Cloud Security

Banken haben Nachholbedarf in Sachen IAM

15.10.2021 von Christian Nern
Mit einem ausgereiften Identity and Access Management lässt sich die IT-Sicherheit auch in der Cloud erhöhen. Doch viele Banken vernachlässigen das Thema.
Ein übergreifendes Identity and Access Management hilft, sowohl On-Premise- als auch Cloud-Systeme sicher zu verwalten.
Foto: LeoWolfert - shutterstock.com

Die Digitalisierung hat 2020 in Banken und Versicherungen Fahrt aufgenommen: Waren viele Institute in der Vergangenheit noch zögerlich und scheuten vor Investitionen zurück, hat die Corona-Pandemie die Geschwindigkeit der digitalen Transformation deutlich erhöht. So haben sich allein durch den Wechsel ins Home-Office die technischen Anforderungen stark verändert. Angestellte müssen reibungslos und ohne Einschränkungen auch von zu Hause aus ihrer Arbeit nachgehen können. Eine Digitalisierung der Geschäftsprozesse ist für Banken und Versicherer deshalb auf der Agenda ganz nach oben gerückt. Neben dem Weg in die Cloud ist die Automatisierung von Abläufen entscheidend, um die dringend benötigte Effizienz, Kostenoptimierung und Skalierbarkeit zu erreichen.

Oftmals unterläuft den Unternehmen aber gleich zu Beginn ein entscheidender Fehler: Sie tendieren dazu, die Cloud als eigenständiges, separates System statt als eine Erweiterung der vorhandenen IT zu betrachten. Das kann die IT-Infrastruktur unnötig komplex machen und die eigentlich beabsichtigte Effizienz schmälern - etwa, wenn zwei isolierte Systeme existieren, die zu doppelter "Login"-Datenhaltung führen. Darüber hinaus drohen weitere Folgen für die IT-Sicherheit: Werden die Security-Systeme der eigenen Rechenzentren (On Premises) und der Cloud-Anwendungen nicht als ganzheitliches Konstrukt angesehen, zum Beispiel durch ein übergreifendes Identity and Access Management (IAM), entstehen Sicherheitslücken.

Hacker nutzen solche Schwachstellen gnadenlos aus, wie die zunehmende Zahl an Angriffsvektoren während der Corona-Pandemie gezeigt hat. Dabei gilt nach wie vor: Die größte Gefahr bei Hackerangriffen geht zu gleichen Teilen von der Architektur sowie vom Menschen aus. Deshalb sollten Finanzinstitute die Cloud und alle darauf bezogenen Anwendungen stets in die bereits vorhandene IT-Infrastruktur integrieren, statt auf Insellösungen zu setzen. So neutralisieren sie von Beginn an Schwachstellen, die sonst bei der Nutzung heterogener Systeme leicht entstehen können. Dennoch sind auch homogene IT-Landschaften nicht vor Sicherheitslücken gefeit, etwa beim Zugriff auf die Cloud. Mit einem durchdachten Identity and Access Management lassen sich Einfallstore für Hacker aber schnell schließen.

Frust vermeiden, ganzheitlichen Ansatz wählen

Ein weiterer Pluspunkt eines zentralen IAM: Es sorgt für übersichtliche und klare Strukturen, die den Vorgaben der Regulatorik entsprechen. Doch allzu oft kümmern sich die Verantwortlichen der Institute nicht ausreichend um die eindeutige Zuordnung von Rechten innerhalb des Unternehmens. Denn zunächst bedeutet die Etablierung eines IAM mit End-to-End-Ansatz viel Arbeit, die oftmals unnütz erscheint, da mitunter die Einführung einer technischen IAM-Lösung schon ausreichen könnte.

Umso größer sind Frust und Enttäuschung, wenn das gewünschte Ergebnis nicht eintritt. Deshalb ist es wichtig, sich bewusst zu machen, wie ein IAM unternehmensweit aufgebaut werden muss und welche Schritte dafür nötig sind - angefangen bei Benutzer-, Rollen- und Berechtigungsstrukturen über das Prozessdesign bis hin zur technischen Umsetzung. Ein wirklicher Mehrwert ergibt sich, wenn fachliche und technische Verantwortliche frühzeitig identifiziert sind und zusammenarbeiten. Zudem sollten organisatorische Abläufe mitsamt den institutseigenen Besonderheiten bei der Implementierung berücksichtigt werden.

Dazu gehört, in einem ersten Schritt ein unternehmensweites Berechtigungskonzept inklusive notwendiger Prozesse und Kontrollen (zum Beispiel Joiner-Mover-Leaver und Rezertifizierungen) zu erarbeiten. Zeitgleich müssen sich die Experten einen Überblick über die an das IAM anzubindenden IT-Systeme verschaffen - sowohl On-Premises als auch Cloud-basiert. Da eine heterogene Systemlandschaft die Komplexität erhöht, gilt es an dieser Stelle, weitgehend auf Einheitlichkeit zu achten. Dies wirkt einer Verkomplizierung der Infrastruktur durch die Ergänzung eines IAM entgegen und ermöglicht eine risikoorientierte Vorgehensweise bei der Anbindung der Quell- und Zielsysteme. Zusätzlich legt es den Grundstein für eine künftige Automatisierung von Prozessen, da einheitliche Schnittstellen und Konnektoren (zum Beispiel LDAP oder REST API) für Best Practises genutzt werden können.

IAM ist kein reines IT-Thema. Es betrifft das gesamte Unternehmen. Dabei ist die Einbindung der Fachbereiche als Informationseigentümer entscheidend für den nachhaltigen Erfolg. Für eine pragmatische Umsetzung in Financial Services helfen vorkonfigurierte Lösungspakete. Diese bestehen aus fachlichen und technischen Templates sowie Vorgehensmodellen auf Basis von Erfahrungswerten und IT-Lösungen wie Sailpoint oder CyberArk.

Die Top-CIOs der Banken
Rainer Neske
Rainer Neske, Vorsitzender des Vorstands der Landesbank Baden-Württemberg (LBBW), hat im Januar 2018 die Zentralbereiche Finanzen und Informationstechnologie mitübernommen. Zuvor hatte zuletzt Alexander von Uslar die CIO-Funktion inne.
Heiko Burdack
Der CIO der Signal Iduna Gruppe, Heiko Burdack, wechselte zum 1. Februar 2023 als Chief Technology Officer zur Commerzbank.
Gerhard Grebler
Seit Januar 2018 ist Grebler bei der Landesbausparkasse (LBS Bayern) für die Bereiche IT, Personal und Revision verantwortlich.
Melanie Kehr
IT-Verantwortliche bei der staatlichen Förderbank KfW (Kreditanstalt für Wiederaufbau) ist seit April 2018 Melanie Kehr. Seit 2014 leitete sie als Bereichsleiterin Group IT den Bereich Informationstechnologie der BayernLB. Zunächst war Kehr Generalbevollmächtige der KfW, seit März 2019 ist sie auch Vorstandsmitglied der Bank.
Tobias Schmitt
Tobias Schmitt ist CIO der NRW.Bank Düsseldorf/Münster. Im Jahr 2010 wählte ihn die Jury vom Wettbewerb "CIO des Jahres 2010" zu einem der besten IT-Verantwortlichen in der Kategorie Mittelstand.
Mike Dargan
Head of Information Technology bei der Schweizer Bank UBS ist seit Mitte September 2016 Mike Dargan. Er arbeitet in Zürich und gehört dem Group COO Executive Committee der Bank an. Dargan war zuletzt CIO des Corporate and Institutional Banking der Standard Chartered Bank und dort für die End-to-End-Technologie und Betriebsprozesse dieser Geschäftsfelder zuständig.
Simone Bock
Der Finanzdienstleister State Street Bank International GmbH hat Simone Bock zum Head of IT ernannt. Seit dem 1. Dezember 2022 leitet Bock von München aus die IT der State Street Bank International GmbH (SSBI). Die erfahrene IT-Managerin kommt von der BNP Paribas Group.
Bernd Leukert
Bernd Leukert wurde am 1. Januar 2020 Vorstand für Technologie, Daten und Innovation der Deutschen Bank. Von 2014 bis 2019 war Leukert Technikvorstand bei SAP, wo er 1994 seine Karriere begann.
Stephan Tillack
Stephan Tillack (49) verantwortet seit 2014 den IT-Bereich der Norddeutschen Landesbank (NORD/LB). Unter seiner Verantwortung wurden in den letzten Jahren diverse Modernisierungs- und Standardisierungsmaßnahmen vorgenommen, u.a. wurde die IT-Plattform für das Wholesale-Kreditgeschäft ausgetauscht, die Integrationsarchitektur für die dispositiven Daten erneuert und eine neue Core-Banking Plattform für die ausländischen Niederlassungen eingeführt. Die komplette Client/Server-Architektur inkl. Bürokommunikation wurde auf Microsoft-Standard überführt, die bestehenden Rechenzentren konsolidiert, das IT Risikomanagement grundlegend modernisiert, ein Innovations- und ein Datenlabor aufgebaut und die gesamte IT der Bremer Landesbank in die NORD/LB integriert. Stephan Tillack ist seit 1999 in diversen Führungsaufgaben bei der NORD/LB tätig.
Hans-Jürgen Plewan
Hans-Jürgen Plewan ist seit 2013 Head of Group IT in der DekaBank. Zuvor führte der promovierte Informatiker die Geschäfte der Finanz Informatik Solutions Plus (FISP), einer Tochter der Finanz Informatik (FI). Die FI ist zentraler IT-Dienstleister der Sparkassen. Die DekaBank ist das Wertpapierhaus der Sparkassen. Im Vorstand vertritt seit Mai 2019 COO Daniel Kapffer die IT.
Aysel Osmanoglu
Aysel Osmanoglu ist seit Januar 2016 IT-Vorstand bei der GLS Bank in Bochum (vormals Ökobank), zuständig für Infrastruktur/IT. Die BaFin muss der Berufung noch zustimmen. Osmanoglu stieg 2006 als Trainee ein und wurde 2013 zur Bereichsleiterin Basisgeschäft Marktfolge ernannt. Sie absolvierte ein Studium der Volks- und Betriebswirtschaftslehre, zugleich ist sie diplomierte Bankbetriebswirtin Management der Akademie Deutscher Genossenschaften.
Rudolf Hoyer
Der Diplom-Informatiker Rudolf Hoyer ist seit September 2012 Leiter des Unternehmensbereiches Informationstechnologie und Organisation bei der Hamburger Sparkasse (Haspa). Seit 2009 leitet Hoyer bei der Haspa den Unternehmensbereich „Produktivität und Prozesse“. Davor war er im Stabsbereich der NRS Norddeutsche Retail-Service AG (ein Unternehmen der HASPA-Gruppe) tätig. Bis 2005 arbeite Hoyer bei der HypoVereinsbank in Hamburg und München, wo er die Integration der Vereins- und Westbank begleitete. Von 2005 bis 2007 verantwortete er in der VR Kreditwerk AG das Kreditprocessing in Norddeutschland.
Dorothée Appel
Seit Oktober 2020 arbeitet Dorothée Appel als Chief Information Officer für Retail Banking, Commercial Banking und Functions (RCBF) in der Abteilung Innovation & Technology der ABN Amro.
Michael Clijdesdale
Seit dem 1. April 2022 ist Michael Clijdesdale Chief Information Officer im Vorstand der ING Deutschland.
Volker Stadler
Volker Stadler ist seit September 2017 Geschäftsführer der Volkswagen Bank GmbH und dort verantwortlich für Operations und Informationstechnologie. Stadler war zuvor Abteilungsleiter Steering & Strategy IT der Volkswagen Financial Services AG.
Christian Brauckmann
Nach der Fusion von DZ Bank (Deutsche Zentral-Genossenschaftsbank) und WGZ Bank (Westdeutsche Genossenschafts-Zentralbank) zum August 2016 ist Christian Brauckmann neuer Vorstand für IT und Organisation. Er war bei der WGZ Bank zuvor zuständig für die Bereiche Financial Markets Operations, Zahlungsverkehr und Organisation und Betrieb.
Christiane Vorspel
Christiane Vorspel ist seit Oktober 2024 COO im Vorstand der Commerzbank und verantwortet damit auch die IT. Sie kommt von der LBBW.
Joachim Wuermeling
Der Jurist Joachim Wuermeling ist seit Anfang November 2016 offiziell Mitglied im Vorstand der Deutschen Bundesbank. Der Vorstand der Deutschen Bundesbank hat auch die Ressortzuständigkeiten neu verteilt. Wuermeling übernahm die Verantwortung für die Bereiche Informationstechnologie und Märkte. Wuermeling war von 1999 bis 2005 Europaabgeordneter der CSU und von 2005 bis 2008 beamteter Staatssekretär im Bundeswirtschaftsministerium. Dann wechselte er in die Hauptgeschäftsführung des Gesamtverbandes der Deutschen Versicherungswirtschaft, danach wurde er Vorsitzender des Verbandes der Sparda-Banken in Frankfurt.
Alexander Neumann
Bei der Bausparkasse Schwäbisch Hall hat im November 2016 Alexander Neumann die Position des Leiters IT-Steuerung übernommen. Neumann kommt aus dem eigenen Haus: Zuletzt arbeitete er bei der Schwäbisch Hall Kreditservice AG, ein Finanzdienstleister im Kredit-, Bauspar- und Förderkreditgeschäft, als Bereichsleiter IT-Lösungen und Projekte.
Axel Schnuck
Axel Schnuck ist seit Dezember 2016 Head of Information Technology bei der Deutsche Pfandbriefbank AG (pbb) in Unterschleißheim bei München. Schnuck war zuvor 13 Jahre in der zur DZ-Bank gehörenden Schwäbisch Hall Gruppe tätig.
Manuela Bieß
Manuela Bieß (Foto) und Jürgen Wiedmann leiten seit Januar 2018 gemeinsam den Bereich "Informationstechnologie" der Helaba. Der Bereich "Organisation und Informatik" wurde zum 1. Januar 2018 in die zwei eigenständigen Bereiche "Organisation“ und „Informationstechnologie" geteilt.
Wolfgang Ludwig
Wolfgang Ludwig ist seit Juli 2018 neuer Bereichsleiter Group IT/CIO der BayernLB. Der CIO berichtet an den CFO/COO der Bank. Ludwig arbeitet bereits seit 1996 für die BayernLB. Er hat im Zuge seiner Laufbahn verschiedene Fach- und Führungsfunktionen in München inne. Einige Jahre war er auch in der Niederlassung London tätig.
Andreas Fahrni
Als Nachfolger von Urs Monstein übernahm Andreas Fahrni formal ab Juni 2018 die Rolle als Global Head IT der Bank Julius Bär. Nebst der Führung der globalen IT-Organisation der Bank mit Entwicklungs- und Betriebszentren in Zürich, Singapur und Luxembourg, haben für ihn die agile Transformation, die Digitalisierung des Bankkundengeschäfts und die Harmonisierung des globalen Betriebsmodels Priorität. Zuvor war Fahrni seit 2008 in der Bank Julius Bär in verschiedenen Funktionen tätig. Nach dem Master als Dipl. El.-Ing. ETHZ er zudem in verschiedenen Software-Entwicklungsprojekten bei der Firma Accenture in führenden Funktionen tätig.
Ulrich Reidel
Der promovierte Wirtschaftswissenschaftler Ulrich Reidel ist seit Juli 2019 Chief Information Officer der Baader Bank mit Sitz in Unterschleißheim bei München. Zuvor war Reidel als CIO und CDO für die Südleasing und Südfactoring tätig, Töchter der Landesbank Baden-Württemberg (LBBW). Reidel hatte seine berufliche Laufbahn bei der Excelsis Business Technology begonnen. Weitere Stationen führten ihn über die Börse Stuttgart (Abteilungsleiter Projekt- und IT-Controlling / Bereichsleiter IT Service Management) und die MBtech Group (Leiter Software Standards and Integration).
Sandra Kagerer
Sandra Kagerer besetzt seit 1. April die neu geschaffene Position des Head of IT der Airbus Bank in München. Sie berichtet an Matthias Jacobs, Head of IT & Operations. Zuvor war Kagerer IT Governance Manager der Kapitalverwaltungsgesellschaft BayernInvest. Bis 2018 war die Finanzmathematikerin bei der Beratungsgesellschaft KPMG Deutschland unter anderem im Risk-Management tätig.
Jürgen-Hendrik Kuhn
Seit April 2024 ist Jürgen-Hendrik Kuhn IT-Chef der FNZ Bank SE und Fondsdepot Bank GmbH. Er kommt von HSBC Germany.
Francine Zimmermann
Francine Zimmermann hat im September 2017 die Leitung Auftragsmanagement bei der Finanz Informatik Technologie Service (FI-TS) mit Sitz in Haar bei München übernommen. Sie war zuvor 4,5 Jahre CIO bei der Häfen und Güterverkehr Köln AG (HGK).
David Mathers
Der Brite David Mathers ist seit Anfang Mai 2012 in Personalunion CFO und CIO bei der Credit Suisse. Die Schweizer Großbank hat ihre Bereiche Finance, Operations und IT zusammengelegt. Im Zuge dessen verließ der vormalige CIO Karl Landert die Bank.
Klaus Bremges
Seit Juli 2013 arbeitet Klaus Bremges als CIO der Portigon AG, diese ist die Rechtsnachfolgerin der WestLB. Die Portigon will zudem eine Service-Gesellschaft gründen, um Outsourcing-Dienstleistungen am Markt anbieten zu können. Bremges leitet auch die IT der Portigon Financial Services GmbH.

Regulatorik definiert die automatisierte Rechtevergabe

In Banken und Versicherern regeln Policy, Governance und Aufsicht klar, wie solche Rechte vergeben werden - etwa durch das Need-to-know-Prinzip und die Funktionstrennung. Dies setzt eine klare Definition der Rechte beziehungsweise zugehörige Rollenmodelle voraus. Zudem ist nicht jeder Mitarbeiter ein privilegierter User im Sinne eines Privileged Access Managements (PAM): So benötigen nur wenige Angestellte zum Beispiel Admin- oder Super-User-Rechte. Und Mitarbeiter im Fachbereich brauchen andere Zugriffsrechte als beispielsweise Dienstleister. Eine enge Zusammenarbeit mit den unternehmenseigenen Kontrollorganen zur Erarbeitung entsprechender Vorgaben in konzernweiten Richtlinien ist ein entscheidender Baustein zum Erfolg.

Zudem sollte die Abstufung der Rollen nicht zu filigran sein, sondern in festen Kategorien erfolgen. Existieren beispielsweise in einem Unternehmen mit 10.000 Mitarbeitern mehr als 60.000 Rollen, sorgt dies für eine vermeidbare Komplexität bei der Verwaltung der Rechte und wirkt sich negativ auf die Akzeptanz der Mitarbeiter aus. Schließlich müssen diese die entsprechenden Rollen beantragen, genehmigen und rezertifizieren. Die Kunst besteht darin, eine möglichst niedrige, dafür aber verständlich beschriebene Anzahl an Rollen zu erstellen, die dennoch den regulatorischen Vorgaben entsprechen. Dies bedeutet zum Beispiel, privilegierte Rechte möglichst in eigene Rollen zu bündeln, damit abteilungsweite Standardrollen - sogenannte Business-Rollen - möglichst automatisiert über ein Regelwerk verteilt werden können.

Die Grundlagen für die Umsetzung eines Rollenmodells liefert das Berechtigungskonzept. Bei dessen Entwicklung können die Verantwortlichen auf Unterstützung durch verschiedene - teils KI-basierte - Analyseverfahren wie beispielsweise Role Mining zurückgreifen. Dafür werden die vorhandenen Rollen genau unter die Lupe genommen: Ihre Rechte, Nutzer und die zeitliche Anwendung werden in einem mehrstufigen Analyse-Verfahren ermittelt. Dabei wird auch die Organisationsstruktur der jeweiligen Bank oder des Versicherers einbezogen. Basierend auf diesen Daten und Erkenntnissen bietet das Tool Vorschläge zur sinnvollen Rechtevergabe und deren Risiken an. Im Falle eines vertretbaren Risikos wird dann die regelbasierte Vergabe vorgeschlagen.

Die bereits erwähnte Zusammenarbeit zwischen IT und Fachabteilungen ist nicht nur für eine sinnvolle und logische Rechtevergabe, sondern auch für eine regelmäßige Überprüfung derselben wichtig. Benötigt der Mitarbeiter noch sämtliche Rechte, die ihm ursprünglich gewährt wurden? Haben Mitarbeiter die Abteilung gewechselt, sodass ihnen Rechte entzogen werden müssen? Wurden innerhalb eines Unternehmens Umstrukturierungen vorgenommen, sodass Anpassungen an den Rechten nötig sind? All diese Informationen liegen meist in den Fachabteilungen und müssen an die IT weitergegeben werden, damit eine einheitliche Datengrundlage entsteht.

Übergeordnetes System für besseren Überblick

Viele Institute stehen in diesem Zusammenhang weiterhin vor der Herausforderung, kein übergeordnetes System zur Rechtevergabe zu nutzen. Für die eigentliche Arbeitsentlastung sorgt einerseits die Automatisierung in Form der Provisionierung, mit der der Berechtigungsantrag in den Zielsystemen umgesetzt wird, andererseits die Reconciliation, die die korrekte Umsetzung kontrolliert. Ohne übergeordnetes System kann die Arbeitsentlastung jedoch nicht vollständig greifen. Folglich fehlt den IT- sowie den Fachabteilungen der Überblick sowohl über den Status aller Rechte als auch damit einhergehend über die finanziellen und nicht-finanziellen Risiken.

Banken und Versicherer können dieser Herausforderung begegnen, indem sie die Rechtevergabe von Anfang an stringent umsetzen: mit einem führenden System, an das alle Applikationen sowie IT-Systeme angeschlossen sind. So entsteht eine homogene IT-Landschaft mit vorangestellter IAM-Lösung. Diese umfasst auch die Anbindung an ein Security Operations Center (SOC) oder Cloud-Angebote, von Infrastructure as a Service (IaaS) bis hin zu Software as a Service (SaaS) unterschiedlicher Anbieter wie AWS, Microsoft Azure und Google Cloud.

Besonders wichtig dabei: Die ausschließliche Verwaltung und Kontrolle der Zugriffsrechte innerhalb der Cloud reicht nicht aus. Ein umfassender Schutz kann erst dann greifen, wenn das IAM ganzheitlich über alle vorhandenen Systeme und Rechenzentren hinweg eingesetzt wird. Dafür benötigen Unternehmen unter anderem auch ein Portal und Schnittstellen des Cloud-Anbieters. Nur wer sich diesen Anforderungen stellt, wird mit einem System belohnt, das optimale Sicherheit schafft und ausbaufähig ist. Das gilt besonders für die Verwaltung von Kundenzugriffen auf unternehmenseigene Services und Cloud-Anwendungen (Customer IAM). (wh)