TIMETOACT ist Teil der

Rezertifizierungslösung zur Erfüllung von Governance- und MaRisk-Anforderungen

Mit Unterstützung der TIMETOACT GROUP gelang es dem IT-Dienstleister FI-TS, die Qualität der Berechtigungsrezertifizierung auf eine neue Stufe zu heben.

Als zentraler IT-Dienstleister der Sparkassen-Finanzgruppe bietet die Finanz Informatik den kompletten IT-Service – von Anwendungsentwicklung über Infrastruktur- und Rechenzentrumsbetrieb bis hin zu Beratung, Schulung und Support. Dabei wird sie vom Tochterunternehmen Finanz Informatik Technologie Service (FI-TS) unterstützt, dem größten IT-Dienstleister für Landesbanken. Ihre 1.000 Beschäftigten arbeiten täglich in den IT-Systemen der Finanzinstitute, der Finanz Informatik sowie in eigenen Systemen – ein hochsensibler Bereich, in dem klar geregelt sein muss, wer welche Rechte zur Administration der jeweiligen Software hat. Die von FI-TS betreuten Finanzinstitute unterliegen den entsprechenden aufsichtsrechtlichen Anforderungen, insbesondere den Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk, der BaFin (BA), deren Erfüllung auch regelmäßig behördlich überprüft wird. Die Finanzinstitute sind verpflichtet, diese Regularien an ihre Subunternehmer weiterzugeben, sodass FI-TS alle Leistungen, auch den Zugriff auf Software, aufsichtsrechtlich konform zu erbringen hat.

Die Zugriffsberechtigungen sind nicht in Stein gemeißelt. Sie müssen im Zuge strenger werdender Governance-Vorgaben vielmehr regelmäßig überprüft werden.

Christian Rothlauf BRM Planung & Beratung Finanz Informatik Technologie Service

Für das interne Berechtigungsmanagement kommt seit mehreren Jahren eine spezielle Identity-Access-Governance (IAG)-Software zum Einsatz. „Die Zugriffsberechtigungen sind jedoch nicht in Stein gemeißelt“, weiß Christian Rothlauf: „Sie müssen im Zuge strenger werdender Governance-Vorgaben vielmehr regelmäßig überprüft werden.“ Aus diesem Grund findet eine sogenannte Rezertifizierung statt. Sie stellt sicher, dass jeder Nutzer der IT-Systeme in diesen zu jedem Zeitpunkt nur genau die Berechtigungen hat, welche zur Durchführung seiner Aufgaben notwendig sind, wobei das Sparsamkeitsprinzip (Need-to-know) angewendet wird. Dabei prüfen die Führungskräfte für jeden der ihnen zugeordneten Beschäftigten, welche Berechtigungen er behalten kann und welche zu entziehen sind. Ebenso werden Rollen, in denen mehrere Rechte gebündelt sind, rezertifiziert. Es muss also geprüft werden, ob jede Rolle zu jedem Zeitpunkt auch die richtigen Rechte enthält.  

Rezertifizierung per Excel unübersichtlich und fehleranfällig

Standort Haar bei München ©FI-TS

Solche Rezertifizierungen führt FI-TS im halbjährlichen Turnus durch. Dafür nutzt sie die Software Nexis Controle, implementiert durch ihren Projektpartner, die Business Unit IAG (Identity & Access Governance) der TIMETOACT Software & Consulting GmbH. Mit ihr wurde die bisherige Excel-basierte Arbeitsweise ersetzt und auf die heutigen fachlichen Anforderungen hin zugeschnitten. Zuvor war nicht zwingend sichergestellt, dass die Führungskräfte bzw. Rechteverantwortlichen im Zuge ihrer Bestätigung tatsächlich alle Rechte sehen. Governance-Richtlinien fordern jedoch einen technischen Nachweis darüber, dass die Führungskraft auch das letzte Excel-Tabellenblatt gesichtet und in der Tabelle bis ganz nach unten gescrollt hat. Ein weiterer Nachteil Excel-basierten Arbeitens: Nicht alle User-Typen werden vollständig rezertifiziert. Man unterscheidet zwischen persönlichen und technischen Usern sowie verschiedenen Klassen. Die MaRisk fordert hier Vollständigkeit: Alle Berechtigungen müssen geprüft werden.

Umfassende Rezertifizierung: Exklusiv- und Zwillingsrollen sowie User ohne Account

Mit ihrer neuen Rezertifizierungssoftware kann FI-TS die beschriebenen Anforderungen erfüllen. Sie ermöglicht unter anderem auch eine Rezertifizierung von Exklusivrollen, wie sie das IAG-System von FI-TS kennt. Solche Rollen werden zur Steuerung von Attributen bei Beschäftigten genutzt. Es lassen sich außerdem auch solche User rezertifizieren, die keinerlei Accounts haben.

Für die temporäre Aktivierung von Rechten verwendet FI-TS das sogenannte HPU-Verfahren (hochprivilegierte User). Dabei wird eine bestimmte Berechtigungsrolle normal beantragt, mit der jedoch zunächst keine Rechte verbunden sind. Über einen separaten Workflow kann man diese Rechte dann aktivieren und der User erhält eine sogenannte Zwillingsrolle. Auch diese spezielle Rechtekonstellation vermag die neue Rezertifizierungslösung abzubilden. Architektonisch als Web-Applikation konzipiert, arbeitet es mit einem universell einsetzbaren Datenmodell. Dieses bildet die Entitäten eines normalen IAG-Systems ab.

Nexis Controle verknüpft Drittsysteme mit der IAG-Software

Die Daten aus der IAG-Lösung (Garancy IAM der Beta Systems Software AG), in der alle Rollen und User, Verantwortlichen und Organisationsstrukturen enthalten sind, können somit einfach in die Rezertifizierungslösung übertragen werden. Nächtlich werden sie exportiert und lassen sich an der Schnittstelle nochmals anpassen, aggregieren oder filtern. So wird das Konstrukt mit Zwillingsrollen und HPU-Rechten elegant abgebildet. Auch Systeme von FI-TS, die nicht mit der IAG-Software kommunizieren, liefern Daten sämtlicher Accounts und Berechtigungen an die Zertifizierungslösung. Diese verknüpft sie mit der IAG-Lösung und findet damit die zuständige Führungskraft. Die integrative Verbindung zwischen den einzelnen Systemen hat TIMETOACT für FI-TS geschaffen.

Die Software erfordert quasi keine Programmierung, sondern kommt mit reiner Konfiguration in der Oberfläche und dem Zusammenklicken von Einstellungen aus. Darüber lässt sich granular steuern, was rezertifiziert und angezeigt werden soll.

Christian Höfs Projektleiter FI-TS

Schon bei der ersten Rezertifizierung zeigte sich, wie die MaRisk-Anforderung der Vollständigkeit bei FI-TS gelöst wird: Im neuen System sieht die Führungskraft immer nur einen bestimmten Ausschnitt, kann für die dort angezeigten Objekte eine Entscheidung treffen und muss dann weiterklicken. So ist sichergestellt, dass für wirklich jeden Beschäftigten und seine Rechte und Rollen aktiv eine Entscheidung getroffen wird. Dank der Flexibilität des Herstellers Nexis Controle gelang es dem Team von TIMETOACT, aktuelle Anforderungen des Kunden sehr schnell umzusetzen und neue Features binnen weniger Wochen im Standard einsatzfähig zu machen. Projektleiter Christian Höfs: „Die Software erfordert quasi keine Programmierung, sondern kommt mit reiner Konfiguration in der Oberfläche und dem Zusammenklicken von Einstellungen aus. Darüber lässt sich granular steuern, was rezertifiziert und angezeigt werden soll.“ 

Weiterer Schritt von FI-TS zur Erfüllung der BaFin Anforderungen im Berechtigungsmanagement

  • Mit der Implementierung von Nexis Controle für die Rezertifizierung durch das IAG-Team der TIMETOACT GROUP arbeitet FI-TS beim Berechtigungsmanagement konform zu den Regularien der Branche.

  • Vollständigkeitsprinzip wird durch ein zweistufiges Rollenmodell mit Fach- und Komponentenrollen erfüllt. 

  • Ständige Aktualisierungen der Rezertifizierung durch permanenten Abgleich mit der IAG-Software statt stichtagsbezogenes Arbeiten 

  • Besserer Überblick bei der Prüfung von Nutzerrechten und Rollen erhöht insgesamt die Rezertifizierungsqualität. 

  • Potenzial für weiteren Einsatz der Rezertifizierungssoftware für die Rollenmodellierung. 

Eingesetzte Technologien:

FI-TS ist innovativer IT-Partner für Unternehmen aus dem Finanz- und Versicherungssektor.

Referenz als PDF zum Download
Referenz 29.03.21

vdek führt neue Data-Warehouse-Lösung ein

Die TIMETOACT GROUP unterstützt den Verband der Ersatzkassen e. V. bei der Umstellung einer Systemumgebung auf neueste IBM-Technologie.
News

TIMETOACT investiert in Identity- & Access Management

Zum 01.Januar 2018 gehen die FirstProject Consulting GmbH und das IAG Team der TIMETOACT gemeinsame Wege. Mit der Übernahme verstärkt die TIMETOACT ihre Kompetenzen im Identity- & Access Governance und vergrößert sein IAG Team auf über 30 Berater.
Referenz

HOCHBAHN Managed Services

Eine performante und transparente IT bildet die Basis dazu, schnell auf neue Anforderungen reagieren zu können. Die IT-Spezialisten der TIMETOACT GROUP übernehmen die Managed Services für die gesamte IBM WebSphere Plattform der Hamburger Hochbahn AG (HOCHBAHN).

Technologie Übersicht 07.07.20

NEXIS

NEXIS ist ein auf Identity und Access Management spezialisierter Softwarehersteller mit Sitz in Regensburg. Bestehende IAM-Lösungen können mit NEXIS Controle durch zusätzliche Analyse-, Simulations-, Modellierungs- und Kollaborationsfunktionen erweitert werden.
Referenz

Gut gespurt zum Mobilitätsbroker

Die Entwicklung ihrer neuen Mobilitätsplattform „Switchh“ steuert die Hamburger Hochbahn AG über das Atlassian Projektmanagementtool Jira – eingeführt, administriert und gehostet von der TIMETOACT GROUP.
Referenz 01.06.23

Managed Service Support für Stabilität zentraler Plattform

Um Qualität, Verfügbarkeit und Performance der Plattform jederzeit sicherzustellen, steht TIMETOACT der N-ERGIE als Managed Service Partner zur Seite.

Referenz 16.08.24

IAV erreicht ISO/IEC 5230 Zertifizierung

IAV hat ihr Open Source Compliance Programm nach ISO/IEC 5230 zertifizieren lassen und damit die Transparenz im Umgang mit Open Source Software, insbesondere im Software-Entwicklungsprozess erhöht. Durch die Zertifizierung nach ISO/IEC 5230 kann IAV in Zukunft potenzielle Risiken im Umgang mit Open-Source-Software verringern. Darüber hinaus wird durch die Zertifizierung das Vertrauen von Kunden und Partnern in die Lieferkette erheblich gestärkt. Begleitet wurde das Zertifizierungsverfahren von der TIMETOACT GROUP. Die Softwareberatung unterstützte bei der Reifegradanalyse, der Nachverfolgung von Befunden und bei der finalen Auditierung und Zertifizierung durch ARS – einem Unternehmen der TIMETOACT GROUP.
Referenz 24.08.23

Weniger Risiken und Kosten für HDI mit ISO/IEC 19770-1

Als weltweit erste Endanwenderorganisation wurde die HDI AG im Februar 2023 nach ISO/IEC 19770-1 zertifiziert. Die TIMETOACT GROUP begleitete HDI mit ITAM-Reifegradanalysen, Identifizierung und Umsetzung von Optimierungsmaßnahmen sowie bei der Erlangung der Zertifizierung.
Referenz 22.04.21

Flexibilität bei der Datenauswertung eines Freizeitparks

Mit Unterstützung der TIMETOACT setzt ein Freizeitpark in Deutschland TM1 bereits seit vielen Jahren in unterschiedlichen Unternehmensbereichen ein, um einfach und flexibel Reportings-, Analyse- und Planungsprozesse durchzuführen.
Referenz

Schulungs-Referenzen

Eine erfolgreiche Schulung freut Teilnehmer und Veranstalter: Das sagen unsere Schulungsteilnehmer zu unseren Trainings.
Referenz

Dresscode und eBagTag - Schutzkleidung maßgeschneidert

Die Bayer AG kommuniziert mit ihren Kunden im Bereich Crop Science über von der TIMETOACT GROUP entwickelte Online-Portale.
News 07.05.21

Equistone erwirbt Mehrheit an TIMETOACT GROUP

Im Rahmen einer Mehrheitsbeteiligung hat sich Equistone im Mai 2021 an der TIMETOACT GROUP beteiligt. Frank Fuchs komplettiert als neuer CFO die Geschäftsführung der TIMETOACT GROUP.

Referenz

Zentrales Servicemonitoring bei Vodafone

Seit über 15 Jahren pflegt TIMETOACT zu Vodafone eine IT-Partnerschaft, die ihresgleichen sucht.

Referenz

Elektronisches Archivsystem bei EDEKA Südwest

Nach den selbstständigen Kaufleuten wurden die in Eigenregie betriebenen Lebensmittelmärkte angegangen: Inzwischen hat die TIMETOACT GROUP für die EDEKA Südwest Geschäftsunterlagen aller 1.200 von ihr betreuten Märkte digitalisiert.

Referenz 04.10.21

Rundumbetreuung zu IBM Softwarelizenzen und ILMT für GLS

TIMETOACT übernimmt für die GLS IT Service GmbH nicht nur die Betreuung des ILMTs und unterstützt bei der Einhaltung von Lizenzvorgaben, sondern berät auch künftig zu Fragen rund um das Thema Lizenzierung und Lizenzerwerb.
News 29.09.20

Neue Mobilitätskonzepte für Hamburger Hochbahn

Das Fachmagazin Nahverkehrs-praxis berichtet darüber, wie die Hamburger Hochbahn mit Hilfe der TIMETOACT GROUP neue Mobilitätskonzepte entwickelt
Referenz 26.01.22

Automation legt Grundstein für reibungslosen Archivwechsel

Die ECM-Experten der TIMETOACT GROUP haben für Rottendorf Pharma GmbH dafür alle Dateianhänge aus dem IBM Archiv wieder an die zugehörigen E-Mails im Mailingsystem angehangen. Dies erfolgte mit dem eigens entwickelten Notes-Tool „ArchiveUsers“ automatisiert und mit geringem manuellem Aufwand.
News

IBM Connections & MS SharePoint mit Netmind Core analysieren

Als neuer Partner der Mindlab Solutions GmbH verbindet die TIMETOACT GROUP dessen Analytics-Software mit den führenden Social Intranet-Plattformen
halb offener Laptop
Blog 30.04.21

Neue Upgrade-Strategie für HCL Connections 7

Die neue Upgrade-Strategie sieht vor, dass monatlich ein Update kommt, sowohl mit Fixes als auch Änderungen. Davon profitieren Benutzer im Enterprise Network mit neuen Funktionen sowie mit Qualität.
News 18.10.24

TIMETOACT erhält TISAX®-Zertifizierung

Mit dem TISAX®-Standard etabliert die Automobilindustrie ein eigenes Zertifizierungsverfahren, das sicherstellt, dass nur Dienstleister mit ihnen zusammenarbeiten, die diese hohen Standards erfüllen. TIMETOACT gehört dazu und hat nun die TISAX®-Zertifizierung erhalten.