TIMETOACT ist Teil der

Rezertifizierungslösung zur Erfüllung von Governance- und MaRisk-Anforderungen

Mit Unterstützung der TIMETOACT GROUP gelang es dem IT-Dienstleister FI-TS, die Qualität der Berechtigungsrezertifizierung auf eine neue Stufe zu heben.

Als zentraler IT-Dienstleister der Sparkassen-Finanzgruppe bietet die Finanz Informatik den kompletten IT-Service – von Anwendungsentwicklung über Infrastruktur- und Rechenzentrumsbetrieb bis hin zu Beratung, Schulung und Support. Dabei wird sie vom Tochterunternehmen Finanz Informatik Technologie Service (FI-TS) unterstützt, dem größten IT-Dienstleister für Landesbanken. Ihre 1.000 Beschäftigten arbeiten täglich in den IT-Systemen der Finanzinstitute, der Finanz Informatik sowie in eigenen Systemen – ein hochsensibler Bereich, in dem klar geregelt sein muss, wer welche Rechte zur Administration der jeweiligen Software hat. Die von FI-TS betreuten Finanzinstitute unterliegen den entsprechenden aufsichtsrechtlichen Anforderungen, insbesondere den Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk, der BaFin (BA), deren Erfüllung auch regelmäßig behördlich überprüft wird. Die Finanzinstitute sind verpflichtet, diese Regularien an ihre Subunternehmer weiterzugeben, sodass FI-TS alle Leistungen, auch den Zugriff auf Software, aufsichtsrechtlich konform zu erbringen hat.

Die Zugriffsberechtigungen sind nicht in Stein gemeißelt. Sie müssen im Zuge strenger werdender Governance-Vorgaben vielmehr regelmäßig überprüft werden.

Christian Rothlauf BRM Planung & Beratung Finanz Informatik Technologie Service

Für das interne Berechtigungsmanagement kommt seit mehreren Jahren eine spezielle Identity-Access-Governance (IAG)-Software zum Einsatz. „Die Zugriffsberechtigungen sind jedoch nicht in Stein gemeißelt“, weiß Christian Rothlauf: „Sie müssen im Zuge strenger werdender Governance-Vorgaben vielmehr regelmäßig überprüft werden.“ Aus diesem Grund findet eine sogenannte Rezertifizierung statt. Sie stellt sicher, dass jeder Nutzer der IT-Systeme in diesen zu jedem Zeitpunkt nur genau die Berechtigungen hat, welche zur Durchführung seiner Aufgaben notwendig sind, wobei das Sparsamkeitsprinzip (Need-to-know) angewendet wird. Dabei prüfen die Führungskräfte für jeden der ihnen zugeordneten Beschäftigten, welche Berechtigungen er behalten kann und welche zu entziehen sind. Ebenso werden Rollen, in denen mehrere Rechte gebündelt sind, rezertifiziert. Es muss also geprüft werden, ob jede Rolle zu jedem Zeitpunkt auch die richtigen Rechte enthält.  

Rezertifizierung per Excel unübersichtlich und fehleranfällig

Standort Haar bei München ©FI-TS

Solche Rezertifizierungen führt FI-TS im halbjährlichen Turnus durch. Dafür nutzt sie die Software Nexis Controle, implementiert durch ihren Projektpartner, die Business Unit IAG (Identity & Access Governance) der TIMETOACT Software & Consulting GmbH. Mit ihr wurde die bisherige Excel-basierte Arbeitsweise ersetzt und auf die heutigen fachlichen Anforderungen hin zugeschnitten. Zuvor war nicht zwingend sichergestellt, dass die Führungskräfte bzw. Rechteverantwortlichen im Zuge ihrer Bestätigung tatsächlich alle Rechte sehen. Governance-Richtlinien fordern jedoch einen technischen Nachweis darüber, dass die Führungskraft auch das letzte Excel-Tabellenblatt gesichtet und in der Tabelle bis ganz nach unten gescrollt hat. Ein weiterer Nachteil Excel-basierten Arbeitens: Nicht alle User-Typen werden vollständig rezertifiziert. Man unterscheidet zwischen persönlichen und technischen Usern sowie verschiedenen Klassen. Die MaRisk fordert hier Vollständigkeit: Alle Berechtigungen müssen geprüft werden.

Umfassende Rezertifizierung: Exklusiv- und Zwillingsrollen sowie User ohne Account

Mit ihrer neuen Rezertifizierungssoftware kann FI-TS die beschriebenen Anforderungen erfüllen. Sie ermöglicht unter anderem auch eine Rezertifizierung von Exklusivrollen, wie sie das IAG-System von FI-TS kennt. Solche Rollen werden zur Steuerung von Attributen bei Beschäftigten genutzt. Es lassen sich außerdem auch solche User rezertifizieren, die keinerlei Accounts haben.

Für die temporäre Aktivierung von Rechten verwendet FI-TS das sogenannte HPU-Verfahren (hochprivilegierte User). Dabei wird eine bestimmte Berechtigungsrolle normal beantragt, mit der jedoch zunächst keine Rechte verbunden sind. Über einen separaten Workflow kann man diese Rechte dann aktivieren und der User erhält eine sogenannte Zwillingsrolle. Auch diese spezielle Rechtekonstellation vermag die neue Rezertifizierungslösung abzubilden. Architektonisch als Web-Applikation konzipiert, arbeitet es mit einem universell einsetzbaren Datenmodell. Dieses bildet die Entitäten eines normalen IAG-Systems ab.

Nexis Controle verknüpft Drittsysteme mit der IAG-Software

Die Daten aus der IAG-Lösung (Garancy IAM der Beta Systems Software AG), in der alle Rollen und User, Verantwortlichen und Organisationsstrukturen enthalten sind, können somit einfach in die Rezertifizierungslösung übertragen werden. Nächtlich werden sie exportiert und lassen sich an der Schnittstelle nochmals anpassen, aggregieren oder filtern. So wird das Konstrukt mit Zwillingsrollen und HPU-Rechten elegant abgebildet. Auch Systeme von FI-TS, die nicht mit der IAG-Software kommunizieren, liefern Daten sämtlicher Accounts und Berechtigungen an die Zertifizierungslösung. Diese verknüpft sie mit der IAG-Lösung und findet damit die zuständige Führungskraft. Die integrative Verbindung zwischen den einzelnen Systemen hat TIMETOACT für FI-TS geschaffen.

Die Software erfordert quasi keine Programmierung, sondern kommt mit reiner Konfiguration in der Oberfläche und dem Zusammenklicken von Einstellungen aus. Darüber lässt sich granular steuern, was rezertifiziert und angezeigt werden soll.

Christian Höfs Projektleiter FI-TS

Schon bei der ersten Rezertifizierung zeigte sich, wie die MaRisk-Anforderung der Vollständigkeit bei FI-TS gelöst wird: Im neuen System sieht die Führungskraft immer nur einen bestimmten Ausschnitt, kann für die dort angezeigten Objekte eine Entscheidung treffen und muss dann weiterklicken. So ist sichergestellt, dass für wirklich jeden Beschäftigten und seine Rechte und Rollen aktiv eine Entscheidung getroffen wird. Dank der Flexibilität des Herstellers Nexis Controle gelang es dem Team von TIMETOACT, aktuelle Anforderungen des Kunden sehr schnell umzusetzen und neue Features binnen weniger Wochen im Standard einsatzfähig zu machen. Projektleiter Christian Höfs: „Die Software erfordert quasi keine Programmierung, sondern kommt mit reiner Konfiguration in der Oberfläche und dem Zusammenklicken von Einstellungen aus. Darüber lässt sich granular steuern, was rezertifiziert und angezeigt werden soll.“ 

Weiterer Schritt von FI-TS zur Erfüllung der BaFin Anforderungen im Berechtigungsmanagement

  • Mit der Implementierung von Nexis Controle für die Rezertifizierung durch das IAG-Team der TIMETOACT GROUP arbeitet FI-TS beim Berechtigungsmanagement konform zu den Regularien der Branche.

  • Vollständigkeitsprinzip wird durch ein zweistufiges Rollenmodell mit Fach- und Komponentenrollen erfüllt. 

  • Ständige Aktualisierungen der Rezertifizierung durch permanenten Abgleich mit der IAG-Software statt stichtagsbezogenes Arbeiten 

  • Besserer Überblick bei der Prüfung von Nutzerrechten und Rollen erhöht insgesamt die Rezertifizierungsqualität. 

  • Potenzial für weiteren Einsatz der Rezertifizierungssoftware für die Rollenmodellierung. 

Eingesetzte Technologien:

FI-TS ist innovativer IT-Partner für Unternehmen aus dem Finanz- und Versicherungssektor.

Referenz als PDF zum Download
Referenz 29.03.21

vdek führt neue Data-Warehouse-Lösung ein

Die TIMETOACT GROUP unterstützt den Verband der Ersatzkassen e. V. bei der Umstellung einer Systemumgebung auf neueste IBM-Technologie.
Technologie Übersicht 07.07.20

NEXIS

NEXIS ist ein auf Identity und Access Management spezialisierter Softwarehersteller mit Sitz in Regensburg. Bestehende IAM-Lösungen können mit NEXIS Controle durch zusätzliche Analyse-, Simulations-, Modellierungs- und Kollaborationsfunktionen erweitert werden.
Referenz

HOCHBAHN Managed Services

Eine performante und transparente IT bildet die Basis dazu, schnell auf neue Anforderungen reagieren zu können. Die IT-Spezialisten der TIMETOACT GROUP übernehmen die Managed Services für die gesamte IBM WebSphere Plattform der Hamburger Hochbahn AG (HOCHBAHN).

Referenz

Gut gespurt zum Mobilitätsbroker

Die Entwicklung ihrer neuen Mobilitätsplattform „Switchh“ steuert die Hamburger Hochbahn AG über das Atlassian Projektmanagementtool Jira – eingeführt, administriert und gehostet von der TIMETOACT GROUP.
News 07.05.21

Equistone erwirbt Mehrheit an TIMETOACT GROUP

Im Rahmen einer Mehrheitsbeteiligung hat sich Equistone im Mai 2021 an der TIMETOACT GROUP beteiligt. Frank Fuchs komplettiert als neuer CFO die Geschäftsführung der TIMETOACT GROUP.

News 29.09.20

Neue Mobilitätskonzepte für Hamburger Hochbahn

Das Fachmagazin Nahverkehrs-praxis berichtet darüber, wie die Hamburger Hochbahn mit Hilfe der TIMETOACT GROUP neue Mobilitätskonzepte entwickelt
News

IBM Connections & MS SharePoint mit Netmind Core analysieren

Als neuer Partner der Mindlab Solutions GmbH verbindet die TIMETOACT GROUP dessen Analytics-Software mit den führenden Social Intranet-Plattformen
Referenz 24.08.23

Weniger Risiken und Kosten für HDI mit ISO/IEC 19770-1

Als weltweit erste Endanwenderorganisation wurde die HDI AG im Februar 2023 nach ISO/IEC 19770-1 zertifiziert. Die TIMETOACT GROUP begleitete HDI mit ITAM-Reifegradanalysen, Identifizierung und Umsetzung von Optimierungsmaßnahmen sowie bei der Erlangung der Zertifizierung.
Referenz 06.03.24

TIMETOACT unterstützt KC Risk bei Benchmarking & Reporting

TIMETOACT unterstützte die KC Risk AG bei der Integration, Aufbereitung und Visualisierung ihrer Kundendaten. Alle Informationen stehen nun zentral zur Verfügung, sind per Knopfdruck abrufbar und Berechnungen erfolgen automatisiert.
Referenz 16.08.24

IAV erreicht ISO/IEC 5230 Zertifizierung

IAV hat ihr Open Source Compliance Programm nach ISO/IEC 5230 zertifizieren lassen und damit die Transparenz im Umgang mit Open Source Software, insbesondere im Software-Entwicklungsprozess erhöht. Durch die Zertifizierung nach ISO/IEC 5230 kann IAV in Zukunft potenzielle Risiken im Umgang mit Open-Source-Software verringern. Darüber hinaus wird durch die Zertifizierung das Vertrauen von Kunden und Partnern in die Lieferkette erheblich gestärkt. Begleitet wurde das Zertifizierungsverfahren von der TIMETOACT GROUP. Die Softwareberatung unterstützte bei der Reifegradanalyse, der Nachverfolgung von Befunden und bei der finalen Auditierung und Zertifizierung durch ARS – einem Unternehmen der TIMETOACT GROUP.
Handyscreen mit social media icons
Referenz

Vom Menschen, dem Wissen und der Bank

Die Sparda-Bank München hat ein einzigartiges Social Intranet eingeführt, das den erfolgreichen Grundstein für die Digitale Transformation der Bank darstellt.

Referenz

TIMETOACT realisiert integrierte Versicherungs-Software

Weniger als ein Jahr von Projektstart bis Systemeinführung: TIMETOACT entwickelte für die VOV D&O-Versicherungsgemeinschaft die integrierte, browserbasierte Versicherungssoftware „HERMES“. Die abteilungsübergreifende Individualsoftware deckt alle Kernprozesse der Versicherung vollständig ab. Die Anwender schätzen insbesondere die intuitive Nutzeroberfläche und die hohe Performance von HERMES.
Referenz 28.03.22

24/7 Support garantiert stabilen Betrieb des Intranets

Die Expert*innen übernahmen im Herbst 2020 den Betrieb von HCL Connections und sorgen seitdem für ausfallsichere Stabilität der Plattform.

Referenz 24.10.23

Hoch-performante Software für datenbasierte Entscheidungen

TIMETOACT begleitet die Hymer-Leichtmetallbau bei der Einführung von IBM Planning Analytics with Watson – für eine intelligente Unternehmensplanung sowie ein flexibles Reporting

Referenz 25.10.22

Interaktives Onlineportal identifiziert passende Mitarbeiter

TIMETOACT digitalisiert für KI.TEST mehrere Testverfahren zur Bestimmung der beruflichen Intelligenz und Persönlichkeit.
Referenz 15.06.23

Semper nutzt TIMETOACT Vacation Manager als SaaS

Höchster Komfort beim Urlaubsmanagement: Bildungsträger profitiert von Nutzerfreundlichkeit der M365-kompatiblen TIMETOACT-Lösung.

Referenz 29.10.21

Standardisiertes Datenmanagement schafft Basis für Reporting

TIMETOACT implementiert für TRUMPF Photonic Components ein übergeordnetes Datenmodell in einem Data Warehouse und sorgt mit Talend für die notwendige Datenintegrationsanbindung. Mit diesem standardisierten Datenmanagement erhält TRUMPF künftig Reportings auf Basis verlässlicher Daten und kann das Modell auch auf andere Fachabteilungen übertragen.
Referenz

Digitalisierte Prozesse steigern Effizienz

TIMETOACT & X-INTEGRATE begleiten Energieversorger e-regio auf dem Weg zur Digitalisierung. DIe Beratungsleistungen in dem Projekt umfassten unter anderem die Bereiche Content Management, Archivierung, Collaboration und Automatisierung .
Referenz 22.08.23

Managed Service Support für optimales Lizenzmanagement

Zur Sicherstellung der Software Compliance unterstützt TIMETOACT die FUNKE Mediengruppe im Rahmen eines SAM Managed Services für Microsoft, Adobe, Oracle und IBM.
Referenz 09.06.23

Heras: Microsoft Kosteneinsparung trotz Preiserhöhung

Um Kosten für Microsoft Azure und Microsoft 365 zu sparen, entschied sich Heras für den TIMETOACT Kostenoptimierungsansatz für Microsoft.