DE / EN
Titelbild zur Referenz IAM mit der Schwyzer Kantonalbank

Mehr Kontrolle, weniger Angriffsfläche

Datum

18.08.2022

Dieser Beitrag wurde verfasst von:

Elias Buff

IAM für die Schwyzer Kantonalbank

Auftrag und Zielsetzung

Effizienz, Kontrolle, Sicherheit

Eine der Aufgaben von Mario Lotti als Leiter Sicherheit ist es, den Betrieb der Schwyzer Kantonalbank (SZKB) in puncto Sicherheit und Effizienz auf dem neusten Stand zu halten. Bisher erfolgten die Vergabe und Verwaltung der Zugriffsrechte aller Mitarbeitenden über ein selbst entwickeltes Tool per Access Frontend. Bei rund 500 Nutzern und 20 000 Berechtigungen liess es sich nicht vermeiden, dass beispielsweise Personen Zugriffe erhielten, die sie gar nicht brauchten oder dass bei Austritten die Benutzerkonten nur deaktiviert, nicht jedoch gelöscht wurden. Die mögliche Folge: Eine Kumulierung der Rechte und damit ein potenzielles Sicherheitsrisiko. Für Mario Lotti und die SZKB war klar: Für eine effiziente und nachvollziehbare Berechtigungsvergabe auf die schützenswerten Systeme braucht die Bank ein professionelles Identity- und Access-Managementsystem (IAM).

Über eine Empfehlung stiess Mario Lotti auf die IPG. Nach ersten Gesprächen und einer Kosten-Nutzen-Analyse war schnell klar, dass die IPG der richtige Partner war. Insbesondere die Erfahrung der IPG mit ähnlichen Projekten bei vergleichbaren Finanzinstituten und das Wissen über die eingesetzten Anwendungen bei der SZKB überzeugten.

Vorgehen und Methodik

Erfolgsfaktor Erfahrung

Die IAM-Lösung passte am besten zu den Anforderungen der SZKB. Dass das Produkt auch bei anderen Banken im Einsatz stand, war ein Plus: Langfristig profitiert man vom Erfahrungsaustausch und von der Kostenteilung beim künftigen Ausbau.

Der Zeitrahmen vom Projektstart bis zum Go-live war mit weniger als einem Jahr enorm knapp bemessen. Deshalb fokussierte man zu Beginn auf wenige Kernapplikationen und unterteilte das Projekt in klare Schnitte. Nach der Konzeptphase startete das IPG-Team mit dem Parametrieren des Systems. Parallel dazu wurden Funktions- und Organisationsrollen modelliert. In der Testphase zeigte sich, dass die Zuordnung von Organisations- und Funktionsrollen gelang. Vor dem Go-live schulte das IPG-Team die IT-Mitarbeitenden der SZKB, damit diese wiederum ihr Wissen an die Nutzerinnen und Nutzer in der Bank weitergeben können.

Die IPG wird die Schwyzer Kantonalbank künftig beim Betrieb und der Weiterentwicklung des IAM begleiten. Zusätzliche Schnittstellen und die Automatisierung weiterer Prozesse sind bereits geplant.

Herausforderungen

Sicherheit an erster Stelle

Die hohe Sicherheitsklassifizierung der Bank stellte besondere Anforderungen an das Projektteam. Dass die Einführung nicht in einer Testumgebung, sondern direkt in der Produktion passierte, erforderte ein schrittweises Vorgehen mit der entsprechenden Vorsicht. Die rund 500 Nutzer und 20 000 Berechtigungen sinnvoll zu gruppieren, verlangte vom Team der SZKB einiges ab – deren Prüfung und Verwaltung wird künftig zum Glück automatisiert erledigt.

IPG Expertenstimme

IPG IAM Mitarbeiter Elias Buff

Unsere Erfahrung zeigt, dass Banken aufgrund der strengen Regulierung beim Thema Identitäten und Berechtigungen oft schon ziemlich sattelfest sind. Eine professionelle IAM-Lösung bringt unternehmensübergreifend dennoch signifikante Vorteile. Die Schwyzer Kantonalbank profitiert auch hinsichtlich der hohen Compliance-Anforderungen stark von der IAM-Lösung. Weit verbreitete Ansätze wie «gleiche Rechte wie» konnten eliminiert und Prozesse automatisiert werden. Wir waren beeindruckt vom hohen Sicherheitsstandard der Schwyzer Kantonalbank. Die neue IAM-Lösung ergänzt diesen optimal.

Elias Buff Senior Technical ConsultantIPG GROUP

Ergebnis

  • Verbesserte IT-Sicherheit
  • Entlastung der HR- und Führungspersonen
  • Automatisierte und nachvollziehbare Prozesse
  • Erteilung der Berechtigungen über funktionsbezogene Geschäftsrollen
  • Einfache Beantragung und Genehmigung von Berechtigungen über ein Portal
  • Einfache Rezertifizierung
  • Nachvollziehbare Mutationen von Zugriffsrechten
  • Schulungen und Wissenstransfer nach dem Prinzip «Train the Trainer»
  • Automatisierte Telefonnummernvergabe und -entfernung innerhalb des IAM
  • Automatisierte Steuerung des gesamten Prozesses
  • Merkliche Reduktion des personellen Aufwands
  • Eliminierung von Fehlerquellen
  • Umfassende Kontrolle aller Zugriffe auf Daten und Systeme

Kundenstimme

Referenz IAM mit der Schwyzer Kantonalbank - Mario Lotti

Dank der engen und vertrauensvollen Zusammenarbeit, der Erfahrung mit ähnlichen Projekten und der lösungsorientierten Einstellung des IPG-Teams konnten wir das Projekt im vorgesehenen Zeitrahmen erfolgreich umsetzen. Die kurzen Kommunikationswege, die konstruktiven Meetings und das grosse fachliche Know-how empfand ich als grosses Plus. Die Zusammenarbeit mit IPG war in jeder Hinsicht professionell und effizient. Bei neuen Erkenntnissen oder Ansprüchen während des Projekts hat das Team stets eine optimale Lösung gefunden und daraus sogar oft noch zusätzlichen Nutzen erschlossen. Ich freue mich auf die weitere Zusammenarbeit mit der IPG.

Mario Lotti Leiter SicherheitSchwyzer Kantonalbank

  Referenz IAM mit der Schwyzer Kantonalbank Logo

Über die Schwyzer Kantonalbank

Die 1890 gegründete Schwyzer Kantonalbank (SZKB) ist die führende Bank im Kanton Schwyz und mit über 600 Mitarbeitenden eine der grössten Arbeitgeberinnen der Region. In 22 Filialen, mehreren Fachzentren und über zeitgemässe digitale Kanäle bietet die SZKB Privat-, Unternehmens- und institutionellen Kunden eine breite Palette von Produkten und Dienstleistungen rund ums Zahlen & Sparen, Finanzieren sowie Vorsorgen und Anlegen. Die SZKB ist eine selbständige Anstalt des kantonalen öffentlichen Rechts. Sie verfügt über eine Staatsgarantie, wird von Standard & Poor's mit einem Rating AA+ bewertet und gehört zu den bestkapitalisierten Banken der Welt.
Mehr Infos: www.szkb.ch

Autor

Elias Buff
Senior Technical ConsultantIPG Information Process Group AGKontakt