Ausgangssituation
Als die Merkur Versicherung 1798 in Graz gegründet wurde, lag das Heilige Römische Reich unter Kaiser Franz II. gerade in seinen letzten Zügen. Damit ist die heutige Merkur Versicherung AG mit Hauptsitz in Graz unbestritten das älteste Versicherungsunternehmen Österreichs – zugleich aber technisch und organisatorisch stets auf der Höhe der Zeit.
Mit der IAM-Lösung von Beta Systems hat die Versicherung heute vollständige Kontrolle darüber, wer wann auf welche Systeme zugreift. Damit erfüllt sie alle Anforderungen der Finanzmarktaufsicht und verschlankt zugleich interne Arbeitsabläufe.
Wo andere Unternehmen während der Pandemie noch überlegten, wie der Papier-Posteingang am besten zu verteilen sei, gab es bei der Merkur schon „eWorkplace“ – einen elektronischen Arbeitsplatz, über den Korrespondenz ausschließlich digital eingeht und per Workflow zum richtigen Mitarbeitenden weitergeleitet wird. „Um viele solcher Anwendungen ist unsere IT-Landschaft in den vergangenen Jahren gewachsen“, erzählt Akad. Vkfm. Eva Kainz-Kaufmann aus der Abteilung Informationstechnologie – IT Management des Versicherungskonzerns.
Für sie alle gilt: Es muss festgelegt werden, wer welchen Zugriff auf ein System hat und wie lange. Bislang wurden diese Berechtigungen über das Ticketsystem Jira erteilt. Dort musste die Fachabteilung ihre Anforderungen, wer welche Software in welchem Umfang nutzen darf, als Ticket anlegen, damit die Administratoren der einzelnen Zielsysteme diese für den einzelnen User in den Systemen umsetzten.
Herausforderung
Eine interne IT-Revisionsprüfung 2017 brachte erstmals ans Tageslicht, welchen Aufwand dies real bedeutete. Berechtigungen waren früher nicht an Rollen, sondern an Personen orientiert. So wurde für jede Berechtigungsanforderung ein einzelnes Ticket erzeugt und es fehlte eine grundlegende Übersicht, wer wann welche Berechtigungen besaß. „Bei Nachfragen der Finanzmarktaufsicht mussten wir diese Informationen immer aus den einzelnen Tickets heraussuchen“, so Eva Kainz-Kaufmann. Nicht zuletzt aus Sicherheitsgründen ist es unabdingbar, jederzeit zu wissen, wer welche Rechte in welchen Systemen hat. Es muss darüber hinaus möglich sein, dass man diese ebenso schnell erteilen wie entziehen kann.
Deshalb entschied sich die Versicherung 2019, ein zentrales Verwaltungstool für Berechtigungen einzuführen. Gemeinsam mit einem externen Beratungsunternehmen wurde eine Marktevaluation durchgeführt. Von anfänglich zehn Herstellern kamen drei in die engere Auswahl. Das Rennen machte schließlich Beta Systems mit seiner Garancy IAM-Suite. Neben dem Merkur Information System (MIS) sollten auch Lotus Notes, eWorkplace und Microsoft Active Directory (inklusive weiterer darüber angeschlossener Systeme, u. a. zur automatischen Briefgenerierung) mit der IAM-Software gekoppelt werden.
Implementierung
Die Umsetzung des Rollenkonzepts war der erste Schritt. Parallel zur Einführung der Garancy Suite begann die Merkur Versicherung AG mit dem Aufbau eines neuen Rollenkonzepts. Bestehende Systeme und IT-Berechtigungsstrukturen wurden von Grund auf analysieert und bereinigt.
Ergebnis
Mit Einführung von Garancy werden neue Berechtigungen heute nur noch rollenbasiert vergeben. Die Rollen legt die Versicherung im HR-System Infoniqa an. Wann hat welcher Beschäftigte im Unternehmen angefangen, in welcher Abteilung ist die Person, welche Position hat sie inne? Aufgrund dieser Informationen erhält jeder Beschäftigte zwei Basisrollen – eine organisatorische und eine Business-Rolle, die dem Stellenprofil entspricht. Die organisatorische Rolle legt grundsätzlich fest, in welcher Abteilung jemand tätig ist, die Business-Rolle beschreibt die genaue Tätigkeit. Diese Einteilung nahm die IT in Absprache mit den System-Ownern und den Bereichsleitungen der jeweiligen Abteilung vor.
Ein solch gewaltiges Projekt während der Pandemie ausschließlich über Webex durchzuführen, war wirklich eine hervorragende Leistung.
:quality(50))
Beratung von unseren Experten erhalten
Sie möchten wissen, wie Identity Access Management Ihrem Unternehmen hilft und wie Sie eine IAM-Lösung pragmatisch und ressourcenschonend implementieren können?
Lassen Sie sich unverbindlich von unseren IAM-Experten beraten – wählen Sie dafür die gewünschte Ansprechperson und anschließend einen für Sie passenden Termin aus. Wir freuen uns auf den Austausch!