Neuplanung, Redesign und Leitung einer begonnenen IAM-Implementierung sowie die Integration einer Privileged Access Management (PAM) Solution. Erstellung der Architektur, Konzeption für die Umsetzung von Beta Systems und die Integration von BeyondTrust. Erstellung der Testmethoden sowie deren Dokumentation. Anbindung von SuccessFactors, Active Directory und diverser Anwendungen. Erstellung und Implementierung des Rollenkonzepts sowie der Funktionstrennung (SoD). Implementierung eines Data Warehouse für die Aufbewahrung regulatorischer Daten sowie der Audit Informationen für Soll- und Ist-Berechtigungen. Implementierung und Durchführung von Rezertifizierungen. Erstellung eines zentralen Antragsverfahren. Vorgabe und Erstellung der Berechtigungskonzepte für CMO und toolgestützt im FMO, sowie Erstellung der Policies und der SfO (OHB). Begleitung des Roll-In der Anwendungen sowie der BaFin und Bundesbank zur Schließung der Feststellungen einer §44 Prüfung nach KWG.

Ergebnis

Die technische Implementierung ist produktiv, der Roll-In der Anwendungen erfolgt.

Planung der Neuimplementierung als Ersatz einer bestehenden IAM-Lösung. Erstellung der Planung für zwei Jahre mit Ablösung der Alt-Lösung nach einer Phase des Parallelbetriebs in vier Releases. In der Umsetzung verantwortlich für Active Directory, Outlook, RACF und die gesamtheitlichen bankfachlichen Prozesse im IAM. Ansprechpartner und Koordinator von Anforderungen der Bank für das Produktmanagement des Herstellers. Test-Planung, -Management und Durchführung für die Lösung und deren Komponenten nach der Implementierung. Gesamtverantwortung für das Design und die Dokumentation der Prozesse im Berechtigungsmanagement und IAM. Entwicklung neuer Berechtigungskonzepte unter Einbezug automatisch generierter Daten im Tool.

Ergebnis

Alle vier Release sind gemäß Planung erfolgreich produktiv.

Ergebnisverantwortung gegenüber dem CIO für eine Neuimplementierung eines IAM im Rahmen eines Spin-Off im internationalen Umfeld. Es wurden IAM-Komponenten für einen Teil des Konzerns herausgelöst und in ein eigenständiges System überführt. Aufgabe ist die Stabilisierung des User Managements nach dem Betriebsübergang vom Mutterkonzern mittels nativen Microsoft Systemen und Tools. Durchführung einer Ausschreibung, Beschaffung und Implementierung einer neuen IAG Lösung vom Markt. Erstellung einer Strategie für die Transformation wesentlicher On-Premise, Funktionalitäten in die Cloud und somit die Integration der Cloud in das zukünftige IAG. Die systemnahe Cloud wird mit Microsoft Azure implementiert und um weitere Anwendungen der Now-Plattform sowie mit SAP SuccessFactors ergänzt. Die AZURE Implementierung wurde um entsprechende IAG-SIEM Kopplungen ergänzt.

Ergebnis

Der Spin-Off ist erfolgreich umgesetzt und der tägliche IAM Betrieb ist sichergestellt

Verantwortlich für die Strukturierung und Planung der Neuimplementierung mit OneIdentity sowie weiter die Erhebung der anwendungsspezifischen Merkmale für das IAG Onboarding. GAP-Analyse mit dem Hersteller, um Lücken der benötigten Funktionalitäten zu identifizieren. Erhebung der IAM-Kernprozesse und Dokumentation als ARIS-Modell. Design für die Implementierung mit Zeitplanung unter Berücksichtigung der BaFin Anmerkungen.

Ergebnis

Grundlagen für das IAG Onboarding sind geschaffen, ARIS Modelle sind erstellt und eine Empfehlung für das weitere Vorgehen dokumentiert.

Neustrukturierung des IAM, Betreuung, Anweisung und Ergebniskontrolle der Fachbereiche. Planung neuer IAM Komponenten und deren Umsetzungen für ein tragfähiges IAM, inklusiver der Abstimmung mit den Fachbereichen. Design und Implementierung eines bankweiten Modells für Fachrollen. Auflösung von Direktberechtigungen, Bereinigung technischer/administrativer Konten, Datenbankzugriffe und Verzeichnisse (Shares). Implementierung der Funktionstrennung (Segregation of Duty (SoD)) sowie Neudefinition von Standardberechtigungen. Integration der Privileged Access Management (PAM) Solution. Einführung neuer Fachprozesse und Dokumentation der Berechtigungskonzepte in der IT sowie der bankfachlichen Anwendungen. Betreuung und Kontrolle des Change-Managements.

Ergebnis

Der final geplante Meilenstein wurde erfolgreich abgeschlossen. Das IAM ist neu als IAG strukturiert, die Anmerkungen der BaFin geschlossen.

Beratung und Vertretung des Chief Security Office in einem weltweiten Outsourcing Projekt zur Migration des IT-Betriebs auf eine neue strategische, dezentrale IT-Trägerplattform mit standardisiertem IAG und integrierter Cyber Security. Die Cyber Security-Komponente beinhaltet, Privileged Access Management (PAM) Solution, SIEM sowie einem kontrollierten Layer aus ?Brokern?. Beratung und Unterstützung des Chief Security Office bei der Erstellung der vertraglichen Grundlagen des relevanten Berechtigungsmanagements mit IAM- und Cyber-Komponenten sowie bei der Erstellung der Servicelevel-Vereinbarung mit deren Performancemessungen. Onboarding des Betreibers auf diese neue zukunftsweisende IAG Plattform unter Einbindung der regulatorisch relevanten Komponenten inkl. der neuen Vorgaben der Cyber Security (MAS70, BAIT, SiTB, MaRisk). Definition der Prozesse, der technischen Vorgaben, des Berechtigungsmanagements und der zugehörigen KPI. Kontrolle des Dienstleisters, Audit und Freigabe der Architekturen sowie Durchführung des kontinuierlichen Monitorings des Betriebs mittels eines neutralen Kontrollteams in Asien.

Ergebnis

Die erfolgreiche Umstellung der Rechenzentren auf die neue Trägerplattform mit den IAG Komponenten ist erfolgt. Die Implementierung weiterer Rechenzentren mit dem neuen Betreiber erfolgte planmäßig.

Planung und Leitung der Umsetzung der Überführung eines Benutzermanagements in ein rollenbasiertes IAM in Kombination mit einer neuen Cyber Security und Logging, Monitoring, Reconciliation, Reporting und Auditing der Zugriffe und Berechtigungen. Erstellung des Rollenmodells und Planung der Migration. Paralleler Aufbau des IAM Systems mit SIEM und einem einheitlichen zentralen, revisionssicheren Antragsverfahren. Aufbau des Kontrollsystems IKS für die geforderten periodischen Kontrollen (Rezertifizieren). Design und Implementierung des Prozesses für hoch privilegierte Benutzer / Administratoren.

Ergebnis

Technische Implementierung, Rollenmodell und Migration sind von der Revision abgenommen. Das IAM/IAG System, inkl. Management hoch privilegierter Nutzer, ist produktiv und ausgerollt.

Strategische Beratung der Projektleitung in einem multimandantenfähigen Großprojekt zur Implementierung eines übergeordneten Identity & Access Management. Überprüfung und Anpassung der 2011 geschaffenen Grundlagen und Voraussetzungen. Erstellung einer übergeordneten Architektur und Modellierung der Prozesse um ein tragfähiges IAM zu entwickeln. Die Architektur beinhaltet eine LDAP-basierte Infrastruktur (ein integriertes IAM sowie zentrale Dienste).

Ergebnis

Abgenommenes technisches und organisatorisches Fachkonzept. Entscheidungsmatrix für Strategieentscheidungen mittels Variablen für eine zukünftige Justierung der Strategie.

Abstellung der Beanstandung der internen und externen Wirtschaftsprüfer im Umfeld des rollenbasierten Identity Managements. Schwerpunkt ist die Schaffung eines risikobasierten internen GRC-Kontrollsystems (IKS) für periodische Kontrollen von Zu- und Abgängen von Mitarbeitern und deren Berechtigungen. Erstellung eines Fachkonzepts zur Ergänzung der Eigenentwicklung sowie der SUN IDM Instanz. Die Aufgabe beinhaltet die Abstimmung mit dem Risk-Management, Design der SOLL-Geschäftsprozesse für die Bank, die Fachbereiche sowie der Informatik. Dokumentation der Prozesse in ARIS und Erstellung eines übergreifenden Fachkonzepts für die Entwicklung. Da die Möglichkeiten des Kontrollsystems weit über die legal-rechtlichen Anforderungen herausgehen, wurde für die Steuerung der Kontrollen eine dynamische risikobasierte Grundgesamtheit implementiert, welche das Optimum aus Kosten und Nutzen für die Durchführung von Kontrollen einstellt.

Ergebnis

Abgenommenes risikobasiertes Fachkonzept für ein rollenbasiertes Kontrollsystem (IKS). Das Fachkonzept wurde umgehend realisiert und beinhaltet die ARIS Prozesslandschaft für die Fachbereiche, die Informatik sowie das Risk-Management. Ergebnis ist auch die Abstimmung der zukünftigen Audits mit den Wirtschafsprüfern.

Review der bestehenden Konzepte, Gap-Analyse und Schließen der Lücken in der bestehenden Konzeption sowie Beratung zu pro und contra derzeitiger Marktlösungen. Erstellung eines Architektur-Modells für ein bundesweites Identity & Access Management unter Berücksichtigung legal rechtlicher Anforderungen der deutschen Gesetzgebung. Die Architektur ist multimandantenfähig und stellt zentrale Autorisierungs- und Authentisierungsservices bereit. Eine zentrale Directory basierte Middleware sorgt für eine einfache und effiziente Integration neuer Dienste. Die Aufgabe beinhaltete eine Analyse der tatsächlichen Strukturen mittels LDAP-Browser sowie das Design der neuen Strukturen, Objekte und Attribute. Die für die Bewirtschaftung notwendigen Prozesse und ein Life Cycle Management sorgen für ein stimmiges Gesamtkonzept. Ergebnis sind Anlagen zur Ausschreibung mit einer Architekturempfehlung für die Bieter. Für den späteren Betrieb wurden die Bewirtschaftungsprozesse bereitgestellt.

Ergebnis

Überarbeitete Ausschreibungsunterlagen und Erstellung eines Realisierungskonzepts unter Berücksichtigung der Auflagen des BSI

In einem internationalen Großkonzern sind diverse Insellösungen im IAM entstanden. Auftrag war die Bestandsaufnahme und Bewertung der lokalen Lösungen. Nach der Ist-Aufnahme wurde ein Architekturmodell zur Vereinfachung, Vereinheitlichung und Zusammenführung der Lösungen erstellt. Grundlage ist das in der RBAC Methodik verankerte Domänen-Modell des IAM. Das Modell beinhaltet ebenfalls LDAP basierte Strukturen und Standards; diese werden benutzt um Funktionalitäten im IAM zu entzerren. Für die zukünftige Lösung wurden die zentralen Life Cycle Prozesse redesigned und mit dem technischen Domänen-Modell abgestimmt. Die neue Architektur schließt Lücken und vereinfacht die bestehenden Implementierungen. Die Administration ist höher automatisiert, entspricht der Compliance und ist kostengünstiger im Betrieb.

Ergebnis

Architektur eines konsolidierten IAM basierend auf dem RBAC Domänen-Modell mit Redesign der Life Cycle Prozesse passend zu der neuen vereinheitlichten Lösung.

Projektleitung mit Ergebnis-Verantwortung der jährlichen und quartalsweisen externen SOX Audits durch die Wirtschaftsprüfer. Sicherstellung des positiven Ergebnisses und Management eines internationalen Revisions-Teams. Für die Audits wurden die Grundlagen inkl. der zugehörigen Policies und Prozesse geschaffen. Das Compliance-Regelwerk wurde gemäß Cobit Controls aktiviert und mit den Wirtschaftsprüfern abgestimmt. Weiterer Auftrag war die zukünftige Automatisierung der Audits mittels eines Identity & Access Kontrollsystems zu erreichen. Die Lösung ist zentral administrierbar und gleichzeitig dezentral mittels Workflows von verteilten internationalen Teams erreichbar. Es beinhaltet Echtzeit Monitoring, Ergebniskontrolle und ein Reporting für die Wirtschaftsprüfer. Die Grundgesamtheit kann dynamisch definiert werden und ist somit flexibel für Veränderungen. Die betroffenen Systeme wurden über einen zentralen Verzeichnisdienst zur Autorisierung und Authentisierung mittels SUDO Rollen integriert. Die Aufgabe beinhaltet die Migration der lokal administrierten Systeme in den Verzeichnisdienst. Hierzu wurden die Berechtigungen in ein rollenbasiertes Konzept im Verzeichnisdienst umgesetzt. Über einen Rückabgleich (reconciliation) sind Abweichungen von dem workflowbasierten Antragsprozess ausgeschlossen. Die Lösung wurde in ein bestehendes Identity & Access Management System mit einem neu überarbeiteten Life Cycle Management integriert.

Ergebnis

Die SOX Audits erfolgten ohne Beanstandung. Bereitstellung eines IAG für ?zero-effort? Audits inkl. Bereitstellung und Migration zum zentralen LDAP basierten Authentisierungsdienst.

Verantwortung im Bereich Forschung und Architektur, verantwortlich für Autorisierung und Authentisierung. Sicherstellung der ?Non Repudiation? digitaler Signaturen und Bewertung der möglichen Varianten von Zertifikaten der PKI Lösung. Eingeschlossen war eine Wirtschaftlichkeitsbetrachtung für zertifikatbasierte Authentisierung um eine Balance zwischen Sicherheit und Kosten zu finden. In der Realisierung wurden MS-AD basierte User erweitert und die LDAP-Objekte ergänzt um für eine zentrale Authentisierung außerhalb der Microsoft-Welt zur Verfügung zu stehen. Abschließend wurde die Leitung eines Risikoprojekts für die Migration des verzeichnisdienstbasierten Authentisierungsverfahrens gemäß PRINCE2 übertragen und realisiert. Das Projekt galt zuvor als unrealisierbar und war über zwei Jahre vakant.

Ergebnis

Konsolidierte Autorisierungs- und Authentisierungs-Landschaft und die dazugehörige Wirtschaftlichkeitsbetrachtung. Erfolgreicher Projektabschluss des Migrationsprojekts.

Gesamtprojektleitung für das Projekt. Dies beinhaltet die Planung, Umsetzung und das Tracking des Gesamtprojekts, Novell und der Dienstleister. Ein wesentliches Element war die Koordination mit dem HR-Auftraggeber (Vorstand) und der IT. In der gewachsenen IAM Lösung wurde im Prozess eine Sicherheitslücke erkannt. Auftrag des Vorstands war die Schließung der Lücke sowie die Implementierung der auf die neuen Prozesse abgestimmten IT-Lösung. Die Durchführung beinhaltet eine Gap Analyse sowie die Abstimmung mit dem Management zur Schließung der Sicherheitslücke und der technischen Implementierung. Hierzu wurden durchgehende Prozesse, beginnend beim Personalwesen (HR) bis hin zur Umsetzung der Berechtigungsvergabe in der IT geschaffen. Aufgabe war auch das technische Design einer LDAP-Schnittstelle, basierend auf den HR-Ereignissen in der Personaldatenverwaltung. Die Prozesse münden in den neuen Workflows des IAM. Die Strukturen der Verzeichnisdienste wurden ebenso um neue Objekte und Attribute erweitert, um so eine Plattform für das neue IAM zu bilden. Basierend auf den Prozessen wurde eine Lösung ausgesucht und mit dem Hersteller ein POC durchgeführt. Die Implementierung beinhaltet die Projektleitung, welche in einem politisch motivierten Umfeld zu bewältigen war.

Ergebnis

Umsetzung des Projekts ?on Time and in Budget?. Schließen der Sicherheitslücke.

Überarbeitung, Abstimmung und Einführung eines neuen Identity Managements um gesetzlichen Anforderungen Rechnung zu tragen. Die Aufgabe beinhaltet die Schaffung neuer Prozesse sowie eine auf die Prozesse abgestimmte Implementierung. Neben der internen Abstimmung mit der IT und den Fachbereichen wurde das Ergebnis zur endgültigen Abnahme dem Luftfahrt Bundesamt vorgelegt und von diesem akzeptiert. Die Roll-Out-Lösung sowie die Betreuung der Betroffenen war ebenfalls Bestandteil der Aufgabe.

Ergebnis

Umsetzung gesetzlicher Anforderungen im Identity Management. Partnerkonzeption für 80.000 Anwender.