Schlagwort: Finanzinstitut

DORA – Neue regulatorische Anforderungen für europäische Banken

Veröffentlicht am von

Ziel­set­zung und Inhalt von DORA:

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act) ist der euro­päi­sche Ver­ord­nungs­ent­wurf zur digi­ta­len ope­ra­tio­na­len Resi­li­enz im Finanz­sek­tor. Es ist einer von vier regu­la­to­ri­schen Bau­stei­nen zu des­sen Digi­ta­li­sie­rung. 2020 wur­de DORA von der Euro­päi­schen Kom­mis­si­on vor­ge­legt. Das Inkraft­tre­ten der Ver­ord­nung ist um den Jah­res­wech­sel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digi­ta­le Betriebs­sta­bi­li­tät als Fähig­keit von Finanz­un­ter­neh­men, IT-Sys­te­me auf­zu­bau­en, deren Betrieb sicher­zu­stel­len und zu über­prü­fen. Ein­ge­setz­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien dür­fen nicht durch betrieb­li­che Stö­run­gen, wie z. B. tech­ni­sche Aus­fäl­le oder Cyber­an­grif­fe, die Erbrin­gung von Finanz­dienst­leis­tun­gen gefähr­den. Die­se Anfor­de­rung schließt auch die direkt oder indi­rekt von Dritt­an­bie­tern genutz­ten Diens­te ein. Finanz­un­ter­neh­men haben, ins­be­son­de­re auch im Zusam­men­wir­ken mit ihren Dienst­ge­bern, die erfor­der­li­chen Vor­keh­run­gen zu tref­fen, um auf alle denk­ba­ren Beein­träch­ti­gun­gen und Bedro­hun­gen in der IT vor­be­rei­tet zu sein und Zwi­schen­fäl­le zu überstehen.

Mit DORA ver­folgt die euro­päi­sche Uni­on drei Kernziele:

  • Ver­ein­heit­li­chung bestehen­der natio­na­ler und euro­päi­scher Stan­dards und Vorgaben
  • Gewähr­leis­tung, dass alle erfor­der­li­chen Maß­nah­men zur Absi­che­rung gegen Cyber­ri­si­ken und ‑angrif­fe getrof­fen werden
  • Schaf­fung eines Rechts­rah­mens zur direk­ten Über­wa­chung von IT-Dritt­an­bie­tern durch die Auf­sichts­be­hör­den, sobald die­se für Finanz­un­ter­neh­men tätig sind

Inhalt­lich umfasst DORA sechs Schwerpunkte

  1. IKT-Risi­ko­ma­nage­ment – Finanz­un­ter­neh­men sol­len über einen „geeig­ne­ten Rah­men“ an Risi­ko­ma­nage­m­ent­werk­zeu­gen für ihre Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT), aus­rei­chend Kapa­zi­tä­ten und Res­sour­cen ver­fü­gen. Die­se sind zu doku­men­tie­ren sowie deren Akti­vi­tä­ten zu pro­to­kol­lie­ren, um den Auf­sichts­be­hör­den dar­über zu berich­ten. Dafür muss im Unter­neh­men eine eige­ne ver­ant­wort­li­che Stel­le ein­ge­rich­tet sein.
  2. Bericht­erstat­tung – Die durch­ge­führ­ten Tests sind zu pro­to­kol­lie­ren. Die Bericht­erstat­tung hat bereits vor­zu­se­hen, dass mög­li­che Vor­fäl­le bzw. Stö­run­gen zu klas­si­fi­zie­ren und zu clus­tern sind (wie vie­le Betrof­fe­ne, in wel­chem Gebiet, wel­che Daten betrof­fen, etc.). Für die Durch­füh­rung der Doku­men­ta­ti­on und Bericht­erstat­tung sol­len Stan­dards vor­ge­ge­ben werden.
  3. Rege­lun­gen für Tests – In regel­mä­ßi­gen Abstän­den – min­des­tens ein­mal pro Jahr – müs­sen die Sys­te­me einem Test unter­zo­gen wer­den. Grund­la­ge sind die Regel­wer­ke der Bank. Im Rah­men der Tests sind unter­schied­li­che Bedro­hungs­sze­na­ri­en zu berück­sich­ti­gen und anhand von Test­fäl­len zu simu­lie­ren. Auf Grund­la­ge der Erkennt­nis­se aus der Test­durch­füh­rung sind insti­tuts­in­di­vi­du­el­le Prä­ven­ti­ons­maß­nah­men zu spe­zi­fi­zie­ren. Die­se set­zen bereits im Erken­nen von Bedro­hun­gen an und rei­chen bis zu Rege­lun­gen von Backupmaßnahmen.
  4. IKT-Dritt­an­bie­ter – Das Risi­ko­ma­nage­ment von Dienst­leis­tungs­part­nern in der IT steht hier im Mit­tel­punkt. Der Scope geht aber über die ver­trag­li­chen Rege­lun­gen zur Aus­la­ge­rung hin­aus. Eine beson­de­re Rege­lung erfah­ren soge­nann­te kri­ti­sche Dienst­leis­ter, die aus­ge­la­ger­te digi­ta­le Leis­tun­gen für Insti­tu­te erbrin­gen. Abge­zielt wird hier z. B. auf die Ange­bo­te von „Big Techs“ im Kon­text Cloud-Com­pu­ting-Leis­tun­gen. Hier ist für die euro­päi­schen Auf­sichts­or­ga­ne die Berech­ti­gung vor­ge­se­hen, auf Doku­men­te zuzu­grei­fen, Vor-Ort-Prü­fun­gen durch­zu­füh­ren, Emp­feh­lun­gen oder Anwei­sun­gen aus­zu­spre­chen sowie Maß­nah­men zur Abhil­fe zu for­dern. Hier­für ist die Breit­stel­lung eines Mecha­nis­mus vor­ge­se­hen, der die Kri­ti­k­ali­tät von Dienst­leis­tungs­an­bie­tern bestimmt.
  5. Infor­ma­ti­ons­aus­tausch – Rege­lun­gen zum Infor­ma­ti­ons­aus­tausch über Cyber­be­dro­hun­gen inklu­si­ve der Rege­lung, wie Ver­ein­ba­run­gen dazu gestal­tet sein müssen.
  6. Gover­nan­ce - Für die Durch­set­zung des geplan­ten Regel­werks sind die Auf­sichts­be­hör­den vor­ge­se­hen, die bereits jetzt für die Auf­sicht der im Anwen­dungs­be­reich befind­li­chen Unter­neh­men zustän­dig sind.

Zur Errei­chung die­ser sechs Ziel­vor­ga­ben der Auf­sicht ste­hen für die Finanz­in­sti­tu­te fol­gen­de The­men im Fokus der Umset­zung, da sie in Tei­len über die bestehen­den regu­la­to­ri­schen Anfor­de­run­gen herausgehen:

  • Stär­kung der ope­ra­tio­nel­len digi­ta­len Resi­li­enz der Ban­ken mit­tels Vor­ga­ben zum Digi­tal Ope­ra­tio­nal Resi­li­ence Test­ing (inklu­si­ve Penetrationstests)
  • Sicher­stel­lung einer strin­gen­ten und kon­se­quen­ten Über­wa­chung aus­ge­la­ger­ter Dienst­leis­tungs­er­brin­gung in der Infor­ma­ti­ons- und Kommunikationstechnik
  • Aus­wei­tung von Mel­de­pflich­ten zu schwer­wie­gen­den IKT-Inci­dents auf den gesam­ten Finanzsektor
  • Erwei­te­rung der Anfor­de­run­gen an das Manage­ment von Infor­ma­ti­ons­ri­si­ken und Informationssicherheit

DORA für Ban­ken in Deutschland:

Die­se auf die IT-Sicher­heit ein­zah­len­den Schwer­punk­te wer­den mit DORA detail­lier­ter beschrie­ben als in bestehen­den regu­la­to­ri­schen Rege­lun­gen wie BAIT oder ISO 27xxx und dar­über hin­aus auf eine euro­päi­sche Ebe­ne geho­ben, um einen ein­heit­li­chen Stan­dard zu forcieren.

Beson­ders die gefor­der­ten Maß­nah­men zur Steue­rung des mit der Aus­la­ge­rung von ITK-Leis­tun­gen an Drit­te ver­bun­de­nen Risi­kos sind deut­lich spe­zi­fi­scher. Dazu wird die Fokus­sie­rung auf eine gerin­ge Anzahl von Schlüs­sel-Dienst­leis­tern als kri­tisch betrach­tet. Die­ses gilt sowohl für das ein­zel­ne Insti­tut als auch für die Bran­che insgesamt.

Im Hin­blick auf eine Umset­zung der Vor­ga­ben von DORA ist jedoch zu berück­sich­ti­gen, dass in Deutsch­land bereits in jüngs­ter Ver­gan­gen­heit wesent­li­che Ver­schär­fun­gen der Anfor­de­run­gen mit­tels auf­sichts­recht­li­cher Vor­ga­ben umge­setzt wurden.

Bei­spiel­haft genannt sei das Hand­lungs­feld der Aus­la­ge­run­gen von Dienst­leis­tun­gen der Ban­ken an Drit­te. Im Mit­tel­punkt ste­hen hier die aus der Erwei­te­rung der BAIT sowie dem Finanz­markt­in­te­gri­täts­stär­kungs­ge­setz (FISG) resul­tie­ren­den Vorgaben.

Ban­ken sind auf die­ser Basis nicht mehr nur ver­pflich­tet, inhalt­li­che, ver­trag­li­che oder steu­ern­de Pro­zes­se zu ihren Dienst­leis­tungs­part­nern zu eta­blie­ren, son­dern eben­so dazu, wesent­li­che Aus­la­ge­run­gen bei der Auf­sicht anzu­zei­gen (Aus­la­ge­rungs­re­gis­ter). So führt die BaFin an, dass die Kon­zen­tra­ti­on auf soge­nann­te Mehr­man­dan­ten­dienst­leis­ter (MMDLs), die für meh­re­re Ban­ken tätig sind, Risi­ken für den Gesamt­markt impli­zie­ren. Über das Aus­la­ge­rungs­re­gis­ter hin­aus besteht auch eine Ver­pflich­tung zur Mel­dung schwer­wie­gen­der Vor­fäl­le in der Aus­la­ge­rungs­be­zie­hung zwi­schen Bank und Dienstleistungspartner.

Der durch die Mel­dun­gen der Insti­tu­te geschaf­fe­ne Über­blick über die Aus­la­ge­rungs­be­zie­hun­gen deut­scher Ban­ken ermög­licht der Ban­ken­auf­sicht, die­se MMDLs zu iden­ti­fi­zie­ren, hin­sicht­lich des Risi­kos zu bewer­ten und zu überwachen.

Dar­über hin­aus gibt der gesetz­li­che Rah­men der Auf­sicht die Mög­lich­keit, direkt auf den Aus­la­ge­rungs­part­ner der Bank zuzu­ge­hen, um einen Miss­stand zu ver­mei­den oder zu beheben.

Die­se Anfor­de­rung trägt der zuneh­men­den, bran­chen­wei­ten Bedeu­tung ein­zel­ner Dienst­leis­tungs­an­bie­ter und dem damit ver­bun­de­nen Risi­ko Rechnung.

Spe­zi­fi­sche Aspek­te für Verbundstrukturen:

Die in DORA for­mu­lier­ten Rege­lun­gen für IT-Dienst­leis­ter von Ban­ken basie­ren wahr­schein­lich auf Über­le­gun­gen, die z. B. Anbie­ter von Cloud­lö­sun­gen wie Ama­zon, Goog­le oder Micro­soft im Fokus hat­ten. Im Hin­blick auf Cyber­si­cher­heit und die Kri­ti­k­ali­tät ein­zel­ner Anbie­ter für den gesam­ten Ban­ken­sek­tor ist die­ses sicher­lich ein sach­ge­rech­tes Vorgehen.

Das Uni­ver­sum der Ban­ken in Deutsch­land ist jedoch in star­kem Maße von Spar­kas­sen und Genos­sen­schafts­ban­ken geprägt. Hier bestehen Verbundstrukturen.

Die­se Struk­tu­ren sind durch zwei Kom­po­nen­ten gekennzeichnet:

  • Eine inhalt­li­che Kom­po­nen­te, in der ten­den­zi­ell eher klei­ne­ren Insti­tu­ten zen­tra­le Dienst­leis­tun­gen und digi­ta­le Ange­bo­te eben­so zur Ver­fü­gung gestellt wer­den wie sta­bi­le Governance-Prozesse
  • Eine recht­li­che Kom­po­nen­te, in der sich die zen­tra­len Anbie­ter die­ser Insti­tuts­grup­pen in deren Besitz befin­den und durch die­se kon­trol­liert wer­den. Die ein­zel­nen Insti­tu­te, wel­che die Leis­tun­gen nut­zen, sind gleich­zei­tig Eigen­tü­mer des Leistungserbringers

Durch die­se Struk­tu­ren ist die Gefahr kon­kur­rie­ren­der Inter­es­sen zwi­schen Bank und Dienst­leis­ter nahe­zu ausgeschlossen.

Das bedeu­tet auch, dass regu­la­to­ri­sche Anfor­de­run­gen aus DORA an die Insti­tu­te (Dar­le­gung, wie sie mit den Gefah­ren von Abhän­gig­kei­ten umge­hen, die bei der Aus­la­ge­rung von Dienst­leis­tun­gen ent­ste­hen) im Fal­le von Ver­bund­struk­tu­ren auf voll­stän­dig ande­re Vor­aus­set­zun­gen tref­fen als bei Insti­tu­ten außer­halb der Verbünde.

Im Hand­lungs­feld der Aus­la­ge­run­gen haben bestehen­de regu­la­to­ri­sche Vor­ga­ben wie die MaRisk auf Basis der EBA-Leit­li­ni­en für Sourcing Erleich­te­run­gen für die IT-Aus­la­ge­rung auf Ver­bund­ebe­ne vor­ge­se­hen, die in DORA so nicht ent­hal­ten sind.

In die­sem Kon­text besteht noch abschlie­ßen­der Klä­rungs­be­darf durch die Ver­bän­de mit der Auf­sicht, um für die Ver­bund­in­sti­tu­te Hand­lungs­si­cher­heit sicherzustellen.

Unab­hän­gig von die­sem ver­bund­spe­zi­fi­schen Aspekt, besteht für die Ban­ken in Deutsch­land die Erfor­der­nis, sich der Umset­zung von DORA zu widmen.

Aber was heißt das im „Dschun­gel“ der regu­la­to­ri­schen Vor­ga­ben denn genau?

Umset­zungs­emp­feh­lun­gen

Für Ban­ken, die regu­la­to­ri­sche Anfor­de­run­gen in der Ver­gan­gen­heit bereits kon­ti­nu­ier­lich umge­setzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Insti­tu­te, die eine Umset­zung der Anfor­de­run­gen der BAIT 2017 und 2021 nur homöo­pa­thisch begon­nen haben und wesent­li­che Dienst­leis­tun­gen an Drit­te aus­ge­la­gert haben, steigt durch DORA der Hand­lungs­druck noch einmal.

Gera­de in Bezug auf das Manage­ment von Aus­la­ge­run­gen kann sich eine „Bug­wel­le“ erfor­der­li­cher Umset­zungs­ak­ti­vi­tä­ten auf­bau­en, die sich finan­zi­ell und kapa­zi­ta­tiv zu einer kri­ti­schen Her­aus­for­de­rung ent­wi­ckelt und unmit­tel­ba­ren Hand­lungs­be­darf erfordert.

In die­sem Kon­text gilt es, die bereits bestehen­den Anfor­de­run­gen Doku­men­ta­ti­ons- und Mel­de­pflich­ten sowie das Risi­ko­ma­nage­ment in den beson­de­ren Fokus zu rücken.

Bestehen­de Ver­trä­ge mit Dienst­leis­tungs­part­nern, an die spe­zi­ell IT-Leis­tun­gen aus­ge­la­gert wur­den, gilt es zu prü­fen, ob die­se den bestehen­den und zukünf­ti­gen Anfor­de­run­gen genü­gen. So sind bei­spiels­wei­se Prü­fun­gen durch die Bank erfor­der­lich, ob die Dienst­leis­ter im Bereich Busi­ness Con­ti­nui­ty oder Not­fall­ma­nage­ment die rele­van­ten Vor­ga­ben ein­ge­hal­ten haben. In vie­len Fäl­len sind die­se Prü­fun­gen in den bestehen­den Ver­trä­gen nicht vor­ge­se­hen. Da Anpas­sun­gen in der Regel zeit­auf­wän­dig sind, ist hier ein rele­van­ter Ansatz­punkt, der nicht auf­ge­scho­ben wer­den sollte.

Gene­rell gilt bei DORA, wie auch bei den vor­an­ge­gan­ge­nen regu­la­to­ri­schen Ver­än­de­run­gen und Ver­schär­fun­gen, eine GAP-Ana­ly­se des Sta­tus quo gegen die Vor­ga­ben als pro­ba­tes Mit­tel. Pra­xis­be­währ­te und risi­ko­ori­en­tier­te Check­lis­ten, die auch die Prü­fungs­schwer­punk­te der Ban­ken­auf­sicht in ihrer Prio­ri­sie­rung berück­sich­ti­gen, sind hier ein emp­foh­le­nes Hilfs­mit­tel zur Ermitt­lung des Hand­lungs­be­darfs und der Ablei­tung einer Umsetzungsroadmap.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ver­fügt ban­kon über eine umfang­rei­che Pra­xis­er­fah­rung, die in Best Prac­ti­ces und Check­lis­ten ein­ge­flos­sen sind und den Kun­den von ban­kon in der effi­zi­en­ten Umset­zung einer regu­la­to­rik­kon­for­men IT helfen.

IAM – Fluch oder Segen

Veröffentlicht am von

Umset­zung regu­la­to­risch erwei­ter­ter Anfor­de­run­gen im Eigen­in­ter­es­se der Banken

Ver­schär­fung der BAIT bei IAM zwingt zum Handeln

Am 16. August 2021 hat die BaFin die neue Fas­sung ihrer Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT (BAIT) ver­öf­fent­licht, wel­che noch am sel­ben Tag in Kraft getre­ten sind.

Der Schwer­punkt der Neu­hei­ten liegt hier­bei nun­mehr weni­ger auf grund­le­gen­den Ände­run­gen als viel­mehr auf der Erwei­te­rung und Anpas­sung diver­ser Anfor­de­run­gen. Die­ses gilt auch für das zen­tra­le The­men­feld des Iden­ti­ty & Access Manage­ments (IAM).

Die BAIT beschreibt detail­lier­te Anfor­de­run­gen an IT-Berech­ti­gungs­kon­zep­te, Geneh­mi­gungs- und Kon­troll­pro­zes­se, Rezer­ti­fi­zie­rung der Berech­ti­gun­gen sowie Nach­voll­zieh­bar­keit und Doku­men­ta­ti­on sämt­li­cher Einrichtungs‑, Ände­rungs- und Deak­ti­vie­rungs­pro­zes­se. Unter IAM fal­len damit alle Funk­tio­nen und Arbeits­schrit­te im Zusam­men­hang mit der Admi­nis­tra­ti­on von Iden­ti­tä­ten und der Ver­wal­tung von Zugriffs­rech­ten sowie die damit ver­bun­de­ne Nachweisführung.

Von beson­de­rer Bedeu­tung ist die vor­ge­nom­me­ne Ergän­zung des Abschnitts 6.1. Mit ihm wur­de zusätz­lich in die BAIT auf­ge­nom­men, dass jeg­li­che Zugriffs‑, Zugangs- und Zutritts­rech­te auf Bestand­tei­le bzw. zu Bestand­tei­len des Infor­ma­ti­ons­ver­bun­des stan­dar­di­sier­ten Pro­zes­sen und Kon­trol­len unter­lie­gen sol­len, was kon­kret alle Berech­ti­gun­gen von Betriebs­sys­tem- über Daten­bank- bis Anwen­dungs­ebe­ne betrifft, und zwar auch für tech­ni­sche Zugän­ge bzw. Nutzer.

Aku­ter Hand­lungs­be­darf in der deut­schen Finanzszene

Für Deutsch­lands Ban­ken gilt mit Inkraft­set­zung der neu­en BAIT der Vor­satz „zeit­nah agie­ren und nicht erst, wenn die Auf­sicht an die Tür klopft“. Dies soll­te nicht im Lich­te eines Zug­zwangs gese­hen wer­den, son­dern im urei­ge­nen Inter­es­se der Insti­tu­te. Der Stand der tech­ni­schen Ent­wick­lung sowie der Digi­ta­li­sie­rung erhöht das Risi­ko betrü­ge­ri­scher Sys­tem­zu­grif­fe in erheb­li­chem Maße. In der Vor­beu­gung und Bekämp­fung betrü­ge­ri­scher Mög­lich­kei­ten sind koor­di­nie­ren­de Maß­nah­men erfor­der­lich, die man mit Bord­mit­teln und einer „dezen­tra­len teil­ma­nu­el­len Lösung“ von Zugriffs- und Berech­ti­gungs­kon­trol­len nicht mehr beherr­schen kann.

Der aus die­sen regu­la­to­ri­schen Anfor­de­run­gen resul­tie­ren­de Inves­ti­ti­ons­be­darf sowie die Bean­spru­chung unter­neh­mens­in­ter­ner Res­sour­cen gehen in vie­len Fäl­len über „das Mach­ba­re“ weit hin­aus. Auch vor dem Hin­ter­grund bereits erfolg­ter oder anste­hen­der Ver­la­ge­run­gen von Anwen­dun­gen in eine Cloud-Lösung gilt es, effi­zi­ent vor­zu­ge­hen und effek­ti­ve Ergeb­nis­se zu erzeugen.

Im Kon­text der welt­weit zu begrü­ßen­den posi­ti­ven, aber auch bedroh­lich nega­ti­ven Effek­te der fort­schrei­ten­den Digi­ta­li­sie­rung, han­delt es sich hier um eine not­wen­di­ge, gera­de aber auch für die mit hoch­sen­si­blen Daten ope­rie­ren­de Finanz­dienst­leis­tungs­bran­che maxi­mal sinn­haf­te Inves­ti­ti­on in die Zukunft.

Die sich in Sum­me erge­ben­den Vor­tei­le über­wie­gen den ver­meint­li­chen Auf­wand und brin­gen sogar ins­ge­samt mit­tel­fris­tig Kos­ten­vor­tei­le, da wesent­li­che Pro­zes­se auto­ma­ti­siert wie­der­ver­wend­bar sind und die manu­el­le Admi­nis­tra­ti­on in den Hin­ter­grund rückt.

Was ist zu tun

Gemäß öffent­lich zugäng­li­chem Zah­len­ma­te­ri­al waren bis Ende 2020 etwa 60 % der Finanz­in­sti­tu­te inten­si­ver mit dem The­ma befasst, davon ver­füg­te die Hälf­te der Insti­tu­te bereits über ein­ge­führ­te IAM-Sys­te­me. Hier ist, bezo­gen auf die gesam­te Com­mu­ni­ty, also noch ein deut­li­cher Weg zu beschreiten.

Wie­der ein­mal han­delt es sich um ein The­ma an der Schnitt­stel­le zwi­schen Fach­lich­keit und IT, wobei IAM-Pro­jek­te kei­ne pri­mä­ren IT-Vor­ha­ben sind, son­dern die Fach­lich­keit mit kla­ren Vor­ga­ben für User-Pro­fi­le und Rol­len­be­schrei­bun­gen vorlegt.

Par­al­lel dazu erfolgt der Abschluss der Sys­tem­aus­wahl. Eine Viel­zahl der Anbie­ter von IAM-Sys­te­men waren in der Ver­gan­gen­heit US-ame­ri­ka­nisch geprägt. Inzwi­schen haben sich aber in den letz­ten fünf bis zehn Jah­ren im deutsch­spra­chi­gen Raum eine Rei­he von Lösungs­an­bie­tern etabliert.

Ins­ge­samt bie­tet sich die Chan­ce zum „Auf­räu­men“ durch Löschung von über­hol­ten Zugän­gen (Mit­ar­bei­ter sind gar nicht mehr im Haus oder haben die Posi­tio­nen und damit Auf­ga­ben­zu­stän­dig­kei­ten gewech­selt) und Schaf­fung einer kla­ren und siche­ren Struk­tur mit sich selbst steu­ern­den Mechanismen.

Vor­ge­hens­mo­dell

Von Vor­teil ist die Ein­schal­tung einer erfah­re­nen und unab­hän­gi­gen Instanz in die Aus­wahl­pro­zes­se und vor­be­rei­ten­den Akti­vi­tä­ten, um die Umset­zungs­pha­se eines IAM-Pro­jekts mög­lichst kom­pakt zu gestal­ten. Immer wie­der hat sich gezeigt, dass die Kom­ple­xi­tät eines sol­chen Vor­ha­bens deut­lich unter­schätzt wird. Sowohl den gesetz­li­chen als auch den eige­nen Anfor­de­run­gen des Hau­ses ist in aus­rei­chen­dem Maße Rech­nung zu tra­gen. Ins­ge­samt geht es dar­um, inno­va­tiv in die Zukunft zu inves­tie­ren (Sta­te of the Art), aber gleich­zei­tig den Bogen nicht zu über­span­nen und mit Blick auf Cost-Value-Fak­to­ren eine ange­mes­se­ne Lösung mit ver­träg­li­cher Pro­jekt­lauf­zeit zu imple­men­tie­ren, wel­che auch für klei­ne­re und mit­tel­gro­ße Häu­ser geeig­net ist (maxi­ma­le Nut­zung vor­han­de­ner, aber vor allem erfor­der­li­cher Funktionalitäten).

Das fol­gen­de Schau­bild illus­triert die wesent­li­chen Eck­pfei­ler eines voll inte­grier­ten IAM-Lösungsansatzes:

IAM - Schaubild Artikel MJH

Im Pro­jekt­ab­lauf geht es u. a. um das Auf­set­zen einer IAM-Stra­te­gie, die Durch­füh­rung von Vor­ar­bei­ten wie Bestands­ana­ly­se, Bestands­be­rei­ni­gung sowie die Kon­zep­ti­on und Über­ar­bei­tung des Rol­len­mo­dells (IT vs. Busi­ness) unter Beach­tung gefor­der­ter Funk­ti­ons­tren­nun­gen. Wei­te­re Hand­lungs­fel­der betref­fen die tech­ni­sche Anfor­de­rungs­auf­nah­me (z. B. Inte­gri­tät in die Umsys­te­me, User Expe­ri­ence, Work­flows), die Pro­zess­ge­stal­tung, die Erstel­lung und Aus­wer­tung von RFI/RFP, die Sys­tem­ent­schei­dung sowie die Kon­zep­ti­on der Sys­tem­an­bin­dun­gen (z. B. HR). Nach Instal­la­ti­on und Umset­zung der tech­ni­schen Kon­zep­te in der Ent­wick­lungs­um­ge­bung, einer aus­rei­chen­den technisch/fachlichen Test- und Abnah­me­pha­se (Nut­zung agi­ler Pro­jekt­me­tho­dik) sowie der zeit­ge­rech­ten Durch­füh­rung von Anwen­der­schu­lun­gen kann „die neue IAM-Welt“ in Pro­duk­ti­on an den Start gehen.

Je nach geleis­te­ter Vor­ar­beit und Kom­ple­xi­tät der Unter­neh­mens- und Anwen­dungs­struk­tur kann das Pro­jekt­vor­ha­ben einen Zeit­raum von sechs bis 18 Mona­ten in Anspruch neh­men. ban­kon beglei­tet Sie als neu­tra­ler Part­ner bei der Sys­tem­aus­wahl, Vor­be­rei­tung und Umset­zung Ihres IAM-Projekts.

Kundenwünsche haben sich nicht verändert, sondern intensiviert

Veröffentlicht am von

Was ist in den letz­ten zwölf Mona­ten pas­siert? Eine Stu­die hat es gezeigt. Die Anzahl der nega­ti­ven Nach­rich­ten in den Medi­en hat sich erheb­lich ver­stärkt. Zudem hat die stär­ke­re Nut­zung der Medi­en, ins­be­son­de­re der digi­ta­len Medi­en, die Wahr­neh­mung hier­für multipliziert.

Was pas­siert mit posi­ti­ven Nach­rich­ten. Die­se wer­den min­des­tens mit zwei nega­ti­ven Nach­rich­ten belegt. Bes­tes Bei­spiel: Wir haben einen zuge­las­se­nen Impf­stoff. Aber… Die Medi­en sind voll damit.

Aber was ist bei den Kun­den­wün­schen pas­siert? Bei den Trends der Gesellschaft?:

Platz 1:
Wei­ter­hin Sicher­heit. Wie zuvor. Nur mit grö­ße­rem Abstand. Bes­tes Bei­spiel: Es wer­den gro­ße Geld­be­trä­ge gespart, die nicht mehr kon­su­miert oder inves­tiert werden.

Platz 2:
Öko­lo­gie. Vor der Kri­se war allen klar: Ein wei­ter so kann es nicht geben. Coro­na hat die­sen Trend ver­schärft. Coro­na wird zum Teil der öko­lo­gi­schen Krise.

Platz 3:
Gesund­heit. Die Nach­rich­ten aus den Län­dern, in denen die Kran­ken­häu­ser über­füllt sind, wir­ken in den Medi­en stär­ker als die Nach­rich­ten aus dem eige­nen Land.

Eines lässt sich auch fest­hal­ten. Die Wirt­schafts­leis­tung hat sich – neu­tral for­mu­liert – redu­ziert. Aber die­se Reduk­ti­on lässt es wei­ter­hin zu, in die per­sön­li­che Zukunft zu investieren.

Und was für die Mit­ar­bei­ter in den Finanz­in­sti­tu­ten gilt, hat auch Gül­tig­keit für die Kun­den. Der Wunsch nach Füh­rung, nach Plan­bar­keit und nach Klar­heit ist zu einem wesent­li­chen Hebel für das per­sön­li­che Wohl­be­fin­den geworden.

In einer ers­ten Ana­ly­se bei unse­ren Kun­den hat sich aber gezeigt: Die Ansät­ze für die akti­ve Kun­den­an­spra­che sind um rund 70 % zurück­ge­gan­gen. Das The­ma Sicher­heit wird nicht ver­stärkt. Statt­des­sen wer­den The­men in den Markt­fo­kus gestellt, die eher für die Kun­den mit Unsi­cher­heit belegt sind. Das The­ma Gesund­heit und Öko­lo­gie fan­den wir so gut wie gar nicht im Ran­king der ver­trieb­li­chen The­men. Das The­ma Kon­su­mie­ren hat einen erheb­lich höhe­ren Wer­be­an­teil als das The­ma Inves­tie­ren – das in unsi­che­ren Zei­ten eher erfolgs­ver­spre­chen­de Thema.

Mit unse­ren Kun­den haben wir fol­gen­de Schrit­te in kür­zes­ter Zeit umgesetzt:

  1. Anpas­sung des vor­han­den Pro­dukt­port­fo­li­os an die aktu­el­le Kun­den­er­war­tung. Hier stand nicht „Neu machen“ im Vor­der­grund, son­dern das „Anpas­sen“. Fokus­sie­ren des The­mas „Inves­tie­ren“.
  2. Umset­zung in den Struk­tu­ren des Ver­triebs­sys­tem, sprich digi­tal umset­zen für den Gesamt­ver­trieb (sta­tio­när und digital).
  3. Erfol­ge trans­pa­rent machen. Erheb­lich schwie­ri­ger als vor­her, da inner­halb des sta­tio­nä­ren Ver­triebs auf­grund von Coro­na die direk­ten Gesprä­che im Fili­al­team ein­fach weni­ger stattfinden.

Ers­te Rück­mel­dun­gen der Kun­den: Ver­wun­de­rung. Aber eben auch Begeis­te­rung, eine Idee gefun­den zu haben, wie die The­men für jeden Kun­den per­sön­lich pas­sen. Begeis­te­rung bei den Fili­al­teams, da posi­ti­ve Rück­mel­dun­gen den All­tag beleben.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld ab.

digitaler Vertrieb

Führungsinstrumente verändern sich – und werden digital

Veröffentlicht am von

Vie­le bekann­te Füh­rungs-Gurus atmen der­zeit auf. End­lich kehrt bei den Ver­ant­wort­li­chen in den Unter­neh­men die Ein­sicht ein, die teils anti­quier­ten Füh­rungs­me­tho­den end­gül­tig zu über­den­ken und über Bord zu werfen.

War bis­her die Finanz­wirt­schaft orga­ni­sa­to­risch klar struk­tu­riert – hat sich die­ses mit Coro­na rasend ver­än­dert. Die übli­chen Fili­al­zei­ten gehö­ren der Ver­gan­gen­heit an. Das brei­te Ange­bot, auch außer­halb der Öff­nungs­zei­ten für die Kun­den ansprech­bar zu sein, erlebt eine Renaissance.

Und es zeigt sich, wer nicht fle­xi­bel denkt, fin­det nicht viel Erfolg in der aktu­el­len und wahr­schein­lich auch in der zukünf­ti­gen Welt.

Die Erwar­tung an Füh­rung hat sich ver­än­dert. Sie for­dert der­zeit in unsi­che­ren Zei­ten eine noch höhe­re Inten­si­tät ein. Ver­ständ­lich. Aber die Reak­ti­on bleibt aus. Unver­ständ­lich. Aber das Modell der Füh­rung vor Ort, wie seit Ein­füh­rung der Filia­len pro­pa­giert, funk­tio­niert eben nur dann, wenn sich die Mit­ar­bei­ter vor Ort mit ihrer Füh­rungs­kraft treffen.

Die digi­ta­le Füh­rung wird immer stär­ker zum Erfolgs­fak­tor in den Unter­neh­men. Aber wie funk­tio­niert die­se digi­ta­le Füh­rung? Wir haben mit ver­schie­de­nen Kun­den die­sen Weg aktiv gestal­tet – ers­te Erkennt­nis: Die not­wen­di­gen Werk­zeu­ge sind bereits im Einsatz.

Drei Leis­tungs­he­bel zeig­ten sich in allen Projekten:

  1. Die Ver­ant­wort­li­chen für die Per­so­nal­füh­rung in den Finanz­in­sti­tu­ten müs­sen die Mög­lich­kei­ten für die digi­ta­le Lösung kennen
  2. Sicher­heit durch Nähe hat auch wei­ter­hin Bestand. Die Zufrie­den­heit der Mit­ar­bei­ter hängt hier­von ab. In allen Bei­spie­len zuneh­mend mit abneh­men­der Vergütung
  3. Sogar zuviel digi­ta­le Füh­rung wur­de als Hil­fe und Unter­stüt­zung wahr­ge­nom­men und aktiv von den Mit­ar­bei­tern eingefordert

Wir haben für die Füh­rungs­ver­ant­wort­li­chen eines in den Vor­der­grund gestellt. Es gilt Sicher­heit auf­zu­bau­en. Seit Maslow’s Bedürf­nis­py­ra­mi­de eigent­lich selbst­ver­ständ­lich. Man hat mit den Füh­rungs­ver­ant­wort­li­chen und Mit­ar­bei­tern geklärt, wie digi­ta­le Sicher­heit gelin­gen kann.

Die Umset­zung in den IT-Sys­te­men wie OSPlus-Ver­trieb bie­tet hier eine Viel­zahl von Mög­lich­kei­ten, die aktiv für die digi­ta­le Füh­rung ein­ge­setzt wer­den kann. Die regel­mä­ßi­ge Zufrie­den­heits­ska­lie­rung im Ereig­nis­sys­tem gehör­te auch dazu – mit Rück­mel­de­quo­ten weit über 90 %.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld ab.