Im Jahr 1590 gegründet, gehört Berenberg zu den ältesten Privatbanken der Welt und vereint jahrhundertlange Tradition mit einem tiefen Verständnis der Finanzmärkte, um Kunden jederzeit eine persönliche und umfassende Vermögensverwaltung zu bieten. Dass hinter der traditionsreichen Kulisse heute modernste IT-Technologie zum Einsatz kommt, um ein Höchstmaß an Effizienz und Produktivität im Sinne der Kunden zu gewährleisten, ist ebenso selbstverständlich wie die strengen Sicherheitsstandards, die die Privatbank beim Umgang mit sensiblen Kundendaten anlegt. Eine Schlüsselrolle kommt im Security-Konzept dem Thema Identity Governance and Administration (IGA) zu – einem Bereich, in dem Berenberg mit Unterstützung von iC Consult jetzt auf eine neue, weitgehend automatisierte Plattform migrierte.
Hintergrund
Als Ende der 2010er Jahre die Digitalisierung des Finanzwesens an Fahrt aufnahm, stieg die Zahl der IT-Anwendungen – und, damit verbunden, die der Zugriffsberechtigungen – über die gesamte Branche hinweg rasant an. Matthias Bork, Head of Identity & Access Governance bei Berenberg, erinnert sich: „Als wir das Thema Digitalisierung und Automatisierung des bankweiten Identity Governance Framework 2019 angingen, hatten wir in der IT schon rund 200 dedizierte Anwendungen im Einsatz, und pflegten für unsere Mitarbeitenden rund 4.000 Einzelberechtigungen. Dafür verwendeten wir eine eigenentwickelte Rechte-Management-Lösung, die allerdings primär als Front-End diente, über das die Mitarbeitenden neue Zugriffe beantragen konnten. Das eigentliche Handling musste die IT anschließend manuell erledigen, was häufig eine Herausforderung war, und viel Zeit und Ressourcen in Anspruch nahm. Zudem war uns klar, dass sich die Situation mit der stetig steigenden Zahl von Services und den zunehmenden regulatorischen Anforderungen weiter verschärfen würde. Also erhielt die Suche nach einer dedizierten Identity-&-Access-Management-Lösung höchste Priorität.“
Herausforderung – Sorgfältige Evaluierung der führenden IGA-Plattformen
Um sicherzustellen, dass die Plattform die gewünschte Entlastung bringen und allen heutigen und künftigen Anforderungen gerecht werden würde, startete das Team einen detaillierten Proof-of-Concept, bei dem alle marktführenden IGA-Lösungen auf den Prüfstand gestellt wurden.
Anschließend entwickelte Matthias Bork eine detaillierte Anforderungsmatrix mit gewichteten Schlüsselkriterien – von der Unterstützung individualisierbarer Workflows über Compliance- und Zertifizierungsfeatures bis hin zur Einbindung von Rollenmodellen – und glich diese mit dem technischen Leistungsumfang und der Benutzerfreundlichkeit der aussichtsreichsten Kandidaten ab. Am Ende des Evaluierungsprozesses stand die Entscheidung für SailPoint IdentityIQ (SailPoint IIQ), die On-Premises-Version der IGA-Lösung von SailPoint.
Matthias Bork erinnert sich: „SailPoint unterstützte alle von uns geforderten Funktionalitäten und überzeugte sowohl beim technischen Unterbau als auch bei der Nutzerfreundlichkeit. Zudem war die Lösung gut in unsere bestehende Architektur integrierbar, und bot uns alle Schnittstellen, um den umfassenden Datenbestand aus unserem eigenentwickelten Rechtemanagement zu übernehmen. Das war für uns mit Blick auf den Migrationsaufwand ein entscheidender Faktor. Trotzdem war uns klar, dass ein solches Projekt für unser internes Team eine enorme zusätzliche Belastung wäre – also beschlossen wir, externe Verstärkung hinzuzuziehen, und wählten im Zuge eines weiteren Proofs-of-Concept das Team von iC Consult als Integrationspartner.“
Lösung – Prozessentwicklung als Vorbereitung der Migration
Um die Weichen für einen erfolgreichen Go-Live zu stellen, fokussierte sich das Projektteam in den ersten Monaten ganz auf die Prozessdefinition – sprich: auf die Entwicklung langfristig tragfähiger Workflows für das Berechtigungsmanagement. Ziel war es, alle Phasen des Identity-Lifecycles abzudecken: von der Zuweisung von Zugriffsrechten beim Onboarding neuer Mitarbeitender über sämtliche Changes bei Versetzungen und Abteilungswechseln bis hin zum unmittelbaren Entzug der Rechte beim Offboarding. Parallel zu dieser Prozessdefinition machte sich iC Consult daran, passende Konnektoren für die Anbindung der Anwendungslandschaft und die Migration des Datenbestands bereitzustellen. Während einige Applikationen standardmäßig bereits über passgenaue Konnektoren verfügten, mussten diese bei anderen Anwendungen individualisiert oder mitunter vollständig neu entwickelt werden.
Nach der Implementierung der entsprechenden Prozesse und Schnittstellen nahm das Team im nächsten Schritt die Ablösung des eigenentwickelten Rechtemanagements und die Überführung der Berechtigungen in die neue SailPoint-Lösung in Angriff. Wie bereits zu Projektbeginn vermutet, war die Zahl der Anwendungen und Einzelberechtigungen zu diesem Zeitpunkt bereits signifikant angestiegen: Insgesamt galt es nun, sukzessive rund 400 Anwendungen mit 12.000 Einzelberechtigungen – auf SailPoint IdentityIQ zu migrieren, wobei ein Großteil dieser Berechtigungen auf die neu eingebundene Active Directory-Umgebung entfiel.
Einbindung aller internen Stakeholder
Bernhard Strassberger, Identity & Access Governance Manager bei Berenberg, erklärt: „Die Stimmung vor dem Go-Live war naturgemäß angespannt. Immerhin hat die, bis zu diesem Zeitpunkt, aufgebaute SailPoint Applikation samt den automatischen Konnektoren maßgeblichen Einfluss auf den reibungslosen Ablauf von internen Prozessen und hätte im Worst-Case zu einem längeren IT-Stillstand führen können – ebenso ist es technisch nicht möglich, eine AD-Umgebung für Tests eins zu eins nachzustellen, somit bleibt immer ein Rest Ungewissheit. Neben den technischen Hürden standen wir zudem vor der Herausforderung, alle Stakeholder und Mitarbeitenden in das Projekt mitzunehmen und von dem Potenzial zu überzeugen, das wir in der Lösung sahen. Wäre der Start holprig verlaufen, hätten wir intern vermutlich erhebliche Widerstände ausräumen müssen. Aber die SailPoint-Lösung lief am Launch-Tag vom ersten Moment an extrem zuverlässig, und hat auch in den Jahren danach nahezu keine Probleme gemacht.“
90 Prozent der Rechtevergaben automatisiert
Und, ebenso wichtig: Von den rund 420 Apps, mit denen Berenberg in den Launch startete, waren bei mehr als einem Drittel die IGA-Abläufe bereits vollständig automatisiert. In den Monaten nach dem Launch wurde die Automatisierung dann in einer Reihe von Sprintzyklen kontinuierlich vorangetrieben und fand im Frühjahr 2024 mit der Einbindung von Microsoft Entra ihren vorläufigen Abschluss. Heute, im Herbst 2024, werden bereits 90 Prozent der Berechtigungsprozesse automatisiert abgewickelt, ohne dass ein Mitarbeitender manuell eingreifen müsste. Und das ist auch die natürliche Obergrenze: Bei den übrigen zehn Prozent handelt es sich um Workflows mit einer physischen Komponente – typischerweise etwa der Ausgabe einer Schlüsselkarte – die sich systembedingt nur schwer automatisieren ließen.
Mit der Einführung von SailPoint IdentityIQ rückte für das Berenberg-Team noch ein weiteres Thema in den Fokus: Rollenkonzepte. André Höhler, Projektleiter bei iC Consult, erklärt: „Beim Onboarding jedes neuen Berenberg-Angestellten wurde ein großer Teil benötigter Zugriffsrechte individuell festgelegt, bevor diese dann in Form von einzelnen Access Request beantragt, genehmigt und erteilt werden. Je mehr die Anwendungslandschaft expandiert, desto aufwändiger und unübersichtlicher gestaltet sich dies aber. Rollenmodelle können diesen Prozess enorm beschleunigen und letztlich sogar die Weichen für eine Policy-basierte Steuerung der Abläufe stellen. Hinzu kommt, dass innovative Role-Mining-Modelle in der streng regulierten Finanzbranche viel zur Transparenz beitragen können. Berenberg kann also auch in Zukunft weitere Potenziale mithilfe eines gezielten Rollenkonzeptes erschließen.“
Ausblick – Nach dem Projekt ist vor dem Projekt
So zufrieden man bei Berenberg mit dem Projektverlauf und den erreichten Zielen ist, ruht sich das Team um Matthias Bork nicht lange auf den Erfolgen aus, sondern hat bereits eine Reihe von Folgeprojekten im Blick: So wollen die Identity-Expertinnen und -Experten in 2025 das bestehende ServiceNow-Ticketing mit der SailPoint-Umgebung verzahnen, um über beide Systeme hinweg Tickets generieren und Statusmeldungen übertragen zu können, was weiter zur Automatisierung der Abläufe beitragen wird. Ein zweites Fokusthema dürfte im kommenden Jahr die konsequente Weiterentwicklung des bereits bestehenden Privileged Access Management (PAM) werden – einerseits, weil die privilegierten Konten zunehmend in den Fokus der Bankenaufsicht rücken, andererseits, weil auch in diesem Umfeld attraktive Automatisierungs- und Effizienzsteigerungspotenziale warten.
Dass das Identity-Team von iC Consult auch bei den Folgeprojekten an Bord sein wird, ist für Matthias Bork gesetzt: „iC Consult hat enorm zum Erfolg des IGA-Projekts beigetragen: operativ, wo wir sehr von der Produkt- und Entwicklungskompetenz profitiert haben, aber auch strategisch, wo iC Consult ein wertvoller Impulsgeber und Sparringpartner war, um gemeinsam neue Ideen zu entwickeln.“
