Zum Magazin

Identity Management System | DekaBank Die Leitstelle hält jeden Nutzer exakt in der Spur

Compliance, Datenschutz und weitere Gesetzesvorgaben fordern strikte Einschränkungen, wer Zugang zu welchen Informationen hat. Jeder Zugriff muss dokumentiert werden. Mit Unterstützung von Accenture und Avanade hat die DekaBank ein klar strukturiertes und leicht zu bedienendes Identity Management System etabliert.

Artikel lesen

Die Herausforderungen beim Zugangsmanagement auf die Unternehmens-IT ähneln für Carsten Heitmann einem Eisberg. „Erst ist nur ein Bruchteil der Abmes-sungen zu sehen, da der größte Teil unter der Wasser-linie liegt“, meint der Experte bei Avanade, einem Joint Venture von Accenture und Microsoft. „Beschäftigt man sich mit den Details, wird die wahre Dimension klar.“ 

Zugangskontrolle ist enorm wichtig 

Nur in einem Punkt hinkt der Vergleich: Beim Eisberg sieht man zehn Prozent vom Ganzen, beim Zugangs-management noch weniger – wie etwa bei der DekaBank, dem Wertpapierhaus der Sparkassen-Finanzgruppe. Sie holte sich beim Aufbau ihres Identity Management Systems (IDM) Unterstützung bei Avanade, um die MaRisk-Anforderungen des Bundesministeriums für Finanzen sowie eigene Controlling- und Compliance-Vorgaben zu erfüllen. Danach ist der Zugriff auf interne IT-Systeme 

transparent und nachvollziehbar zu regeln, zu doku-mentieren und zu kontrollieren. Die DekaBank hat 4.180 Beschäftigte – verwaltet werden aber Hunderttausende Berechtigungen. Dazu kommen externe Mitarbeiter und deren IT-Berechtigungen. 

2010 beschloss die DekaBank die Runderneuerung ihres Nutzer- und Access-Managements. Ihre Eigen-entwicklung konnte Ansprüche wie automatische Anwender- und Berechtigungslebenszyklen, einen vollständigen Überblick über Berechtigungen und Freigaben oder eine klare Kontrolle nicht mehr ausreichend erfüllen. Änderungen von Berechtigungen und Zugriffsrechte der Anwender mussten manuell umgesetzt sowie dokumentiert werden. Bekam jemand einen neuen PC oder wechselte er die Abteilung, wurde die damit verbundene Anpassung der Zugriffs-rechte von Hand eingegeben – eine zeitaufwendige und fehleranfällige Praxis. Bei größeren Veränder-ungen warteten die Betroffenen längere Zeit, bis Zugriffsrechte in den Systemen hinterlegt waren und sie ihre neue Rolle übernehmen konnten. 

Ein vollständiges Assessment inklusive Überprüfung aller Berechtigungen muss gemäß MaRisk mindestens einmal pro Jahr, bei wesentlichen IT-Systemen sogar halbjährlich durchgeführt werden. 

Eine Zentrale steuert das System 

Daher entschied sich die DekaBank für ein Identity Management System auf Basis von Omada Identity Suite und Microsoft Forefront Identity Manager (FIM). Zu den Vorteilen zählen die strikte und rollenbasierte Zugriffskontrolle mit Genehmigungs-Workflow, Compliance Reporting und Audit-Daten, die umfassende Verwaltung über den gesamten Lebenszyklus von Benutzeridentitäten und den dazugehörigen Berechtigungen sowie die einfache Bedienbarkeit der Anwendung. „Ziel war es, die IDM-Prozesse transparenter zu gestalten“, betont Stefan Böhm, Projektleiter der DekaBank. „Wir wollten, dass Berechtigungen sich künftig auf Knopfdruck einrichten und zum Löschen freigeben lassen, dass 

Lebenszyklen gesteuert, Genehmigungen sichergestellt und alle Vorgänge überwacht und lückenlos nach-vollzogen werden können.“ Zudem sollte die zentrale Steuerung eines einfachen, einheitlichen und weit-gehend automatisierten Zugangsmanagements neben Qualitätssteigerungen die Basis bieten, künftige Anforderungen zu erfüllen. 

Berechtigungen sind exakt definiert 

Beim Anpassen des Identity Management Systems an ihre Erfordernisse ließ sich die DekaBank von Fach-leuten unterstützen. Avanade- und Accenture-Experten bieten diese Dienstleistungen als Team an: Spezialisten von Avanade bringen Erfahrung in der technischen Umsetzung des Systems inklusive der Anbindung der vorhandenen IT-Systeme ein und erarbeiten zahlreiche Vereinfachungen, um die Bedienerfreundlichkeit zu steigern – so lassen sich
bis zu fünf Klicks durch einen ersetzen. 

 

Bevor Zugangsrechte technisch umgesetzt werden, müssen die Rollen der Benutzer definiert und die Abläufe inhaltlich durchdacht sein. Ein Kernprozess: die taggleiche Synchronisation und die Stammdaten-versorgung aller IT-Systeme aus dem SAP-HR-System. „Wird der HR-Datensatz im SAP-System deaktiviert, ist automatisch der Zugriff auf sämtliche IT-Systeme gesperrt“, erklärt Christian Mattheis, Senior Director Infrastructure Services bei Avanade. Zudem arbeitet die DekaBank künftig auf Basis eines dreistufigen Rollenmodells: Die Basis-Rolle sowie die Funktions-Rolle gibt es bereits länger, die Business-Rolle wird bis Ende 2014 vollständig implementiert. 

Das neue Verfahren entlastet den Vorgesetzten, weil er sich nicht um die Berechtigungen des Mitarbeiters für jedes einzelne IT-System kümmern muss. Es erschwert Ausnahmen, und es erhöht die Daten-sicherheit, da anhand der zugeteilten Rolle exakt festgelegt ist, was jemand sehen kann. Das IDM stellt automatisch sicher, dass ein Zugriff früherer  

Mitarbeiter auf ihre alten Daten unmöglich ist, da ihr Ausscheiden konsequent in allen IT-Systemen berücksichtigt wird. Zudem speichert das System, wer wann welche Zugriffsrechte hatte, um mögliche Verstöße gegen interne Richtlinien nachvollziehbar zu machen. Als die Rollen definiert waren, erstellten die Avanade-Experten das entsprechende Mapping für das Identity Management System. In der Omada-Software sorgen von Avanade angepasste Schnittstellen dafür, dass Benutzername und Berechtigungen wie gewünscht übernommen und nach festgelegten Regeln geprüft werden. Das Projektteam bemühte sich hier um einfache Verfahren, damit Rollen leicht angelegt und verändert werden können. 

Automatisierung bringt Sicherheit 

Zum Projektende 2014 werden die wesentlichen IT-Systeme der deutschen Standorte mit einem regelmäßigen Soll-Ist-Abgleich angeschlossen sein. Projektleiter Stefan Böhm ist sehr zufrieden: 

„Wir konnten den Automatisierungsgrad steigern, Berechtigungsprozesse vereinfachen, den Verwaltungsaufwand insbesondere für die Kontrollprozesse immens reduzieren und für die Anwender möglichst einfach abbilden.“ 

Steckbrief 
DekaBank 

Unternehmenssitz: Frankfurt am Main 
Unternehmensleitung: Michael Rüdiger, Vorsitzender des Vorstands
Mitarbeiter: 4180 (2014)
Bilanzsumme: circa 116 Milliarden Euro (2013) 
Branche: Finanzdienstleister 
Webseite:
www.dekabank.de 

Navigation