich ein erstes Resümee ab: „Die Software von Beta Systems ist technisch ausgereift und läuft äußerst stabil“, so Volker Loebel. „Auch von der Zusammenarbeit mit dem Beratungsteam sind wir sehr angetan. Bei Rückfragen oder Problemen gab es sehr schnell und kompetent Auskunft.“ So kann der nächste Audit kommen – in Sachen Berechtigungsmanagement ist die IFB heute auf dem aktuellen Stand der Technik.