Über die ÖBV
Seit 1895 ist die ÖBV Spezialistin für den öffentlichen Sektor. Sie bietet private Lebensvorsorge und Unfallschutz sowie spezielle Haftpflichtversicherungslösungen. Bis heute ist sie ein unabhängiger österreichischer Versicherungsverein auf Gegenseitigkeit. Das Handeln der ÖBV leitet sich aus dem solidarischen Prinzip ab: Bei der ÖBV versicherte Personen sind Mitglieder im Verein und somit Miteigentümer:innen des Unternehmens. Die Unternehmenspolitik der ÖBV ist, unabhängig von Aktionärsinteressen, langfristig und gemeinschaftsorientiert ausgerichtet.
Die ÖBV beschäftigt 600 Mitarbeiter:innen an 27 Standorten in Österreich sowie 500 externe Versicherungsmakler:innen. In der ÖBV kümmert sich ein 35-köpfiges Team um sämtliche IT-Anliegen inklusive der Verwaltung von Berechtigungen.
Kundenmeinung
“Auf tenfold kann man sich einfach verlassen!“
Stephan Radl
Chief Information Security Officer, ÖBV
Projektdaten
Standort
Wien
Branche
Versicherungssektor
Anzahl IT-User
600
IT-Mitarbeitende
35
Lizenz
Enterprise
Implementierungspartner
Artaker Computersysteme GmbH
Warum ist das Thema IT-Security für die Versicherungsbranche besonders relevant?
IT-Sicherheit hat im Versicherungssektor besondere Bedeutung, da hier hochsensible Daten wie personenbezogene Informationen, Gesundheitsdaten und Krankenakten verarbeitet werden. Datenschutz und Compliance spielen eine zentrale Rolle, da Mitarbeitende nur auf jene Daten zugreifen dürfen, die für sie vorgesehen sind. Ein Sicherheitsvorfall bedeutet nicht nur einen erheblichen Reputations- und Haftungsschaden für das Unternehmen, sondern stellt auch ein enormes Risiko für die Kund:innen dar, wenn deren vertrauliche Informationen missbraucht oder veröffentlicht werden.
Wie kann eine IAM-Lösung dabei helfen, die IT-Security zu verbessern?
Mit einer Identity Access Management Lösung kann sichergestellt werden, dass nur autorisierte Personen Zugang zu sensiblen Systemen und Daten im Unternehmen erhalten. Dies kann wiederum Betrugsversuche, Datenlecks und unbefugte oder ungewollte Manipulationen verhindern.
Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!
Die Ausgangslage: Fehlerhafte Daten und mangelnde Kontrolle über Berechtigungen
In der ÖBV wurde das Berechtigungsmanagement lange Zeit manuell ausgeführt, was zu unterschiedlichen Herausforderungen führte:
Hoher manueller Aufwand bei der User-Anlage: Neue User:innen anzulegen und mit den notwendigen Berechtigungen in allen Systemen auszustatten nahm etliche Stunden in Anspruch.
Uneinheitliche, fehlerhafte Daten: Da die Einrichtung manuell anhand von Checklisten erfolgte, passierten hierbei häufig Fehler: Daten wurden vergessen, Tippfehler und uneinheitliche Schreibweisen bei Namen, E-Mail-Adressen und Abteilungsbezeichnungen führten zu einer unsauberen Datenbasis.
Lange Wartezeiten: Auf Grund des hohen manuellen Aufwands bei der User-Anlage mussten Mitarbeiter:innen oft lange auf die Bereitstellung ihrer Accounts warten.
Zu viele Administratorrechte: Für viele Tasks benötigten Helpdesk-Mitarbeiter:innen Domain-Admin-Berechtigungen. Mit der Zahl an Personen, die über Administratorrechte verfügen, steigt jedoch auch das Sicherheitsrisiko. Hacker könnten sich dann zum Beispiel überberechtigte Konten zunutze machen und auf sensible Daten zugreifen oder diese gar stehlen. Die Einhaltung des Least-Privilege-Prinzips gilt als Best Practice in der IT-Security und ist bei einer Verteilung von zu vielen Administratorrechten nicht mehr gegeben.
Unvollständige Löschung von Berechtigungen: Beim Austritt von Mitarbeitenden wurden oft nicht alle Zugriffsrechte in allen Systemen entfernt, denn das Durchforsten jeder einzelnen Applikation nach Berechtigungen kostete extrem viel Zeit. Mitarbeiter:innen, die nach ihrem Firmenaustritt weiterhin Zugriff auf Informationen haben, stellen ein erhöhtes Sicherheitsrisiko dar.
Mangelnde Übersicht über Berechtigungen: Es war nicht nachvollziehbar, wer zu welchem Zeitpunkt über welche Rechte verfügte und in welchen Systemen.
Keine Rezertifizierung: Auf Grund der mangelhaften Nachvollziehbarkeit war es unmöglich, Benutzerkonten und Berechtigungen zu rezertifizieren, was wiederum zu verwaisten Konten führte. Diese stellen ebenfalls ein Sicherheitsrisiko dar.
Compliance: Auf Grund des mangelhaften Berechtigungsmanagements konnte die Einhaltung von Compliance-Vorgaben nicht gewährleistet werden.
“Wenn mehrere Ferialpraktikant:innen gleichzeitig anfingen, bedeutete das, dass wieder Stunden wertvoller Arbeitszeit für das Anlegen von neuen User:innen verloren gehen würden. Zeit, die wesentlich besser hätte genutzt werden können.“
Stephan Radl
Chief Information Security Officer, ÖBV
Die Hauptgründe, warum sich die ÖBV daher auf die Suche nach einem IAM-Tool machte, waren einerseits der Wunsch nach mehr Effizienz, insbesondere bei der User-Anlage und andererseits, um Sicherheitslücken zu schließen, die auf Grund von fehlender Berechtigungsübersicht und inkonsistenten Daten existierten. Auch das Thema Compliance spielte eine wichtige Rolle.
Anforderungen an eine IAM-Lösung
Für die Auswahl des zukünftigen IAM-Tools wurden folgende Anforderungen definiert:
1. Integration
Out-of-the-Box-Unterstützung für Active Directory (AD), Entra ID und OpenLDAP als zwingende Voraussetzung.
Flexibilität für zukünftige Integrationen über APIs oder andere Lösungen – kein geschlossenes System, das nur Active Directory unterstützt.
2. Berechtigungsmanagement
Möglichkeit, die bestehenden Berechtigungsprozesse im Tool abzubilden.
3. Self-Service-Funktionalitäten
User:innen sollten die Möglichkeit bekommen, Berechtigungen selbst anfordern zu können.
4. Rezertifizierung & Kontrolle
Automatisierte Rezertifizierungsprozesse zur regelmäßigen Überprüfung von Berechtigungen.
Data Owner sollten die Möglichkeit haben, Zugriffe eigenständig zu verwalten, sprich zu vergeben und zu entziehen. Außerdem sollten die Fachabteilungen nachvollziehen können, wer welche Zugriffsrechte besitzt.
Ablösung manueller Excel-Listen zur Berechtigungsüberprüfung durch eine effizientere, automatisierte Lösung.
Lösungssuche
Bei der Suche nach einem geeigneten IAM-Tool prüfte die ÖBV zunächst verschiedene Lösungen, darunter einige größere Cloud-basierte Enterprise-Lösungen.
Schnell stellte sich jedoch heraus, dass reine Cloud-Lösungen nicht den Anforderungen der ÖBV entsprachen. Wichtige Berechtigungsinformationen sollten nicht in die Cloud gelagert, sondern ausschließlich lokal gespeichert werden. Diese Sicherheitsbedenken führten dazu, dass nur Anbieter:innen in die engere Auswahl kamen, die auch eine lokale Bereitstellung ermöglichten. Außerdem bestand die Sorge, dass ein kleines Unternehmen wie die ÖBV bei einer großen Enterprise-Lösung nicht die nötige Aufmerksamkeit bekommen würde.
tenfold konnte einerseits durch seine On-Premise/Hybrid-Leistungen und schnelle Integration überzeugen, als auch durch seinen hervorragenden Support. Dadurch konnte eine entsprechend zuverlässige und individuelle Unterstützung gewährleistet werden. Die Kombination aus technischer Flexibilität und praxisnahmen Funktionsumfang machte tenfold somit zur optimalen Wahl für die ÖBV.
Implementierung
1. Proof of Concept: : Im ersten Schritt wurde ein Proof of Concept durchgeführt, um festzustellen, ob die gewünschten Grundfunktionen auch das leisten konnten, was sie versprachen. Im Zuge dessen wurden Active Directory und Open-LDAP angebunden. Außerdem wurden E-Mail- und Exchange-Konten angelegt, sowohl lokal als auch in der Cloud. Da diese Basisfunktionen erfolgreich getestet werden konnten, wurde die Implementierung fortgesetzt.
2. Datenimport: Im nächsten Schritt wurde die Datenqualität von Active Directory und Open-LDAP optimiert und die User-IDs von Namen auf Nummern umgestellt. Danach wurden die Daten importiert.
3. Rollen & Ressourcen anlegen: Im Anschluss wurden Rollen definiert, die den User:innen bei Neueintritt zugewiesen werden können und alle notwendigen Berechtigungen enthalten, die für die jeweilige Position benötigt werden.
4. Lifecycle-Prozesse: Es wurden unterschiedliche Lifecycle-Phasen definiert und abgebildet, zum Beispiel „Aktiv“, „Deaktiviert“, „Ausgetreten“, „Karenz“ usw. Das bedeutet, dass wenn ein:e User:in in eine andere Lebenszyklusphase übertritt, die Berechtigungen automatisch von tenfold angepasst werden.
5. Es wurden Rezertifizierungsprozesse für unterschiedliche Ressourcen eingeführt.
6. Berechtigungen wurden bereinigt und in Funktionsrollen abgebildet.
“Windows können alle IAM-Lösungen abdecken – aber bei Kund:innen, die vom Standard abweichen, trennt sich die Spreu vom Weizen!“
Stephan Radl
Chief Information Security Officer, ÖBV
Besondere Herausforderung OpenLDAP
Die Anbindung von OpenLDAP an tenfold erwies sich als spezielle Herausforderung. tenfold bietet für viele Applikationen und Systeme Out-of-the-Box-Lösungen zur Anbindung an, so auch für OpenLDAP.
Allerdings musste die Schnittstelle im Zuge der Implementierung erweitert werden. Doch auch diese Hürde konnte dank tenfolds Flexibilität gut gemeistert werden.
Wofür und von wem wird tenfold in der ÖBV verwendet?
1. User On- und Offboarding, Änderungen:
Die IT-Abteilung ist dafür verantwortlich, tenfold so einzustellen, dass das On- und Offboarding von User:innen und Ressourcenzuweisungen automatisch über die Software abgewickelt werden können. Das gleiche gilt für Abteilungswechsel oder Änderungen, wie z.B. Namensänderungen nach Heirat. Die gesamte Berechtigungsverwaltung erfolgt nun zentral über tenfold, wodurch sämtliche Prozesse und Rechtevergaben lückenlos dokumentiert sind. Ein spürbarer Vorteil: Frühere Probleme bei der Provisionierung gehören der Vergangenheit an.
2. Rezertifizierung:
Führungskräfte können mit tenfold selbst steuern, ob User:innen weiterhin Zugriff auf bestimmte Ressourcen haben dürfen oder nicht.
Die IT legt über tenfold Rollen fest, die User:innen bei Neueintritt automatisch auf Grund ihrer Position und anderen in der Rolle enthaltenen Attributen zugewiesen werden. Bei Änderungen wie Abteilungswechseln werden automatisch alte Rollen zeitverzögert entfernt und neue zugewiesen.
Verbesserungen durch tenfold
Folgende Verbesserungen konnten seit der Implementierung von tenfold in der ÖBV erreicht werden:
Effizienzsteigerung: Seit der Einführung von tenfold hat sich die Benutzer- und Berechtigungsverwaltung im Unternehmen erheblich verbessert. Anfragen werden nun deutlich schneller bearbeitet und Fehler bei der Dateneingabe gehören der Vergangenheit an.
Lückenlose Dokumentation & Vereinheitlichung von Daten: Alle erforderlichen Informationen sind einheitlich, vollständig und nachvollziehbar erfasst – ein großer Fortschritt gegenüber früher, als oft Details übersehen oder uneinheitlich dokumentiert wurden. Besonders bei Änderungen an Namen oder E-Mail-Adressen gab es zuvor Inkonsistenzen, die nun nicht mehr auftreten. Auch im Team herrscht Einigkeit darüber, dass die neue Lösung eine klare Verbesserung darstellt.
Compliance: Regulierungen wie DORA und NIS2 verlangen, dass Unternehmen nachvollziehen und belegen können, wer welche Berechtigungen und auf welche Daten er bzw. sie Zugriff hat. Mit tenfold ist die ÖBV nun in der Lage, diese Anforderungen zu erfüllen und somit Compliance zu zeigen.
Zukunftspläne mit tenfold
90% aller genutzten Systeme sind bereits an tenfold angebunden. Neben der Anbindung der verbleibenden 10% plant die ÖBV noch weitere Bereiche zu erweitern oder über tenfold umzusetzen:
Ausweitung der Rezertifizierungsfunktion: Derzeit nutzen nur Führungskräfte die Rezertifizierungsfunktion. In Zukunft sollen alle Datenverantwortlichen, z.B Application Owner, in der Lage sein, ihre Ressourcen selbst zu rezertifizieren, so dass die IT in diesen Prozess nicht mehr eingebunden sein muss.
Reporting für Teams, OneDrive und andere Microsoft-Dienste: Mit Hilfe von tenfold soll in Zukunft eine bessere Übersicht und Kontrolle darüber herrschen, welche (Gast-)User:innen sich in welchen Teams befinden und somit auf geteilte Inhalte zugreifen können.
Granulare Rollen für Administrator:innen: Mit Hilfe von tenfold sollen Administratorrechte künftig noch granularer über Profile gesteuert werden, um Compliance-Anforderungen gerecht zu werden. Was früher als Best Practice galt – Admins haben ein normales Benutzerkonto und zusätzlich ein eigenes Adminkonto für Admin-Tätigkeiten – gilt nun als überholt. Stattdessen sollen Admin-Konten für einzelne Funktionen unterteilt werden, z.B. ein dezidiertes “Exchange Admin” oder “Software Deployment Admin” Konto. Die Berechtigungen sollen also konsequent an die konkrete Funktion gekoppelt sein. Die Umsetzung dieser granularen Rollenvergabe mit tenfold erfordert eine Überarbeitung des Berechtigungskonzepts sowie eine saubere Abbildung der Administratorstrukturen im Active Directory. Dies stellt sicher, dass jede:r Administrator:in nur jene Rechte erhält, die für ihre/seine spezifische Aufgabe notwendig sind. Das verbessert sowohl die Sicherheit als auch die Compliance.
Migration von Fileservern zu SharePoint & OneDrive: Ziel ist die Ablösung der klassischen Netzlaufwerke und die Umstellung auf hybride Cloud-Lösungen, um eine bessere Zusammenarbeit mit Microsoft 365 zu ermöglichen.
Verwaltung von Entra-ID-Gästen: Es wird geprüft, ob tenfold für die Verwaltung von externen Benutzer:innen zum Einsatz kommen kann.
Erweiterung des Self-Service-Portals: Langfristig soll die Self-Service-Funktion auf weitere Mitarbeiter:innen und Bereiche ausgeweitet werden.
Integration weiterer Applikationen über APIs: Es sollen möglichst viele Anwendungen direkt an tenfold angebunden werden, sodass Berechtigungen automatisch erteilt und entzogen werden können.
Fazit
Die Einführung von tenfold bei der ÖBV hat zu einer erheblichen Effizienzsteigerung und Sicherheitsverbesserung im Berechtigungsmanagement geführt. Manuelle Prozesse, die zuvor fehleranfällig und zeitaufwendig waren, wurden automatisiert. Dadurch wurden sowohl die IT-Abteilung als auch die Fachabteilungen entlastet. Die lückenlose Dokumentation und Nachvollziehbarkeit von Berechtigungen ermöglicht es der ÖBV, regulatorische Anforderungen wie DORA und NIS2 besser zu erfüllen. Mit Blick auf die Zukunft plant die ÖBV, tenfold weiter auszubauen, unter anderem durch eine umfassendere Rezertifizierung, die Verwaltung von Azure-AD-Gästen und eine verstärkte Nutzung des Self-Service-Portals. Auch die Migration von Fileservern zu SharePoint und OneDrive sowie eine verbesserte Passwortverwaltung stehen auf der Agenda. Durch diese kontinuierlichen Optimierungen wird tenfold als zentrale IAM-Lösung weiter dazu beitragen, Sicherheit, Effizienz und Compliance in der ÖBV nachhaltig zu verbessern.
Erfahren Sie mehr über die Vorteile von Identity & Access Management
Lernen Sie den vollen Funktionsumfang von tenfold kennen!
Lassen Sie sich jetzt ein individuelles Angebot von uns erstellen