Als Versicherungsunternehmen mit sensiblen Daten unterliegt «die Bayerische» strengen Regulatorien, ihre IT-Systeme werden regelmäßig von externen Stellen überprüft. Ein besonderes Augenmerk gilt dabei den Zugriffsrechten auf die IT-Infrastruktur. Täglich loggen sich tausende Nutzerinnen und Nutzer von intern und extern in die Systeme ein. Die vorschriftsgemässe Verwaltung dieser Accounts und ihrer Rechte ist Voraussetzung, um die strengen regulatorischen Anforderungen einzuhalten.
Um Sicherheitslücken vorzubeugen und die hohen regulatorischen Anforderungen zu erfüllen, entschied sich «die Bayerische» für die Implementierung eines auf ihren Bedarf zugeschnittenen Identity- und Access-Management-Systems (IAM). Dabei konnte – und kann – sie sich auf die Unterstützung der kompetenten Expertinnen und Experten von IPG verlassen.
Regulatorische Konformität und Cybersicherheit im Blickpunkt des Versicherungsunternehmens
Auftrag und Zielsetzung
Handlungsbedarf beim korrekten Umgang mit privilegierten Nutzern
Die jährliche Überprüfung der IT-Systeme im Rahmen des Jahresabschlusses durch externe Wirtschaftsprüfer ergab, dass bei der Kontrolle, Überwachung, Sicherung und Prüfung der Identitäten und Zugriffsrechte Handlungsbedarf bestand. Die Einführung eines zentralen IAM-Systems soll diesen Umstand aus der Welt schaffen und künftig eine maximale Sicherheit gewährleisten. Der Auftrag an den externen Partner lautete, die Verantwortlichen bei «der Bayerischen» bei der Auswahl einer geeigneten IAM-Lösung zu unterstützen. Nach erfolgreichem Abschluss der Selektion wurde IPG gebeten, die gewählte Identity- und Access-Management-Lösung von One Identity zu implementieren. Zielsetzung war ein zentrales IAM-System mit SAP HCM als Datenlieferant für Identitäten. Die bestehenden dezentralen Strukturen sollen mittelfristig aufgelöst werden.
Die Einführung eines zentralen IAM-Systems sollte einerseits Konformität gegenüber den regulatorischen Anforderungen der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) der Bafin und andererseits ein hohes Sicherheitslevel gegen mögliche Cyberangriffe leisten. Der Effizienzsteigerung in den Prozessen kam anfangs eine zweitrangige Rolle zu, sie erwies sich mit der Zeit jedoch als willkommener Zusatznutzen.
Ergänzend zum IAM soll auch die Verwaltung und Überwachung der Konten mit besonders umfassenden Rechten – Privileged Accounts – auf den neuesten Stand gebracht werden.
Vorgehen und Methodik
Definition sämtlicher relevanter Kriterien bereits beim Projektstart
Der Feststellung der Wirtschaftsprüfer und dem daraus resultierenden Auftrag des Vorstands folgte die Evaluation eines IAM-Partners, der für die Umsetzung des komplexen Unterfangens über die notwendige Erfahrung verfügt. Für die Wahl der passenden Lösung braucht dieser zudem umfassende Marktkenntnisse. Die Wahl fiel auf IPG – unter anderem, weil sie Hersteller-neutral und seit 2021 Teil der TIMETOACT Group ist, mit der «die Bayerische» bereits eine hervorragende Zusammenarbeit pflegt. Die IAM-Erfahrung und -Kompetenz der IPG waren somit bestens bekannt.
In einem gemeinsamen Workshop definierten die Business Consultants von IPG und «der Bayerischen» auf Basis eines Kataloges mit 200 Punkten die für das Versicherungsunternehmen relevanten Kriterien. Als nächsten Schritt erarbeitete IPG ein Grundkonzept mit Zieldefinition, Bestimmung des Datenlieferanten sowie der Festlegung, welche Systeme künftig provisioniert und administriert werden sollen. Das nachfolgende Feinkonzept regelte detailliert die einzelnen Schnittstellen und wer sie als Master pflegt. Eine Besonderheit stellte das extern gehostete SAP HCM-System dar, aus dem das IAM seine Personendaten bezieht. Der betreibende Dienstleister wurde dafür ins Projekt und die laufenden Prozesse einbezogen; alle anderen SAP-Systeme werden intern betrieben.
Noch während des laufenden IAM-Projekts suchte man einen Partner für die Evaluation und Umsetzung einer entsprechenden Privileged-Access-Management-Lösung (PAM). Auch dieses Mal überzeugte IPG.
Noch im Jahr 2024 wird die Umsetzung des IAM gemäß Zeitplan finalisiert und auch die PAM-Lösung eingeführt sowie weitere Systeme und Applikationen danach sukzessive angebunden.
Herausforderungen
Viele Köche verderben nicht den Brei – sie führen zum Erfolg
In das Projekt «Einführung eines IAM- und eines PAM-Systems» waren verschiedene Akteure mit unterschiedlichen Ansprüchen involviert: «die Bayerische» mit dem Partner IPG, die KPMG und der externe SAP-Dienstleister. Es musste in der Startphase eine gemeinsame Basis zur Kooperation gefunden werden, um das Vorhaben erfolgreich umsetzen zu können. Dabei galt es, beim Vorstand Akzeptanz für die beiden kosten- und ressourcenintensiven Projekte zu schaffen – für ein mittelständisches Unternehmen zwei bedeutende Faktoren. Gegenüber den Mitarbeitenden, dem Datenschutz und den Betriebsräten mussten Unsicherheiten hinsichtlich künftiger Kontrollen und Überwachungen durch die Systeme abgebaut werden. Bei einem Projekt dieser Größe, das sich über mehrere Jahre hinzieht, gab es im Verlauf der Zeit personelle Umstellungen. Diese hat man jeweils genutzt, um eingespielte Abläufe und Prozesse zu überprüfen und gegebenenfalls anzupassen.
Ergebnis
Regulatorische Konformität und Datensicherheit
Mit der Einführung eines IAM- und PAM-Systems erfüllt «die Bayerische» nicht nur alle regulatorischen Anforderungen und ist optimal gegen Cyberangriffe geschützt – per Projektende wird auch die konforme Behandlung hochprivilegierter Nutzer klar geregelt sein.
Auf einen Blick:
- Regulatorische Konformität zu den Anforderungen der VAIT
- Erhöhte Sicherheit gegen Cyberangriffe von außen und innen
- Erhöhte Sicherheit durch die zentralisierte Verwaltung komplexer Passwörter und Zertifikate
- Zentralisierte Nutzerverwaltung (Ein- und Austritte, Abteilungswechsel etc.)
- Verwaltung und Überwachung für privilegierte Nutzer
- Effizienzsteigerung bei internen Abläufen und Prozessen
- Schlankere Prozesse
Es gibt noch viel zu tun
Nach Inbetriebnahme des IAM und PAM werden nach und nach sämtliche Systeme der Versicherungsgruppe angebunden. Dass die IPG den Kunden dabei auch weiterhin unterstützt und begleitet, steht für Michael Brand und Tom Obermeier, Projektverantwortliche bei «der Bayerischen», außer Frage. Denn schon bei den ersten persönlichen Gesprächen stellten die Beteiligten rasch fest, dass die IPG nicht nur über eine umfassende Expertise verfügt, sondern dass es auch auf der zwischenmenschlichen Ebene passt und die Vertrauensgrundlage für eine erfolgreiche Kooperation gegeben ist.
Kundenstimme
Die Zusammenarbeit mit IPG findet stets auf Augenhöhe statt. Unsere beiden Unternehmen haben eine ähnliche Grösse und eine vergleichbare Struktur. Die Wege sind auf allen Ebenen kurz und persönlich, die Zuständigkeiten klar. Wir pflegen eine offene Kommunikation und meistern Herausforderungen gemeinsam und lösungsorientiert. Auf beiden Seiten arbeiten Menschen für Menschen. Wir bauen langfristig auf die Unterstützung durch IPG, auch wenn wir dank Schulungen und Coachings künftig viele Schritte selbst abwickeln können. Mit IPG haben wir den Wunschpartner gefunden.
Michael BrandDisziplinarischer Vorgesetzter, IT-Governance, -Risk und -ComplianceDie BayerischeMit der Bayerischen pflegen wir eine wirklich schöne Zusammenarbeit, die Spass macht. Bei allfälligen Herausforderungen fanden und finden wir dank perfekter Abstimmung jederzeit eine pragmatische und fristgerechte Lösung. Es passt einfach alles. Wir freuen uns, dass es nach der Inbetriebnahme von IAM und PAM mit der Anbindung anderer Systeme weitergeht und unterstützen das Team der Bayerischen sehr gerne auch in Zukunft.
Carsten HufnagelManaging Director GermanyIPGÜber «die Bayerische»
Die mittelständische Versicherungsgruppe «die Bayerische» wurde 1858 gegründet.
Die Gruppe besteht aus den Gesellschaften «Bayerische Beamten Lebensversicherung a.G.» (Konzernmutter), «BL die Bayerische Lebensversicherung AG» und der Kompositgesellschaft «BA die Bayerische Allgemeine Versicherung AG». Die gesamten Beitragseinnahmen der Gruppe betragen rund 914 Millionen Euro. Mehr als 12‘000 persönliche Berater stehen den rund 1,1 Millionen Kunden der Bayerischen bundesweit zur Verfügung. Teil «der Bayerischen» zu sein bedeutet, Teil eines engagierten Teams zu sein, das die Welt positiv verändern möchte. Hier kann jeder seine Ideen einbringen, Innovationen vorantreiben und gleichzeitig den Rückhalt und die Sicherheit eines stabilen, traditionsreichen Unternehmens geniessen. Aktuell ist «die Bayerische» das berufliche Zuhause von über 900 Menschen (inkl. Selbstständigem Aussendienst)