Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

29.07.2018

Success Story IAM Finance: PostFinance AG stärkt die unternehmensweite Sicherheit ihrer Datensammlungen

Als eines der führenden Finanzinstitute in der Schweiz legt die PostFinance AG hohen Wert auf Sicherheit und Transparenz. Die Einführung klarer Vorgaben und Prozesse für das Identity und Access Management (IAM), das massgeschneiderte Rollenkonzept und die Konzeption für eine anforderungsgerechte Erweiterung der IAM-Funktionalität stellen die nötige Präzision und Nachvollziehbarkeit in der Zugriffsverwaltung sicher.

Auftrag und Zielsetzung

Die PostFinance AG wollte einen Beratungspartner, der mit ihr eine zukunftsgerichtete und wirksame IAM Ablauf- und -Aufbauorganisation konzipiert, konsolidiert und befähigt, welche die an die Bank gestellten regulatorischen Anforderungen im Bereich Identity und Access Management nachhaltig erfüllt. Der Auftrag beinhaltete:

  • Ausarbeitung des Organisationsziels und der strategischen Ausrichtung von IAM 
  • Erstellung der internen Vorgaben (z.B. IAM-Richtlinie) 
  • Standardisierung und Ausbreitung der IAM-Prozesse verbunden mit Aufbau und Konsolidierung der IAM-Organisation
  • Identifikation des Handlungsbedarfs für die Erweiterung der Identity- und Accessmanagement-Infrastruktur
  • Erstellung der Handlungsfähigkeit: nach dem Aufbau der Organisation Verbesserung und technische Unterstützung der Maturität in IAM.

«Für die PostFinance AG und ihre Kunden ist ein nach dem Need-To-Know Prinzip aufgebautes Identity- und Accessmanagement System ein wesentlicher Keyfaktor. Stichworte wie Automatisierung, Nachvollziehbarkeit und Anwendungsfreundlichkeit sind zentrale Aspekte. Die IPG hat uns als Partner in diesem Projekt mit viel fachlichem und methodischem Wissen zielgerichtet unterstützt.»

Damian Eggel, Information Security Officer, PostFinance AG  


Die PostFinance AG; Facts and Figures
Die PostFinance AG gehört zu den führenden Finanzinstituten der Schweiz und ist für über drei Millionen Menschen die zuverlässige Partnerin für Privat- und Geschäftskunden, die ihre Finanzen selbstständig verwalten möchten. Das Unternehmen ist seit Juni 2013 im Besitz einer Banklizenz und steht unter der Aufsicht der Eidgenössischen Finanzmarktaufsicht FINMA. Seit 2015 wird die PostFinance AG durch die Schweizerische Nationalbank als systemrelevant eingestuft und unterliegt damit besonderen Regeln bezüglich Eigenmittel und Sicherheitsmanagement.

Unternehmensweit gestärkte Compliance zum Schutz der Informationssammlungen

Das Projektteam erarbeitete mit den Verantwortlichen der PostFinance AG die Zielsetzungen und unternehmensweit gültige Richtlinien für das Identity und Access Management. Mit dieser Basis wurden die Soll-Prozesse End-to-End erarbeitet und eine klare Zielorganisation definiert. In der Umsetzung wurden die Zielorganisation aufgebaut und die Prozesse bei den Beteiligten geschult und eingeführt. 

Wirksame Advisory-Methode
In diesem Projekt wurde die Advisory-Methode von IPG angewendet. Diese prüft und analysiert die Ausgangslage in einer ersten interviewbasierten Erhebung mit Fokus auf jene Handlungsfelder, die für die Beherrschung der IAM-Materie relevant sind, und erstellt eine Vorgehenslogik, die durch den anschliessenden Aufbau der Kompetenzen und Disziplinen führt. Dabei werden verfügbare Best-Practice-Konzepte eingebracht, um ein rasches Vorgehen und eine sichere Umsetzung zu gewährleisten.

Vorgehen und Methodik
Die komplexe Ausgangslage erforderte eine umfassende Aufnahme der bestehenden IAM-Organisation und deren Abläufe. Die Erkenntnisse wurden gemäss der IPG Advisory-Methode in Handlungsfelder für Ziele und Strategie, Vorgaben, Organisation und Prozesse strukturiert und in ein Projektvorgehen überführt. In der Konzeptphase wurden Organisationsziel und Strategie für das IAM entwickelt und die regulatorischen und fachlichen Anforderungen sowie die Vorgaben an die Prozesse und Organisation in einer unternehmensweit gültigen Richtlinie verankert. Darauf aufbauend erarbeitete das Projektteam die Soll-Prozesse und Zielorganisation als deren Träger und definierte das Vorgehen für deren Einführung.

Ergebnisse

  • Prozesseinführung, Aufbau und Befähigung der Zielorganisation
  • Sicherstellung der Massnahmen und Steuerung für die weitere Steigerung der IAM-Maturität
  • Für die Verbesserung von IAM wurden die Datensammlungen konsequent inventarisiert, deren Schutzbedarf und IAM-Relevanz definiert, eine compliance- und effizienzgesteuerte Anbindungs-Roadmap erstellt und in die zentrale IAM-Massnahmenplanung übergeben
  • Auf Basis der organisatorisch eingeführten Prozesse und Vorgaben, namentlich im Bereich Nachvollziehbarkeit, dynamische Rollenverwaltung und Funktionstrennung, wurden die funktionalen Lücken der bestehenden technischen IDM-Lösung analysiert und ein Vergleich erstellt, welcher die Erweiterung der bestehenden IDM-Umgebung hochwertigen Marktlösungen gegenüberstellte («Make or Buy»)
  • In der Anforderungsverfeinerung und vertieften Lösungsevaluation wurde entschieden, langfristig auf die interne Identity-Lösung zu setzen und diese schrittweise auszubauen

Die Interne Revision begleitete das Projekt während der Umsetzungsphase und bestätigte zum Abschluss das Erreichen der angestrebten Prozessmaturität.

«Die PostFinance AG hat erkannt, dass eine zielgerichtete und messbare Optimierung ihrer Compliance nicht in erster Linie technische Massnahmen, sondern primär klare Vorgaben, eine tragfähige Organisation und effiziente Prozesse erfordert. Mit der thematischen Durchdringung von IAM und der Verankerung in der Organisation stellt sich die PostFinance AG auch künftigen regulatorischen Anforderungen der FINMA.»
Achim Stolz, Senior Business Consultant, IPG AG 
IPG AG auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter