Wer IAM nicht steuert, wird von IAM gesteuert.

Deutsche Bank – IAM-Strategie und Governance

In großen Organisationen wächst IAM selten durch Entscheidungen. Es wächst durch Vorfälle. Ein Audit kommt. Ein System muss ersetzt werden. Eine regulatorische Anforderung trifft ein. Und jedes Mal entsteht ein Konzept, das das letzte Konzept ergänzt – ohne dass jemand weiß, ob die Richtung noch stimmt. Bei der Deutschen Bank sollte das anders werden.

Wo IAM-Strategien scheitern, bevor sie beginnen.

Viele Organisationen haben IAM-Konzepte. Nicht viele haben eine Strategie, die im Alltag funktioniert. Der Unterschied liegt nicht in der Qualität der Dokumente. Er liegt darin, ob die Menschen, die IAM täglich steuern, die Strategie als ihre eigene verstehen.

Bei einem internationalen Finanzdienstleister wie der Deutschen Bank bedeutet das: Zielbilder allein reichen nicht. Es braucht eine Roadmap, die Prioritäten klar macht. Governance-Strukturen, die Entscheidungen ermöglichen. Und Stakeholder, die von Anfang an eingebunden sind – nicht informiert, wenn das Ergebnis schon feststeht.
 

Vision, Mission und drei Jahre Orientierung.

Der Ausgangspunkt war die Entwicklung einer klaren Vision und Mission für das IAM des Konzerns. Nicht als Absichtserklärung, sondern als Referenzrahmen, der strategische Entscheidungen über Systeme, Prozesse und Budgets hinweg nachvollziehbar macht.

Dazu wurden strategische Ziele für einen Dreijahreszeitraum definiert. Diese Ziele orientierten sich nicht an technischen Wunschlisten, sondern an den konkreten Anforderungen des Unternehmens: regulatorische Belastbarkeit, operative Effizienz und konzernweite Einheitlichkeit.

Die Grundlage dafür waren intensive Abstimmungen mit den relevanten Stakeholdern. Fachbereiche, IT-Organisation, CISO-Funktion und Compliance wurden frühzeitig einbezogen. So entstand keine Strategie über den Köpfen derer, die sie umsetzen – sondern eine, die deren Realität kannte.

Eine Roadmap, die den Weg zeigt.

Parallel zur strategischen Ausrichtung wurde eine detaillierte IAM-Roadmap erarbeitet. Diese Roadmap übersetzte die strategischen Ziele in konkrete Vorhaben, Abhängigkeiten und Zeithorizonte.

Die Roadmap war kein statisches Planungsdokument. Sie diente als Steuerungsinstrument: für Management-Entscheidungen, für die Priorisierung von Ressourcen und für die Kommunikation mit Stakeholdern auf verschiedenen Ebenen. Management-Präsentationen wurden regelmäßig vorbereitet, um Fortschritte sichtbar zu machen und Anpassungen zu begründen. Entscheidende Schritte wurden dadurch nicht verzögert, sondern beschleunigt.

CISO-Beratung zur technologischen Harmonisierung.

Eine der zentralen Fragen im Projekt war nicht, welche Systeme eingeführt werden sollen. Die Frage war: Wie arbeiten die bestehenden Systeme künftig zusammen?

Für die CISO-Funktion wurde eine gezielte Beratung zur technologischen Harmonisierung der Tool- und Plattformlandschaft durchgeführt. Ziel war es, Redundanzen zu identifizieren, Schnittstellen zu klären und eine Architektur zu definieren, in der IAM-Systeme konsistent ineinandergreifen.

Das Ergebnis war keine neue Systemlandschaft. Sondern ein klares Bild davon, welche Systeme welche Rolle übernehmen, wo Konsolidierung sinnvoll ist und welche Integrationen priorisiert werden müssen.

Globaler Rollout von Berechtigungskonzepten.

Neben der strategischen Ausrichtung umfasste das Projekt den globalen Rollout von Berechtigungskonzepten für kritische IT-Infrastrukturen und Anwendungen. Ziel war die konzernweite Etablierung einheitlicher und sicherer Zugriffsrichtlinien.

Dazu wurden bestehende Zugriffsrechte evaluiert und konzernweite Standards harmonisiert. Für unterschiedliche Anwendungsklassen und Infrastrukturkomponenten entstanden Konzepte, die auf die spezifischen Anforderungen des jeweiligen Kontexts zugeschnitten waren und dabei konzernweite Konsistenz sicherstellten. Die Umsetzung erfolgte schrittweise – begleitet von Schulungen und der Bereitstellung entsprechender Tools, damit die Integration in den laufenden Betrieb ohne Unterbrechung möglich war.

Einheitlich bedeutet nicht einheitlich für alle. Einheitlich bedeutet einheitlich in den Prinzipien.

Was sich dadurch verändert hat.

Die Deutsche Bank verfügt heute über eine IAM-Strategie, die mehr ist als ein Dokument. Sie ist eine Entscheidungsgrundlage – für Fragen der Systemarchitektur genauso wie für Governance-Entscheidungen und regulatorische Anforderungen.

Die Roadmap gibt Orientierung darüber, welche Vorhaben wann und in welcher Abhängigkeit umgesetzt werden. Die Governance-Strukturen sorgen dafür, dass Entscheidungen dort getroffen werden, wo sie hingehören. Der globale Rollout der Berechtigungskonzepte hat konzernweit einheitliche Zugriffsstandards geschaffen. Neue Anforderungen lassen sich in die bestehende Struktur integrieren – ohne von vorn beginnen zu müssen.

Wann ist der richtige Zeitpunkt für eine IAM-Strategie?

In den meisten Organisationen lautet die ehrliche Antwort: bevor der nächste Incident kommt. Aber genau das passiert selten. IAM wächst reaktiv, solange niemand entschieden hat, dass es auch anders gehen kann.

Das Projekt bei der Deutschen Bank zeigt, was möglich ist, wenn dieser Entschluss bewusst gefasst wird – mit den richtigen Stakeholdern, einem klaren Zeithorizont und dem Anspruch, dass die Strategie nicht auf der Folie trägt, sondern im Betrieb. Welche Entscheidungen werden in Ihrer IAM-Landschaft heute getroffen, ohne dass eine gemeinsame Richtung dahintersteht?