Identity and Access Management (IAM) im Bankwesen

Grossbanken gehören zu den ersten Unternehmen, welche ein Identity and Access Management (IAM) System eingeführt haben. Gemeinsam mit dem IAM Thema haben sie sich in einer Lernkurve entwickelt und die heutige Methodik geprägt.

Für viele kleine und mittelständische Banken sind die regulatorischen Anforderungen ebenfalls hoch. Die deutsche BaFin, die Schweizer FINMA und die österreichische FMA haben in ihren Rundschreiben die Messlatte hoch angesetzt. Ihre strengen Vorgaben werden regelmässig auditiert und es können schmerzhafte Forderungen aufgestellt werden. Die Compliance im IAM ist Thema in der Geschäftsführung, denn es ist kritisch für das gesamte Finanzinstitut und seine Zulassung.

Ist ein IAM System von einem namhaften Hersteller im Einsatz, wird der Revisionsstelle den Wind aus den Segeln genommen. Und findet sich das System in eine funktionierende Aufbau- und Ablauforganisation eingebettet, ist der sichere Umgang mit Benutzerkonten und -Berechtigungen gewährleistet.

Allgemeine Nutzen zur Prozessautomatisierung und Nachvollziehbarkeit existieren in jeder Branche. Bei Banken können mit weiteren Funktionen entscheidende Anforderungen der Fachbereiche abgedeckt werden. Nachfolgend wird auf einige Beispiele eingegangen.

Nach dem Identitätsprinzip muss zu jedem Zugriff belegt werden können, welche Identität bzw. welcher Mitarbeiter diese ausgeführt hat. Es ist eine Verbindung zwischen dem Datensatz im Personalsystem, dessen Benutzerkonten und seinen Berechtigungen notwendig. Benutzerkonten von Test- und Service-Accounts werden einer verantwortlichen Identität zugeordnet. Auf Knopfdruck können aus dem zentralen IAM-System Reports bezogen werden, welche den aktuellen Zustand und zeitliche Veränderungen darstellen. Rückwirkend für mindestens 10 Geschäftsjahre kann so für jede Berechtigungszuordnung der Nachweis auf eine Identität des angestellten Mitarbeiters erbracht werden.

Jede Veränderung an den zugewiesenen Mitarbeiter-Berechtigungen muss nachvollziehbar und transparent sein. Berechtigungsanträge durchlaufen ein Genehmigungsverfahren in welchem meist der Linienvorgesetzte und ein Datenowner zustimmen. Für die Endbenutzer ist  ein einheitlicher Prozess für alle Berechtigungen wichtig. Egal für welche Applikation die Berechtigung ist, der Antrag soll in gleicher Form gestellt werden können.

Die Bankaufsicht fordert explizit die Einführung von Geschäftsrollen nach RBAC. Aus Erfahrung wissen wir, dass dies in einem geeigneten Rollenmodell ein wirksames Instrument darstellt: Die Berechtigungsvergabe ist einfacher und für Endbenutzer verständlich. Die Berechtigungsvergabe erfolgt schneller. Der Administrationsaufwand für die Informatik, Fachbereiche und Vorgesetzte sinkt. Bei Reorganisationen werden die Berechtigungen der Mitarbeitenden umgestellt ohne Arbeitsunterbrechungen hervorzurufen.

Damit dies erreicht werden kann, ist eine Abbildung der Berechtigungen im IAM System notwendig. Die Berechtigungssysteme mit den Benutzerkonten und Berechtigungen (je nach System auch Gruppe, Rolle, Profil, Block oder ähnlich genannt) werden über Schnittstellen an das IAM angebunden. Neben dem zentralen Active Directory sind die Finanz- und Kernbankensysteme meist zuerst einzubinden. Hierbei treffen wir immer wieder dieselben ERP-Systeme an: Avaloq, SAP, Finnova, etc.

Die Geschäftsrollen umfassen Berechtigungen aus all diesen Systemen und stellen somit eine Vereinfachung und Annäherung an die Organisationsstruktur der Bank dar.

Sind die Berechtigungen dem IAM System bekannt, können diese mit weiteren Informationen angereichert werden. Ein Datenowner oder Rollenowner sind in der Regel benannt und werden hinterlegt. Damit ist eine wichtige Verantwortlichkeit geregelt, denn dieser Owner kann die Kritikalität einer Berechtigung einordnen.

Die Kritikalität wird mittels Datenklassifizierung hergeleitet. Für Banken besonders wichtig sind die Berechtigungen, welche den Zugriff auf Customer Identifikation Data (CID) in verschiedenen Ausprägungen gewähren. Die Metadaten zu CID können im IAM System ebenfalls hinterlegt werden. Auf Anfrage der Revisionsstelle können sie ohne Aufwand und Zeitverzug mit einem Report ausweisen, welche Mitarbeitenden Zugriff auf CID Daten haben.

Die Technologie für die genannten Anforderungen ist dank den Vorreitern im IAM vorhanden. Es kann auch kleinen und mittelständischen Banken zugänglich gemacht werden. IPG als Beratungsunternehmen und Integrator hat die Entwicklung in den grossen Finanzhäusern von Anfang an begleitet. Mit unserer Erfahrung aus mit Banken und mittelständischen Unternehmen aller Branchen können wir die Verbindung zwischen der Technik und ihrer Organisation und Prozesse erfolgreich herstellen.

Michael Petri hat einen Bachelor of Science in Unternehmensinformatik und Weiterbildungen für Projekt- und Prozess-Management. Bei IPG verantwortet er die Leitung vom technischen Consulting in der Schweiz. Die Abteilung erbringt Implementation Services in den IAM, PAM und SSO Projekten bei den Kunden auf verschiedenen Technologien. Michael Petri bringt seine Erfahrung als Architekt und Berater ein und arbeitet als Pre-Sales nahtlos mit dem Business Consulting zusammen. Er stützt sich dabei auf seine langjährige Erfahrung aus dem Lösungsdesign, Konzeption, Konfiguration und Einführung mit Transition in den Betrieb.