RWE stellt in weniger als sechs Monaten auf SaaS-basierte, KI-gestützte Identity Security um

RWE ist ein internationales Energieunternehmen, das mit seiner Investitions- und Wachstumsstrategie „Growing Green” seine Marktposition und globale Reichweite in den letzten Jahrzehnten stark ausgebaut hat. Heute erwirtschaftet der Konzern einen Jahresumsatz von 40,3 Milliarden US-Dollar, beschäftigt mehr als 19.000 Mitarbeiter und verfügt über zahlreiche Tochtergesellschaften, Niederlassungen, Büros, Kraftwerke, Wind- und Solarparks und andere Anlagen an mehr als 80 Standorten weltweit.

Unter der Leitung von Cyber Security Manager Sue Walker hat RWE ein ausgereiftes Identitätsprogramm aufgebaut, das eine reibungslose Umstellung vom lokalen SailPoint IdentityIQ auf das cloudbasierte SailPoint IdentityNow und KI-gestützte Identity Security im großen Maßstab ermöglichte.

Erste Schritte bei Identity- und Access-Governance

Vor mehr als zehn Jahren führte RWE IdentityIQ als On-Premises-Lösung ein, um die Einhaltung gesetzlicher Vorschriften in seinem Versorgungs- und Handelsgeschäft sicherzustellen. Das Unternehmen nutzte die SailPoint-Technologie, um die Bereitstellung, Zugriffsanfragen und Zertifizierungen zu automatisieren – mit hervorragenden Ergebnissen.

Im Einklang mit der allgemeinen Cloud-first-Strategie des Unternehmens stellte RWE IdentityIQ anschließend auf eine leistungsstarke AWS-Umgebung um. Nach sorgfältiger Planung über drei Monate wurde das System an einem Wochenende erfolgreich in die Cloud verlagert – mit erheblichen Vorteilen vom ersten Tag an.

Mit der Übertragung von IdentityIQ-Daten auf AWS schloss RWE den ersten Schritt seiner Migration in die Cloud erfolgreich ab.

Zu diesem Zeitpunkt erstellte der Rest des RWE-Konzerns noch manuell Benutzerprofile und gab sie in maßgeschneiderte Systeme ein, aber das sollte sich nun ändern.

Skalierung mit SaaS

„Wir beschlossen vor fünf Jahren, dass wir auf unserem Erfolg mit IdentityIQ aufbauen und das Identitätsmanagement für das gesamte Unternehmen zentralisieren wollten. Das bedeutete die Erweiterung von etwa 2.500 Benutzern auf 25.000 bis 30.000 Benutzer”, erklärt Walker.

Die Komplexität der Organisation stellte eine zentrale Herausforderung dar. Nach mehreren Übernahmen in den frühen 2000er Jahren umfasste RWE fast 90 Organisationen. Nach Konsolidierung und Veräußerung gibt es heute rund 30 Betriebsgesellschaften innerhalb von RWE, die jeweils mehrere Abteilungen und geografische Standorte umfassen können.

Gestützt auf die Erfahrung des Teams mit der AWS-Cloud-Migration und die zehnjährige erfolgreiche Nutzung von SailPoint IdentityIQ bestand der nächste Schritt für Walker darin, zu einer vollständigen SaaS-Lösung für unternehmensweite Identity Governance überzugehen. Das System würde parallel zu IdentityIQ arbeiten, das Daten von IdentityNow abrufen und als maßgeschneiderte Lösung für den Bereich Versorgung und Handel beibehalten würde.

„IdentityIQ ist zwar skalierbar, aber die Nutzung einer SaaS-Lösung war für uns schneller und kostengünstiger. Wir betreuen jetzt zehnmal so viele Mitarbeiter wie zuvor und bauen neue Prozesse und Anwendungsfälle auf – mit Produktions-, Staging- und Entwicklungsumgebungen”, erläutert sie.

Durch die Umstellung auf SailPoint IdentityNow konnte RWE den Ausbau seiner Infrastruktur, z. B. von Task-Servern, vermeiden und sich auf die wichtige Arbeit der Standardisierung von Prozessen und der Schulung von Benutzern konzentrieren. Der Rund-um-die-Uhr-Support von SailPoint war ebenfalls ein wichtiger Vorteil. Laut Walker ist es operativ viel einfacher, eine SaaS-Lösung zu verwalten, weil sie sich darauf verlassen kann, dass SailPoint die gesamte End-of-Landing-Infrastruktur übernimmt.

Insgesamt dauerte die Umstellung auf die SailPoint SaaS-Lösung weniger als sechs Monate. Dabei wurden die Onboarding- und Offboarding-Prozesse für neue Mitarbeiter, Versetzungen und Austritte (Joiners, Movers & Leavers bzw. JMLs) geprüft, neu entwickelt und teilweise ersetzt. Heute arbeiten alle RWE-Betriebsgesellschaften auf der gleichen Domain mit den gleichen Prozessen mit insgesamt rund 1.800 Zugriffsprofilen. Die Automatisierung war ein wichtiger Teil des Projekts.

„Die Migration machte aus Sicht der Kosten und des Supports einen enormen Unterschied. Die Verwaltung von Identitäten in der Cloud veränderte die Art und Weise, wie wir Daten nutzten, und senkte die Kosten. Außerdem mussten wir uns nicht mehr um die zugrunde liegende Architektur kümmern, sodass wir uns auf andere Aufgaben konzentrieren konnten. Und die Benutzer haben überhaupt keinen Unterschied bemerkt”, so Walker.

Zeitersparnis durch Automation

„Zu Beginn betrug die Vorlaufzeit für das manuelle Onboarding etwa 15 bis 25 Tage. Mit SailPoint konnten wir diese Zeit zunächst auf zwei Tage reduzieren. Jetzt sind es nur noch drei Stunden”, erinnert sich Walker.

RWE plant identitätsbezogene Prozesse nun so, dass sie zweimal täglich durchgeführt werden. Anstatt dass Abteilungsverantwortliche die Daten eingeben müssen, um das Onboarding auszulösen, ist der grundlegende Zugriff automatisiert. Dies gewährleistet nicht nur eine einheitliche Datenqualität und verringert menschliche Fehler, sondern hat auch betriebliche Vorteile. Das IT-Team muss sich nicht mehr um die Bearbeitung von Support-Anfragen kümmern, und die Benutzer können vom ersten Tag an loslegen. Um ein gutes Onboarding-Erlebnis für neue Mitarbeiter zu gewährleisten, muss die Personalabteilung genügend Zeit haben, um Hardware zu beschaffen, Schulungen zu planen und andere Orientierungsmaßnahmen zu treffen.

Mit SailPoint IdentityNow haben neue Mitarbeiter bei RWE jetzt vom ersten Tag an Zugriff – und der Prozess ist vollständig automatisiert.

Walker führt aus: „Das ist immer das Ziel: Bei allem, was wir tun, wollen wir den operativen Aufwand reduzieren, wenn er vermieden werden kann.”

Größere Transparenz dank KI

Durch die bessere Synchronisierung zwischen HR- und IT-Systemen kann RWE außerdem die auf künstlicher Intelligenz (KI) basierenden Identity-Security-Lösungen von SailPoint auf seine IdentityIQ- und IdentityNow-Implementierungen anwenden. Das Unternehmen nutzt sowohl Access Insights (Zugriffseinblicke) als auch Access Modeling (Zugriffsmodelle) und startet nun mit Access Recommendations (Zugriffsempfehlungen).

• Access Insights und Data Explore wurden eingeführt, um die Datenqualität zu prüfen, haben aber auch viele betriebliche Vorteile gebracht. Walkers Team verwendet Dashboards zur Untersuchung verschiedener JML-Kennzahlen und zur Erstellung von Datenvisualisierungen für Entscheidungsträger in unterschiedlichen Abteilungen. Beispielsweise kann das Team für die Softwarelizenzierung die Kosten besser steuern, wenn es den Wechsel von Mitarbeitern prognostizieren kann und weiß, wie sich ein großes Projekt auf die Lizenzen auswirken kann.
  
  SailPoint unterstützte RWE auch bei der Erstellung von Dashboards in Data Explore, damit die IT- und Betriebsteams überprüfen können, ob die Berechtigungen von Funktionsgruppen aus einem Altsystem in die SailPoint-Lösung übernommen wurden. Es bietet einen Überblick darüber, welche Berechtigung sich hinter welchem Zugriffsprofil verbirgt und mit welchen Anwendungen sie verknüpft sind, sodass die Benutzer bei Bedarf eine Self-Service-Anfrage stellen können.
• Access Modeling unterstützt das Team bei der Überprüfung, Bewertung und Optimierung von Rollen. Es verfolgt lokale Administratoren und privilegierte Konten, sodass Korrekturmaßnahmen ergriffen werden können, wenn abnormale Berechtigungen oder ruhende, inaktive oder verwaiste Konten entdeckt werden.
• Access Recommendations wird zur Unterstützung von Benutzern und Zertifizierern eingerichtet. Die Nutzung der Anwendung befindet sich noch im Anfangsstadium, und es wird eine gewisse Zeit dauern, bis die Benchmarks festgelegt und die Produktpalette auf den neuesten Stand gebracht ist.

„Insgesamt war die Erweiterung unseres Programms um künstliche Intelligenz von Vorteil, da sie uns einen besseren Einblick in die Vorgänge in unseren Systemen und Umgebungen verschafft und uns Erkenntnisse darüber liefert, wie wir uns weiter verbessern können”, äußert sich Walker.

Kommunikation und Schulungen tragen wesentlich zum Erfolg auf breiter Ebene bei

Walker betont nachdrücklich, wie wichtig es ist, zum richtigen Zeitpunkt und mit den richtigen Zielen zur BAU-Phase (Business-as-Usual) eines IT-Projekts überzugehen.

„Sie haben einen guten Projektplan. Sie haben die richtigen Mitarbeiter. Sie haben Ihre Anwendungsfälle und Ergebnisse. Jetzt müssen Sie sie in die BAU-Phase übernehmen und eine kontinuierliche Verbesserung erreichen. Wir sind in der BAU-Phase genauso beschäftigt wie im Projektmodus, aber mit anderen Zielen.”

Beim Übergang zur BAU-Phase berücksichtigte das Team von Walker die Denkweise der Benutzer – Kollegen, die die Identity-Management-Systeme von SailPoint täglich nutzen – und die Herausforderungen, denen sie sich bei der Übernahme der neuen standardisierten Prozesse mit der SailPoint-SaaS-Lösung stellen müssten, sorgfältig.

Daher arbeitete das Team durchdachte Marketingpläne mit bewusstseinsbildenden Kampagnen und Schulungen in mehreren Sprachen aus. Das Team versendet regelmäßig hochrelevante, zielgerichtete Mitteilungen über die interne Messaging-App von RWE und hat vor Kurzem eine sehr gut angenommene IdentityNow-Werbekampagne durchgeführt, die auf Videobildschirmen in den Büros des Unternehmens gezeigt wird.

Das Cybersecurity-Team hat zudem eine zentrale Plattform eingerichtet, auf der Benutzer zahlreiche Informationen, darunter auch Support-Videos, abrufen können. Die Betroffenen können über diese Plattform auch Termine mit Mitgliedern des IT-Teams vereinbaren und erhalten so schnellen Zugang zu dem Experten, der ihnen am besten helfen kann.

Walker führt den Erfolg des Teams für Identitäts- und Zugriffsmanagement (Karsten Weber, Khaled Mosharraf, Iyad Habra und Andre Bornhoff) auf die engen Beziehungen zu Kollegen aus der Personalabteilung, der Compliance-Abteilung, der Revision und anderen Bereichen zurück. Sie bindet sie in jeden Schritt des IT-Projektlebenszyklus ein – von der Erstellung von Anwendungsfällen bis hin zur Formulierung von Marketingbotschaften – und bittet sie um Hilfe und Unterstützung, bevor die Arbeit beginnt, um Fehltritte vorhersehen und vermeiden zu können. Außerdem führt sie immer Pilotprojekte mit Personen durch, die ihr Geschäft kennen und bereit sind, ehrliches Feedback zu geben.

„Identity & Access Management ist keine IT-Funktion. Es ist ein dynamischer Prozess, der stattfindet, ob Sie es wollen oder nicht. Sie müssen Beziehungen zu den richtigen Teams aufbauen und dafür sorgen, dass Daten aus einer zuverlässigen Quelle in Ihr System fließen”, so Walker abschließend.

„Wir bemühen uns ständig um Verbesserungen in unserem Identity-Bereich. Wir sind dankbar für die Partnerschaft mit SailPoint und dafür, dass wir weiterhin neue Funktionen und Technologien frühzeitig nutzen können.”