Cloud Security
Banken haben Nachholbedarf in Sachen IAM
Christian Nern ist Partner bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang als Führungskraft in verschiedenen Bereichen in der IT-Industrie gearbeitet.
Foto: LeoWolfert - shutterstock.com
Die DigitalisierungDigitalisierung hat 2020 in BankenBanken und VersicherungenVersicherungen Fahrt aufgenommen: Waren viele Institute in der Vergangenheit noch zögerlich und scheuten vor Investitionen zurück, hat die Corona-Pandemie die Geschwindigkeit der digitalen Transformation deutlich erhöht. So haben sich allein durch den Wechsel ins Home-Office die technischen Anforderungen stark verändert. Angestellte müssen reibungslos und ohne Einschränkungen auch von zu Hause aus ihrer Arbeit nachgehen können. Eine Digitalisierung der Geschäftsprozesse ist für Banken und Versicherer deshalb auf der Agenda ganz nach oben gerückt. Neben dem Weg in die Cloud ist die Automatisierung von Abläufen entscheidend, um die dringend benötigte Effizienz, Kostenoptimierung und Skalierbarkeit zu erreichen. Alles zu Digitalisierung auf CIO.de Top-Firmen der Branche Banken Top-Firmen der Branche Versicherungen
Oftmals unterläuft den Unternehmen aber gleich zu Beginn ein entscheidender Fehler: Sie tendieren dazu, die Cloud als eigenständiges, separates System statt als eine Erweiterung der vorhandenen IT zu betrachten. Das kann die IT-Infrastruktur unnötig komplex machen und die eigentlich beabsichtigte Effizienz schmälern - etwa, wenn zwei isolierte Systeme existieren, die zu doppelter "Login"-Datenhaltung führen. Darüber hinaus drohen weitere Folgen für die IT-Sicherheit: Werden die Security-Systeme der eigenen Rechenzentren (On Premises) und der Cloud-Anwendungen nicht als ganzheitliches Konstrukt angesehen, zum Beispiel durch ein übergreifendes Identity and Access Management (IAM), entstehen Sicherheitslücken.
HackerHacker nutzen solche Schwachstellen gnadenlos aus, wie die zunehmende Zahl an Angriffsvektoren während der Corona-Pandemie gezeigt hat. Dabei gilt nach wie vor: Die größte Gefahr bei Hackerangriffen geht zu gleichen Teilen von der Architektur sowie vom Menschen aus. Deshalb sollten Finanzinstitute die Cloud und alle darauf bezogenen Anwendungen stets in die bereits vorhandene IT-Infrastruktur integrieren, statt auf Insellösungen zu setzen. So neutralisieren sie von Beginn an Schwachstellen, die sonst bei der Nutzung heterogener Systeme leicht entstehen können. Dennoch sind auch homogene IT-Landschaften nicht vor Sicherheitslücken gefeit, etwa beim Zugriff auf die Cloud. Mit einem durchdachten Identity and Access Management lassen sich Einfallstore für Hacker aber schnell schließen. Alles zu Hacker auf CIO.de
Frust vermeiden, ganzheitlichen Ansatz wählen
Ein weiterer Pluspunkt eines zentralen IAM: Es sorgt für übersichtliche und klare Strukturen, die den Vorgaben der Regulatorik entsprechen. Doch allzu oft kümmern sich die Verantwortlichen der Institute nicht ausreichend um die eindeutige Zuordnung von Rechten innerhalb des Unternehmens. Denn zunächst bedeutet die Etablierung eines IAM mit End-to-End-Ansatz viel Arbeit, die oftmals unnütz erscheint, da mitunter die Einführung einer technischen IAM-Lösung schon ausreichen könnte.
Umso größer sind Frust und Enttäuschung, wenn das gewünschte Ergebnis nicht eintritt. Deshalb ist es wichtig, sich bewusst zu machen, wie ein IAM unternehmensweit aufgebaut werden muss und welche Schritte dafür nötig sind - angefangen bei Benutzer-, Rollen- und Berechtigungsstrukturen über das Prozessdesign bis hin zur technischen Umsetzung. Ein wirklicher Mehrwert ergibt sich, wenn fachliche und technische Verantwortliche frühzeitig identifiziert sind und zusammenarbeiten. Zudem sollten organisatorische Abläufe mitsamt den institutseigenen Besonderheiten bei der Implementierung berücksichtigt werden.
Dazu gehört, in einem ersten Schritt ein unternehmensweites Berechtigungskonzept inklusive notwendiger Prozesse und Kontrollen (zum Beispiel Joiner-Mover-Leaver und Rezertifizierungen) zu erarbeiten. Zeitgleich müssen sich die Experten einen Überblick über die an das IAM anzubindenden IT-Systeme verschaffen - sowohl On-Premises als auch Cloud-basiert. Da eine heterogene Systemlandschaft die Komplexität erhöht, gilt es an dieser Stelle, weitgehend auf Einheitlichkeit zu achten. Dies wirkt einer Verkomplizierung der Infrastruktur durch die Ergänzung eines IAM entgegen und ermöglicht eine risikoorientierte Vorgehensweise bei der Anbindung der Quell- und Zielsysteme. Zusätzlich legt es den Grundstein für eine künftige Automatisierung von Prozessen, da einheitliche Schnittstellen und Konnektoren (zum Beispiel LDAP oder REST API) für Best Practises genutzt werden können.
IAM ist kein reines IT-Thema. Es betrifft das gesamte Unternehmen. Dabei ist die Einbindung der Fachbereiche als Informationseigentümer entscheidend für den nachhaltigen Erfolg. Für eine pragmatische Umsetzung in Financial Services helfen vorkonfigurierte Lösungspakete. Diese bestehen aus fachlichen und technischen Templates sowie Vorgehensmodellen auf Basis von Erfahrungswerten und IT-Lösungen wie Sailpoint oder CyberArk.
- Heiko Burdack
Der CIO der Signal Iduna Gruppe, Heiko Burdack, wechselte zum 1. Februar 2023 als Chief Technology Officer zur Commerzbank. - Gerhard Grebler
Seit Januar 2018 ist Grebler bei der Landesbausparkasse (LBS Bayern) für die Bereiche IT, Personal und Revision verantwortlich. - Melanie Kehr
IT-Verantwortliche bei der staatlichen Förderbank KfW (Kreditanstalt für Wiederaufbau) ist seit April 2018 Melanie Kehr. Seit 2014 leitete sie als Bereichsleiterin Group IT den Bereich Informationstechnologie der BayernLB. Zunächst war Kehr Generalbevollmächtige der KfW, seit März 2019 ist sie auch Vorstandsmitglied der Bank. - Tobias Schmitt
Tobias Schmitt ist CIO der NRW.Bank Düsseldorf/Münster. Im Jahr 2010 wählte ihn die Jury vom Wettbewerb "CIO des Jahres 2010" zu einem der besten IT-Verantwortlichen in der Kategorie Mittelstand. - Mike Dargan
Head of Information Technology bei der Schweizer Bank UBS ist seit Mitte September 2016 Mike Dargan. Er arbeitet in Zürich und gehört dem Group COO Executive Committee der Bank an. Dargan war zuletzt CIO des Corporate and Institutional Banking der Standard Chartered Bank und dort für die End-to-End-Technologie und Betriebsprozesse dieser Geschäftsfelder zuständig. - Simone Bock
Der Finanzdienstleister State Street Bank International GmbH hat Simone Bock zum Head of IT ernannt. Seit dem 1. Dezember 2022 leitet Bock von München aus die IT der State Street Bank International GmbH (SSBI). Die erfahrene IT-Managerin kommt von der BNP Paribas Group. - Bernd Leukert
Bernd Leukert wurde am 1. Januar 2020 Vorstand für Technologie, Daten und Innovation der Deutschen Bank. Von 2014 bis 2019 war Leukert Technikvorstand bei SAP, wo er 1994 seine Karriere begann. - Stephan Tillack
Stephan Tillack (49) verantwortet seit 2014 den IT-Bereich der Norddeutschen Landesbank (NORD/LB). Unter seiner Verantwortung wurden in den letzten Jahren diverse Modernisierungs- und Standardisierungsmaßnahmen vorgenommen, u.a. wurde die IT-Plattform für das Wholesale-Kreditgeschäft ausgetauscht, die Integrationsarchitektur für die dispositiven Daten erneuert und eine neue Core-Banking Plattform für die ausländischen Niederlassungen eingeführt. Die komplette Client/Server-Architektur inkl. Bürokommunikation wurde auf Microsoft-Standard überführt, die bestehenden Rechenzentren konsolidiert, das IT Risikomanagement grundlegend modernisiert, ein Innovations- und ein Datenlabor aufgebaut und die gesamte IT der Bremer Landesbank in die NORD/LB integriert. Stephan Tillack ist seit 1999 in diversen Führungsaufgaben bei der NORD/LB tätig. - Hans-Jürgen Plewan
Hans-Jürgen Plewan ist seit 2013 Head of Group IT in der DekaBank. Zuvor führte der promovierte Informatiker die Geschäfte der Finanz Informatik Solutions Plus (FISP), einer Tochter der Finanz Informatik (FI). Die FI ist zentraler IT-Dienstleister der Sparkassen. Die DekaBank ist das Wertpapierhaus der Sparkassen. Im Vorstand vertritt seit Mai 2019 COO Daniel Kapffer die IT. - Aysel Osmanoglu
Aysel Osmanoglu ist seit Januar 2016 IT-Vorstand bei der GLS Bank in Bochum (vormals Ökobank), zuständig für Infrastruktur/IT. Die BaFin muss der Berufung noch zustimmen. Osmanoglu stieg 2006 als Trainee ein und wurde 2013 zur Bereichsleiterin Basisgeschäft Marktfolge ernannt. Sie absolvierte ein Studium der Volks- und Betriebswirtschaftslehre, zugleich ist sie diplomierte Bankbetriebswirtin Management der Akademie Deutscher Genossenschaften. - Rudolf Hoyer
Der Diplom-Informatiker Rudolf Hoyer ist seit September 2012 Leiter des Unternehmensbereiches Informationstechnologie und Organisation bei der Hamburger Sparkasse (Haspa). Seit 2009 leitet Hoyer bei der Haspa den Unternehmensbereich „Produktivität und Prozesse“. Davor war er im Stabsbereich der NRS Norddeutsche Retail-Service AG (ein Unternehmen der HASPA-Gruppe) tätig. Bis 2005 arbeite Hoyer bei der HypoVereinsbank in Hamburg und München, wo er die Integration der Vereins- und Westbank begleitete. Von 2005 bis 2007 verantwortete er in der VR Kreditwerk AG das Kreditprocessing in Norddeutschland. - Dorothée Appel
Seit Oktober 2020 arbeitet Dorothée Appel als Chief Information Officer für Retail Banking, Commercial Banking und Functions (RCBF) in der Abteilung Innovation & Technology der ABN Amro. - Michael Clijdesdale
Seit dem 1. April 2022 ist Michael Clijdesdale Chief Information Officer im Vorstand der ING Deutschland. - Rainer Neske
Rainer Neske, Vorsitzender des Vorstands der Landesbank Baden-Württemberg (LBBW), hat im Januar 2018 die Zentralbereiche Finanzen und Informationstechnologie mitübernommen. Zuvor hatte zuletzt Alexander von Uslar die CIO-Funktion inne. - Volker Stadler
Volker Stadler ist seit September 2017 Geschäftsführer der Volkswagen Bank GmbH und dort verantwortlich für Operations und Informationstechnologie. Stadler war zuvor Abteilungsleiter Steering & Strategy IT der Volkswagen Financial Services AG. - Christian Brauckmann
Nach der Fusion von DZ Bank (Deutsche Zentral-Genossenschaftsbank) und WGZ Bank (Westdeutsche Genossenschafts-Zentralbank) zum August 2016 ist Christian Brauckmann neuer Vorstand für IT und Organisation. Er war bei der WGZ Bank zuvor zuständig für die Bereiche Financial Markets Operations, Zahlungsverkehr und Organisation und Betrieb. - Christiane Vorspel
Christiane Vorspel wird ab Oktober COO im Vorstand der Commerzbank und verantwortet damit auch die IT. Sie kommt von der LBBW. - Joachim Wuermeling
Der Jurist Joachim Wuermeling ist seit Anfang November 2016 offiziell Mitglied im Vorstand der Deutschen Bundesbank. Der Vorstand der Deutschen Bundesbank hat auch die Ressortzuständigkeiten neu verteilt. Wuermeling übernahm die Verantwortung für die Bereiche Informationstechnologie und Märkte. Wuermeling war von 1999 bis 2005 Europaabgeordneter der CSU und von 2005 bis 2008 beamteter Staatssekretär im Bundeswirtschaftsministerium. Dann wechselte er in die Hauptgeschäftsführung des Gesamtverbandes der Deutschen Versicherungswirtschaft, danach wurde er Vorsitzender des Verbandes der Sparda-Banken in Frankfurt. - Alexander Neumann
Bei der Bausparkasse Schwäbisch Hall hat im November 2016 Alexander Neumann die Position des Leiters IT-Steuerung übernommen. Neumann kommt aus dem eigenen Haus: Zuletzt arbeitete er bei der Schwäbisch Hall Kreditservice AG, ein Finanzdienstleister im Kredit-, Bauspar- und Förderkreditgeschäft, als Bereichsleiter IT-Lösungen und Projekte. - Axel Schnuck
Axel Schnuck ist seit Dezember 2016 Head of Information Technology bei der Deutsche Pfandbriefbank AG (pbb) in Unterschleißheim bei München. Schnuck war zuvor 13 Jahre in der zur DZ-Bank gehörenden Schwäbisch Hall Gruppe tätig. - Manuela Bieß
Manuela Bieß (Foto) und Jürgen Wiedmann leiten seit Januar 2018 gemeinsam den Bereich "Informationstechnologie" der Helaba. Der Bereich "Organisation und Informatik" wurde zum 1. Januar 2018 in die zwei eigenständigen Bereiche "Organisation“ und „Informationstechnologie" geteilt. - Wolfgang Ludwig
Wolfgang Ludwig ist seit Juli 2018 neuer Bereichsleiter Group IT/CIO der BayernLB. Der CIO berichtet an den CFO/COO der Bank. Ludwig arbeitet bereits seit 1996 für die BayernLB. Er hat im Zuge seiner Laufbahn verschiedene Fach- und Führungsfunktionen in München inne. Einige Jahre war er auch in der Niederlassung London tätig. - Andreas Fahrni
Als Nachfolger von Urs Monstein übernahm Andreas Fahrni formal ab Juni 2018 die Rolle als Global Head IT der Bank Julius Bär. Nebst der Führung der globalen IT-Organisation der Bank mit Entwicklungs- und Betriebszentren in Zürich, Singapur und Luxembourg, haben für ihn die agile Transformation, die Digitalisierung des Bankkundengeschäfts und die Harmonisierung des globalen Betriebsmodels Priorität. Zuvor war Fahrni seit 2008 in der Bank Julius Bär in verschiedenen Funktionen tätig. Nach dem Master als Dipl. El.-Ing. ETHZ er zudem in verschiedenen Software-Entwicklungsprojekten bei der Firma Accenture in führenden Funktionen tätig. - Ulrich Reidel
Der promovierte Wirtschaftswissenschaftler Ulrich Reidel ist seit Juli 2019 Chief Information Officer der Baader Bank mit Sitz in Unterschleißheim bei München. Zuvor war Reidel als CIO und CDO für die Südleasing und Südfactoring tätig, Töchter der Landesbank Baden-Württemberg (LBBW). Reidel hatte seine berufliche Laufbahn bei der Excelsis Business Technology begonnen. Weitere Stationen führten ihn über die Börse Stuttgart (Abteilungsleiter Projekt- und IT-Controlling / Bereichsleiter IT Service Management) und die MBtech Group (Leiter Software Standards and Integration). - Sandra Kagerer
Sandra Kagerer besetzt seit 1. April die neu geschaffene Position des Head of IT der Airbus Bank in München. Sie berichtet an Matthias Jacobs, Head of IT & Operations. Zuvor war Kagerer IT Governance Manager der Kapitalverwaltungsgesellschaft BayernInvest. Bis 2018 war die Finanzmathematikerin bei der Beratungsgesellschaft KPMG Deutschland unter anderem im Risk-Management tätig. - Francine Zimmermann
Francine Zimmermann hat im September 2017 die Leitung Auftragsmanagement bei der Finanz Informatik Technologie Service (FI-TS) mit Sitz in Haar bei München übernommen. Sie war zuvor 4,5 Jahre CIO bei der Häfen und Güterverkehr Köln AG (HGK). - David Mathers
Der Brite David Mathers ist seit Anfang Mai 2012 in Personalunion CFO und CIO bei der Credit Suisse. Die Schweizer Großbank hat ihre Bereiche Finance, Operations und IT zusammengelegt. Im Zuge dessen verließ der vormalige CIO Karl Landert die Bank. - Klaus Bremges
Seit Juli 2013 arbeitet Klaus Bremges als CIO der Portigon AG, diese ist die Rechtsnachfolgerin der WestLB. Die Portigon will zudem eine Service-Gesellschaft gründen, um Outsourcing-Dienstleistungen am Markt anbieten zu können. Bremges leitet auch die IT der Portigon Financial Services GmbH.