CIAM in einem europäischen Finanzinstitut. Einmal richtig aufsetzen, damit es trägt.

Europäisches Finanzinstitut – CIAM-Migration mit Bare.ID

2027 ist das regulatorische Datum, das für alle europäischen Finanzinstitute gilt: Bis dahin müssen sie die European Digital Identity Wallet verarbeiten können. Für viele bedeutet das, eine CIAM-Infrastruktur anzufassen, die seit Jahren nicht grundlegend überarbeitet wurde – unter laufendem Betrieb, in einer regulierten Umgebung, ohne Spielraum für Fehler in Produktion.

Customer Identity Management ist kein Randproblem.

Customer Identity und Access Management (CIAM) steht hinter jedem Login, jeder Authentifizierung, jeder Anbindung an Web-Portale und mobile Anwendungen. Wer diesen Kern anfasst, arbeitet unter Bedingungen, in denen Fehler nicht im Testsystem bleiben – sie gehen in Produktion.

esatus hat Bare.ID als zentralen Identity Provider für ein europäisches Finanzinstitut eingeführt. Bare.ID ist ein Identity-und-Access-Management-Produkt auf Basis von Keycloak und esatus-Partner. Die Aufgabe war, dieses Produkt in einer regulierten, sicherheitskritischen Umgebung nicht nur zum Laufen zu bringen, sondern vollständig in die bestehende Infrastruktur einzubetten – auf vier Stages, unter den Deployment-Bedingungen des Instituts, koordiniert bis in die Produktion.

Vier Stages. Viele Abhängigkeiten. Ein Rollout.

Bare.ID wurde über die eigene Deployment-Pipeline des Finanzinstituts ausgerollt von DEV bis Produktion. Jede Stage erforderte eine eigene Konfiguration und eine eigene Anbindung an Postgres-Datenbanken. Parallel dazu wurden die Bare.ID-Instanzen an die sicherheitsrelevanten Systeme der Infrastruktur angebunden: das SIEM-System für die Protokollierung, Active Directory für die Benutzerverwaltung, die Web Application Firewall und das Fraud Detection and Prevention System.

esatus verantwortete die Testbegleitung und Testdurchführung, das Projektmanagement für den gesamten Rollout und die Erstellung von Betriebsanleitungen, damit das Operating-Team Bare.ID nach Abschluss eigenständig betreiben kann.

Migration mit offenem Migrationsweg.

Auf die Installation folgt die Migration. Die bestehende CIAM-Lösung des Instituts soll vollständig auf Bare.ID überführt werden. Ob das als Soft-Migration, als Big-Bang-Migration oder in einem anderen Modell geschieht, wird im Projektverlauf auf Basis der Bestandsaufnahme entschieden. Erst wenn klar ist, was das Altsystem enthält – wie viele Daten, welche Strukturen, welche Abhängigkeiten –, lässt sich ein belastbarer Plan aufstellen.

esatus übernimmt diesen gesamten Bogen: Inventarisierung des Altsystems, Planung und Konfiguration der zu migrierenden Daten, Automatisierung der Migration und Überprüfung der Ergebnisse. Wo ein Parallelbetrieb beider Systeme notwendig wird, wird dieser mitgedacht und vorbereitet.

Die Anbindung betrifft nicht nur den Kern. Bare.ID wird an die Login-Provider für mehrere Web-Portale angebunden: den Firmenkundenbereich, das Privatkundenportal und das International-Portal. Dazu kommen mobile Anwendungen, das Approval-Modul und der pushTan-Service. Finanzinstitut-eigene TAN-Verfahren werden in Bare.ID integriert. Administratoren werden geschult, damit der Betrieb nach Projektende im Haus geführt werden kann.

eIDAS 2.0 ist nicht das Endziel. Es ist der nächste konkrete Schritt.

Der Migrationsfokus liegt auf einem Anwendungsbereich, der regulatorisch bereits terminiert ist. eIDAS 2.0, die europäische Regulierung für digitale Identitäten, schreibt vor, dass Organisationen die EUDI Wallet bis 2027 verarbeiten können müssen. Das Finanzinstitut bereitet seine CIAM-Infrastruktur jetzt darauf vor – nicht weil der Druck bereits da ist, sondern weil es einfacher ist, eine Architektur von Beginn an eIDAS-fähig zu bauen als sie später unter Zeitdruck umzurüsten.

Die Frage ist nicht ob. Die Frage ist wann und wie vorbereitet.

Regulatorischer Druck, gewachsene CIAM-Architekturen und die Notwendigkeit, internationale Nutzer sicher zu integrieren – das beschreibt eine Ausgangslage, die die meisten europäischen Finanzinstitute in den nächsten Jahren kennen werden.

Wer diese Migration strukturiert angeht – mit klarer Bestandsaufnahme, definierten Stages und einer CIAM-Infrastruktur, die eIDAS 2.0 von Anfang an mitdenkt –, entscheidet heute. Wer wartet, entscheidet später. Aber dann unter anderen Bedingungen.