Als Versicherungsunternehmen mit sensiblen Daten unterliegt «die Bayerische» strengen Regulatorien, ihre IT-Systeme werden regelmäßig von externen Stellen überprüft. Ein besonderes Augenmerk gilt dabei den Zugriffsrechten auf die IT-Infrastruktur. Täglich loggen sich tausende Nutzerinnen und Nutzer von intern und extern in die Systeme ein. Die vorschriftsgemässe Verwaltung dieser Accounts und ihrer Rechte ist Voraussetzung, um die strengen regulatorischen Anforderungen einzuhalten.

Um Sicherheitslücken vorzubeugen und die hohen regulatorischen Anforderungen zu erfüllen, entschied sich «die Bayerische» für die Implementierung eines auf ihren Bedarf zugeschnittenen Identity- und Access-Management-Systems (IAM). Dabei konnte – und kann – sie sich auf die Unterstützung der kompetenten Expertinnen und Experten von IPG verlassen.

Handlungsbedarf beim korrekten Umgang mit privilegierten Nutzern

Die jährliche Überprüfung der IT-Systeme im Rahmen des Jahresabschlusses durch externe Wirtschaftsprüfer ergab, dass bei der Kontrolle, Überwachung, Sicherung und Prüfung der Identitäten und Zugriffsrechte Handlungsbedarf bestand. Die Einführung eines zentralen IAM-Systems soll diesen Umstand aus der Welt schaffen und künftig eine maximale Sicherheit gewährleisten. Der Auftrag an den externen Partner lautete, die Verantwortlichen bei «der Bayerischen» bei der Auswahl einer geeigneten IAM-Lösung zu unterstützen. Nach erfolgreichem Abschluss der Selektion wurde IPG gebeten, die gewählte Identity- und Access-Management-Lösung von One Identity zu implementieren. Zielsetzung war ein zentrales IAM-System mit SAP HCM als Datenlieferant für Identitäten. Die bestehenden dezentralen Strukturen sollen mittelfristig aufgelöst werden.

Die Einführung eines zentralen IAM-Systems sollte einerseits Konformität gegenüber den regulatorischen Anforderungen der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) der Bafin und andererseits ein hohes Sicherheitslevel gegen mögliche Cyberangriffe leisten. Der Effizienzsteigerung in den Prozessen kam anfangs eine zweitrangige Rolle zu, sie erwies sich mit der Zeit jedoch als willkommener Zusatznutzen.

Ergänzend zum IAM soll auch die Verwaltung und Überwachung der Konten mit besonders umfassenden Rechten – Privileged Accounts ­– auf den neuesten Stand gebracht werden.

Definition sämtlicher relevanter Kriterien bereits beim Projektstart

Der Feststellung der Wirtschaftsprüfer und dem daraus resultierenden Auftrag des Vorstands folgte die Evaluation eines IAM-Partners, der für die Umsetzung des komplexen Unterfangens über die notwendige Erfahrung verfügt. Für die Wahl der passenden Lösung braucht dieser zudem umfassende Marktkenntnisse. Die Wahl fiel auf IPG – unter anderem, weil sie Hersteller-neutral und seit 2021 Teil der TIMETOACT Group ist, mit der «die Bayerische» bereits eine hervorragende Zusammenarbeit pflegt. Die IAM-Erfahrung und -Kompetenz der IPG waren somit bestens bekannt.

In einem gemeinsamen Workshop definierten die Business Consultants von IPG und «der Bayerischen» auf Basis eines Kataloges mit 200 Punkten die für das Versicherungsunternehmen relevanten Kriterien. Als nächsten Schritt erarbeitete IPG ein Grundkonzept mit Zieldefinition, Bestimmung des Datenlieferanten sowie der Festlegung, welche Systeme künftig provisioniert und administriert werden sollen. Das nachfolgende Feinkonzept regelte detailliert die einzelnen Schnittstellen und wer sie als Master pflegt. Eine Besonderheit stellte das extern gehostete SAP HCM-System dar, aus dem das IAM seine Personendaten bezieht. Der betreibende Dienstleister wurde dafür ins Projekt und die laufenden Prozesse einbezogen; alle anderen SAP-Systeme werden intern betrieben.

Noch während des laufenden IAM-Projekts suchte man einen Partner für die Evaluation und Umsetzung einer entsprechenden Privileged-Access-Management-Lösung (PAM). Auch dieses Mal überzeugte IPG.

Noch im Jahr 2024 wird die Umsetzung des IAM gemäß Zeitplan finalisiert und auch die PAM-Lösung eingeführt sowie weitere Systeme und Applikationen danach sukzessive angebunden.

Viele Köche verderben nicht den Brei – sie führen zum Erfolg

In das Projekt «Einführung eines IAM- und eines PAM-Systems» waren verschiedene Akteure mit unterschiedlichen Ansprüchen involviert: «die Bayerische» mit dem Partner IPG, die KPMG und der externe SAP-Dienstleister. Es musste in der Startphase eine gemeinsame Basis zur Kooperation gefunden werden, um das Vorhaben erfolgreich umsetzen zu können. Dabei galt es, beim Vorstand Akzeptanz für die beiden kosten- und ressourcenintensiven Projekte zu schaffen – für ein mittelständisches Unternehmen zwei bedeutende Faktoren. Gegenüber den Mitarbeitenden, dem Datenschutz und den Betriebsräten mussten Unsicherheiten hinsichtlich künftiger Kontrollen und Überwachungen durch die Systeme abgebaut werden. Bei einem Projekt dieser Größe, das sich über mehrere Jahre hinzieht, gab es im Verlauf der Zeit personelle Umstellungen. Diese hat man jeweils genutzt, um eingespielte Abläufe und Prozesse zu überprüfen und gegebenenfalls anzupassen.

Regulatorische Konformität und Datensicherheit

Mit der Einführung eines IAM- und PAM-Systems erfüllt «die Bayerische» nicht nur alle regulatorischen Anforderungen und ist optimal gegen Cyberangriffe geschützt – per Projektende wird auch die konforme Behandlung hochprivilegierter Nutzer klar geregelt sein.

Auf einen Blick:

• Regulatorische Konformität zu den Anforderungen der VAIT
• Erhöhte Sicherheit gegen Cyberangriffe von außen und innen
• Erhöhte Sicherheit durch die zentralisierte Verwaltung komplexer Passwörter und Zertifikate
• Zentralisierte Nutzerverwaltung (Ein- und Austritte, Abteilungswechsel etc.)
• Verwaltung und Überwachung für privilegierte Nutzer
• Effizienzsteigerung bei internen Abläufen und Prozessen
• Schlankere Prozesse

Es gibt noch viel zu tun

Nach Inbetriebnahme des IAM und PAM werden nach und nach sämtliche Systeme der Versicherungsgruppe angebunden. Dass die IPG den Kunden dabei auch weiterhin unterstützt und begleitet, steht für Michael Brand und Tom Obermeier, Projektverantwortliche bei «der Bayerischen», außer Frage. Denn schon bei den ersten persönlichen Gesprächen stellten die Beteiligten rasch fest, dass die IPG nicht nur über eine umfassende Expertise verfügt, sondern dass es auch auf der zwischenmenschlichen Ebene passt und die Vertrauensgrundlage für eine erfolgreiche Kooperation gegeben ist.