Verlässliche Identitäten für regulierte Organisationen.
Identitäts- und Berechtigungsstrukturen sind eines der zentralen Kontrollfelder in Banken und anderen regulierten Unternehmen. Seit 2016 begleiten wir Institute beim Aufbau, der Modernisierung und der Revision von Identity & Access Governance – mit langjähriger Erfahrung in der Implementierung und Weiterentwicklung von Lösungen wie OMADA Identity, aber ebenso mit anderen IAM-Tools und individuellen Architekturansätzen.
Für uns steht dabei nicht das Produkt im Vordergrund, sondern die Governance, die Prozesse, die Verantwortlichkeiten und die Fähigkeit einer Organisation, ihre Identitäten wirklich zu beherrschen.
IAM im Bankensektor – besondere Anforderungen
Finanzinstitute stehen unter hoher regulatorischer Erwartung:
MaRisk, BAIT, EBA-Guidelines und seit 2025 zunehmend die DORA-Regulierung (Digital Operational Resilience Act) verlangen, dass Zugriffe jederzeit verständlich, prüfbar und risikoorientiert gesteuert werden können.
Dazu gehören u. a.:
- klare Rollen- und Berechtigungsmodelle
- nachvollziehbare Vergabe- und Entzugsprozesse
- dokumentierte und wiederkehrende Rezertifizierungen
- technische und organisatorische Trennung von Funktionen (SoD)
- eindeutige Verantwortlichkeiten für Applikationen und Prozesse
- einheitliche Identitätsdaten als verlässliche Quelle für alle Systeme
- durchgehende Auditfähigkeit
- robuste Betriebsmodelle für IAM-Lösungen
Kurz gesagt:
Eine Bank muss jederzeit zeigen können, wer was darf, warum er es darf, wer es genehmigt hat, und wie lange das gilt.
Hier setzen wir an.
Unsere Arbeit: Von der Architektur bis zum regulatorischen Nachweis
Wir begleiten Banken durch den gesamten Lebenszyklus moderner IAG-Strukturen:
1. Analyse bestehender Identitäts- und Berechtigungslandschaften
Wir identifizieren:
- verwaiste Accounts
- historisch gewachsene Rollen
- unklare Verantwortlichkeiten
- technische Schattenstrukturen
- fehlende oder nicht wirksame Governance-Regeln
2. Zielarchitektur & Governance-Design
Wir entwickeln Governance-Strukturen, die regulatorisch sauber und im Alltag tragfähig sind:
- Rollenmodelle (Business & IT)
- Applikationsverantwortung („System Owner“-Modell)
- SoD-Konzepte
- Berechtigungslebenszyklen (Joiner/Mover/Leaver)
- Rezertifizierungsprozesse
- Dokumentationen & Nachweise für Prüfungen
3. Technische Umsetzung – Tool-unabhängig
Ob OMADA Identity, SailPoint, Saviynt, OneIdentity, Azure AD oder individuelle Lösungen:
Wir denken Governance zuerst, Tool danach.
Die Technik folgt der Struktur – nicht umgekehrt.
4. Begleitung von Audits & Prüfungen
Wir unterstützen bei:
- internen Audits
- externen Wirtschaftsprüfern
- BaFin-Anfragen
- DORA-Nachweisen
Und sorgen dafür, dass IAM nicht als Risiko, sondern als organisatorische Stärke wahrgenommen wird.
Warum unsere Arbeit wirkt
Viele IAM-Programme scheitern nicht an der Technik, sondern an:
- fehlender Ownership
- widersprüchlichen Verantwortlichkeiten
- Silodenken zwischen Fachbereich, IT, Security und Betrieb
- unklaren Berechtigungsmodellen
- historisch gewachsenen Strukturen
Wir bringen Architektur, Governance und Menschen zusammen – und damit Ordnung in Systeme, die zuvor fragmentiert waren.
Governance ist für uns kein Compliance-Korsett, sondern ein Werkzeug, das den Betrieb entlastet.