Sicher versichert:

wie PAM und IAM bei der Versicherungsgruppe
«die Bayerische» die Datensicherheit gewährleisten

Regulatorische Konformität und Cybersicherheit im Blickpunkt des Versicherungsunternehmens

Als Versicherungsunternehmen mit sensiblen Daten unterliegt «die Bayerische» strengen Regulatorien, ihre IT-Systeme werden regelmäßig von externen Stellen überprüft. Ein besonderes Augenmerk gilt dabei den Zugriffsrechten auf die IT-Infrastruktur. Täglich loggen sich tausende Nutzerinnen und Nutzer von intern und extern in die Systeme ein. Die vorschriftsgemässe Verwaltung dieser Accounts und ihrer Rechte ist Voraussetzung, um die strengen regulatorischen Anforderungen einzuhalten.

Um Sicherheitslücken vorzubeugen und die hohen regulatorischen Anforderungen zu erfüllen, entschied sich «die Bayerische» für die Implementierung eines auf ihren Bedarf zugeschnittenen Identity- und Access-Management-Systems (IAM). Dabei konnte – und kann – sie sich auf die Unterstützung der kompetenten Expertinnen und Experten von IPG verlassen.

Auftrag und Zielsetzung

Handlungsbedarf beim korrekten Umgang mit privilegierten Nutzern

Die jährliche Überprüfung der IT-Systeme im Rahmen des Jahresabschlusses durch externe Wirtschaftsprüfer ergab, dass bei der Kontrolle, Überwachung, Sicherung und Prüfung der Identitäten und Zugriffsrechte Handlungsbedarf bestand. Die Einführung eines zentralen IAM-Systems soll diesen Umstand aus der Welt schaffen und künftig eine maximale Sicherheit gewährleisten. Der Auftrag an den externen Partner lautete, die Verantwortlichen bei «der Bayerischen» bei der Auswahl einer geeigneten IAM-Lösung zu unterstützen. Nach erfolgreichem Abschluss der Selektion wurde IPG gebeten, die gewählte Identity- und Access-Management-Lösung von One Identity zu implementieren. Zielsetzung war ein zentrales IAM-System mit SAP HCM als Datenlieferant für Identitäten. Die bestehenden dezentralen Strukturen sollen mittelfristig aufgelöst werden.

Die Einführung eines zentralen IAM-Systems sollte einerseits Konformität gegenüber den regulatorischen Anforderungen der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) der Bafin und andererseits ein hohes Sicherheitslevel gegen mögliche Cyberangriffe leisten. Der Effizienzsteigerung in den Prozessen kam anfangs eine zweitrangige Rolle zu, sie erwies sich mit der Zeit jedoch als willkommener Zusatznutzen.

Ergänzend zum IAM soll auch die Verwaltung und Überwachung der Konten mit besonders umfassenden Rechten – Privileged Accounts – auf den neuesten Stand gebracht werden.

Vorgehen und Methodik

Definition sämtlicher relevanter Kriterien bereits beim Projektstart

Der Feststellung der Wirtschaftsprüfer und dem daraus resultierenden Auftrag des Vorstands folgte die Evaluation eines IAM-Partners, der für die Umsetzung des komplexen Unterfangens über die notwendige Erfahrung verfügt. Für die Wahl der passenden Lösung braucht dieser zudem umfassende Marktkenntnisse. Die Wahl fiel auf IPG – unter anderem, weil sie Hersteller-neutral und seit 2021 Teil der TIMETOACT Group ist, mit der «die Bayerische» bereits eine hervorragende Zusammenarbeit pflegt. Die IAM-Erfahrung und -Kompetenz der IPG waren somit bestens bekannt.

In einem gemeinsamen Workshop definierten die Business Consultants von IPG und «der Bayerischen» auf Basis eines Kataloges mit 200 Punkten die für das Versicherungsunternehmen relevanten Kriterien. Als nächsten Schritt erarbeitete IPG ein Grundkonzept mit Zieldefinition, Bestimmung des Datenlieferanten sowie der Festlegung, welche Systeme künftig provisioniert und administriert werden sollen. Das nachfolgende Feinkonzept regelte detailliert die einzelnen Schnittstellen und wer sie als Master pflegt. Eine Besonderheit stellte das extern gehostete SAP HCM-System dar, aus dem das IAM seine Personendaten bezieht. Der betreibende Dienstleister wurde dafür ins Projekt und die laufenden Prozesse einbezogen; alle anderen SAP-Systeme werden intern betrieben.

Noch während des laufenden IAM-Projekts suchte man einen Partner für die Evaluation und Umsetzung einer entsprechenden Privileged-Access-Management-Lösung (PAM). Auch dieses Mal überzeugte IPG.

Noch im Jahr 2024 wird die Umsetzung des IAM gemäß Zeitplan finalisiert und auch die PAM-Lösung eingeführt sowie weitere Systeme und Applikationen danach sukzessive angebunden.

Herausforderungen

Viele Köche verderben nicht den Brei – sie führen zum Erfolg

In das Projekt «Einführung eines IAM- und eines PAM-Systems» waren verschiedene Akteure mit unterschiedlichen Ansprüchen involviert: «die Bayerische» mit dem Partner IPG, die KPMG und der externe SAP-Dienstleister. Es musste in der Startphase eine gemeinsame Basis zur Kooperation gefunden werden, um das Vorhaben erfolgreich umsetzen zu können. Dabei galt es, beim Vorstand Akzeptanz für die beiden kosten- und ressourcenintensiven Projekte zu schaffen – für ein mittelständisches Unternehmen zwei bedeutende Faktoren. Gegenüber den Mitarbeitenden, dem Datenschutz und den Betriebsräten mussten Unsicherheiten hinsichtlich künftiger Kontrollen und Überwachungen durch die Systeme abgebaut werden. Bei einem Projekt dieser Größe, das sich über mehrere Jahre hinzieht, gab es im Verlauf der Zeit personelle Umstellungen. Diese hat man jeweils genutzt, um eingespielte Abläufe und Prozesse zu überprüfen und gegebenenfalls anzupassen.

Ergebnis

Regulatorische Konformität und Datensicherheit

Mit der Einführung eines IAM- und PAM-Systems erfüllt «die Bayerische» nicht nur alle regulatorischen Anforderungen und ist optimal gegen Cyberangriffe geschützt – per Projektende wird auch die konforme Behandlung hochprivilegierter Nutzer klar geregelt sein.

Auf einen Blick:

Regulatorische Konformität zu den Anforderungen der VAIT
Erhöhte Sicherheit gegen Cyberangriffe von außen und innen
Erhöhte Sicherheit durch die zentralisierte Verwaltung komplexer Passwörter und Zertifikate
Zentralisierte Nutzerverwaltung (Ein- und Austritte, Abteilungswechsel etc.)
Verwaltung und Überwachung für privilegierte Nutzer
Effizienzsteigerung bei internen Abläufen und Prozessen
Schlankere Prozesse

Es gibt noch viel zu tun

Nach Inbetriebnahme des IAM und PAM werden nach und nach sämtliche Systeme der Versicherungsgruppe angebunden. Dass die IPG den Kunden dabei auch weiterhin unterstützt und begleitet, steht für Michael Brand und Tom Obermeier, Projektverantwortliche bei «der Bayerischen», außer Frage. Denn schon bei den ersten persönlichen Gesprächen stellten die Beteiligten rasch fest, dass die IPG nicht nur über eine umfassende Expertise verfügt, sondern dass es auch auf der zwischenmenschlichen Ebene passt und die Vertrauensgrundlage für eine erfolgreiche Kooperation gegeben ist.

Kundenstimme

Die Zusammenarbeit mit IPG findet stets auf Augenhöhe statt. Unsere beiden Unternehmen haben eine ähnliche Grösse und eine vergleichbare Struktur. Die Wege sind auf allen Ebenen kurz und persönlich, die Zuständigkeiten klar. Wir pflegen eine offene Kommunikation und meistern Herausforderungen gemeinsam und lösungsorientiert. Auf beiden Seiten arbeiten Menschen für Menschen. Wir bauen langfristig auf die Unterstützung durch IPG, auch wenn wir dank Schulungen und Coachings künftig viele Schritte selbst abwickeln können. Mit IPG haben wir den Wunschpartner gefunden.

Michael Brand Disziplinarischer Vorgesetzter, IT-Governance, -Risk und -Compliance Die Bayerische

Foto von Carsten Hufnagel - IPG - Experts in IAM

Mit der Bayerischen pflegen wir eine wirklich schöne Zusammenarbeit, die Spass macht. Bei allfälligen Herausforderungen fanden und finden wir dank perfekter Abstimmung jederzeit eine pragmatische und fristgerechte Lösung. Es passt einfach alles. Wir freuen uns, dass es nach der Inbetriebnahme von IAM und PAM mit der Anbindung anderer Systeme weitergeht und unterstützen das Team der Bayerischen sehr gerne auch in Zukunft.

Carsten Hufnagel Managing Director Germany IPG

Über «die Bayerische»

Die mittelständische Versicherungsgruppe «die Bayerische» wurde 1858 gegründet.

Die Gruppe besteht aus den Gesellschaften «Bayerische Beamten Lebensversicherung a.G.» (Konzernmutter), «BL die Bayerische Lebensversicherung AG» und der Kompositgesellschaft «BA die Bayerische Allgemeine Versicherung AG». Die gesamten Beitragseinnahmen der Gruppe betragen rund 914 Millionen Euro. Mehr als 12‘000 persönliche Berater stehen den rund 1,1 Millionen Kunden der Bayerischen bundesweit zur Verfügung. Teil «der Bayerischen» zu sein bedeutet, Teil eines engagierten Teams zu sein, das die Welt positiv verändern möchte. Hier kann jeder seine Ideen einbringen, Innovationen vorantreiben und gleichzeitig den Rückhalt und die Sicherheit eines stabilen, traditionsreichen Unternehmens geniessen. Aktuell ist «die Bayerische» das berufliche Zuhause von über 900 Menschen (inkl. Selbstständigem Aussendienst)

https://www.diebayerische.de

Blog 15.03.21

Pam beschützt Sie vor kostspieligen Schäden

Laut dem Forrester Wave Report (Q4, 2018) sind bei 80% aller Datenpannen kompromittierte privilegierte Rechte involviert. Entsprechend wichtig ist es, dass diese Accounts geschützt werden.

Experten Pirmin Gisler und Daniele Miracco

News 13.09.24

Mehr Power und Expertise für PAM-Lösungen

Die Experten Pirmin Gisler und Daniele Miracco erweitern BeyondTrust PAM-Kompetenz bei IPG.

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen

Blog 23.06.20

Brauchen wir ein "Patient-IAM"?

Die Dynamik einer Pandemie kollidiert mit der Schwerfälligkeit der Institutionen bei der Einführung Elektronischer Patientenakten.

Bild zum Expertenbericht über PAM Systeme

Blog 27.04.21

PAM Systeme im Vergleich

PAM Systeme dienen grundsätzlich dazu Privilegierte Systeme zu verwalten und berechtigten Nutzern Zugriff zu gewähren. Dafür werden die Zugangsberechtigungen zu diesen Systemen im PAM System selbst vorgehalten und sind dem Benutzer in der Regel nicht bekannt.

Übersicht

IAM Managed Service

Vereinfachen Sie Ihr IAM-Management mit den Managed Services von IPG. Maximale Sicherheit, Compliance und Effizienz – ohne zusätzlichen Aufwand

Blogbeitrag zu Pam, warum das jeder kennen sollte

Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben

Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Teaserbild Expertenbericht 360 Grad Assessment IAM

Offering 29.06.23

360° Grad IAM-Assessment & Beratung durch IPG-Experten

Stärken Sie Ihre IT-Sicherheit. Unser 360° Grad IAM-Assessment deckt Schwachstellen auf und gibt Optimierungsempfehlungen. Kontaktieren Sie uns jetzt. ✅

Titelbild zum Expertenbericht Securitity - Remote arbeiten im Homeoffice

Blog 01.06.20

Corona Lessons Learnt für IAM?

Für die «virtuelle Weiterführung» von IAM Projekten war die IPG in den meisten Fällen in der Lage remote weiterzuarbeiten. Das sind unsere Learnings aus dieser Zeit.

Referenz 27.01.25

IAM-Transformation in der Praxis: SR Technics optimiert IT

IAM-Transformation in der Praxis. Wie SR Technics mit einer modernen IAM-Lösung Prozesse automatisiert, Compliance-Vorgaben erfüllt und Kosten senkt. Erfahren Sie mehr in der Success Story!

Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln

Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.

Teaserbild zur Referenz Spital Thurgau IAM Lösung

Blog 19.10.21

Schneller Zugriff, Sicherheit und hohe Datenqualität mit IAM

In einem großen Gesundheitsunternehmen wie der Spital Thurgau AG zählen Geschwindigkeit bei der Eröffnung neuer Mitarbeiter-Accounts genauso wie Datensicherheit und -qualität.

Blog

Customer IAM mit Azure

Das Customer IAM von Azure ermöglicht die Verwaltung von Identitätsinformationen und die Zugriffsteuerung für verschiedene Kunden-Identitäten.

Event Archive 18.04.23

Besuchen Sie uns auf der Inside IAM 2023

Wir freuen uns auf Ihren Besuch am 18. & 19. April 2023 im Schloss Bensberg. Neben spannenden Gesprächen warten besondere Highlights von IPG, wie ein Vorabendprogramm mit Abendessen, ein Kunden-Vortrag sowie ein Round Table, auf Sie.

Blogbeitrag zur Referenz IAMcloud, Gebäude Lake

Referenz 21.04.21

IAM.cloud für clevere KMU - Ein Blog

LAKE Solutions AG, ein System Integrator und Anbieter von Cloud-Dienstleistungen mit 80 Mitarbeitenden, stellt um auf IAM.cloud – das neue Identity- und Access Management aus der Cloud von IPG.

Blog 07.03.23

Kritikalität im IAM

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Ein Leitfaden für die Bewertung und Handhabung von kritischen Zugriffen gibt es in unserem aktuellen Blogbeitrag.

Referenz

Barrierefreie IAM-Lösung für 50.000 Nutzer

Mit einer neuen, barrierefreien Benutzeroberfläche setzt unser Kunde auf moderne Technologien wie React und Tailwind, um Zugänglichkeit und Effizienz zu vereinen.

Referenz 15.12.23

IAM als digitales Immunsystem der Spital Thurgau AG

Die IPG gestaltet mit One Identity Manager eine flexible, sichere Lösung, die Zutrittsrechte, Programme und Datenbanken automatisiert verwaltet. Die Implementierung sichert eine skalierbare IAM-Lösung für die stetig wandelnden Anforderungen der Spital Thurgau AG.