IAM-Integration mit weißen Handschuhen: Kestra Holdings‘ Digitale Transformation

Kestra Holdings betreibt eine der erfolgreichsten Online-Vermögensverwaltungsplattformen in den Vereinigten Staaten, die ein Ökosystem von über 2.400 unabhängigen Finanzfachleuten in sechs Niederlassungen unterstützt und über 700 Mitarbeitende beschäftigt. Mit dem Ziel, Mitarbeitende und das Netzwerk aus Finanzexperten sicher und bequem mit der zentralen Plattform zu verbinden, konsolidierte Kestra Holdings seine Identity und Access Management Lösung mit Unterstützung von iC Consult Experten in einer End-to-End-Identitätslösung von Okta – und legte damit eine nachhaltige Grundlage für zukünftige Akquisitionen und Innovationen.

Auf einen Blick

Branche: Vermögensverwaltung

Region: Global

Kunde: Kestra Holdings

Über den Kunden

Kestra Holdings bietet branchenführende Vermögensverwaltungsplattformen für unabhängige Vermögensverwaltungsexperten in den gesamten Vereinigten Staaten. Mit einer innovativen Kultur, die die Unabhängigkeit zelebriert, will das Unternehmen die Zukunft der Beratungsbranche neu definieren – durch erstklassigen Service, modernste Technologien und herausragende Ressourcen, die jeder Finanzprofi braucht, um jetzt und in den kommenden Jahren auf dem Markt erfolgreich zu sein. Die Unternehmen von Kestra Holdings betreuen ein verwaltetes Vermögen von 146 Milliarden USDollar und unterstützen mehr als 2.400 unabhängige Finanzfachleute USA-weit bei der Bereitstellung umfassender Wertpapier-, Treuhandund Anlageberatungsdienste für deren Kunden.

Herausforderung

Entwicklung einer unternehmensweiten IAM Strategie, Definition von Standards für die Anbindung interner und externer Nutzer sowie das Ersetzen der bestehenden Altsysteme durch eine zeitgemäße Identitätslösung.

Produkte und Services

Identity-Lösungen von Okta und SailPoint

Ergebnisse

  • Starke Identitätslösung mit MFA & SSO: Nutzer können sich je nach Kontext und Risikostufe mit unterschiedlichen Faktoren anmelden.
  • Erfolgreicher Roll-out: Über 90% der 5.000 Berater übernehmen die Lösung vor dem offiziellen Launch.
  • Einbindung aller Beteiligten: Regelmäßige Berichte über die Lösung und die erreichten Meilensteine gewährleisteten die volle Unterstützung aller Stakeholder.
  • Nächster Meilenstein: Migration der Services auf eine neugestaltete, viel leistungsfähigere Plattform der nächsten Generation.
  • Identity-as-a-Service ist die Zukunft: Mittelfristig könnten IaaS-Services in allen Niederlassungen und für jeden Berater bereitgestellt werden, um die Zusammenarbeit mit Partnern weiter zu stärken.

Unsere neue Architektur ermöglicht es uns, die Lücke zwischen unseren Altsystemen und unserer neuen cloudbasierten Microservices-Plattform zu schließen, die demnächst in Betrieb genommen wird. Die Nutzer können sich dann problemlos mit ihren bestehenden Identitäten anmelden und vom ersten Tag an produktiv und sicher arbeiten. Dies war ein Schmerzpunkt und ein Must-have für unsere Kunden.

Kyle Weckman
Chief Information Security Officer bei Kestra Holdings

Die digitale Transformation von Kestra: Neue Maßstäbe für das Wealth Management

Kestra Holdings hat sich seit jeher zum Ziel gesetzt, die Zukunft der Vermögensverwaltung durch erstklassigen Service, modernste Technologien und ein breites Spektrum an Back-Office-Support völlig neu zu definieren. Bei der Betreuung seiner Kunden und Partner setzt das Unternehmen daher auf eine zeitgemäße digitale Plattform, über die interne und externe Nutzer derzeit auf rund 50 Business-Apps und umfangreiche Ressourcen zugreifen können.

Allerdings war es in der komplexen und historisch gewachsenen Infrastruktur nicht immer einfach, einen sicheren Zugang zu diesen Tools zu gewähren, berichtet Kyle Weckman, Chief Information Security Officer bei Kestra Holdings: „Kestra ist in den letzten Jahren schnell gewachsen – teils organisch, teils durch Übernahmen. Zu unserer Holdinggesellschaft gehören inzwischen sechs Tochtergesellschaften, die lange Zeit jeweils ihre eigenen Identitäten und Zugriffsrechte verwaltet haben. Darüber hinaus nutzten die vielen Tausend Finanzfachleute, mit denen wir zusammenarbeiten, bis zur Gründung der Holdings Co. heterogene und manchmal veraltete Lösungen. Es fehlte an Architekturstandards, einheitlichen Prozessen und für die Skalierung notwendige Automatisierung – also haben wir die Experten von iC Consult hinzugezogen, um das Thema Identität von Grund auf neu anzugehen und auf eine robuste und zukunftssichere Basis zu stellen.“

IAM Projekt Challenge

Okta punktet mit hoher Interoperabilität

Hauptziel des Projekts war es, eine unternehmensweite Strategie für das Identity und Access Management zu entwickeln, klare Standards für die Anbindung von Mitarbeitenden, externen Beratern und Kunden zu definieren und die bestehenden Altsysteme durch eine zeitgemäße, sichere und einfach zu bedienende Enterprise IAM-Lösung zu ersetzen.

Das Projektteam evaluierte den Markt und entschied sich schließlich für den IAM-Plattformanbieter Okta: „Die sichere und belastbare Plattform von Okta hat uns auf Anhieb gefallen“, so Kyle Weckman. „Ausschlaggebend war aber letztlich die Tatsache, dass das Unternehmen ein herstellerneutraler Identitätsanbieter ist, was bedeutet, dass Okta äußerst flexibel mit anderen Lösungen kombiniert werden kann. In unserer heterogenen und dynamischen Landschaft ist das genau die Flexibilität, die wir brauchen.“

Erfolg durch Konsolidierung der Systeme und Implementierung bewährter Authentifizierungsmethoden

Cross-Identitäten werden zum Schmerzfaktor

Das Projektteam implementierte die Okta‘s Workforce- und Customer-Plattformen als unternehmensweite Authentifizierungs- und Autorisierungslösung für Mitarbeitende, Berater und Kunden – und konsolidierte die bestehenden Altsysteme der Tochtergesellschaften zu einer Gesamtlösung. Die klare Rollenverteilung konnte in der Praxis jedoch nicht immer durchgesetzt werden: Viele Nutzer von Kestra Holdings besitzen mehrere Rollen – etwa Kunden, die gleichzeitig Berater sind, oder freiberufliche Berater, die angeworben und als Mitarbeiter eingestellt werden. „Der Umgang mit Identitäten, die aufgrund der Art unseres Geschäfts mehrere Mitarbeitertypen umfassen, erwies sich als äußerst komplex“, erklärt Kyle Weckman. „Im Laufe des Projekts haben wir uns daher gemeinsam mit den Experten von iC Consult entschieden, die Identity Governance Lösung von SailPoint als dedizierte Orchestrierungsplattform zu implementieren. Dies half uns, Identitäten und Zugriffsrechte zuverlässig über alle Mitarbeitenden und Kunden hinweg zu verwalten.“

Die wichtigsten Highlights der IAM-Lösung:

  • Starke Multi-Faktor-Authentifizierung (MFA) für Mitarbeitende: Okta unterstützt eine starke adaptive MFA, bei der sich Nutzer je nach Kontext und Risikostufe mit unterschiedlichen Faktoren anmelden können – zum Beispiel per Passwort, Fingerabdruck, Magic Link oder Einmal-Password. Das ist nicht nurr sicher, sondern auch komfortabel – und entlastet den Helpdesk nachhaltig.
  • Mitarbeiterportal mit Single Sign-on (SSO): Im Rahmen des Projekts integrierte Kestra Holdings ein neues Anwendungsportal, über das Mitarbeitende und Berater nach einmaliger Anmeldung jederzeit auf mehr als 40 Geschäftsanwendungen zugreifen können. Auch für Kestra’s Kunden wurden dedizierte Anwendungsportale eingerichtet.
  • Automatisierung des Account-Lebenszyklus: Okta automatisiert weitgehend das Onboarding und Offboarding von Mitarbeitenden, einschließlich der Zuweisung von granularen Zugriffsrechten. So kann Kestra Holdings sicherstellen, dass neue Kollegen vom ersten Tag an Zugriff auf alle Anwendungen und Ressourcen haben, die sie benötigen – ohne dass das IT-Team eingreifen muss.
  • Verbesserte Benutzerfreundlichkeit für Kunden und Mitarbeitende: Flexible, in vielen Fällen passwortlose Authentifizierungsoptionen und praktisches Single Sign-on bieten Kunden und Mitarbeitenden jederzeit eine erstklassige Nutzererfahrung.
  • Zuverlässige Einhaltung der regulatorischen Anforderungen: Als Vermögensverwalter agiert Kestra Holdings in einem streng regulierten Markt und muss die Einhaltung nationaler und internationaler Anforderungen – wie SEC- und FINRA-Richtlinien – sicherstellen. Diese schreiben unter anderem den Einsatz von MFA-Technologie zwingend vor, eine Anforderung, die Kestra Holdings mit Okta durchgängig erfüllt.

Der Weg zu Next-Generation IAM

White-Glove Service für bestmögliche Akzeptanz

„Obwohl die vielen Vorteile der neuen Identitätsplattform auf der Hand lagen, war uns klar, dass der Erfolg der Einführung mit der Akzeptanz seitens unserer Kunden und Mitarbeitenden steht und fällt – und diese ist bei Tausenden von Nutzern, von denen viele keine Erfahrung mit modernen IAM-Lösungen haben, schwer vorherzusagen“, erklärt Kyle Weckman. „Deshalb haben wir uns gemeinsam mit iC Consult zu einem ungewöhnlichen Schritt entschlossen: Unser IT-Team entwickelte eigens für dieses Projekt einen neuen White-Glove-Service – quasi einen Rundum-Sorglos-VIP-Support-Service für Nutzer, der alle Anfragen persönlich bearbeitet, umfassende Hilfe anbietet und alle Nutzer vom ersten Tag an einbezieht. Das hat Wunder gewirkt: Über 90 Prozent unserer 5.000 Berater haben die Lösung noch vor dem offiziellen Launch eingerichtet.“

Proaktives Einbeziehen von Stakeholdern

Parallel zum „White-Glove“-Programm sicherte sich das Projektteam die Unterstützung der Geschäftsleitung aller Tochtergesellschaften: Alle CIOs und Stakeholder wurden regelmäßig über die Vorteile der neuen Plattform, das zukünftige Potenzial der Lösung und erreichte Meilensteine informiert. Auf diese Weise hatte das Projekt von Anfang an die volle Unterstützung der gesamten Geschäftsleitung – und es ist sogar gelungen, die hohen Erwartungen zu übertreffen, seit die Lösung in Betrieb ist: „Okta ist jetzt eine meiner Lieblingsapplikationen, da es die Anmeldung bei unseren verschiedenen Anwendungen mit unterschiedlichen Benutzernamen erleichtert und möglich macht.“, sagt Stephen Langlois, President bei Kestra Financial.

Nächster Meilenstein: Neue Plattform der nächsten Generation

Das hohe Level an Akzeptanz unter den Nutzern ist von zentraler Bedeutung. Die neue IAM-Plattform soll nicht nur kurzfristig Identitätsprobleme beheben, sondern stellt auch einen wichtigen langfristigen Meilenstein dar: „Wir planen, unsere Anwendungen und Dienste im Laufe des nächsten Jahres auf eine komplett neugestaltete, viel leistungsfähigere Plattform der nächsten Generation zu migrieren – und die neue IAM-Lösung ist die erste Schlüsselkomponente dieser neuen Plattform“, erklärt Kyle Weckman.

Identity-as-a-Service ist die Zukunft

Laut Kyle Weckman bietet die neue IAM-Plattform für Kestra Holdings mittelfristig aber noch ambitionierteres Potenzial: „Ich könnte mir gut vorstellen, dass wir in ein paar Jahren IaaS-Services auf Basis von Okta für alle 1.100 Niederlassungen anbieten. Das wäre aus unserer Sicht ein wirklich wegweisendes Modell, um die Zusammenarbeit mit unseren Partnern weiter zu stärken – und wir würden mit einer solchen Lösung einen ganz neuen Standard in der Branche setzen.“

Kestra Holdings’ CISO teilt seine Erfahrungen

Im Video erzählt Kyle Weckman, Kestra Holdings’ CISO, über das erfolgreiche Projekt

YouTube Video