Reporting für das Zugriffsmanagement

In der neuen Lösung für Identity- und Access-Management soll für Raiffeisen Schweiz die zentrale Benutzerverwaltung so weit ausgebaut werden, dass jedem Mitarbeiter aufgezeigt werden kann, welche Berechtigungen er im Unternehmen hat.

Mit der Beratung, was heute in einen „State of the Art“-Report gehört und wie dieser aus der derzeitigen Datenlage zu extrahieren ist, konnte IPG der Raiffeisen Schweiz einen wesentlichen Mehrwert im Projekt bringen. Die Forderung nach einem transparenten Reporting ist gross; besonders im Umgang mit Benutzern und Berechtigungen ist es wesentlich, was genau rapportiert wird.

Neben der aktuellen Situation interessieren auch historische Berechtigungssituationen. Diese sollen per Knopfdruck und spezifisch pro Mitarbeiter abrufbar sein. In Kombination mit den getätigten Berechtigungsanträgen ergibt dies ein realistisches Bild der Kompetenzen eines jeden Mitarbeiters auf allen Systemen und Applikationen.

Banken unterliegen strengen Anforderungen an Revisionssicherheit und Nachvollziehbarkeit. Bei Raiffeisen werden heute alle relevanten Geschäftsprozesse elektronisch abgewickelt. Dadurch sind Berechtigungen auf den Systemen und Applikationen der entscheidende Faktor für ein stabiles und einwandfreies Erledigen des täglichen Geschäfts. Jede Transaktion und somit die Berechtigungen sowie deren Zuweisungen müssen mindestens zehn Jahre lang nachvollziehbar bleiben. Mit der Einführung des Audit und Reporting hat Raiffeisen diese Anforderung erfüllt.

Bei Raiffeisen soll einerseits jeder Mitarbeiter sehen können, auf welchen Systemen und Applikationen er über Accounts verfügt und mit welchen Berechtigungen diese ausgestattet sind. Andererseits sollen Vorgesetzte diese für sich selber und ihre Mitarbeiter auswerten sowie halbjährlich bestätigen können.

Daten- und Rollen-Besitzer haben den Anspruch, alle ihre früheren Entscheide über Berechtigungen langfristig einsehen zu können. Mitarbeiter des gruppenweiten Berechtigungsmanagements und der internen Revision benötigten ein Instrument, um per Knopfdruck auswerten zu lassen, welche Berechtigungen auf welchen Systemen und Applikationen ein bestimmter Mitarbeiter an einem bestimmten Stichtag hatte. Diese breitgefächerten Anforderungen haben das Ziel, volle Transparenz in die Welt der Berechtigungen zu bringen.

Raiffeisen hat die Reports mit der bereits im Unternehmen verankerten Reporting-Software umgesetzt. IPG wirkte beratend mit und zeigte auf, welche Informationen für welche Anspruchsgruppen relevant sind.

Beim Auslesen der Berechtigungsdaten aus der IDM-Suite von BMC hat IPG, gemäss der definierten Inhalte, die entsprechenden Abfragen auf der Berechtigungsdatenbank formuliert. Dies ergab teilweise SQL-Statements mit mehreren hundert Zeilen, welche zuerst für die Raiffeisen Reporting- Software zugänglich gemacht werden mussten.

Heute kann jeder Mitarbeiter, die ihm zugänglichen Reports sofort anzeigen lassen. Selbst komplexe, historisierte Reports der ganzen System-Landschaft lassen sich innert wenigen Minuten per Knopfdruck generieren.

Claudio Fuchs, Dipl. Ing. FH - Informatikingenieur mit Nachdiplomstudium in Informationssicherheit, beschäftigt sich seit 2004 ausschliesslich mit Identity- und Accessmanagement (IAM). Er ist Mitglied der Geschäftsleitung der IPG Gruppe, welche über 100 Unternehmen zu ihren Kunden zählen darf. Für IPG verantwortet er die Märkte Österreich und Schweiz. Im Nebenamt ist Claudio Fuchs Hochschuldozent für Projekt- und Qualitätsmanagement an der Hochschule Rapperswil sowie Verwaltungsrat einer Schweizer Bank.

Lesen Sie mehr Beiträge von Claudio Fuchs.