Nutzen und strategische Bedeutung von Identity and Access Management

Vertrauen ist in unserer Zeit des permanenten, schnellen Wandels ein zunehmend wichtiger Wert. Auch Versicherungsunternehmen (VU) und ihre Geschäfts- und Kooperationspartner gründen ihren wirtschaftlichen Erfolg auf Vertrauen und die daraus entstehende Reputation. Umgekehrt ist im Fehlerfall die mühsam aufgebaute Reputation sehr schnell aufgebraucht und vernichtet innerhalb kürzester Zeit enorme Werte. 

Umso erstaunlicher ist es, wenn Unternehmen im Umgang mit regulatorischen Erfordernissen oder durch die minimalistische Umsetzung sicherheitsrelevanter Maßnahmen nicht kalkulierbare Risiken eingehen. Das Erkennen der strategischen Bedeutung und der Notwendigkeit des aktiven Managements potenzieller Sicherheitsrisiken und regulatorischer Anforderungen ist ein Erfolgsfaktor für Versicherungsunternehmen.         

Sind Sie sicher? 

Die meisten fachlichen Initiativen und technischen Veränderungen im Versicherungsunternehmen haben inzwischen direkten Einfluss auf GRC (Governance, Risk, Compliance) und damit explizit auch auf das Berechtigungsmanagement (Identity und Access Management). Dazu kommen ständig wachsende regulatorische Anforderungen, wie bspw. die Umsetzung der „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT). Diese fordert ein zentrales Berechtigungsmanagement, das mit einheitlichen Verfahren und Standards eine revisionssichere Vergabe der Berechtigung auf Unternehmensebene gewährleistet und durch geeignete Werkzeuge bzw. qualifiziertes Personal unterstützt. 

Nach ersten Prüfungen des Bafin wird Benutzerberechtigungsmanagement bei über 50% der geprüften VUs Benutzer- und Zugriffsrechte nicht im geforderten Maße gesteuert und überwacht. In der Folge können unberechtigte Zugriffe auf vertrauliche Informationen nicht verhindert werden. Solche „Incidents“ (Vorfälle) haben weitreichende negative Folgen für ein Versicherungsunternehmen. In der Außendarstellung geht durch die Bestrafung für den datenschutzrechtlichen Verstoß Reputation und Vertrauen verloren. Zusätzlich verstärkt sich der wirtschaftliche Schaden dadurch, dass zur schnellen Behebung der Defizite ungeplante und meist hohe Kosten entstehen. 

Die Ursachen für Lücken beim berechtigten Zugriff auf schützenswerte Daten im IAM sind vielschichtig. Meist existieren komplexe Anwendungslandschaften mit entsprechenden heterogenen technischen und organisatorischen Strukturen. Unzureichende Umsetzungen von einzelthemengetriebenen Anpassungen oder systemindividuelle IAM Prozesse machen Zugriffe nur schwer nachvollziehbar und Kontrollen aufwendig oder unvollständig. Durch die fehlende Anbindung von Fachanwendungen an ein zentrales und übergeordnetes Berechtigungssystem sind Benutzerprofile und Authentifizierungsverfahren häufig weder konsistent noch einheitlich. Ein schnelles Identifizieren und Beheben widersprüchlicher Berechtigungen, Missbrauch von Administratorenrechten oder fehlerhafte Freigabeprozesse (z.B. das Aufheben des Vier-Augen-Prinzips) sind ohne den Einsatz von Werkzeugen nicht umsetzbar.  

Sicher ist, dass die Anforderungen mehr werden 

Alle IAM Prozesse, Systeme, Schnittstellen sowie Fach- und IT-Prozesse müssen regelmäßig durch Steuerungs- und Kontrollmechanismen fachlich und technisch überprüft werden. Dadurch werden Lücken sichtbar, die dann gezielt und umgehend geschlossen werden können. Eine auditsichere und umfangreiche Automatisierung der Vergabe von Zugriffsberechtigungen kann die Prozesse für das Berechtigungsmanagement verbessern und entsprechende Kontroll- und Dokumentationsmechanismen bereitstellen. Der Einsatz von Systemen, wie bspw. die Einführung von SAP GRC Access Control hilft dabei, die zunehmend komplexe Landschaft zu strukturieren und wo möglich zu automatisieren. 

Wir helfen Ihnen, auf der sicheren Seite zu sein 

Bei der auf die Belange Ihres Hauses abgestimmten, fachlichen Beratung durch Krause & Schopp, analysieren wir gemeinsam mit Ihnen Ihre bestehenden Berechtigungskonzepte, deren Konsistenz und technische Umsetzung innerhalb Ihrer IT-Landschaft. Wir prüfen Ihre fachlichen und technischen Strukturen ganzheitlich und E2E für die jeweiligen Situationen und Zusammenhänge: 

  • Review Ihrer IAM Landschaft inkl. Risikoanalyse 
  • Überprüfung auf das „Need to Know“-Prinzip bei Berechtigungen 
  • IAM im Rahmen einer Projektunterstützung 
  • Prozessberatung Ihrer IAM Prozesse und Abläufe sowie 
  • die Auswahl und Implementierung oder Erweiterung von IAM Software

     

Durch die Prüfung der bestehenden IAM Strukturen und Prozesse suchen wir gezielt nach Zugriffsrisiken (fachlich, technisch und organisatorisch) oder Lücken. Mit unserem Know-How und unserer Erfahrung helfen wir bei der Konzeptionierung und Umsetzung von notwendigen Anpassungen in den Prozessen, Strukturen sowie beim Design von Berechtigungsstandards und Rollen und Berechtigungen. Zusätzlich unterstützen wir Sie bei der Herstellerauswahl und Einführung unterstützender Tools (z.B. SAP GRC, ILM, Access Control).