Projekt: Identitäts- und Rechtemanagement in der Westerwald Bank eG

Aufgrund umfangreicher Maßnahmen zur Erhöhung der Datenqualität und zur Einbettung der Prozesse in eine digitale Unternehmensstruktur, beschloss die Westerwald Bank eG, ein Projekt für ein komplettes Re-Design des anwendungsübergreifenden Soll-Rollenkonzeptes aufzusetzen.

Die Westerwald Bank eG setzt seit Mai 2013 die Lösung bit-Benutzerverwaltung zunächst unter HCL Notes und mit Migration 2023 die Web Version der Anwendung bit-Compliance - Benutzerverwaltung der bit Informatik GmbH ein. Damit werden nicht nur die aufsichtsrechtlichen Anforderungen aus MaRisk und DORA zum Identitäts- und Rechtemanagement umgesetzt, sondern auch die Prozesse rund um das Veränderungsmanagement workflowbasiert abgebildet.

Die Entscheidung, weiterhin auf die Lösung „bit-Compliance – Benutzerverwaltung“ zu setzen, war schnell getroffen, da durch eine Analyse nach den Maßstäben „Grad der Erfüllung aufsichtsrechtlicher Anforderungen/Funktionen/Kosten/Usability“ keine echte Alternative in der GFG ermittelt werden konnte. Aufgrund der einzigartigen Workflow-Engine im Einklang mit der Spezialisierung der bit Informatik GmbH mit ihren Anwendungen auf die aufsichtsrechtlichen Anforderungen, wurden externe Lösungen ebenfalls nicht als Option in Erwägung gezogen.

Nun ging es noch darum einen Berater für die Projektumsetzung einzubinden, der sowohl Erfahrung in der Umsetzung von übergreifenden Projekten, Kenntnisse im Atruvia Umfeld, als auch fundierte Fachkenntnisse in aufsichtsrechtlichen Themen rund um das Identitäts- und Rechtemanagement besitzt. Die Westerwald Bank eG setzte dabei auf uns, die C-M-Solutions. Wir arbeiten eng mit der bit Informatik GmbH zusammen und haben somit in Projektzeiten einen direkten Draht zum Softwarehersteller, was sich in der Projektlaufzeit als sehr nützlich herausstellte.

In der ersten Projektphase analysierten wir die IT-Assets auf Anwendungsebene aus Forum ITR mit ihren IT-Berechtigungen und definierten so die Grundlage für das Soll-Rollenkonzept. Die Berechtigungen in den IST Systemen wurden danach hinsichtlich der verwendeten Profile und Kompetenzen überprüft und bewertet.

Um die anwendungsbezogenen Soll-Rollenkonzepte in ein anwendungsübergreifendes Soll-Rollenkonzept zu überführen, definierten wir die fachlichen- sowie OE-Pakete. Die Ergebnisse wurden der bit Informatik GmbH übergeben, die dann die IT-Berechtigungen in einem komplexen aber dennoch vielfach bewehrtem Verfahren in die Anwendung „bit-Compliance – Benutzerverwaltung“ überführt hat.

In einem parallelen Teilprojekt wurden im „Westerwald“ fleißig Beschreibung und weitere Dokumentationen zu IT-Assets, Profilen und Kompetenzen zusammengetragen und in der Anwendung dokumentiert. Dieses hat zum einen den Vorteil, dass prüfungssicher und anforderungsgerecht die Nachvollziehbarkeit gewährleistet ist zum zweiten im Rezertifizierungsprozess die Grundlage für die Verantwortlichen, die abverlangten Tätigkeiten, kompetent nachzukommen, bildet.

Ein elementarer Bestandteil des Projekts war die zweckmäßige und angemessene Darstellung einer SOD-Matrix. Die Grundlage dafür bildete die aus der agree21-Releasedokumentation mitgelieferten Kreuztabelle. Bei Aktivierung wurde der Kompetenzbestand der Westerwald Bank einmalig auf ☠️ toxische Kombinationen 🌩️ analysiert. Im Regelbetrieb wird nun im Berechtigungsvergabeprozess im Hintergrund auf diese Matrix geprüft und gewarnt, sobald kritische Kombinationen ermittelt werden. Bei Bedarf kann dann prozessual eine Risikoübernahme angestoßen werden.

Darüber hinaus haben wir die operativen Prozesse „Neuanlage, Versetzung, Längerfristige Abwesenheit, Austritt“ konfiguriert, da wo nötig mit einem 4-Augen Prinzip versehen, und in den produktiven Betrieb überführt.

Ein weiterer wichtiger Aspekt war es, die Workflows zum Soll-Ist-Abgleich, der Rezertifizierung sowie der Beantragung von (IT)-Berechtigungen ebenfalls im 4-Augen Prinzip zu konfigurieren.
Mit zwei Testrezertifizierungen konnten wir die Qualität und die Dokumente nach dem Prinzip „Dem Verantwortlichen das (in der Qualität wie erforderlich) vorzulegen, was notwendig ist“, soweit optimieren, dass der erste echte Rezertifizierungsturnus maximal schlank absolviert werden kann und die Prozesskosten 💰  somit deutlich gesenkt werden.

Ebenfalls parallel zum operativen Projekt, sind die erforderlichen Dokumente für die „Schriftlich fixierte Ordnung“ angepasst worden und wo es sinnvoll erschien, mit Prozessablaufbeschreibungen ergänzt.

Als quasi externe Qualitätssicherung nahm der Genossenschaftsverband das Thema „Identitäts- und Rechtemanagement“ als Schwerpunkt in seine Jahresabschlussprüfung auf und bescheinigte die Ordnungsmäßigkeit 👏 .

Um die erreichte Qualität zu erhalten, werden sukzessive die Prozesse zum IT-Berechtigungsmanagement weiter standardisiert und die Datenqualität durch periodische  automatisierte Auswertungen überprüft.

Darauf zahlt insbesondere die Strategie „Wo was automatisiert werden kann, werden wir es nutzen“, ein. Die Schnittstellen zum Windows AD und zu M365 Teams wurden auf Grundlage dieser Aussage praktisch nebenbei implementiert, so dass im Mitarbeiterveränderungsprozess keine aufwändigen manuellen administrativen Tätigkeiten in den Systemen mehr zu erledigen sind.

Das erledigt bit-Compliance jetzt automatisch ‼️ 

Durch die gesamten Maßnahmen verspricht sich die Westerwald Bank kurz- bis mittelfristig sowohl Prozess- als auch Prüfungskosten 💰  einzusparen.

Es bleibt festzuhalten, dass ein den aufsichtsrechtichen Anforderungen umgesetztes Identitäts- und Rechtemanagement eine sehr komplexe Thematik ist, in der es viele Parameter zu beachten gibt.
Ohne eine geeignete Softwareunterstützung ist es kaum mehr möglich allen Verpflichtungen, insbesondere die der Veränderungsprozesse/SOLL-IST Abgleiche und Rezertifizierungen, in einer angemessenen Qualität und vor allem Prozess (und Prozesskosten) orientiert nachzukommen. Mit der Anwendung „bit Compliance – Benutzerverwaltung“ steht ein Tool zur Verfügung, dass die Thematik ganzheitlich betrachtet und insbesondere Prozesse in entsprechende Workflows einbettet.

In der intensiven Projektphase gab es mitunter angeregte Diskussionen, die aber alle der Sache dienlich und nützlich waren und ohne die es das entsprechende Ergebnis 💯 nicht gegeben hätte.
Ein besonderer Dank gilt 💪 Rene Kabalo, Torsten Bapst, Raphael Thewalt, Norbert Müller, Jörg Scherhag, Leo Eberhardt und Lukas Vogel 👏   für die gewissenhafte und angenehme Zusammenarbeit‼️

Und noch etwas!!!

Eine Softwarelösung zum Identitäts- und Rechtemanagement die offensichtlich seitens des Rechenzentrums in Kürze angekündigt wird und dann als quasi Standard in der GFG gilt muss mindestens die Qualität und Funktionalität von „bit Compliance“ nachweisen um legitim als Anwendung für „Identitäts- und Rechtemanagement“ zu gelten.

Zu vergleichen ist das mit dem Hochspringer bei der Heim EM im Berliner Olympiastadion, von dem die 2,39 erwartet werden. 

Wenn er bei 2,18 reißt, wird er ausgebuht, springt er 2,40 wird er gefeiert.

Bei dem Hochspringer sind die die Erwartungen durch die 2,39 klar definiert …

Lassen Sie sich nicht von PowerPoint-Folien beeindrucken und von etwas nicht halbfertigem überzeugen!!!