Wenn Berechtigungen zum Bremsfaktor werden.

Internationales Finanzinstitut – IAM Governance und Automatisierung

Ein neuer Mitarbeiter braucht Zugang. Die Rolle ist bekannt, der Antrag gestellt, die Entscheidung längst klar. Und trotzdem vergehen Tage. Nicht weil jemand blockiert. Sondern weil sich diese eine Entscheidung durch zu viele Systeme, Abstimmungsrunden und manuelle Schritte bewegen muss, bevor sie irgendwo ankommt. Das ist kein Ausnahmefall. Das ist der Alltag in vielen großen Organisationen – und er wiederholt sich täglich, über hunderte von Anwendungen.

Das Problem ist nicht die Entscheidung. Das Problem ist, wie sie umgesetzt wird.

Genau an diesem Punkt setzte das Projekt bei einem international tätigen Finanzkonzern an. Ziel war es, die Berechtigungsvergabe über mehr als 800 Anwendungen hinweg zu automatisieren und gleichzeitig die IAM Governance so weiterzuentwickeln, dass sie auch unter regulatorischem Druck stabil und nachvollziehbar bleibt.

Wo Prozesse anfangen zu bremsen.

Berechtigungen entstehen nicht an einer Stelle. Fachbereiche definieren Rollen, IT setzt sie um, Governance prüft und Revision kontrolliert. Jeder dieser Schritte ist sinnvoll. Zusammengenommen führen sie jedoch häufig zu Prozessen, die langsam werden.

Im Projekt zeigte sich das sehr klar. Anwendungen waren unterschiedlich angebunden, Abstimmungen liefen teilweise manuell und viele Entscheidungen mussten individuell getroffen werden. Die Governance war vorhanden. Sie hat den Prozess nicht beschleunigt.

Erst verstehen, dann automatisieren.

Der naheliegende Schritt wäre gewesen, direkt zu automatisieren. Genau das wurde bewusst nicht gemacht.

Stattdessen wurde zunächst die bestehende Applikationslandschaft analysiert. Für jede Anwendung wurde geprüft, ob und wie sie an eine zentrale IAM- und PAM-Infrastruktur angebunden werden kann. Entscheidend waren dabei drei Fragen: Passt die Anwendung architektonisch? Erfüllt sie die regulatorischen Anforderungen? Ist der Integrationsaufwand sinnvoll?

Dokumentationen wurden geprüft, Prozesse hinterfragt, Stakeholder aus Fachbereichen, IT und Governance eingebunden. Erst danach wurde entschieden, wo eine Anbindung sinnvoll ist.
 

Von Einzelfall zu Struktur.

Anwendungen mit klarer Perspektive wurden schrittweise integriert. Die Berechtigungsvergabe wurde dort automatisiert, wo sie fachlich und technisch tragfähig ist.

Was vorher über individuelle Abstimmungen lief, folgt heute klar definierten Prozessen. Access Reviews lassen sich strukturiert durchführen, Berechtigungen werden nachvollziehbar vergeben, neue Anwendungen können gezielt integriert werden.

Der entscheidende Unterschied liegt nicht in der Geschwindigkeit der Umsetzung. Er liegt in der Systematik dahinter.

Governance entsteht im Betrieb.

Das Projekt lief nicht neben dem Alltag, sondern mitten im Betrieb. Die Plattform wurde kontinuierlich angepasst und weiterentwickelt. Releases geplant und umgesetzt, Incidents analysiert und behoben, Changes gesteuert und neue Anforderungen integriert.

Governance wurde damit nicht nur beschrieben, sondern tatsächlich gelebt.

Was sich dadurch verändert hat.

Die Berechtigungsvergabe folgt heute klaren, nachvollziehbaren Regeln statt individueller Abstimmungen. Entscheidungen sind auditierbar und lassen sich auch im Nachhinein erklären. Neue Anwendungen können strukturiert integriert werden, ohne jedes Mal von vorne beginnen zu müssen.

Der entscheidende Punkt ist ein anderer: Governance ist nicht mehr nur Kontrolle. Sie ist Teil des Prozesses geworden.

Dieselbe Frage stellt sich in jeder großen Organisation.

Viele Unternehmen kämpfen nicht mit fehlenden Regeln. Sie kämpfen mit deren Umsetzung. Die gleiche Entscheidung wird mehrfach getroffen nur weil sie sich nicht sauber durch den Prozess trägt.

Der Unterschied zu diesem Finanzinstitut liegt nicht darin, dass das Problem hier größer oder kleiner war. Der Unterschied liegt darin, dass es angegangen wurde. Nicht durch ein weiteres Tool, sondern durch die Entscheidung, bestehende Prozesse so zu strukturieren, dass Entscheidungen konsistent ankommen. Wo verlieren Sie heute Zeit, obwohl die Entscheidung längst klar ist?