Die R+V Versicherung AG ging eine Partnerschaft mit SailPoint ein, um Prozesse mit einer zentralen Administrationsplattform zu verschlanken und zu vereinfachen

Maßgeschneidertes Identity Management: Auf die Flexibilität kommt es an

Identity Management gehört mit zu den wichtigsten Bereichen einer funktionierenden IT-Infrastruktur. Besonders in großen Unternehmen gibt es eine Vielzahl digitaler Identitäten, die auf unterschiedliche Daten zugreifen müssen.

Identitäten und Berechtigungen ändern sich laufend im normalen Geschäftsbetrieb. Ein Mitarbeiter durchläuft mit seiner Identität im Laufe seiner Karriere diverse Stationen: Vom Onboarding über den Wechsel zu anderen Abteilungen bis hin zu seinem Ausscheiden aus dem Betrieb. Oft werden Berechtigungen allerdings zu großzügig verteilt, etwa um Zeit zu sparen. Hierdurch häufen Nutzerkonten zahllose Zugriffsrechte an, die sie zu einem lohnenden Ziel für Hacker machen. Um dem entgegenzuwirken, bedarf es eines intelligenten Systems zur Identity Governance.

Identitäten bei Versicherungen

Bei der R+V Versicherung suchte man aus diesem Grund nach einem Identity-Anbieter, dessen Lösung sich so flexibel wie möglich an die Gegebenheiten anpasste. Die Wahl fiel nach gründlicher Abwägung auf SailPoint, deren Identity-Plattform genau auf die Bedürfnisse des Versicherers passte. Mit über 14.600 Mitarbeitern und Beitragseinnahmen von gut 17 Milliarden Euro handelt es sich bei der R+V um den viertgrößten Versicherungsdienstleister in Deutschland. Aufgrund der Vielzahl an Beschäftigten und damit zu verwaltenden Identitäten kam es zu hohen Fluktuationen bei der Zuweisung von Berechtigungen. Die Risiken, die eine zu laxe Handhabung dieser Berechtigungen nach sich ziehen kann, sind nicht zu unterschätzen: Sie reichen von Datenlecks im Falle einer Kompromittierung eines Accounts bis hin zu Compliance-Verstößen und können sowohl finanzielle als auch Rufschäden zur Folge haben.

Identitäten managen

Um diesen Herausforderungen zu begegnen, nutzte die R+V in der Vergangenheit eine User Management Lösung eines anderen Anbieters in Verbindung mit einer auf SAP basierenden Eigenentwicklung zur Steuerung aller Genehmigungsprozesse. Die Abkündigung der sich im Einsatz befindlichen Lösung war Auslöser für ein Projekt zur Einführung einer neuen ganzheitlichen IAM-Lösung. Im Rahmen eines Auswahlverfahrens als Teil dieses Projektes setzte sich SailPoint gegenüber zwei weiteren Mitbewerbern aufgrund der Vielfalt lieferbarer Konnektoren, einer flexiblen Workflow-Engine und der Zertifizierungsmöglichkeiten durch.

Daneben wurde auch der Datenhaltung in einer SQL-Datenbank der Datenhaltung in Verzeichnisdiensten der Vorzug gegeben. Die gute Erweiterbarkeit durch eigenentwickelten Programmcode führten dazu, dass alle bis dato etablierten Prozesse sehr gut in der SailPoint-Lösung umgesetzt werden konnten.

„Es standen einige Systeme zur Auswahl. SailPoint hat man aufgrund der hohen Anpassbarkeit bevorzugt“, so Frank Stanger-Wolf, Senior System Engineer IAM bei R+V.

Die Anforderungen an den Identity Governance-Anbieter waren hoch: Es galt, einen ganzheitlichen Governance-Ansatz zu realisieren, der alle Identitäten, Berechtigungen und Ressourcen innerhalb der R+V abdeckte. Zugleich mussten die teils hochgradig angepassten Prozesse der Vorgängerlösung nahtlos übernommen beziehungsweise neu adaptiert werden. Darüber hinaus musste das SAP-Frontend in ein Web-Frontend migriert werden. Hier konnte SailPoint durch die hohe Flexibilität und die Vielzahl an Anpassungsmöglichkeiten überzeugen.

Implementierung und Betrieb von SailPoint

Die Ziele, die die R+V mit SailPoints Identity-Plattform erreichen wollte, waren klar definiert: Es galt, die unternehmensinternen Identitäten effizient zu managen, um bestehenden Regularien  entsprechen und Prüfungen standhalten zu können. Während und vor allem nach der Implementierung setzte R+V dabei jederzeit auf den Support von SailPoint. Nachdem die Zusammenarbeit 2014 begonnen hatte, war die Implementierung von SailPoint 2017 abgeschlossen. Heute verwaltet SailPoint 52 Applikationen der R+V – Tendenz steigend. Die Schulungen zu allen Prozessen in der Implementierung fanden hierbei sowohl vor Ort und dezentral in den verschiedenen Filialdirektionen der R+V als auch online statt. Das detaillierte Informationsmaterial für Betreuer half dabei, sich schnell in der Bedienung der neuen Oberflächen zurechtzufinden.

„Über 600 Berechtigungsänderungen laufen täglich durch SailPoints Identity-Plattform mit Spitzen zum Quartalwechsel hin. Die Automatisierung spart unseren Führungskräften somit wertvolle Zeit, die sie für wichtigere Aufgaben nutzen können“, so Stanger-Wolf weiter.

Zugute kam der R+V dabei ihr eigener Prozess für die Beantragung von Berechtigungen. Benötigt ein Mitarbeiter Zugriff auf Daten und Anwendungen, beantragt er diesen Zugriff bei einem von 120 Betreuern, die seine Bedürfnisse in Bezug auf Berechtigungen übersetzen und und in der Web-Oberfläche von IdentityIQ einen Workflow durch Absenden eines Formulars starten. Der Workflow informiert anschließend die richtigen Führungskräfte und Ressource Owner via eMail. Links in einer eMail führen Genehmiger direkt zu dem Ort, wo sie den Zugriff bewilligen oder ablehnen können. SailPoint hat den Prozess optimiert und vereinfacht, indem nun Berechtigungen für alle Mitarbeiter über eine zentrale Plattform verwaltet werden können. Wo vor der Implementierung Berechtigungen noch händisch per Excel-Tabelle verwaltet werden mussten, erledigt SailPoints Lösung dies nun vollautomatisiert. Über die Weboberfläche können Führungskräfte bei der R+V Berichte zu den Berechtigungen ihrer Mitarbeiter abrufen und sehen in ihren Aufträge die noch offenen Genehmigungsanfragen.
Das gesamte Identitätsmanagement wurde auf diese Weise vereinheitlicht. Und dies kommt letztendlich der Effizienz zu Gute: Arbeitsweisen wurden verschlankt, was eine schnellere Abarbeitung von Anfragen und damit einhergehend eine höhere Kosteneffizienz ermöglicht.
Hierbei liefert SailPoint einen weiteren wichtigen Beitrag zur IT-Sicherheit von R+V: Jede Änderung wie zum Beispiel Rechtezuweisung, Rechteentzug, Stammdatenänderung usw. wird im System auditiert und ist lückenlos nachweisbar. Zusätzlich werden im Rahmen von regelmäßigen Zertifizierungen die Rechte von Mitarbeitern durch Führungskräfte und Ressource Owner überprüft.

Ausblick

R+V möchte in Zukunft die Zusammenarbeit mit SailPoint weiter ausbauen. Neben der Einbindung von SailPoints File Access Managing- und PAM-Modulen sollen zusätzliche Plattformen, die beim Versicherer in Nutzung sind, in SailPoint implementiert werden. Hierzu zählen etwa Microsoft Azure und die SalesForce-Plattform. Langfristiges Ziel ist es, den „Cloud Ready“-Ansatz und bestmögliche Compliance zu gesetzlichen und branchenspezifischen Regularien zu kombinieren. Konkret heißt dies für R+V, die Zusammenarbeit mit SailPoint weiter zu vertiefen, sodass nach und nach alle Plattformen, mit denen der Versicherer arbeitet, in SailPoints Identity-Plattform implementiert sind.

Das Ziel ist, einen ganzheitlichen Ansatz für die gesamte R+V zu verwirklichen und bestehende Prozesse zur Verwaltung von Identitäten vollständig zu automatisieren. Am Ende sollen so alle IT-Prozesse von einem einheitlichen Identitätsmanagement profitieren, sodass die bestmögliche Compliance hinsichtlich gesetzlicher Regularien gewährleistet werden kann.