Identity Management für Banken

Großbanken gehören zu den ersten Unternehmen, die ein Identity and Access Management (IAM) System eingeführt haben. Aber auch für viele kleine und mittelständische Banken sind die regulatorischen Anforderungen hoch. Beispielsweise haben die deutsche BaFin, die Schweizer FINMA und die österreichische FMA in ihren Rundschreiben die Messlatte hoch angesetzt – ihre strengen Vorgaben werden regelmäßig auditiert. Compliance im IAM ist ein Thema für die Geschäftsleitung, da es für das gesamte Finanzinstitut und dessen Zulassung von kritischer Bedeutung ist. Durch den Einsatz eines IAM-Systems von einem namhaften Hersteller, wird der Revisionsstelle der Wind aus den Segeln genommen. Findet sich das System in einer funktionierenden Aufbau- und Ablauforganisation eingebettet, ist der sichere Umgang mit Benutzerkonten und -Berechtigungen gewährleistet.

IAM für „Identity and Access Management” umfasst alle notwendigen Maßnahmen, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen. Entscheidend ist, ihnen genau die digitalen Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen. Ein Identitätsmanagementsystem oder IAM-System regelt diese Zugriffe und fasst unter anderem Antrags- und Genehmigungsprozesse, Rollenmanagement, Complianceprozesse und Berechtigungen in den Zielsystemen zusammen. Es gewährleistet die Einhaltung von IT-bezogenen Richtlinien und Vorschriften. Dies trägt erheblich zur Sicherheit von Informationssystemen und Ressourcen in Unternehmen und Organisationen bei.

Der generelle Nutzen von Prozessautomatisierung und Nachvollziehbarkeit ist in jeder Branche vorhanden. Bei Banken können mit zusätzlichen Funktionen jedoch wesentliche Anforderungen der Fachbereiche abgedeckt werden. Im Folgenden werden einige Beispiele vorgestellt.

Nach dem Identitätsprinzip muss zu jedem Zugriff belegt werden können, welche Identität beziehungsweise welcher Mitarbeiter diese ausgeführt hat. Es ist eine Verbindung zwischen dem Datensatz im Personalsystem, dem Benutzerkonten und den Berechtigungen notwendig. Benutzerkonten von Test- und Service-Accounts werden einer verantwortlichen Identität zugeordnet. Auf Knopfdruck können aus dem zentralen IAM-System Reports bezogen werden, welche den aktuellen Zustand und zeitliche Veränderungen darstellen. So kann rückwirkend für mindestens 10 Geschäftsjahre für jede Berechtigungszuordnung der Nachweis auf eine Identität des angestellten Mitarbeiters erbracht werden.

Jede Veränderung an den zugewiesenen Mitarbeiterberechtigungen muss nachvollziehbar und transparent sein. Berechtigungsanträge durchlaufen ein Genehmigungsverfahren in welchem zumeist der Linienvorgesetzte und ein Datenowner zustimmen. Für die Endbenutzer ist ein einheitlicher Prozess für alle Berechtigungen wichtig. Unabhängig davon, für welche Anwendung die Genehmigung beantragt wird, sollte der Antrag in der gleichen Form gestellt werden können.

Die Bankaufsicht fordert explizit die Einführung von Geschäftsrollen nach RBAC („Role Based Access Control“). Aus Erfahrung wissen wir, dass dies in einem geeigneten Rollenmodell ein wirksames Instrument darstellt: Die Berechtigungsvergabe ist einfacher, für Endbenutzer verständlicher und erfolgt schneller. Gleichzeitig sinkt der Administrationsaufwand für die Informatik, Fachbereiche und Vorgesetzte. Bei Reorganisationen werden die Berechtigungen der Mitarbeitenden umgestellt ohne Arbeitsunterbrechungen hervorzurufen.

Damit dies erreicht werden kann, ist eine Abbildung der Berechtigungen im IAM-System notwendig. Die Berechtigungssysteme mit den Benutzerkonten und Berechtigungen (je nach System auch Gruppe, Rolle, Profil, Block oder ähnlich genannt) werden über Schnittstellen an das IAM angebunden. Neben dem zentralen Active Directory ist es notwendig die Finanz- und Kernbankensysteme zuerst einzubinden. Hierbei treffen wir immer wieder dieselben ERP-Systeme an: Avaloq, SAP, Finnova, etc.

Die Geschäftsrollen umfassen Berechtigungen aus all diesen Systemen und stellen somit dank Digitalisierung eine Vereinfachung und Annäherung an die Organisationsstruktur der Bank dar. Sind die Berechtigungen dem IAM-System bekannt, können diese mit weiteren Informationen angereichert werden. In der Regel ist ein Datenowner oder Rollenowner benannt und wird hinterlegt. Damit ist eine wichtige Verantwortlichkeit geregelt, denn dieser Owner kann die Kritikalität einer Berechtigung einordnen.

Die Kritikalität wird mittels Datenklassifizierung hergeleitet. Für Banken sind die Berechtigungen besonders wichtig, die den Zugriff auf Customer Identifikation Data (CID) in verschiedenen Ausprägungen gewähren. Die Metadaten zu CID können im IAM-System ebenfalls hinterlegt werden. Auf Anfrage der Revisionsstelle lässt sich ihnen ohne Aufwand und Zeitverzug entnehmen, welche Mitarbeitenden Zugriff auf CID-Daten haben.

Die Technologie für die genannten Anforderungen ist dank den Vorreitern im IAM vorhanden. Sie kann auch kleinen und mittelständischen Banken zugänglich gemacht werden. IPG hat als IAM-Beratungsunternehmen und Integrator die Entwicklung in den großen Finanzinstituten von Anfang an begleitet. Dank unserer Erfahrung mit Banken und mittelständischen Unternehmen aller Branchen stellen wir die Verbindung zwischen der Technik und ihrer Organisation und Prozesse erfolgreich her. Nutzen Sie unsere Beratung für weitere Informationen und profitieren Sie langfristig von den passenden IAM-Lösungen für Banken.

Michael Petri hat einen Bachelor of Science in Unternehmensinformatik und Weiterbildungen für Projekt- und Prozess-Management. Bei IPG verantwortet er die Leitung vom technischen Consulting in der Schweiz. Die Abteilung erbringt Implementation Services in den IAM, PAM und SSO Projekten bei den Kunden auf verschiedenen Technologien. Michael Petri bringt seine Erfahrung als Architekt und Berater ein und arbeitet als Pre-Sales nahtlos mit dem Business Consulting zusammen. Er stützt sich dabei auf seine langjährige Erfahrung aus dem Lösungsdesign, Konzeption, Konfiguration und Einführung mit Transition in den Betrieb.