Identity und Access Governance Anwendungsszenario

Compliance-Richtlinien prüfungssicher umsetzen

Identity und Access Governance – regelt den Status von Berechtigungen, Rollen, Segregation of Duties und Rezertifizierungen innerhalb eines Unternehmens. Welcher Mitarbeiter hat welche Rechte und in welcher Rolle darf er auf welche Informationen zugreifen. Soweit noch nicht vorhanden müssen Rollen und Funktionen modelliert werden, um gesetzliche Vorgaben zu erfüllen. Wir kümmern uns darum, dass die Berechtigungsvergabe alle Vorgaben der Wirtschaftsprüfer und ggf. Regulierungsbehörden berücksichtigt.

iC Consult wird seit vielen Jahren von zahlreichen namhaften, global agierenden Unternehmen der Fortune 500 besonderes Vertrauen entgegen gebracht. Die Projekte, die wir unterstützen und maßgeblich umsetzten, sind für unsere Kunden aus Sicherheitsaspekten und als Geschäftstreiber von großer Bedeutung. Aus diesen Gründen sind daher alle hier dargestellten »Use Cases« anonymisiert und fiktiv zusammengestellt. Selbstverständlich sind die einzelnen Lösungselemente von uns jedoch bei mehreren unserer Kunden real umgesetzt und spiegeln somit echte Projekterfahrung wieder.

Kunde und Zielsetzung

ACME ist ein global aufgestellter, deutscher Finanzdienstleister. Das Unternehmen beschäftigt weltweit rund 10.000 Mitarbeiter.

Mit Hilfe einer Identity und Access Management Lösung sollte die IT-Rechtevergabe und die IT-Leistungsverrechnung transparenter, nachvollziehbarer und detaillierter dokumentiert werden können.

Aufgabe und Herausforderung

Während noch vor einigen Jahren Wirtschaftsprüfer lediglich darauf hinwiesen, die Prozesse der IT- Berechtigungsvergabe genauer zu beobachten, forderten sie im Laufe der Zeit immer umfangreichere Nachweise ein: Besonders nachdrücklich wurden sie, nachdem in einer Stichprobe von Accounts und Berechtigungen über 100 Accounts identifiziert wurden, deren Inhaber längst aus dem Unternehmen ausgeschieden waren.



"Dass wir einige SAP Lizenzen für ausgeschiedene Mitarbeiter bezahlt haben, war nicht allzu teuer, aber trotzdem ärgerlich. Sofort handeln mussten wir jedoch als die Prüfer eine Rezertifizierung mit Ultimatum forderten«, so der Vorstandsvorsitzende von ACME

Die Anforderungen an iC Consult waren

  • Verbesserung der Nachvollziehbarkeit bei der Berechtigungsvergabe
  • Etablierung eines Rezertifizierungsprozesses wie vom Kreditwesengesetz (KWG) vorgeschrieben (Bestätigung aller IT-Berechtigungen durch den jeweiligen Vorgesetzten)
  • Automatische Deaktiverung ausgeschiedener Mitarbeiter – basierend auf den Datenlieferung des Personalverwaltungssystems
  • Effizienzsteigerung bei der Berechtigungsvergabe: Mitarbeiter sollten schneller arbeitsfähig und Systemadministratoren entlastet werden
  • Bedienerfreundliche Umsetzung der Lösung

Lösung und Umsetzung

iC Consult überzeugte ACME davon, nicht einfach ein Tool von seinem strategischen Lieferanten zu kaufen, sondern eine auf seine Bedürfnisse und Infrastruktur angepasste Produktentscheidung zu fällen. Dazu wurde das Projekt in mehrere Phasen unterteilt und schrittweise umgesetzt.

Projektvorgehen

  1. Ist-Aufnahme der aktuellen Prozesse, insbesondere der Datenqualität in führenden Systemen. Dabei zeigte sich, dass das Personalverwaltungssystem nicht in der Lage war, tagesaktuell verlässliche Daten zu liefern. Bei outgesourcten Systemen hatte ACME nicht in allen Fällen die vollen Durchgriffsrechte auf die Applikationen, das heißt eine automatische Provisionierung von einer zentralen Plattform aus war vertraglich nicht möglich.
  2. Definition der Soll-Prozesse einschließlich der Abstimmung mit den betroffenen Fachbereichen. Der Wirtschaftsprüfer wurde aktiv in diesen Prozess eingebunden.
  3. Definition einer Sammlung von Use Cases mit möglichst realitätsnahen Daten aus dem Unternehmen. Der nachfolgende Proof of Concept wurde schließlich mit 3 Anbietern durchgeführt.
    Für all das sollten möglichst viele "out of the box" Standardprozesse mit minimalem Anpassungsbedarf eingesetzt werden. Um die User-Akzeptanz zu sichern, wurde ein prägnantes »look and feel« gefordert.
  4. Aufgrund der Ergebnisse des Proof of Concept wurde ein Hersteller ausgewählt und ein Feinkonzept erstellt. Dieses wurde mit dem Wirtschaftsprüfer abgestimmt. Parallel dazu erfolgten bereits Maßnahmen zur Sicherung der Datenqualität und erste Schritte zur Definition von Enterprise Rollen, um weniger Einzelberechtigungen verwalten und rezertifizieren zu müssen.

Die Umsetzung erfolgte in zwei Phasen:

  • Phase 1 mit "quick wins" innerhalb von 6 Monaten,
  • danach: Anschluss weiterer Systeme, Ausbau des Rollenmanagements

Parallel dazu wurde eine interne Informations-Kampagne durchgeführt, um den Mitarbeitern die Vorteile der neuen Lösung zu präsentieren.

Ergebnis und Nutzen

Die Vorgaben von Revision und Wirtschaftsprüfern wurden erfüllt. Auf Knopfdruck kann jederzeit einfach nachgewiesen werden, wer warum welche Berechtigung hat(te). Damit ist jetzt auch eine genaue IT-Leistungsverrechnung möglich.

Die Benutzerakzeptanz hat sich positiver entwickelt als erwartet: Viele Formulare in Papierform sind weggefallen, das erleichtert die Arbeit. Selbst die Einstellung der ursprünglich eher skeptischen Systemverantwortlichen, hat sich grundlegend geändert: Sie drängen inzwischen auf eine Integration in das Workflowsystem ("IT Shop").

Der Aufwand bei den Audits hat sich deutlich reduziert. Vorher war ein Mitarbeiter jedes Jahr mehrere Wochen faktisch damit blockiert, für den Wirtschaftsprüfer die notwendigen Unterlagen zu erstellen. Jetzt ist das innerhalb weniger Tage möglich.

Auch die Wirtschaftsprüfungskosten haben sich damit reduziert. Der Aufwand für eine zwischenzeitlich Excel-basierte Rezertifizierung ist für Ersteller und Bearbeiter massiv gesunken und die Qualität gestiegen.

Es gibt keine "Karteileichen" und inaktiven Accounts mehr. Nicht mehr benötigte Software-Lizenzen werden öfter abbestellt. Das spart deutlich Kosten und Zeit.