Übersicht
Die GaVI ist einer der führenden IT-Dienstleister für die öffentlich-rechtlichen Versicherer in Deutschland. Das Unternehmen mit Hauptsitz in Mannheim und zwölf Niederlassungen in ganz Deutschland beschäftigt insgesamt 500 Mitarbeiter und erwirtschaftete im Jahr 2009 einen Umsatz in Höhe von 180 Mio. Euro.
Herausforderung
Die GaVI arbeitet mit großen Versicherungskonzernen zusammen und muss zuverlässigen, sicheren Zugriff auf geschäftskritische Systeme für über 22.500 Benutzer bereitstellen. Darüber hinaus setzen einige ihrer Kunden mehr als 200 verschiedene Anwendungen ein, was die Verwaltung und den Schutz von Benutzeridentitäten und Zugriffsrechten zu einer echten Herausforderung macht.
"Wir verwendeten manuelle, papierbasierte Verfahren für die Benutzerverwaltung, die überhaupt nicht skalierbar waren", so Christine Deger, Head of Engineering Networks bei der GaVI. "Angesichts der steigenden Anzahl von Benutzern, Systemen und Unternehmen wurden alltägliche Aufgaben wie das Erstellen neuer Benutzerkonten oder das Zurücksetzen von Passwörtern immer zeitaufwendiger."
2009 sah sich das Unternehmen einer neuen Herausforderung gegenüber: Die Bundesregierung erließ neue branchenspezifische Mindestanforderungen für das Risikomanagement (MaRisk VA), wodurch ein vollständig prüfbarer Ansatz für das IT-Sicherheits- und -Zugriffsmanagement dringend erforderlich wurde.
Lösung
Die GaVI entschied sich für die Implementierung einer zentralisierten Identitäts- und Sicherheitsmanagement-Lösung, die einen Großteil der Benutzerverwaltungsprozesse automatisiert und einen umfassenden Überblick über den Zugriff der Benutzer auf die verschiedenen Systeme bietet.
Eine der wichtigsten Anforderungen an die neue Lösung war die Interoperabilität mit den unterschiedlichen Anwendungen von GaVIs Kunden. Einige verwendeten beispielsweise SAP Human Capital Management als Personalverwaltungssystem, während andere PeopleSoft HRMS einsetzten. Es musste also eine flexible Lösung gefunden werden, die sich in all diese Anwendungen integrieren lässt, um der GaVI die zentrale Verwaltung von Benutzeridentitäten zu ermöglichen - und zwar unabhängig von der IT-Infrastruktur der einzelnen Kunden.
"Wir wussten um Novells Ruf als führender Provider von Identitäts- und Sicherheitsmanagement-Lösungen", erklärt Albert Harz, Head of Networks and Telephony bei der GaVI. "Im Zuge der Evaluierung von Novell Identity Manager und Novell Sentinel erkannten wir bald, dass diese Produkte all unsere Anforderungen erfüllten."
Das Team der GaVI arbeitete gemeinsam mit Novell an der Implementierung von Novell Identity Manager und integrierte das Produkt in Hunderte verschiedener Kundensysteme, darunter SAP HCM und ESS, PeopleSoft HRMS und CRM, IBM Lotus Notes, IBM DB2, Oracle, Novell eDirectory, Open LDAP und zahlreiche kundenspezifische Anwendungen. Wenn im Personalverwaltungssystem eines Kunden nun ein neuer Mitarbeiterdatensatz angelegt wird, erstellt die Lösung auf der Grundlage der Rolle des Mitarbeiters automatisch die erforderlichen Benutzerkonten in den anderen Systemen.
In Zusammenarbeit mit DIDAS, einem Novell Partner, integrierte die GaVI Novell Identity Manager in Novell Sentinel, wodurch das Unternehmen nun in der Lage ist, Zugriffsprotokolle aller Systeme zentral und in Echtzeit zu analysieren und entsprechende Reports zu erstellen. Somit verfügt die GaVI über ein umfassendes Audit-Protokoll und kann das Risiko des Systemzugriffs durch unbefugte oder böswillige Benutzer minimieren. Werden verdächtige Aktivitäten erfasst, benachrichtigt Novell Sentinel einen Administrator, der dann in Novell Identity Manager die Zugriffsrechte widerrufen kann.
Results
Durch die Automatisierung der Erstellung und Löschung von Benutzerkonten sowie durch ein Self-Service-Portal, über das Benutzer ihre Passwörter selbst zurücksetzen können, sorgte die Novell Lösung bei der GaVI für eine deutliche Reduzierung des mit der Benutzerverwaltung verbundenen Zeitaufwands.
"Novell Identity Manager hat dem manuellen, papierbasierten Einrichten neuer Benutzerkonten ein Ende gesetzt und ermöglicht uns eine kostengünstigere, flexiblere Arbeitsweise", freut sich Harz. "Darüber hinaus werden Verzögerungen vermieden, sodass wir unseren Kunden einen besseren Service bieten können. Wenn einer unserer Kunden einen neuen Mitarbeiter einstellt, können wir innerhalb weniger Minuten den Zugriff auf die erforderlichen Systeme bereitstellen - früher hat das oft Tage gedauert! Auch das Sperren von Benutzerkonten geht jetzt in Sekundenschnelle: Als vor Kurzem das Notebook eines Benutzers gestohlen wurde, konnten wir das entsprechende Konto mit einem einzigen Mausklick vorübergehend deaktivieren."
Durch die Kombination von Novell Identity Manager und Novell Sentinel ist die GaVI problemlos in der Lage, die Einhaltung von gesetzlichen IT-Sicherheits- und Risikomanagement-Auflagen nachzuweisen, und profitiert darüber hinaus von einem umfassenden Überblick über die Benutzeraktivitäten.
"Novell Sentinel erhöht nicht nur die Sicherheit, sondern generiert auch Reports, die in vielerlei Hinsicht nützlich sind", so Deger. "Einer unserer Kunden erkannte dank Novell Sentinel, dass 17 Prozent seiner Benutzerkonten inaktiv waren. Durch das Löschen dieser Konten war das Unternehmen in der Lage, die Softwarelizenzkosten für mehrere Anwendungen zu senken."
Die GaVI ist mit der Novell Lösung rundum zufrieden und vertraut darauf, dass sie mit dieser Plattform auch in Zukunft alle ihre Kunden unterstützen kann.
"Sowohl die Zusammenarbeit mit Novell als auch mit DIDAS hat wunderbar geklappt, und wir freuen uns schon darauf, gemeinsam am Ausbau der Lösung zu arbeiten", sagt Harz. "Als Nächstes wollen wir die Novell Access Governance Suite für die Bearbeitung von Zugriffsanfragen und Novell Privileged User Manager für die richtlinienbasierte Kontrolle von UNIX- und Linux-Systemen implementieren."