Mehr als die Summe der Teile: Identity Federation bei der Raiffeisen Bank International

Als eine der wichtigsten europäischen Bankengruppen treibt die Raiffeisen Bank International die Digitalisierung ihrer Services stetig voran – und ist dabei angesichts strenger regulatorischer Vorgaben auf ein starkes Identity & Access Management angewiesen. Als die heterogenen Identity-Landschaften der zwölf Tochtergesellschaften immer öfter als Herausforderung für Innovationen erkannt wurden, nahmen die internen Customer-IAM-Experten gemeinsam mit iC Consult den Aufbau einer gruppenweiten Federation-Architektur auf Basis von PingFederate in Angriff und legten so ein stabiles Fundament für die Zukunft.

Auf einen Blick

Branche: Bankwesen

Region: Global

Kunde: Raiffeisen Bank International

Über den Kunden

Die Raiffeisen Bank International (RBI) gehört zu den führenden Bankengruppen in Europa und hat ihren Hauptsitz in Wien, Österreich. Mit einer starken Präsenz in Zentral- und Osteuropa betreibt die RBI über ihre zwölf Netzwerkbanken ein breites Spektrum an Finanzdienstleistungen für mehr als 17 Millionen Kunden. Seit ihrer Gründung in den frühen 1990er Jahren hat sich die RBI stets an die Veränderungen in der Finanzwelt angepasst, indem sie lokale Autonomie und gruppenweite Effizienz erfolgreich miteinander verbindet. Als zukunftsorientiertes Unternehmen setzt die RBI auf digitale Transformation mit einem Fokus auf nachhaltige Digitalisierung, IT-Standardisierung und Konsolidierung, um den Anforderungen der modernen Bankenwelt gerecht zu werden.

Herausforderung

Entwicklung eines geeigneten, unternehmensweiten Customer-IAM, das die heterogenen Identitätslandschaften von zwölf Tochtergesellschaften konsolidiert und die hohen Sicherheits- und Compliance-Anforderungen der RBI erfüllt.

Produkte und Services

PingFederate, PingDirectory

Ergebnisse

  • Konsolidierung der heterogenen IDP-Landschaft in eine gruppenweite Lösung
  • Implementierung einer Federation-Plattform auf Basis von Ping Identity für bis zu 17 Millionen Kunden
  • Konsequenter Einsatz von Industriestandards für einfache Integration
  • Einhaltung höchster Sicherheitsstandards und regulatorischer Vorgaben
  • Nachhaltige Senkung des Entwicklungsaufwands

Wir sind immer noch richtig stolz, wenn eine neue NWB oder eine neue Banking-Anwendung live geht und die ersten Kunden darauf zugreifen. Mit den Lösungen von Ping Identity und iC Consult als Partner an unserer Seite haben wir einen wichtigen Grundstein für unsere künftige Identity-Strategie gelegt – und wir freuen uns sehr darauf, dieses ambitionierte und anspruchsvolle Modernisierungsprojekt gemeinsam zum erfolgreichen Abschluss zu führen.

Yaron Zehavi
Customer IAM Product Owner bei Raiffeisen Bank International

Die Raiffeisen Bank International (RBI) mit Sitz in Wien gehört mit ihren zwölf Netzwerkbanken (NWB) in Zentral- und Osteuropa zu den führenden Bankengruppen des Kontinents. Als die NWBs in den frühen neunziger Jahren zusammengeführt wurden, galt es, eine Reihe wichtiger Weichenstellungen vorzunehmen: darunter auch, ob die Verantwortung über die IT-Infrastrukturen auf lokaler Ebene verbleiben oder zentralisiert werden sollte. Die Verantwortlichen wählten mit Blick auf den hohen Integrationsaufwand und die heterogenen Landschaften die erste Option – und waren mit diesem Modell drei Jahrzehnte lang überaus erfolgreich. Doch in der digitalisierten Welt von heute zeigen sich immer mehr die Schattenseiten der lokalen IT-Lösungen: Gruppenweite Innovationsprojekte erfordern ein hohes Maß an Agilität, die durch die dezentrale Organisation oft nur schwer zu gewährleisten ist – und die fehlende Standardisierung innerhalb der Gruppe wirkt sich auch auf die Kosten aus, weil attraktive Einsparpotenziale nicht erschlossen werden können.

Um die Weichen auf Zukunft zu stellen, treibt die RBI deshalb aktuell mit Nachdruck die Digitalisierung, Standardisierung und Konsolidierung ihrer IT voran, wie Yaron Zehavi, Customer IAM Product Owner bei der RBI, erklärt: „Unser strategisches Ziel ist es, einmal standardisierte Omnichannel-Banking-Anwendungen zu entwickeln und sie in unseren Netzwerkbanken wiederzuverwenden. Wir hatten einen klare Roadmap für die Standardisierung von APIs und Event-Streaming-Lösungen. Was uns aber lange Zeit fehlte, war eine durchgängige Identity- und Access- Management-Lösung, mit der sich Kunden sicher an den zentral bereitgestellten Anwendungen authentisieren und autorisieren können. Ohne eine solche Lösung musste jeder Dienst die IAM-Prozesse separat mit den NWBs aushandeln – was zu problematischen Identity-Silos und aufwändigen Integrationsprojekten führte.“

Einheitliche Identitätslösung zur Überwindung fragmentierter IT-Herausforderungen

Ping Identity, mit iC Consult implementiert

Die Suche nach einer geeigneten, unternehmensweiten Customer-IAM Federation gestaltete sich alles andere als einfach: Immerhin galt es, die fragmentierte IT-Landschaft der zwölf NWBs mit ihren multiplen IDP-Lösungen – von OpenAM über GAAS bis hin zu Azure AAD – und ihrem bunten Mix an On-Prem- und Cloud-Topologien in einer einheitlichen Lösung zusammenzuführen. Diese sollte dabei nicht nur den strengen regulatorischen Vorgaben des europäischen Bankwesens genügen, sondern auch die von den Kunden geforderte Sicherheit und Usability bieten – und bei all dem als Cloud-basierter Service in der finalen Ausbaustufe auf bis zu 17 Millionen Benutzer skalierbar sein. Entsprechend umfangreich und detailliert war der Anforderungskatalog, mit dem Yaron Zehavi in die Marktevaluierung ging:

  • Die neue unternehmensweite IAM-Lösung sollte für alle Anwendungen einen bequemen Single-Sign-on mit hochsicherer Multifaktor-Authentisierung ermöglichen und dabei höchsten Sicherheitsstandards und allen regulatorischen Vorgaben des europäischen Bankwesens genügen, am besten, ohne die vorhandenen Zugangsdaten der Kunden ablösen zu müssen.
  • Eines der Hauptziele des Projekts war es, den Integrationsaufwand beim Deployment neuer Banking-Anwendungen für die NWBs so weit wie möglich zu reduzieren. Dafür musste die Lösung mit den Infrastrukturen aller Netzwerkbanken uneingeschränkt kompatibel sein.
  • Die Lösung musste herausragende Ausfallsicherheit, Stabilität, Resilienz und Performance bei nahezu unbegrenzter Skalierbarkeit garantieren – immerhin würde ein Ausfall der IAM-Infrastruktur auch zu Ausfällen von verlässlichen RBI-Diensten in sämtlichen Ländern führen.
  • Die Autorisierung sollte über sichere, einheitliche Access Token in einem standardisierten Format erfolgen, um die Validierung der Token auf API-Ebene über die gesamte Gruppe hinweg zu vereinfachen.
  • Und schließlich, auf technischer Ebene: Das zentralisierte IAM sollte für agile Entwicklungsumgebungen ausgelegt sein und zeitgemäße CI-/CD-Verfahren unterstützen, um neue Funktionalitäten kontinuierlich testen und validieren zu können.

Der breite Anforderungskatalog war aber nicht die einzige Herausforderung – auch der Zeitplan des ambitionierten Integrationsprojekts war eng gesteckt. Yaron Zehavi erinnert sich: „Der Startschuss für das Customer-IAM fiel bei uns im Mai 2021, und unser Ziel war es, mit der neuen Lösung vier Monate später in den Live-Betrieb zu gehen. Daher entwickelten wir eine pragmatische und agile Roadmap: Wir entschieden uns, im ersten Schritt nur das kritische Thema Login-Security einschließlich der Authentisierung, der Identities und der Autorisierung anzugehen, und erst dann nach und nach die komplexeren Autorisierungsmetadaten einzubinden. In der dritten Phase gilt es dann, das Berechtigungshandling für Bankgeschäfte zu integrieren.“

Ping punktet mit starker Federation

Nach vielen Gesprächen und einer umfassenden Analyse des Marktes entschied sich die RBI, die neue Customer-IAM-Lösung auf der Basis der Produkte von Ping Identity zu realisieren. Die Cloud-basierte und hochverfügbare Kombination aus PingFederate und PingDirectory versprach, alle Anforderungen der Kunden abzubilden und überzeugte mit durchdachten Lösungen für den sicheren Login und das Handling der Berechtigungen.

Und noch eine zweite wichtige Weichenstellung nahm das RBI-Team in dieser Frühphase des Projekts vor: Angesichts der Integrationstiefe und des Integrationsaufwands entschied man sich, mit iC Consult ein externes Consulting-Team hinzuzuziehen, um die internen Identity-Experten im weiteren Projektverlauf als Ideen- und Impulsgeber zu unterstützen.

Anbindung von 60.000 Usern in zwei NWBs

Der Startschuss für die Umsetzung fiel Mitte 2021 mit der Implementierung der neuen IAM-Architektur und der Anbindung der ersten beiden NWBs. Um den strengen Vorgaben an die Sicherheit und Compliance der Lösung gerecht zu werden, implementierte das Projektteam dafür eine resiliente, skalierbare und hochverfügbare Multi-Cloud-Architektur, und hielt sich bei der IAM-Integration eng an die Best-Practice-Vorgaben für eine sichere OAuth 2.0- und OpenID Connect-Einführung. Die AWS-Funktionalitäten ELB (Elastic Load Balancing) und WAF (Web Application Firewall) sorgen für einen stabilen und sicheren Betrieb, und die Monitoring-Lösung Prometheus liefert lückenlose Transparenz über die Umgebung.

Sicherheit ohne Kompromisse

„Das Thema Sicherheit hat für uns als Finanzinstitut allerhöchste Priorität. Daher folgen wir bei der Integration und beim Betrieb der Architektur sehr streng den geltenden Best Practises für das AWS Cloud Deployment – und auch die Cookbooks von Ping Identity können wir uneingeschränkt als wertvolle Informationsquelle weiterempfehlen“, so Yaron Zehavi. „Darüber hinaus testen wir die Infrastruktur einmal pro Tag, nach jedem Deployment und stellen sie einmal jährlich bei einem Pen-Test auf die Probe. Als Mitglied der OpenID halten wir uns durchgehend über neue Drafts und Entwicklungen auf dem Laufenden.“

Kontinuierliches Testen und Validieren

Um Ausfälle nach dem Rollout von Apps, Updates oder Changes zu verhindern, hat das Projektteam zusätzlich eine hoch performante Testumgebung eingerichtet, in der jede Änderung vor der Umsetzung rigoros getestet wird. Der Test-Stack – eine Demo-NWB-IDP mit einem Demo-Client – umfasst über 150 Testszenarien mit Client- und IDP-seitigen Errors und Grenzfällen und ermöglicht es der RBI, Umgebungen proaktiv und forensisch zu testen.

Die Bereitstellung neuer Funktionalitäten erfolgt agil nach den Prinzipien der Continuous Delivery. „Um die Geduld der Kunden nicht durch manuelle Updates zu strapazieren und das eigene Team auch nicht zu unnötigen Nachtschichten verpflichten zu müssen, werden die neuen Releases inzwischen automatisiert getestet, verifiziert und im laufenden Betrieb bereitgestellt“, erklärt Henrik Kroll, IAM Consultant bei iC Consult. „Das Verfahren funktioniert dabei so gut, dass die RBI ohne Qualitätsprobleme 3 Millionen Kunden betreuen kann, während die PingFederate- und PingDirectory-Pods neu hochgeladen werden. Das ist wirklich beeindruckend, und schafft bei der Planung der Deployments natürlich ganz neue Freiräume.“

Weichenstellung für die Zukunft

Ende 2021 ging die Ping-Lösung online, und inzwischen wurden auch die ersten beiden Banking-Anwendungen daran angebunden. Dabei erweis sich die föderierte Architektur vom ersten Tag an als äußerst intuitiv und flexibel, und etablierte sich innerhalb der Gruppe schnell als der De-Facto-Standard im Bereich Customer-Identity. Und auch auf Seiten der Kunden findet die Lösung viel Anklang: Diese schätzen dabei vor allem die verbesserte User-Experience, die es ihnen ermöglicht, die digitalen Angebote der RBI jederzeit und komfortabel zu nutzen – ohne neue Zugangsdaten, über die vertraute Oberfläche und in der jeweiligen Landessprache.

Eine geeignete, unternehmensweite Customer-IAM Federation

Mit der Implementierung von Ping Identity legte die RBI erfolgreich das Fundament für die sichere und effiziente Bereitstellung standardisierter Banking-Applikationen für ihre zwölf Netzwerkbanken – unabhängig davon, welche Identity- Technologien diese nutzen, und zu einem Bruchteil der Kosten, die bei der Entwicklung individueller Integrationen angefallen wären.

Entsprechend positiv fällt die vorläufige Zwischenbilanz von Yaron Zehavi aus: „Wir sind immer noch richtig stolz, wenn eine neue NWB oder eine neue Banking-Anwendung live geht und die ersten Kunden darauf zugreifen. Mit den Lösungen von Ping Identity und iC Consult als Partner an unserer Seite haben wir einen wichtigen Grundstein für unsere künftige Identity-Strategie gelegt – und wir freuen uns sehr darauf, dieses ambitionierte und anspruchsvolle Modernisierungsprojekt gemeinsam zum erfolgreichen Abschluss zu führen.“

Kostenrechnung

Einsparpotenziale der gruppenweiten Identity-Plattform

Hätte sich die RBI entschieden, für jede NWB eine eigene Identity-Lösung aufzusetzen, hätte dies die Entwicklung von 240 Integrationen (20 Banking-Applikationen in 12 NWBs) bedeutet. Bei geschätzt 3 Personenmonaten Entwicklungsaufwand pro Integration entspricht dies 720 Personenmonaten oder rund 6 Millionen Euro. Zudem wäre es in diesem Szenario unweigerlich zu erheblichen Verzögerungen und organisatorischen Verwerfungen gekommen – sei es, weil es an Personalressourcen in der Entwicklung gefehlt hätte, oder weil Entwickler aus anderen Abteilungen für das Projekt abgezogen worden wären. Und auch die Kunden wären unmittelbar betroffen gewesen, da ein Tausch der Zugangsdaten unausweichlich gewesen wäre.

Im Gegensatz dazu nahm die Entwicklung und Implementierung der gruppenweiten IAM-Lösung gerade einmal 24 Personenmonate in Anspruch. Selbst wenn man konservativ kalkuliert, dass die Integration der Banking-Anwendungen und NWBs weitere 96 Personenmonate (je 3 Monate für 12 NWBs und 20 Anwendungen) in Anspruch nehmen wird, und noch einmal 96 Personenmonate für die Wartung und Pflege hinzukommen, belaufen sich die Kosten der konsolidierten Lösung auf gerade einmal 216 Personenmonate, oder 1,6 Millionen Euro. Das ist weniger als ein Drittel der Kosten des alternativen Modells, bei einem deutlichen Plus an Sicherheit und Komfort.

Sie möchten Ihr IAM-Projekt starten?

Unsere Experten freuen sich auf ein Gespräch mit Ihnen.

Kontaktieren Sie uns