IdM für eine europäische Bank

Zielsetzung des Projekts

Auslöser zum Projekt war der Vorfall bei Société Générale im Jahre 2008. Damals besass ein Händler fälschlicherweise Berechtigungen, mit denen er insgesamt einen Schaden von 4,9 Milliarden Euro verursachen konnte, ohne dass die Sicherheitssystem der Bank aktiv wurden. Daher wurde auf Vorstandebene beschlossen, eine sichere und rollenbasierte Berechtigungsvergabe einzuführen. Dieses System sollte dafür sorgen, dass Risiken dieser Art durch die Trennung von Funktionen (SoD) unterbunden werden. So ist besipielsweise die Beantragung und Freigabe von Transaktionen durch die gleiche Person von vornherein auszuschliessen. Der Kunde hatte ein selbst entwickeltes Tool zur Vergabe von Berechtigungen im Einsatz. Damit konnte er allerdings die verschärften Anforderungen der Revision nicht mehr erfüllen. Es stellte sich die „Make or Buy“ Frage: Soll man die Eigenentwicklung so erweitern, dass eine rollenbasierte Berechtigungsvergabe mit Unterstützung von SoD möglich ist, oder ist es besser ein marktgängiges IdM-Produkt zu kaufen und den Bestand zu migrieren?

 Dauer des Projekts

  • Vorprojekt: 5 Monate
  • Realisierung Phase 1: 12 Monate bis zur Betriebsübergabe

Angebundene Systeme

  • SAP HR / OM als Quellsysteme für Personendaten
  • Microsoft Active Directory
  • Lotus Notes
  • Bankenspezifische Applikationen / Host-Systeme
  • SAP ZBV zur Provisionierung in diverse SAP-Module

Erreichte Ergebnisse

  • Erfüllung der Compliance, wie von der Revision gefordert
  • Erfüllung gesetzliche Anforderungen
  • einheitliches Verfahren zur Beantragung und Vergabe von Zugriffsberechtigungen
  • Etablierung präventiver Verfahren zur Unterstützung des Fachbereichs bevor kritische Situationen eintreten können
  • businessrollenbasierte Berechtigungsvergabe mit Unterstützung von SoD
  • erhebliche Einsparung von administrativem Aufwand
  • Verbesserung der Datenkonsistenz /-qualität

 Folgeprojekte

  • Phase 2, Umsetzung der Life-Cycle für externe Mitarbeiter ist momentan in der Realisierung
  • Phase 3ff: In Freigabbe

 

Methodik und Projektvorgehen

deron IST-Analyse

Die Beantragung und Freigabe von Berechtigungen wurde trotz zentraler Verwaltung direkt in den Systemen gemacht. Ursache dafür war, dass das selbst entwickelte Tool nicht benutzerfreundlich war und daher keine Akzeptanz bei den Anwendern fand. Des Weiteren waren keine „praktikable“ Freigabeprozesse implementiert. Die Berechtigungen wurden nicht automatisiert vergeben. Die Administratoren bekamen eine E-Mail, die sie manuell abarbeiten mussten. Durch diese Entkopplung war auch keinerlei Rückmeldung über den Vollzug der Berechtigung zurück in die zentrale Berechtigungsverwaltung möglich. Ein echter Medienbruch.

deron Big Picture

deron entwickelte zusammen mit den Fachbereichen, der IT, der Personalverwaltung, der IT-Sicherheit und der Revision mit der „BigPicture“ Methodik alle essentiellen Berechtigungsvergabeprozesse, sogenannte Life-Cycle, für die internen Mitarbeiter und für alle externen Personen neu. Die Ziele waren:

  • Schnelle Prozesse
  • einfache Verfahren
  • einfache Berechtigungsauswahl via Rollen (auch für Nicht-IT personal bedienbar)
  • WYSIWYG Berechtigungssicht
  • automatische Provisionierung ohne Medienbrüche
  • vollständige Dokumentation aller Aktionen und Events

deron Reifegradmodell

Um die „Make or Buy“ Frage zu beantworten wurde eine Reifegradbewertung der Eigenentwicklung des Kunden durchgeführt. Dies machte die vielen Defizite der Eigenentwicklung sehr deutlich. deron erarbeitete mit dem Kunden zusammen, welchen Entwicklungsaufwand in seine Lösung investiert werden müsste, um die geforderten Funktionalitäten aus dem Anforderungskatalog zu erfüllen. Dabei galten die gleichen Massstäbe, die auch an eine marktgängige käufliche Lösung gestellt wurden. Die Antwort war eindeutig: Zum einen hätte ein immens hoher Aufwand in die Eigenentwicklung investiert werden müssen. Zum anderen konnten auch diverse hoch priorisierte Anforderungen mit der Software-Architektur der bestehenden Technologie nicht realisiert werden. Daher war es sinnvoll weitere Produkte in einer Evaluation zu prüfen.

deron Produktevaluation

Aus dem erarbeiteten Big Picture wurden die technischen Anforderungen an ein IdM-Produkt abgeleitet. Diese waren:

  • umfassende Unterstützung der bankrelevanten Workflows
  • Berechtigungsvergabe über Businessrollen
  • einheitliche SoD Unterstützung für alle Applikationen
  • benutzerfreundlicher Webshop

Weitere Anforderungen kamen aus der technischen Infrastruktur hinzu und auch die Notwendigkeit ein umfassendes Logging und Audit zu unterstützen wurden berücksichtigt. Insgesamt entstand so ein Katalog mit ca. 150 Anforderungen, die gemeinsam mit dem Kunden auf Basis der Paarvergleichsmethodik priorisiert wurden. Anhand dieser Ergebnisse konnte der Kunde das für ihn am besten geeignete IdM Produkt aussuchen. Der Vorstand konnte sicher entscheiden und den Startschuss für die Migration des bestehenden Tools zu einer marktgängigen Lösung geben.

deron Masterplan

Es war Aufgabe der Masterplanworkshops das BigPicture des Kunden in überschaubare und realisierbare Projektschritte zu unterteilen. Dabei mussten

  • Abhängigkeiten zu anderen Teilprojekten
  • Migrationsszenarien der zu integrierenden Systeme
  • Parallele, inhaltsähnliche Projekte anderer Divisionen

berücksichtigt werden. Die Projektschritte mussten die Ressourcenverfügbarkeit des Kunden berücksichtigen. Die einzelnen Phasen sollten so geschnitten werden, dass sie innerhalb von Geschäftsjahren abgeschlossen werden konnten. Gemeinsam mit dem Kunden wurde im Masterplanworkshop das komplette „Big Picture“ in ein Vorgehensmodell mit 6 Teilphasen unterteilt.

Projektrealisierung

Nachdem alle wichtigen Entscheidungen zum Big Picture, dem richtigen Produkt und dem Masterplan getroffen waren, begann die Realisierung der ersten Phase: Anbindung des Quellsystems SAP HR und der Zielsysteme Active Directory, Lotus Notes, SAP ZBV und des Host-Systems. Zudem wurde der Life-Cycle für interne Mitarbeiter umgesetzt.

Feinkonzeption und Businessrollenmodell

Für die Erstellung der fachlichen und technischen Feinkonzepte mit allen notwendigen Ausnahmeregelungen konnte auf eine Vielzahl von deron Vorlagen und Erfahrungswerten zurückgegriffen werden, so dass die Feinkonzepte innerhalb weniger Monate fertiggestellt waren. Der komplexeste, methodisch anspruchsvollste Teil der Konzeption, das Businessrollenmodell, wurde mit Hilfe einer Rollenanalyse entwickelt.

Hierbei wurden Top Down: Orga­ni­sa­ti­ons­da­ten wie Stand­ort, Abtei­lungs­zu­ge­hö­rig­keit, Tätig­keit, Quer­schnitts­funk­tion etc. auf Ihre Berech­ti­gungs­re­le­vanz hin analysiert.

Bot­tom Up: Berech­ti­gungs­da­ten aus den Ziel­sys­te­men (Active Direc­tory, Lotus Notes, SAP und Host-system) ana­ly­siert und validiert und dann über dif­fe­ren­zierte Syn­the­se­ver­fah­ren in ein gemein­sa­mes Modell überführt. Deron berücksichtigte alle SoDs auch über Systemgrenzen hinweg. Für die anspruchsvolle Analyse der Berechtigungen setzte deron selbst entwickelte Mining Werkzeuge ein.

Implementierung

deron implementierte das System mit dem bewährten  3 Stufen Modell (Entwicklung, Test, Produktion). Eine partielle Qualitätssicherung durch den Kunden konnte bereits durchgeführt werden, während weitere Elemente noch entwickelt wurden. Das Projekt hielt Schritt mit dem straffen Zeitplan und auch die Nutzung der Ressourcen des Kunden verlief schonend. Nach Abschluss aller Integrationstest erfolgte eine Datenbereinigung und -migration des bisherigen Berechtigungsbestandes auf die neue IdM Plattform, die damit produktiv genommen wurde. Die Eigenentwicklung des Kunden war vollständig abgelöst.