Cloud Computing


Cloud Security

Banken haben Nachholbedarf in Sachen IAM



Christian Nern ist Partner bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang als Führungskraft in verschiedenen Bereichen in der IT-Industrie gearbeitet.
Mit einem ausgereiften Identity and Access Management lässt sich die IT-Sicherheit auch in der Cloud erhöhen. Doch viele Banken vernachlässigen das Thema.
Ein übergreifendes Identity and Access Management hilft, sowohl On-Premise- als auch Cloud-Systeme sicher zu verwalten.
Ein übergreifendes Identity and Access Management hilft, sowohl On-Premise- als auch Cloud-Systeme sicher zu verwalten.
Foto: LeoWolfert - shutterstock.com

Die DigitalisierungDigitalisierung hat 2020 in BankenBanken und VersicherungenVersicherungen Fahrt aufgenommen: Waren viele Institute in der Vergangenheit noch zögerlich und scheuten vor Investitionen zurück, hat die Corona-Pandemie die Geschwindigkeit der digitalen Transformation deutlich erhöht. So haben sich allein durch den Wechsel ins Home-Office die technischen Anforderungen stark verändert. Angestellte müssen reibungslos und ohne Einschränkungen auch von zu Hause aus ihrer Arbeit nachgehen können. Eine Digitalisierung der Geschäftsprozesse ist für Banken und Versicherer deshalb auf der Agenda ganz nach oben gerückt. Neben dem Weg in die Cloud ist die Automatisierung von Abläufen entscheidend, um die dringend benötigte Effizienz, Kostenoptimierung und Skalierbarkeit zu erreichen. Alles zu Digitalisierung auf CIO.de Top-Firmen der Branche Banken Top-Firmen der Branche Versicherungen

Oftmals unterläuft den Unternehmen aber gleich zu Beginn ein entscheidender Fehler: Sie tendieren dazu, die Cloud als eigenständiges, separates System statt als eine Erweiterung der vorhandenen IT zu betrachten. Das kann die IT-Infrastruktur unnötig komplex machen und die eigentlich beabsichtigte Effizienz schmälern - etwa, wenn zwei isolierte Systeme existieren, die zu doppelter "Login"-Datenhaltung führen. Darüber hinaus drohen weitere Folgen für die IT-Sicherheit: Werden die Security-Systeme der eigenen Rechenzentren (On Premises) und der Cloud-Anwendungen nicht als ganzheitliches Konstrukt angesehen, zum Beispiel durch ein übergreifendes Identity and Access Management (IAM), entstehen Sicherheitslücken.

HackerHacker nutzen solche Schwachstellen gnadenlos aus, wie die zunehmende Zahl an Angriffsvektoren während der Corona-Pandemie gezeigt hat. Dabei gilt nach wie vor: Die größte Gefahr bei Hackerangriffen geht zu gleichen Teilen von der Architektur sowie vom Menschen aus. Deshalb sollten Finanzinstitute die Cloud und alle darauf bezogenen Anwendungen stets in die bereits vorhandene IT-Infrastruktur integrieren, statt auf Insellösungen zu setzen. So neutralisieren sie von Beginn an Schwachstellen, die sonst bei der Nutzung heterogener Systeme leicht entstehen können. Dennoch sind auch homogene IT-Landschaften nicht vor Sicherheitslücken gefeit, etwa beim Zugriff auf die Cloud. Mit einem durchdachten Identity and Access Management lassen sich Einfallstore für Hacker aber schnell schließen. Alles zu Hacker auf CIO.de

Frust vermeiden, ganzheitlichen Ansatz wählen

Ein weiterer Pluspunkt eines zentralen IAM: Es sorgt für übersichtliche und klare Strukturen, die den Vorgaben der Regulatorik entsprechen. Doch allzu oft kümmern sich die Verantwortlichen der Institute nicht ausreichend um die eindeutige Zuordnung von Rechten innerhalb des Unternehmens. Denn zunächst bedeutet die Etablierung eines IAM mit End-to-End-Ansatz viel Arbeit, die oftmals unnütz erscheint, da mitunter die Einführung einer technischen IAM-Lösung schon ausreichen könnte.

Umso größer sind Frust und Enttäuschung, wenn das gewünschte Ergebnis nicht eintritt. Deshalb ist es wichtig, sich bewusst zu machen, wie ein IAM unternehmensweit aufgebaut werden muss und welche Schritte dafür nötig sind - angefangen bei Benutzer-, Rollen- und Berechtigungsstrukturen über das Prozessdesign bis hin zur technischen Umsetzung. Ein wirklicher Mehrwert ergibt sich, wenn fachliche und technische Verantwortliche frühzeitig identifiziert sind und zusammenarbeiten. Zudem sollten organisatorische Abläufe mitsamt den institutseigenen Besonderheiten bei der Implementierung berücksichtigt werden.

Dazu gehört, in einem ersten Schritt ein unternehmensweites Berechtigungskonzept inklusive notwendiger Prozesse und Kontrollen (zum Beispiel Joiner-Mover-Leaver und Rezertifizierungen) zu erarbeiten. Zeitgleich müssen sich die Experten einen Überblick über die an das IAM anzubindenden IT-Systeme verschaffen - sowohl On-Premises als auch Cloud-basiert. Da eine heterogene Systemlandschaft die Komplexität erhöht, gilt es an dieser Stelle, weitgehend auf Einheitlichkeit zu achten. Dies wirkt einer Verkomplizierung der Infrastruktur durch die Ergänzung eines IAM entgegen und ermöglicht eine risikoorientierte Vorgehensweise bei der Anbindung der Quell- und Zielsysteme. Zusätzlich legt es den Grundstein für eine künftige Automatisierung von Prozessen, da einheitliche Schnittstellen und Konnektoren (zum Beispiel LDAP oder REST API) für Best Practises genutzt werden können.

IAM ist kein reines IT-Thema. Es betrifft das gesamte Unternehmen. Dabei ist die Einbindung der Fachbereiche als Informationseigentümer entscheidend für den nachhaltigen Erfolg. Für eine pragmatische Umsetzung in Financial Services helfen vorkonfigurierte Lösungspakete. Diese bestehen aus fachlichen und technischen Templates sowie Vorgehensmodellen auf Basis von Erfahrungswerten und IT-Lösungen wie Sailpoint oder CyberArk.

Zur Startseite