Bild zum Blogbeitrag IAM im Bankwesen

Identity Management für Banken

Maßgeschneidertes IAM im Bankwesen

Großbanken gehören zu den ersten Unternehmen, die ein Identity and Access Management (IAM) System eingeführt haben. Aber auch für viele kleine und mittelständische Banken sind die regulatorischen Anforderungen hoch. Beispielsweise haben die deutsche BaFin, die Schweizer FINMA und die österreichische FMA in ihren Rundschreiben die Messlatte hoch angesetzt – ihre strengen Vorgaben werden regelmäßig auditiert. Compliance im IAM ist ein Thema für die Geschäftsleitung, da es für das gesamte Finanzinstitut und dessen Zulassung von kritischer Bedeutung ist. Durch den Einsatz eines IAM-Systems von einem namhaften Hersteller, wird der Revisionsstelle der Wind aus den Segeln genommen. Findet sich das System in einer funktionierenden Aufbau- und Ablauforganisation eingebettet, ist der sichere Umgang mit Benutzerkonten und -Berechtigungen gewährleistet.

Was ist ein IAM-System?

IAM für „Identity and Access Management” umfasst alle notwendigen Maßnahmen, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen. Entscheidend ist, ihnen genau die digitalen Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen. Ein Identitätsmanagementsystem oder IAM-System regelt diese Zugriffe und fasst unter anderem Antrags- und Genehmigungsprozesse, Rollenmanagement, Complianceprozesse und Berechtigungen in den Zielsystemen zusammen. Es gewährleistet die Einhaltung von IT-bezogenen Richtlinien und Vorschriften. Dies trägt erheblich zur Sicherheit von Informationssystemen und Ressourcen in Unternehmen und Organisationen bei.

Gründe für ein IAM-System in Banken

Der generelle Nutzen von Prozessautomatisierung und Nachvollziehbarkeit ist in jeder Branche vorhanden. Bei Banken können mit zusätzlichen Funktionen jedoch wesentliche Anforderungen der Fachbereiche abgedeckt werden. Im Folgenden werden einige Beispiele vorgestellt.

Nach dem Identitätsprinzip muss zu jedem Zugriff belegt werden können, welche Identität beziehungsweise welcher Mitarbeiter diese ausgeführt hat. Es ist eine Verbindung zwischen dem Datensatz im Personalsystem, dem Benutzerkonten und den Berechtigungen notwendig. Benutzerkonten von Test- und Service-Accounts werden einer verantwortlichen Identität zugeordnet. Auf Knopfdruck können aus dem zentralen IAM-System Reports bezogen werden, welche den aktuellen Zustand und zeitliche Veränderungen darstellen. So kann rückwirkend für mindestens 10 Geschäftsjahre für jede Berechtigungszuordnung der Nachweis auf eine Identität des angestellten Mitarbeiters erbracht werden.


Jede Veränderung an den zugewiesenen Mitarbeiterberechtigungen muss nachvollziehbar und transparent sein. Berechtigungsanträge durchlaufen ein Genehmigungsverfahren in welchem zumeist der Linienvorgesetzte und ein Datenowner zustimmen. Für die Endbenutzer ist ein einheitlicher Prozess für alle Berechtigungen wichtig. Unabhängig davon, für welche Anwendung die Genehmigung beantragt wird, sollte der Antrag in der gleichen Form gestellt werden können.

Vorteile für Banken: Geschäftsrollen schaffen Verständnis und Entlastung

Die Bankaufsicht fordert explizit die Einführung von Geschäftsrollen nach RBAC („Role Based Access Control“). Aus Erfahrung wissen wir, dass dies in einem geeigneten Rollenmodell ein wirksames Instrument darstellt: Die Berechtigungsvergabe ist einfacher, für Endbenutzer verständlicher und erfolgt schneller. Gleichzeitig sinkt der Administrationsaufwand für die Informatik, Fachbereiche und Vorgesetzte. Bei Reorganisationen werden die Berechtigungen der Mitarbeitenden umgestellt ohne Arbeitsunterbrechungen hervorzurufen.

Anforderungen an ein IAM-System für Banken

Damit dies erreicht werden kann, ist eine Abbildung der Berechtigungen im IAM-System notwendig. Die Berechtigungssysteme mit den Benutzerkonten und Berechtigungen (je nach System auch Gruppe, Rolle, Profil, Block oder ähnlich genannt) werden über Schnittstellen an das IAM angebunden. Neben dem zentralen Active Directory ist es notwendig die Finanz- und Kernbankensysteme zuerst einzubinden. Hierbei treffen wir immer wieder dieselben ERP-Systeme an: Avaloq, SAP, Finnova, etc.


Die Geschäftsrollen umfassen Berechtigungen aus all diesen Systemen und stellen somit dank Digitalisierung eine Vereinfachung und Annäherung an die Organisationsstruktur der Bank dar. Sind die Berechtigungen dem IAM-System bekannt, können diese mit weiteren Informationen angereichert werden. In der Regel ist ein Datenowner oder Rollenowner benannt und wird hinterlegt. Damit ist eine wichtige Verantwortlichkeit geregelt, denn dieser Owner kann die Kritikalität einer Berechtigung einordnen.


Die Kritikalität wird mittels Datenklassifizierung hergeleitet. Für Banken sind die Berechtigungen besonders wichtig, die den Zugriff auf Customer Identifikation Data (CID) in verschiedenen Ausprägungen gewähren. Die Metadaten zu CID können im IAM-System ebenfalls hinterlegt werden. Auf Anfrage der Revisionsstelle lässt sich ihnen ohne Aufwand und Zeitverzug entnehmen, welche Mitarbeitenden Zugriff auf CID-Daten haben.

Ihr Weg zu einem modernen IAM-System: Beratung und Lösungen von IPG

Die Technologie für die genannten Anforderungen ist dank den Vorreitern im IAM vorhanden. Sie kann auch kleinen und mittelständischen Banken zugänglich gemacht werden. IPG hat als IAM-Beratungsunternehmen und Integrator die Entwicklung in den großen Finanzinstituten von Anfang an begleitet. Dank unserer Erfahrung mit Banken und mittelständischen Unternehmen aller Branchen stellen wir die Verbindung zwischen der Technik und ihrer Organisation und Prozesse erfolgreich her. Nutzen Sie unsere Beratung für weitere Informationen und profitieren Sie langfristig von den passenden IAM-Lösungen für Banken.

Michael Petri hat einen Bachelor of Science in Unternehmensinformatik und Weiterbildungen für Projekt- und Prozess-Management. Bei IPG verantwortet er die Leitung vom technischen Consulting in der Schweiz. Die Abteilung erbringt Implementation Services in den IAM, PAM und SSO Projekten bei den Kunden auf verschiedenen Technologien. Michael Petri bringt seine Erfahrung als Architekt und Berater ein und arbeitet als Pre-Sales nahtlos mit dem Business Consulting zusammen. Er stützt sich dabei auf seine langjährige Erfahrung aus dem Lösungsdesign, Konzeption, Konfiguration und Einführung mit Transition in den Betrieb.

Titelbild zum Expertenbericht IAM Schliesssysteme
Blog 15.12.21

Zutrittsberechtigungen zu Gebäuden über IAM verwalten

Was haben Zutrittsberechtigungen zu Gebäuden und Räumen mit Identity & Access Management (IAM) zu tun? Prozesse für das Management von physischen Zutritten gehören zu einem ganzheitlichen IAM.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Teaser KI IAM
Blog 21.03.22

Die schlaue Seite der Identity und Access Governance

Im Identity und Access Management beginnt die «Artificial Intelligence» Einzug zu halten. Als wertvolle Hilfe für Entscheider wird sie in diesem Bereich wohl bald nicht mehr wegzudenken sein.

Bild zum Blogbeitrag: Neue Wege in Richtung Identity and Access Governance
Blog 19.08.21

Neue Wege in Richtung Identity and Access Governance

Eine klar strukturierte Prozesslandkarte ist die Basis für IAG. Sie hilft das Governance adäquat und situationsgerecht im Unternehmen zu etablieren, Fachbereiche verantwortungsbewusst einzubinden und Identitäten und deren Berechtigungen vorgabengerecht sowie transparent zu bewirtschaften.

Bild zum Blogbeitrag 20 Jahre IPG - IAM Experte im Wandel der Zeit
Blog 27.10.21

IAM im Wandel der Zeit.

Die IPG Group feiert 20 Jahre Firmenbestehen. Als Pionier für Identity & Access Management haben wir den Wandel des IAM nicht nur miterlebt, sondern aktiv mitgestaltet. Das Thema «IAM» mag wohl oberflächlich nicht geändert haben, inhaltlich hat sich aber viel gewandelt.

Customer IAM Azure
Blog 26.03.21

Identity & Access Management in der Cloud

Statt weiter auf On-Premises-Lösungen zu setzen, gilt auch bei IAM-Lösungen die Strategie «cloud first» oder «cloud only».

Teaserbild Expertenbericht SSI
Blog 18.10.22

Self Sovereign Identity - Identitäten im digitalen Zeitalter

Identitäten im digitalen Zeitalter sind ein wahrer Schatz und in Zeiten von Cyber Crime ein gefragtes Diebesgut. Erfahren Sie in unserem Expertenbericht, was Sie über Self Sovereign Identity (SSI) wissen müssen.

Header zum Expertenbericht Self-Sovereign Identity 1
Blog 22.09.21

Self-Sovereign Identity Teil 1: Die Geschichte

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Teaserbild Referenz IAM Kritikalität
Blog 07.03.23

Kritikalität im IAM

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Ein Leitfaden für die Bewertung und Handhabung von kritischen Zugriffen gibt es in unserem aktuellen Blogbeitrag.

Teaserbild Event Berechtigungsmanagement in Banken
Event Archive 03.04.25

Berechtigungsmanagement in Banken und Versicherungen

In dieser Seminar-Reihe erfahren Sie den sicheren und effizienten Umgang mit Berechtigungen vor dem Hintergrund regulatorischer Anforderungen.

Titelbild zur Referenz Spital Schwyz IAM Lösung
Referenz 02.11.20

Spital Schwyz

Das Spital Schwyz optimiert seine IT-Ressourcen durch ein IAM-System, das manuelle Erfassungs- und Mutationsprozesse in der Benutzerverwaltung automatisiert.

Finger zeigt auf Schloss
Event

Virtual Innovation Day - Thema: Identity & Access Management

Die Verwaltung von IT-Rechten und die Absicherung von IT-Services, hat sich zu einem der beherrschenden IT-Themen gewandelt. In spannenden Vorträgen geben wir Ihnen unsere Erfahrungen und Best Practices weiter.

Teaser Bild Interview Roher Jakober Kopie
Blog 29.06.22

Zero Trust dank modernem Authorization Management

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden? Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG, in einem Interview.

Teaserbilg HSRM
Referenz 18.01.24

Eine zentrale IAM-Lösung für die Hochschule RheinMain

Gemeinsam mit IPG führt die Hochschule RheinMain eine neue IAM-Lösung und maßgeschneiderte Identitätsprozesse für Studierende und Mitarbeiter ein, um die Sicherheit zu erhöhen. ✅ Lesen Sie mehr dazu.

Titelbild OneIdentity by Quest
Partner

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Titelbild OneIdentity by Quest
Partner 17.08.21

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Titelbild OneIdentity by Quest

One Identity

OneIdentity, eine Marke von Quest Software, bietet Community-basierte Lösungen, die IT-Verwaltung vereinfachen und mehr Raum für Innovation schaffen.

Header zum Expertenbericht Self-Sovereign Identity 2
Blog 30.09.21

Self-Sovereign Identity Teil 2: Identitäten

Der ausschlaggebende Faktor ist die Einführung der „Identität“ als digitales Abbild des Anwenders aus Sicht der Fachprozesse und des Unternehmens und nicht als Kopie oder Aggregierung der Benutzerkonten. Diese sind vielmehr der Identität subsequent zugeordnet. Basis dafür sind Identitäts- und ORG-Daten von HR.

Security, Identity & Access Management
Service

Security, Identity & Access Management

Immer wieder hört man von Hackerangriffen auf Unternehmen – und Ziel sind sensible Unternehmensdaten.

Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!