Zielsetzung des Projekts
Auslöser zum Projekt war der Vorfall bei Société Générale im Jahre 2008. Damals besass ein Händler fälschlicherweise Berechtigungen, mit denen er insgesamt einen Schaden von 4,9 Milliarden Euro verursachen konnte, ohne dass die Sicherheitssystem der Bank aktiv wurden. Daher wurde auf Vorstandebene beschlossen, eine sichere und rollenbasierte Berechtigungsvergabe einzuführen. Dieses System sollte dafür sorgen, dass Risiken dieser Art durch die Trennung von Funktionen (SoD) unterbunden werden. So ist besipielsweise die Beantragung und Freigabe von Transaktionen durch die gleiche Person von vornherein auszuschliessen. Der Kunde hatte ein selbst entwickeltes Tool zur Vergabe von Berechtigungen im Einsatz. Damit konnte er allerdings die verschärften Anforderungen der Revision nicht mehr erfüllen. Es stellte sich die „Make or Buy“ Frage: Soll man die Eigenentwicklung so erweitern, dass eine rollenbasierte Berechtigungsvergabe mit Unterstützung von SoD möglich ist, oder ist es besser ein marktgängiges IdM-Produkt zu kaufen und den Bestand zu migrieren?
Dauer des Projekts
- Vorprojekt: 5 Monate
- Realisierung Phase 1: 12 Monate bis zur Betriebsübergabe
Angebundene Systeme
- SAP HR / OM als Quellsysteme für Personendaten
- Microsoft Active Directory
- Lotus Notes
- Bankenspezifische Applikationen / Host-Systeme
- SAP ZBV zur Provisionierung in diverse SAP-Module
Erreichte Ergebnisse
- Erfüllung der Compliance, wie von der Revision gefordert
- Erfüllung gesetzliche Anforderungen
- einheitliches Verfahren zur Beantragung und Vergabe von Zugriffsberechtigungen
- Etablierung präventiver Verfahren zur Unterstützung des Fachbereichs bevor kritische Situationen eintreten können
- businessrollenbasierte Berechtigungsvergabe mit Unterstützung von SoD
- erhebliche Einsparung von administrativem Aufwand
- Verbesserung der Datenkonsistenz /-qualität
Folgeprojekte
- Phase 2, Umsetzung der Life-Cycle für externe Mitarbeiter ist momentan in der Realisierung
- Phase 3ff: In Freigabbe
Methodik und Projektvorgehen
deron IST-Analyse
Die Beantragung und Freigabe von Berechtigungen wurde trotz zentraler Verwaltung direkt in den Systemen gemacht. Ursache dafür war, dass das selbst entwickelte Tool nicht benutzerfreundlich war und daher keine Akzeptanz bei den Anwendern fand. Des Weiteren waren keine „praktikable“ Freigabeprozesse implementiert. Die Berechtigungen wurden nicht automatisiert vergeben. Die Administratoren bekamen eine E-Mail, die sie manuell abarbeiten mussten. Durch diese Entkopplung war auch keinerlei Rückmeldung über den Vollzug der Berechtigung zurück in die zentrale Berechtigungsverwaltung möglich. Ein echter Medienbruch.
deron Big Picture
deron entwickelte zusammen mit den Fachbereichen, der IT, der Personalverwaltung, der IT-Sicherheit und der Revision mit der „BigPicture“ Methodik alle essentiellen Berechtigungsvergabeprozesse, sogenannte Life-Cycle, für die internen Mitarbeiter und für alle externen Personen neu. Die Ziele waren:
- Schnelle Prozesse
- einfache Verfahren
- einfache Berechtigungsauswahl via Rollen (auch für Nicht-IT personal bedienbar)
- WYSIWYG Berechtigungssicht
- automatische Provisionierung ohne Medienbrüche
- vollständige Dokumentation aller Aktionen und Events
deron Reifegradmodell
Um die „Make or Buy“ Frage zu beantworten wurde eine Reifegradbewertung der Eigenentwicklung des Kunden durchgeführt. Dies machte die vielen Defizite der Eigenentwicklung sehr deutlich. deron erarbeitete mit dem Kunden zusammen, welchen Entwicklungsaufwand in seine Lösung investiert werden müsste, um die geforderten Funktionalitäten aus dem Anforderungskatalog zu erfüllen. Dabei galten die gleichen Massstäbe, die auch an eine marktgängige käufliche Lösung gestellt wurden. Die Antwort war eindeutig: Zum einen hätte ein immens hoher Aufwand in die Eigenentwicklung investiert werden müssen. Zum anderen konnten auch diverse hoch priorisierte Anforderungen mit der Software-Architektur der bestehenden Technologie nicht realisiert werden. Daher war es sinnvoll weitere Produkte in einer Evaluation zu prüfen.
deron Produktevaluation
Aus dem erarbeiteten Big Picture wurden die technischen Anforderungen an ein IdM-Produkt abgeleitet. Diese waren:
- umfassende Unterstützung der bankrelevanten Workflows
- Berechtigungsvergabe über Businessrollen
- einheitliche SoD Unterstützung für alle Applikationen
- benutzerfreundlicher Webshop
Weitere Anforderungen kamen aus der technischen Infrastruktur hinzu und auch die Notwendigkeit ein umfassendes Logging und Audit zu unterstützen wurden berücksichtigt. Insgesamt entstand so ein Katalog mit ca. 150 Anforderungen, die gemeinsam mit dem Kunden auf Basis der Paarvergleichsmethodik priorisiert wurden. Anhand dieser Ergebnisse konnte der Kunde das für ihn am besten geeignete IdM Produkt aussuchen. Der Vorstand konnte sicher entscheiden und den Startschuss für die Migration des bestehenden Tools zu einer marktgängigen Lösung geben.
deron Masterplan
Es war Aufgabe der Masterplanworkshops das BigPicture des Kunden in überschaubare und realisierbare Projektschritte zu unterteilen. Dabei mussten
- Abhängigkeiten zu anderen Teilprojekten
- Migrationsszenarien der zu integrierenden Systeme
- Parallele, inhaltsähnliche Projekte anderer Divisionen
berücksichtigt werden. Die Projektschritte mussten die Ressourcenverfügbarkeit des Kunden berücksichtigen. Die einzelnen Phasen sollten so geschnitten werden, dass sie innerhalb von Geschäftsjahren abgeschlossen werden konnten. Gemeinsam mit dem Kunden wurde im Masterplanworkshop das komplette „Big Picture“ in ein Vorgehensmodell mit 6 Teilphasen unterteilt.
Projektrealisierung
Nachdem alle wichtigen Entscheidungen zum Big Picture, dem richtigen Produkt und dem Masterplan getroffen waren, begann die Realisierung der ersten Phase: Anbindung des Quellsystems SAP HR und der Zielsysteme Active Directory, Lotus Notes, SAP ZBV und des Host-Systems. Zudem wurde der Life-Cycle für interne Mitarbeiter umgesetzt.
Feinkonzeption und Businessrollenmodell
Für die Erstellung der fachlichen und technischen Feinkonzepte mit allen notwendigen Ausnahmeregelungen konnte auf eine Vielzahl von deron Vorlagen und Erfahrungswerten zurückgegriffen werden, so dass die Feinkonzepte innerhalb weniger Monate fertiggestellt waren. Der komplexeste, methodisch anspruchsvollste Teil der Konzeption, das Businessrollenmodell, wurde mit Hilfe einer Rollenanalyse entwickelt.
Hierbei wurden Top Down: Organisationsdaten wie Standort, Abteilungszugehörigkeit, Tätigkeit, Querschnittsfunktion etc. auf Ihre Berechtigungsrelevanz hin analysiert.
Bottom Up: Berechtigungsdaten aus den Zielsystemen (Active Directory, Lotus Notes, SAP und Host-system) analysiert und validiert und dann über differenzierte Syntheseverfahren in ein gemeinsames Modell überführt. Deron berücksichtigte alle SoDs auch über Systemgrenzen hinweg. Für die anspruchsvolle Analyse der Berechtigungen setzte deron selbst entwickelte Mining Werkzeuge ein.
Implementierung
deron implementierte das System mit dem bewährten 3 Stufen Modell (Entwicklung, Test, Produktion). Eine partielle Qualitätssicherung durch den Kunden konnte bereits durchgeführt werden, während weitere Elemente noch entwickelt wurden. Das Projekt hielt Schritt mit dem straffen Zeitplan und auch die Nutzung der Ressourcen des Kunden verlief schonend. Nach Abschluss aller Integrationstest erfolgte eine Datenbereinigung und -migration des bisherigen Berechtigungsbestandes auf die neue IdM Plattform, die damit produktiv genommen wurde. Die Eigenentwicklung des Kunden war vollständig abgelöst.