Die Norddeutsche Landesbank (Nord/LB) baut das Benutzer- und Berechtigungsmanagement für die zahlreichen Anwendungen und Prozesse in ihrer IT-Infrastruktur aus.
Das in Zusammenarbeit mit der TTS Trusted Technologies and Solutions GmbH entstehende zentral gesteuerte Zugriffsschutzmanagement soll den aufsichtsrechtlichen Vorgaben und Mindestanforderungen an das Risikomanagement (MaRisk) Rechnung tragen und eine möglichst effektive Verwaltung der unterschiedlichen Benutzer- und Zugriffsrechte erlauben.
So sollen die Berechtigungen für die große heterogene IT-Infrastruktur künftig nicht mehr direkt vergeben, sondern auf Basis eines Rollenmodells gemäß bewährter Standards in einem rollenbasierten Zugriffsschutz (RBAC) verwaltet werden.
Die Berater der TTS mit Firmensitz in Lage haben dafür die Architektur des zentralen Berechtigungsmanagementsystems für die Nord/LB auf Basis eines IAM-Tools (Identity & Access Management) konzipiert, das entsprechende Dokumentationen erstellt und bei der Inbetriebnahme unterstützt.
Nachhaltige Erfüllung der IT-Compliance
Neben der Betreuung der Entwicklung und Einführung weiterer Release-Stufen sorgt TTS außerdem verantwortlich für die Einbindung des Berechtigungssystems KURS (Kompetenz- und Rechtesystem) in die zentrale Berechtigungsmanagement-Infrastruktur. KURS ist der für das Zugriffsschutzmanagement verantwortliche Bestandteil des von der Nord/LB eingesetzten Kernbanksystems der Finanz Informatik.
"Wir haben uns für die Berater von TTS entschieden, weil sie langjährige, praktische Erfahrung im Bereich Benutzer- und Berechtigungsmanagement besitzen. Die anspruchsvollen Herausforderungen aus Vorgaben der IT-Compliance können damit in stabile, dauerhafte Lösungen überführt werden", sagt Gerd Beiße, Leiter Berechtigungsmanagement bei der Nord/LB.
Mit der konzernweit einsetzbaren Struktur lässt sich nach Angaben des Beratungsunternehmens sowohl das Berechtigungsmanagement besonders kritischer Anwendungen kurzfristig umsetzen, als auch das bankweit entstehende Rollenmodell gemäß RBAC vollständig abbilden und im täglichen Betrieb verwenden.
Mit dem Rollenmodell soll die nachhaltige Erfüllung von Vorgaben aus der IT-Compliance sichergestellt werden. Sicherheitslücken oder fehlende Zugriffsrechte, die die tägliche Arbeit bedrohen oder behindern könnten, sollen so ausgeschlossen werden. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz.