Geldinstitute > Strategie

11.03.2019 von Dr. Amir Alsbih, CEO von KeyIdentity

Neuer IAM-Ansatz setzt Ressourcen in Finanzinstituten frei

Strenge Richtlinien und Vorgaben zu Datenschutz und Compliance sowie Dokumentationspflichten im Finanzsektor verkomplizieren die Verwaltung von Zugriffsrechten massiv. Das lähmt Geldinstitute und treibt Kosten in die Höhe. Schleichen sich falsche Berechtigungen ein, sind geringe Compliance und erhöhte Sicherheitsrisiken die Folge. 

Identity-Access-Management (IAM) umfasst das Management von Identitäten, deren Authentifizierung im Netzwerk sowie die Autorisierung, Aktivitäten in verschiedenen Systemen durchführen zu dürfen. IAM betrifft somit alle Benutzer. Sie verbinden mit IAM oft das umständliche Erfragen von fehlenden Zugangsrechten auf digitale Assets bei der zuständigen IT-Stelle. Auch das tage- oder wochenlange Warten auf die beantragte Berechtigung ist ihnen nicht fremd.

Die Realität des Identity-Access-Managements spiegelt sich ganz offensichtlich im folgenden Beispiel: Durchläuft ein auszubildender Bankkaufmann im Laufe der Lehrzeit mehrere Abteilungen, erhält er mehr und mehr Rechte, die er kurze Zeit später gar nicht mehr benötigt. Dennoch bleiben sie ihm unverändert zugeteilt. Auch das Klonen von Sonderrechten ist gang und gäbe. Kontrollmechanismen greifen nur oberflächlich oder gar nicht, denn wenn niemand den Soll-Zustand kennt, lassen sich Abweichungen davon nicht identifizieren. Dass Mitarbeiter nach Abteilungswechsel oder Verlassen des Finanzunternehmens weiterhin Berechtigungen behalten, ist keine Seltenheit. Dem Missbrauch von Informationen und Daten sind dann Tür und Tor geöffnet. Wie folgenschwer ein laxer Umgang mit der User Access Governance und schwachen Kontrollmechanismen sein kann, zeigte sich durch den dreisten Betrug eines kleinen Händlers der Société Général. Der Trader behielt Zugriffsrechte und bescherte der französischen Großbank einen Verlust von knapp 5 Milliarden Euro

 

IAM am Scheideweg

In punkto softwaregestützter IAM-Lösung besteht erheblicher Nachholbedarf: Interne Richtlinien fehlen gänzlich oder widersprechen sich, Begründungen für Zugangsrechte sind schlecht oder gar nicht dokumentiert. Admins kämpfen ferner mit schlechter Usability und Flexibilität von IAM-Tools. Das führt dazu, dass Mitarbeiter in großen Geldinstituten Wochen oder Monate auf die Erteilung von Rechten warten. Da Betroffene in dieser Zeit trotzdem produktiv sein wollen, kann Schatten-IT abseits standardisierter und nachvollziehbarer IT-Strukturen entstehen. Das erklärt, warum sich immer wieder Kreditinformationen in Cloud-Umgebungen finden lassen. 

 

Struktureller Wandel

Die Arbeitswelt verändert sich: Teamarbeit kommt ein immer höherer Stellenwert zu. Zudem findet ein weiterer Strukturwechsel auf technischer Ebene statt. Die Halbwertzeit von IT-Tools reduziert sich zusehends, denn das Streben nach Effizienz und nach einer besseren Marktposition treibt die Entwicklung ausgefeilter Technologien an.

Ein stetiger Wandel in den Zugriffsberechtigungen folgt daraus und überfordert konventionelle, technokratisch angelegte IAM-Systeme. Aufgrund der hohen Komplexität kümmern sich bei Big Playern nicht selten bis zu 150 Personen um den IAM-Betrieb. Die Klarheit, wer warum welche Rolle besitzt und worauf Zugriff hat, geht im Laufe der Zeit und mit steigender Mitarbeiterzahl meist verloren. Eine HR-Position in einer großen Organisation besitzt nicht selten 50 Rollen. Es herrscht keine Transparenz über die Rollenvergabe, geschweige denn ein systematisches Verständnis. 

 

Managed Identity Role Access

Abhilfe schafft eine solide User Access Governance, die die Provisionierung und Deprovisionierung von Rechten nach einer transparenten und klaren Struktur automatisiert und darlegt, wer wann warum welche Rechte besitzt. Mit MIRA – Managed Identity Role Access – steht dem Finanzsektor seit Ende 2018 ein komplexitätsreduziertes und skalierbares Tool zur Verwaltung rollenbasierter Zugriffsrechte zur Verfügung, das mit traditionellen IAM-Lösungen bricht und vorhandene Schmerzpunkte angeht. Ob IAM-Manager, Rollenmanager, Benutzer, Vorgesetzte, Admins oder Auditoren – der Erfolg eines IAM-Systems steht und fällt mit dem Verstehen der IAM-Logik. Holt sie alle Benutzergruppen ins Boot und vereint Transparenz, Flexibilität und Skalierbarkeit mit einem hohen Automatisierungsgrad, gestaltet sich der Betrieb mit minimalem Aufwand. 

 

Neuer semantischer Ansatz

Um die Agilität der Unternehmensstruktur aufrechtzuerhalten, knöpfen sich Entscheider jede Rolle vor und definieren sie genau einmal. Jede Rolle entsteht durch die Zuordnung einer Reihe von Aktivitäten. Die Rolle „Risikomanager“ umfasst so zum Beispiel Aktivitäten, die das Identifizieren, Analysieren, Kommunizieren, Steuern, Kontrollieren und Dokumentieren von Situationen im Markt, im Unternehmen und bei Partnern zulassen. Die Kombination der Rolle mit dem Team oder der Abteilung führt für den Benutzer zur Bereitstellung der Zugriffsrechte auf die richtigen Assets.

Im konservativen Modell müsste ein Administrator die Rolle manuell anlegen und provisionieren. Im nichttechnokratischen Modell vergibt das System die Berechtigung automatisch entsprechend der Aktivitäten. Das Vier-Augen-Prinzip bleibt zur Kontrolle gewahrt, denn sowohl Teamleiter als auch Vorgesetzter erteilen oder verweigern die Genehmigung. Das Konzept der minimalen Berechtigungsverteilung vermeidet toxische Kombinationen: Die Kombination von Autorisierungen, wie Kreditorenrechnung erfassen und Zahlung veranlassen, wird beispielsweise ausgeschlossen. Zwar gibt es unterschiedliche Rollenverteilungen im Finanzumfeld, doch etwa 80 Prozent aller Strukturen sind vorhersagbar und für die restlichen Positionen erarbeitet das IAM-Team schlüssige Rechte-Muster. Im Rahmen der Rezertifizierungsprozesse bestätigen oder modifizieren Manager schnell und nachvollziehbar die Vergabe von Zugangsrechten.

 

Fuß von der Bremse

Das semantisch neue Modell nimmt dem Identity-Access-Management die Komplexität, reduziert den Personalbedarf in IT-Abteilungen und ermöglicht zielgerichtete und effektive Arbeit. Eine potenzielle Kostenersparnis von bis zu 20 Prozent kann durch Einführung eines zukunftsfähigen, agilen IAMs gelingen. Die IT-Personalkosten sinken und die unproduktiven Zeiten, in denen Nutzer auf Berechtigungen warten, gehören der Vergangenheit an. Vorher gebundene Admins stellt das Modell frei für Aufgaben mit realem Mehrwert. Stringentes Berechtigungsmanagement hebt Geldinstitute auf ein erhöhtes Sicherheits- und Compliance-Level, das Missbrauch ausschließt. Regelmäßige Reportings gelingen aufgrund automatisierter Rechte-Dokumentation mühelos.