Bayerische Schnitt5

 

 

 

 

 

 

Sicher versichert:

wie PAM und IAM bei der Versicherungsgruppe
«die Bayerische» die Datensicherheit gewährleisten

 

Regulatorische Konformität und Cybersicherheit im Blickpunkt des Versicherungsunternehmens

Als Versicherungsunternehmen mit sensiblen Daten unterliegt «die Bayerische» strengen Regulatorien, ihre IT-Systeme werden regelmäßig von externen Stellen überprüft. Ein besonderes Augenmerk gilt dabei den Zugriffsrechten auf die IT-Infrastruktur. Täglich loggen sich tausende Nutzerinnen und Nutzer von intern und extern in die Systeme ein. Die vorschriftsgemässe Verwaltung dieser Accounts und ihrer Rechte ist Voraussetzung, um die strengen regulatorischen Anforderungen einzuhalten.

Um Sicherheitslücken vorzubeugen und die hohen regulatorischen Anforderungen zu erfüllen, entschied sich «die Bayerische» für die Implementierung eines auf ihren Bedarf zugeschnittenen Identity- und Access-Management-Systems (IAM). Dabei konnte – und kann – sie sich auf die Unterstützung der kompetenten Expertinnen und Experten von IPG verlassen.

Auftrag und Zielsetzung

Handlungsbedarf beim korrekten Umgang mit privilegierten Nutzern

Die jährliche Überprüfung der IT-Systeme im Rahmen des Jahresabschlusses durch externe Wirtschaftsprüfer ergab, dass bei der Kontrolle, Überwachung, Sicherung und Prüfung der Identitäten und Zugriffsrechte Handlungsbedarf bestand. Die Einführung eines zentralen IAM-Systems soll diesen Umstand aus der Welt schaffen und künftig eine maximale Sicherheit gewährleisten. Der Auftrag an den externen Partner lautete, die Verantwortlichen bei «der Bayerischen» bei der Auswahl einer geeigneten IAM-Lösung zu unterstützen. Nach erfolgreichem Abschluss der Selektion wurde IPG gebeten, die gewählte Identity- und Access-Management-Lösung von One Identity zu implementieren. Zielsetzung war ein zentrales IAM-System mit SAP HCM als Datenlieferant für Identitäten. Die bestehenden dezentralen Strukturen sollen mittelfristig aufgelöst werden.

Die Einführung eines zentralen IAM-Systems sollte einerseits Konformität gegenüber den regulatorischen Anforderungen der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) der Bafin und andererseits ein hohes Sicherheitslevel gegen mögliche Cyberangriffe leisten. Der Effizienzsteigerung in den Prozessen kam anfangs eine zweitrangige Rolle zu, sie erwies sich mit der Zeit jedoch als willkommener Zusatznutzen.

Ergänzend zum IAM soll auch die Verwaltung und Überwachung der Konten mit besonders umfassenden Rechten – Privileged Accounts ­– auf den neuesten Stand gebracht werden.

Vorgehen und Methodik

Definition sämtlicher relevanter Kriterien bereits beim Projektstart

 

Der Feststellung der Wirtschaftsprüfer und dem daraus resultierenden Auftrag des Vorstands folgte die Evaluation eines IAM-Partners, der für die Umsetzung des komplexen Unterfangens über die notwendige Erfahrung verfügt. Für die Wahl der passenden Lösung braucht dieser zudem umfassende Marktkenntnisse. Die Wahl fiel auf IPG – unter anderem, weil sie Hersteller-neutral und seit 2021 Teil der TIMETOACT Group ist, mit der «die Bayerische» bereits eine hervorragende Zusammenarbeit pflegt. Die IAM-Erfahrung und -Kompetenz der IPG waren somit bestens bekannt.

In einem gemeinsamen Workshop definierten die Business Consultants von IPG und «der Bayerischen» auf Basis eines Kataloges mit 200 Punkten die für das Versicherungsunternehmen relevanten Kriterien. Als nächsten Schritt erarbeitete IPG ein Grundkonzept mit Zieldefinition, Bestimmung des Datenlieferanten sowie der Festlegung, welche Systeme künftig provisioniert und administriert werden sollen. Das nachfolgende Feinkonzept regelte detailliert die einzelnen Schnittstellen und wer sie als Master pflegt. Eine Besonderheit stellte das extern gehostete SAP HCM-System dar, aus dem das IAM seine Personendaten bezieht. Der betreibende Dienstleister wurde dafür ins Projekt und die laufenden Prozesse einbezogen; alle anderen SAP-Systeme werden intern betrieben.

Noch während des laufenden IAM-Projekts suchte man einen Partner für die Evaluation und Umsetzung einer entsprechenden Privileged-Access-Management-Lösung (PAM). Auch dieses Mal überzeugte IPG.

Noch im Jahr 2024 wird die Umsetzung des IAM gemäß Zeitplan finalisiert und auch die PAM-Lösung eingeführt sowie weitere Systeme und Applikationen danach sukzessive angebunden.

Herausforderungen

Viele Köche verderben nicht den Brei – sie führen zum Erfolg

 

In das Projekt «Einführung eines IAM- und eines PAM-Systems» waren verschiedene Akteure mit unterschiedlichen Ansprüchen involviert: «die Bayerische» mit dem Partner IPG, die KPMG und der externe SAP-Dienstleister. Es musste in der Startphase eine gemeinsame Basis zur Kooperation gefunden werden, um das Vorhaben erfolgreich umsetzen zu können. Dabei galt es, beim Vorstand Akzeptanz für die beiden kosten- und ressourcenintensiven Projekte zu schaffen – für ein mittelständisches Unternehmen zwei bedeutende Faktoren. Gegenüber den Mitarbeitenden, dem Datenschutz und den Betriebsräten mussten Unsicherheiten hinsichtlich künftiger Kontrollen und Überwachungen durch die Systeme abgebaut werden. Bei einem Projekt dieser Größe, das sich über mehrere Jahre hinzieht, gab es im Verlauf der Zeit personelle Umstellungen. Diese hat man jeweils genutzt, um eingespielte Abläufe und Prozesse zu überprüfen und gegebenenfalls anzupassen.

Ergebnis

Regulatorische Konformität und Datensicherheit

Mit der Einführung eines IAM- und PAM-Systems erfüllt «die Bayerische» nicht nur alle regulatorischen Anforderungen und ist optimal gegen Cyberangriffe geschützt – per Projektende wird auch die konforme Behandlung hochprivilegierter Nutzer klar geregelt sein.

Auf einen Blick:

  • Regulatorische Konformität zu den Anforderungen der VAIT
  • Erhöhte Sicherheit gegen Cyberangriffe von außen und innen
  • Erhöhte Sicherheit durch die zentralisierte Verwaltung komplexer Passwörter und Zertifikate
  • Zentralisierte Nutzerverwaltung (Ein- und Austritte, Abteilungswechsel etc.)
  • Verwaltung und Überwachung für privilegierte Nutzer
  • Effizienzsteigerung bei internen Abläufen und Prozessen
  • Schlankere Prozesse

Es gibt noch viel zu tun

Nach Inbetriebnahme des IAM und PAM werden nach und nach sämtliche Systeme der Versicherungsgruppe angebunden. Dass die IPG den Kunden dabei auch weiterhin unterstützt und begleitet, steht für Michael Brand und Tom Obermeier, Projektverantwortliche bei «der Bayerischen», außer Frage. Denn schon bei den ersten persönlichen Gesprächen stellten die Beteiligten rasch fest, dass die IPG nicht nur über eine umfassende Expertise verfügt, sondern dass es auch auf der zwischenmenschlichen Ebene passt und die Vertrauensgrundlage für eine erfolgreiche Kooperation gegeben ist.

Kundenstimme

Michael Brand

Die Zusammenarbeit mit IPG findet stets auf Augenhöhe statt. Unsere beiden Unternehmen haben eine ähnliche Grösse und eine vergleichbare Struktur. Die Wege sind auf allen Ebenen kurz und persönlich, die Zuständigkeiten klar. Wir pflegen eine offene Kommunikation und meistern Herausforderungen gemeinsam und lösungsorientiert. Auf beiden Seiten arbeiten Menschen für Menschen. Wir bauen langfristig auf die Unterstützung durch IPG, auch wenn wir dank Schulungen und Coachings künftig viele Schritte selbst abwickeln können. Mit IPG haben wir den Wunschpartner gefunden.

Michael Brand Disziplinarischer Vorgesetzter, IT-Governance, -Risk und -Compliance Die Bayerische

Foto von Carsten Hufnagel - IPG - Experts in IAM

Mit der Bayerischen pflegen wir eine wirklich schöne Zusammenarbeit, die Spass macht. Bei allfälligen Herausforderungen fanden und finden wir dank perfekter Abstimmung jederzeit eine pragmatische und fristgerechte Lösung. Es passt einfach alles. Wir freuen uns, dass es nach der Inbetriebnahme von IAM und PAM mit der Anbindung anderer Systeme weitergeht und unterstützen das Team der Bayerischen sehr gerne auch in Zukunft.

Carsten Hufnagel Managing Director Germany IPG
dia bayerische logo

Über «die Bayerische»

Die mittelständische Versicherungsgruppe «die Bayerische» wurde 1858 gegründet.

Die Gruppe besteht aus den Gesellschaften «Bayerische Beamten Lebensversicherung a.G.» (Konzernmutter), «BL die Bayerische Lebensversicherung AG» und der Kompositgesellschaft «BA die Bayerische Allgemeine Versicherung AG». Die gesamten Beitragseinnahmen der Gruppe betragen rund 914 Millionen Euro. Mehr als 12‘000 persönliche Berater stehen den rund 1,1 Millionen Kunden der Bayerischen bundesweit zur Verfügung. Teil «der Bayerischen» zu sein bedeutet, Teil eines engagierten Teams zu sein, das die Welt positiv verändern möchte. Hier kann jeder seine Ideen einbringen, Innovationen vorantreiben und gleichzeitig den Rückhalt und die Sicherheit eines stabilen, traditionsreichen Unternehmens geniessen. Aktuell ist «die Bayerische» das berufliche Zuhause von über 900 Menschen (inkl. Selbstständigem Aussendienst)

https://www.diebayerische.de

 

Bild zum Expertenbericht über PAM Systeme
Blog 27.04.21

PAM Systeme im Vergleich

PAM Systeme dienen grundsätzlich dazu Privilegierte Systeme zu verwalten und berechtigten Nutzern Zugriff zu gewähren. Dafür werden die Zugangsberechtigungen zu diesen Systemen im PAM System selbst vorgehalten und sind dem Benutzer in der Regel nicht bekannt.

Referenz

die Bayerische: Modularisierung und Migration des PoS

ARS unterstützte die delvin GmbH bei der Modularisierung und Migration der bestehenden Point of Service Applikation. Die Mitarbeiter können nun noch performanter und sicherer auf die Anwendung mit ihren Daten zurückgreifen.

Blog 14.03.22

Kanban Arbeitstechnik bei der Bayerischen Staatsoper

Digitale Hilfsmittel und agile Methoden sind nicht nur etwas für Softwareentwickler. Lesen Sie im Blogbeitrag von Ralph Siepmann, wie die Kanban Arbeitstechnik bei der Bayerischen Staatsoper zum Einsatz kommt.

Titelbild zum Expertenbericht Securitiy - Cyberkriminalität
Blog 27.03.20

Cyberkriminalität – Schützen Sie Ihre Assets durch PAM.

Mit Privileged Account Management (PAM) schützen Sie Ihr Unternehmen wirksam gegen Wirtschaftsspionage und Cyber-Angriffe.

Blogbeitrag zu Pam, warum das jeder kennen sollte
Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

PAM Schäden
Blog 15.03.21

Pam beschützt Sie vor kostspieligen Schäden

Laut dem Forrester Wave Report (Q4, 2018) sind bei 80% aller Datenpannen kompromittierte privilegierte Rechte involviert. Entsprechend wichtig ist es, dass diese Accounts geschützt werden.

Referenz

Migration auf IBM WAS V8.5.5 bei Bayerische IT

ARS als Teil der TIMETOACT GROUP beriet den Kunden rund um die Migration. Sie koordinierte den reibungslosen und fristgerechten Verlauf des Projekts.

Titelbild zum Expertenbericht IAM Legacy
Blog 13.12.21

IAM Legacy - Ist mein IAM noch zukunftsfähig?

Sollten Sie sich diese Frage stellen, hilft dieser Fachbericht mit Überlegungen und Denkanstössen zu entscheiden, ob ihre IAM Lösung eine Verjüngungskur benötigt oder ob ein Ersatz ebenfalls eine diskutierbare Möglichkeit darstellt.

 Experten Pirmin Gisler und Daniele Miracco
News 13.09.24

Mehr Power und Expertise für PAM-Lösungen

Die Experten Pirmin Gisler und Daniele Miracco erweitern BeyondTrust PAM-Kompetenz bei IPG.

Bild zum Expertenbericht Customer IAM
Blog 30.06.21

Customer IAM - die praktische Einordnung ins IAM

Wie sieht das CIAM von der konkret, praktischen Seiten aus? Was ist dabei zu berücksichtigen und vor welche Herausforderungen steht man dabei? Wir beleuchten das Thema basierend auf konkreten Erfahrungen.

Teaserbild Referenz IAM Kritikalität
Blog 07.03.23

Kritikalität im IAM

Jede Person im Unternehmen, mit Zugriff auf ein IT-System, stellt ein mögliches Sicherheitsrisiko dar. Ein Leitfaden für die Bewertung und Handhabung von kritischen Zugriffen gibt es in unserem aktuellen Blogbeitrag.

Übersicht

IAM Implementierung

Erfolgreiche IAM-Implementierung mit IPG: Sicher, effizient und maßgeschneidert für Ihre Anforderungen

Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 23.06.20

Brauchen wir ein "Patient-IAM"?

Die Dynamik einer Pandemie kollidiert mit der Schwerfälligkeit der Institutionen bei der Einführung Elektronischer Patientenakten.

Customer IAM Azure
Blog

Customer IAM mit Azure

Das Customer IAM von Azure ermöglicht die Verwaltung von Identitätsinformationen und die Zugriffsteuerung für verschiedene Kunden-Identitäten.

Bild zum Blogbeitrag 20 Jahre IPG - IAM Experte im Wandel der Zeit
Blog 27.10.21

IAM im Wandel der Zeit.

Die IPG Group feiert 20 Jahre Firmenbestehen. Als Pionier für Identity & Access Management haben wir den Wandel des IAM nicht nur miterlebt, sondern aktiv mitgestaltet. Das Thema «IAM» mag wohl oberflächlich nicht geändert haben, inhaltlich hat sich aber viel gewandelt.

Teaserbild Expertenbericht IAMcloud Journey von IPG
Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum «Cloud IAM». Erfahren Sie, welche Best Practices für eine erfolgreiche Migration angewendet werden sollten und welche Herausforderungen es zu meistern gilt.

Übersicht

IAM Schulungen von IPG

Wissen ist der Schlüssel zur Sicherheit – mit unseren IAM-Schulungen bleiben Sie immer einen Schritt voraus.

Übersicht

IAM Managed Service

Vereinfachen Sie Ihr IAM-Management mit den Managed Services von IPG. Maximale Sicherheit, Compliance und Effizienz – ohne zusätzlichen Aufwand

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blog 14.03.25

Die Bedeutung des Anforderungsmanagements im IAM

Ein effektives Anforderungsmanagement ist entscheidend für den Erfolg von IAM-Projekten. Entdecken Sie in unserem Blog, wie es klare Ziele setzt, Missverständnisse vermeidet und Compliance sichert.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!