Bild zum Blogbeitrag IAM im Bankwesen

Identity Management für Banken

Maßgeschneidertes IAM im Bankwesen

Großbanken gehören zu den ersten Unternehmen, die ein Identity and Access Management (IAM) System eingeführt haben. Aber auch für viele kleine und mittelständische Banken sind die regulatorischen Anforderungen hoch. Beispielsweise haben die deutsche BaFin, die Schweizer FINMA und die österreichische FMA in ihren Rundschreiben die Messlatte hoch angesetzt – ihre strengen Vorgaben werden regelmäßig auditiert. Compliance im IAM ist ein Thema für die Geschäftsleitung, da es für das gesamte Finanzinstitut und dessen Zulassung von kritischer Bedeutung ist. Durch den Einsatz eines IAM-Systems von einem namhaften Hersteller, wird der Revisionsstelle der Wind aus den Segeln genommen. Findet sich das System in einer funktionierenden Aufbau- und Ablauforganisation eingebettet, ist der sichere Umgang mit Benutzerkonten und -Berechtigungen gewährleistet.

Was ist ein IAM-System?

IAM für „Identity and Access Management” umfasst alle notwendigen Maßnahmen, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen. Entscheidend ist, ihnen genau die digitalen Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen. Ein Identitätsmanagementsystem oder IAM-System regelt diese Zugriffe und fasst unter anderem Antrags- und Genehmigungsprozesse, Rollenmanagement, Complianceprozesse und Berechtigungen in den Zielsystemen zusammen. Es gewährleistet die Einhaltung von IT-bezogenen Richtlinien und Vorschriften. Dies trägt erheblich zur Sicherheit von Informationssystemen und Ressourcen in Unternehmen und Organisationen bei.

Gründe für ein IAM-System in Banken

Der generelle Nutzen von Prozessautomatisierung und Nachvollziehbarkeit ist in jeder Branche vorhanden. Bei Banken können mit zusätzlichen Funktionen jedoch wesentliche Anforderungen der Fachbereiche abgedeckt werden. Im Folgenden werden einige Beispiele vorgestellt.

Nach dem Identitätsprinzip muss zu jedem Zugriff belegt werden können, welche Identität beziehungsweise welcher Mitarbeiter diese ausgeführt hat. Es ist eine Verbindung zwischen dem Datensatz im Personalsystem, dem Benutzerkonten und den Berechtigungen notwendig. Benutzerkonten von Test- und Service-Accounts werden einer verantwortlichen Identität zugeordnet. Auf Knopfdruck können aus dem zentralen IAM-System Reports bezogen werden, welche den aktuellen Zustand und zeitliche Veränderungen darstellen. So kann rückwirkend für mindestens 10 Geschäftsjahre für jede Berechtigungszuordnung der Nachweis auf eine Identität des angestellten Mitarbeiters erbracht werden.


Jede Veränderung an den zugewiesenen Mitarbeiterberechtigungen muss nachvollziehbar und transparent sein. Berechtigungsanträge durchlaufen ein Genehmigungsverfahren in welchem zumeist der Linienvorgesetzte und ein Datenowner zustimmen. Für die Endbenutzer ist ein einheitlicher Prozess für alle Berechtigungen wichtig. Unabhängig davon, für welche Anwendung die Genehmigung beantragt wird, sollte der Antrag in der gleichen Form gestellt werden können.

Vorteile für Banken: Geschäftsrollen schaffen Verständnis und Entlastung

Die Bankaufsicht fordert explizit die Einführung von Geschäftsrollen nach RBAC („Role Based Access Control“). Aus Erfahrung wissen wir, dass dies in einem geeigneten Rollenmodell ein wirksames Instrument darstellt: Die Berechtigungsvergabe ist einfacher, für Endbenutzer verständlicher und erfolgt schneller. Gleichzeitig sinkt der Administrationsaufwand für die Informatik, Fachbereiche und Vorgesetzte. Bei Reorganisationen werden die Berechtigungen der Mitarbeitenden umgestellt ohne Arbeitsunterbrechungen hervorzurufen.

Anforderungen an ein IAM-System für Banken

Damit dies erreicht werden kann, ist eine Abbildung der Berechtigungen im IAM-System notwendig. Die Berechtigungssysteme mit den Benutzerkonten und Berechtigungen (je nach System auch Gruppe, Rolle, Profil, Block oder ähnlich genannt) werden über Schnittstellen an das IAM angebunden. Neben dem zentralen Active Directory ist es notwendig die Finanz- und Kernbankensysteme zuerst einzubinden. Hierbei treffen wir immer wieder dieselben ERP-Systeme an: Avaloq, SAP, Finnova, etc.


Die Geschäftsrollen umfassen Berechtigungen aus all diesen Systemen und stellen somit dank Digitalisierung eine Vereinfachung und Annäherung an die Organisationsstruktur der Bank dar. Sind die Berechtigungen dem IAM-System bekannt, können diese mit weiteren Informationen angereichert werden. In der Regel ist ein Datenowner oder Rollenowner benannt und wird hinterlegt. Damit ist eine wichtige Verantwortlichkeit geregelt, denn dieser Owner kann die Kritikalität einer Berechtigung einordnen.


Die Kritikalität wird mittels Datenklassifizierung hergeleitet. Für Banken sind die Berechtigungen besonders wichtig, die den Zugriff auf Customer Identifikation Data (CID) in verschiedenen Ausprägungen gewähren. Die Metadaten zu CID können im IAM-System ebenfalls hinterlegt werden. Auf Anfrage der Revisionsstelle lässt sich ihnen ohne Aufwand und Zeitverzug entnehmen, welche Mitarbeitenden Zugriff auf CID-Daten haben.

Ihr Weg zu einem modernen IAM-System: Beratung und Lösungen von IPG

Die Technologie für die genannten Anforderungen ist dank den Vorreitern im IAM vorhanden. Sie kann auch kleinen und mittelständischen Banken zugänglich gemacht werden. IPG hat als IAM-Beratungsunternehmen und Integrator die Entwicklung in den großen Finanzinstituten von Anfang an begleitet. Dank unserer Erfahrung mit Banken und mittelständischen Unternehmen aller Branchen stellen wir die Verbindung zwischen der Technik und ihrer Organisation und Prozesse erfolgreich her. Nutzen Sie unsere Beratung für weitere Informationen und profitieren Sie langfristig von den passenden IAM-Lösungen für Banken.

Michael Petri hat einen Bachelor of Science in Unternehmensinformatik und Weiterbildungen für Projekt- und Prozess-Management. Bei IPG verantwortet er die Leitung vom technischen Consulting in der Schweiz. Die Abteilung erbringt Implementation Services in den IAM, PAM und SSO Projekten bei den Kunden auf verschiedenen Technologien. Michael Petri bringt seine Erfahrung als Architekt und Berater ein und arbeitet als Pre-Sales nahtlos mit dem Business Consulting zusammen. Er stützt sich dabei auf seine langjährige Erfahrung aus dem Lösungsdesign, Konzeption, Konfiguration und Einführung mit Transition in den Betrieb.

Titelbild zum Expertenbericht IAM Schliesssysteme
Blog 15.12.21

Zutrittsberechtigungen zu Gebäuden über IAM verwalten

Was haben Zutrittsberechtigungen zu Gebäuden und Räumen mit Identity & Access Management (IAM) zu tun? Prozesse für das Management von physischen Zutritten gehören zu einem ganzheitlichen IAM.

Bild zum Blogbeitrag 20 Jahre IPG - IAM Experte im Wandel der Zeit
Blog 27.10.21

IAM im Wandel der Zeit.

Die IPG Group feiert 20 Jahre Firmenbestehen. Als Pionier für Identity & Access Management haben wir den Wandel des IAM nicht nur miterlebt, sondern aktiv mitgestaltet. Das Thema «IAM» mag wohl oberflächlich nicht geändert haben, inhaltlich hat sich aber viel gewandelt.

Expedition IAM
Blog 21.01.22

Die Expedition zum Identity Management

Die Expedition zum Identity Management - die etwas andere Phasenplanung im IAG.

Prozessportal für Banken
Lösung 07.09.20

Prozessportal für Banken

X-INTEGRATE bietet speziell für Banken ein Prozessportal an, über das externe Vertriebsorganisationen angebunden werden können und welches nahtlos mit den Bestandssystemen der Bank integriert werden kann.

Event Archive

Webcast: "Expedition zum Identity Management"

Gemeinsam mit tollen Speakern und einer spannenden Agenda möchten wir Ihnen das Thema "Einführung eines Identity Managements" näher bringen. Dazu zeigen wir Ihnen, wie tatsächliche Expeditionen (beispielsweise im Himalaya) geplant und durchgeführt werden, wie ein Unternehmen - übertragen auf IAM - auf diesem Weg agiert und wie die TIMETOACT in Kooperation mit Savyint Sie begleitet.

2023 Referenz IAM Teaserbild SID
Referenz 17.10.23

Eliminierung von Datenmüll durch Identity Management

So schaffen wir Transparenz, Effizienz und sagen dem Datenmüll ade. Erfahren Sie, wie unsere Experten mit dem SID Erfolgsgeschichte schreiben. ✅ Lesen Sie mehr dazu.

Webcast

Webcast: "Expedition zum Identity Management"

Gemeinsam mit tollen Speakern und einer spannenden Agenda möchten wir Ihnen das Thema "Einführung eines Identity Managements" näher bringen. Dazu zeigen wir Ihnen, wie tatsächliche Expeditionen (beispielsweise im Himalaya) geplant und durchgeführt werden, wie ein Unternehmen - übertragen auf IAM - auf diesem Weg agiert und wie die TIMETOACT in Kooperation mit Savyint Sie begleitet.

Customer IAM Azure
Blog 26.03.21

Identity & Access Management in der Cloud

Statt weiter auf On-Premises-Lösungen zu setzen, gilt auch bei IAM-Lösungen die Strategie «cloud first» oder «cloud only».

Security, Identity & Access Management
Service

Security, Identity & Access Management

Immer wieder hört man von Hackerangriffen auf Unternehmen – und Ziel sind sensible Unternehmensdaten.

Header zu Requirement Engineering
Service

Mit Requirement Engineering alle Anforderungen kennen

Requirement Engineering, auch Anforderungsanalyse genannt, ist zentraler Bestandteil des Prozesses der Softwareentwicklung. Dabei werden die Anforderungen an das zu entwickelnde System anhand eines systematischen Vorgehens definiert.

Teaserbild Event Berechtigungsmanagement in Banken
Webinar

Berechtigungsmanagement in Banken und Versicherungen

In diesem Online-Seminar lernen Sie, wie Sie Berechtigungen sicher und effizient verwalten, unter Berücksichtigung regulatorischer Anforderungen.

Handyscreen mit social media icons
Referenz

Vom Menschen, dem Wissen und der Bank

Die Sparda-Bank München hat ein einzigartiges Social Intranet eingeführt, das den erfolgreichen Grundstein für die Digitale Transformation der Bank darstellt.

Sutor Bank Logo
Referenz

Integrationsplattform bei der Sutor Bank

X-INTEGRATE migrierte für die Sutor Bank das bestehende C:D System für die Anbindung an die C:D-Schnittstelle der Deutschen Börse von Windows Server 2003 zu Windows Server 2012.

Monitoring für Banken
Lösung

BAM Monitor für Banken

Die Anforderungen an das (Risiko-) Monitoring in Banken und Versicherungen steigen weiter an. Dies sowohl durch den sich weiter erhöhenden Druck seitens der BAFIN, als auch aus geschäftspolitischen Entwicklungen und Risikomangement Überlegungen heraus.

Teaserbild Event Berechtigungsmanagement in Banken
Event

Berechtigungsmanagement in Banken und Versicherungen

In diesem Präsenzveranstaltung in Frankfurt erfahren Sie, wie Sie Berechtigungen sicher und effizient im Einklang mit regulatorischen Anforderungen verwalten.

Risiko Management im Bereich der Governance immer wichtiger
Referenz

Einführung eines Identity Management Systems (IDM)

Einführung eines Identity Management Systems (IDM) in einem Konzernbereich mit dem Schwerpunkt, die Joiner-/Mover-/Leaver-Prozesse zu automatisieren. Zusätzlich sollte eine Datenbereinigung im Bereich Benutzer erfolgen, um auch eine Reduzierung der Lizenzkosten zu ermöglichen.

News

TIMETOACT investiert in Identity- & Access Management

Zum 01.Januar 2018 gehen die FirstProject Consulting GmbH und das IAG Team der TIMETOACT gemeinsame Wege. Mit der Übernahme verstärkt die TIMETOACT ihre Kompetenzen im Identity- & Access Governance und vergrößert sein IAG Team auf über 30 Berater.

Event

Webcast: VA-IT Anforderungen umsetzen

Unsere Experten Kerstin Gießer und Carsten Hufnagel von der TIMETOACT berichten Ihnen, wie VA-IT-Anforderungen schnell und Modular umgesetzt werden können.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Teaserbild Expertenbericht IAM Brownfield
Blog 08.07.24

Der Brownfield-Ansatz im Identity and Access Management

Die Modernisierung veralteter IAM-Systeme ist essenziell für Cybersicherheit. Der Brownfield-Ansatz minimiert Risiken und senkt Kosten durch eine schrittweise Migration auf zeitgemäße Lösungen.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!