Die fenaco Genossenschaft entschied sich 2024, ihr Identity- und Access-Management grundlegend neu aufzusetzen und auf eine einheitliche Plattform zu migrieren. Ziel war es, alle digitalen Identitäten im Firmenverbund – der insgesamt rund 150 Unternehmen umfasst – zentralisiert managen zu können und durchgängig hohe Sicherheitsstandards auf Enterprise-Niveau zu gewährleisten.
Gemeinsam mit iC Consult implementierte das interne Team mit dem One Identity Manager eine Lösung, die die IAM-Prozesse optimiert, attraktive Automatisierungs-potenziale erschliesst und dank rollenbasierter Berechtigungsvergabe nachhaltig zur Compliance beiträgt.
Inhalt
Steckbrief & Projektüberblick
Kundensteckbrief
Branche: Agrargenossenschaft
Hauptsitz: Bern, Schweiz
Mitarbeitende: > 17,000
Anzahl Identitäten: > 30. 0000 (inkl. technischer Identitäten)
Die fenaco Genossenschaft ist eine der grössten Agrargenossenschaften der Schweiz mit rund 150 Gesellschaften und über 17.000 Mitarbeitenden. Sie versorgt die Schweizer Landwirtschaft mit Produktionsmitteln, verarbeitet und vermarktet Agrarprodukte und betreibt eigene Energie- und Logistiklösungen.
Implementierung eines zeitgemässen und einheitlichen Identity- & Access-Managements mit dem One Identity Manager für 30.000 interne und externe Identitäten aus 150 Gesellschaften, inklusive Migration.
- One Identity Manager
- Systemintegration durch iC Consult
Erfolge
Entwicklung und Implementierung einer robusten IAM-Lösung für rund 30.000 Identitäten (inkl. technischer Identitäten) als einheitliche, sichere und skalierbare Basis
Erfolgreiche Anbindung der ersten Gesellschaften, inklusive interner und externer Identitäten, innerhalb der Pilotphase
Schnellere Bereitstellung von Arbeitsplätzen und nahtlose Kollaboration durch Teams-Integration
Automatisierung von Joiner-Mover-Leaver-Prozessen bei deutlicher Reduzierung von Fehlerquellen, Erhöhung der Sicherheit und besserer Compliance
Messbare Kosteneinsparungen durch optimiertes Lizenzmanagement und höhere Transparenz
Hintergrund
Lange Zeit war das Identity & Access Management (IAM) der fenaco Genossenschaft nur eines von vielen Themen der IT ohne klare Strukturen oder Prozesse. Mit wachsenden Bedrohungsszenarien und steigender Komplexität rückte das Thema jedoch immer stärker in den Fokus. 2022 fiel daher die Entscheidung ein professionelles, verbundweites IAM einzuführen, das höchsten Enterprise-Standards entspricht und die Grundlage für ein einheitliches IAM im gesamten Firmenbund legt.
Das angestossene Projekt ist von grosser Tragweite: Über 30.000 digitale Identitäten – davon 17.000 interne Mitarbeitende und zahlreiche externe Partner, Dienstleister sowie technische Accounts – sollten an das neue IAM-System angebunden und die dezentralen IAM-Tools der 150 Gesellschaften konsolidiert werden.
Die vermutlich grösste Herausforderung lag in der Heterogenität des Verbunds: Die Gesellschaften unterscheiden sich nicht nur in ihrer Grösse – von Kleinbetrieben mit zehn Mitarbeitenden bis hin zu grösseren Einheiten mit eigener IT –, sondern auch in ihren Geschäftsmodellen und Anforderungen.
Ziel war es, einen gemeinsamen Standard einzuführen, der Automatisierung, Compliance und rollenbasierte Vergabe von Berechtigungen ermöglicht – und gleichzeitig genug Flexibilität bietet, um individuelle Anforderungen zu berücksichtigen. Besonders wichtig war, die manuelle Zuweisung von Berechtigungen abzulösen und einen hohen Automatisierungsgrad zu erreichen, damit Zugriffsrechte künftig nach klar definierten Rollen vergeben und widerrufen werden können. Das Projekt sollte ausserdem Sicherheitsaspekte wie Passwort-Management abdecken und den Grundstein für eine konsequente Segregation of Duties legen.
Stefan Furrer, IT-Projektleiter bei fenaco, erklärt: „Angesichts des breiten Anforderungskatalogs machten wir uns auf die Suche nach einem erfahrenen Integrationspartner, der uns bei der Auswahl, der Konfiguration und der Implementierung einer passenden Plattform unterstützen sollte. Dabei war es uns wichtig, jemanden zu finden, mit dem wir auf einer Wellenlänge sind und dem wir uneingeschränkt vertrauen können. Wir waren also weniger auf der Suche nach der perfekten Lösung als vielmehr nach dem perfekten Partner – und den fanden wir mit iC Consult.“
Lösung
Technische Umsetzung des neuen Identity Managements – und die ersten Erfolge
fenaco entschied sich gemeinsam mit iC Consult für den One Identity Manager als zentrale Plattform. Mit Blick auf die hohe Komplexität und Integrationstiefe des Gesamtprojekts wählte man einen zweistufigen Rollout:
- Phase 1 – Digital Workplace: Der One Identity Manager verwaltet zunächst ausschliesslich die internen Microsoft-Teams-Identitäten. Ziel ist es, bis Ende 2025 einen Grossteil der 17.000 MS-Teams-Identities einzubinden und interne Abläufe zu vereinfachen.
- Phase 2 – Hauptkonzept: Sukzessive Integration aller externen Identitäten der 150 Gesellschaften und Aufbau eines zukunftsfähigen, einheitlichen IAM.
Die Umsetzung beider Projekte läuft auf Hochtouren: Zunächst wurde die One Identity Plattform implementiert, die fenaco aus Sicherheitsgründen für den Moment im On-Premises-Betrieb einsetzt – mit der Option einer späteren Cloud-Migration. Anschliessend ergänzte iC Consult die Lösung um eine Reihe benötigter Schnittstellen, die teils adaptiert und teils neu entwickelt wurden, darunter Interfaces zur HR-Lösung SAP HCM Software, zu Azure AD, zu ServiceNow und zu Microsoft Exchange. Das Ergebnis ist eine robuste, skalierbare Infrastruktur, die alle zentralen Systeme verbindet. Der erfolgreiche Pilot mit drei angebundenen Gesellschaften belegt die Tragfähigkeit der Lösung und gibt den Startschuss für den konzernweiten Rollout.
Von einem modernen Identity Management versprechen wir uns in erster Linie mehr Sicherheit für unsere Daten und Prozesse. Darüber hinaus möchten wir die tägliche Arbeit unserer Mitarbeitenden deutlich vereinfachen, indem manuelle Schritte reduziert werden. Abläufe effizienter gestalten, Compliance stärken und den Automatisierungsgrad spürbar erhöhen – das streben wir an.
Stefan Furrer, IT-Projektleiter, fenaco
Neue Wege für Mitarbeitende und IT: Mehr Automatisierung, weniger manuelle Arbeit
Die Einführung des neuen IAM hat die Arbeit der Personaladministration als auch der IT grundlegend verändert. Das HR-Team erfasst nun systematisch, welche Zugänge Mitarbeitende tatsächlich benötigen – beispielsweise von vollumfänglichen IT-Arbeitsplatz bis zu reinen Kollaborations-zugängen wie Microsoft Teams. Diese Informationen fliessen direkt ins System und ermöglichen eine rollenbasierte, weitgehend automatisierte Vergabe der Berechtigungen, wodurch manuelle Arbeitsschritte wegfallen.
Für die IT bedeutet dies weniger Aufwand: Joiner-Mover-Leaver-Prozesse laufen standardisiert, reproduzierbar und deutlich sicherer ab. Besonders der vormals fehleranfällige Austrittsprozess ist erheblich stabiler geworden. Gleichzeitig verbessert sich die Qualität der HR-Stammdaten, da Ungenauigkeiten sofort erkannt und korrigiert werden können, was die Compliance stärkt.
Auch wirtschaftlich zeigt das Projekt Wirkung. Besonders im Lizenzmanagement sind die Verbesserungen spürbar. Früher wurden häufig teure Lizenzen ausgeschiedener Mitarbeitender über Monate weiterbezahlt, weil ihre Accounts nicht rechtzeitig gelöscht wurden. Mit der neuen Lösung werden Lizenzen automatisch entzogen und freigegeben, sodass unnötige Kosten vermieden werden. Die Einsparungen werden bereits sichtbar und werden mit dem weiteren Ausbau des rollenbasierten Modells künftig noch deutlich zunehmen.
Ausblick
Nach erfolgreichem Piloten: fenaco startet Big-Bang-Rollout des IAM
Nachdem in der erfolgreichen Pilotphase die ersten drei Gesellschaften mit ihren internen und externen Identitäten an den One Identity Manager angebunden wurden, steht nun der flächendeckende Rollout bevor. Im Herbst 2025 erfolgte der „Big Bang“ mit der Anbindung des ersten Active Directories, ein zweites Directory wurde bis Jahresende integriert.
Auch wenn fenaco das IAM künftig schrittweise in Eigenregie betreiben und internes Know-how aufbauen möchte, ist klar, dass dieser Prozess Zeit benötigt. Angesichts der Komplexität bleibt iC Consult daher auf absehbare Zeit ein strategisch wichtiger Partner – sowohl für Betrieb und Weiterentwicklung als auch als Sparringspartner.
„Wir freuen uns auf eine langjährige Zusammenarbeit“, lacht Roger Lottenbach, Ressortleiter Identity & Access Management bei fenaco. „Das bereitet uns aber überhaupt keine Bauchschmerzen – im Gegenteil: Wir könnten uns keinen besseren Partner an unserer Seite wünschen.“
iC Consult bringt nicht nur die nötige technische Expertise mit – das Team versteht auch unsere Unternehmenskultur. Sie geben uns das Gefühl eine Partnerschaft auf Augenhöhe zu führen – und mit diesem Gefühl blicken wir positiv in die gemeinsame Zukunft.
Roger Lottenbach, Ressortleiter Identity & Access Management, fenaco