Regulierte Authorization Governance bei MAN Financial Services
MAN Financial Services nutzte NEXIS zur Modellierung von Business-Rollen, zur Durchsetzung der Funktionstrennung (SoD), zur Automatisierung der Rezertifizierung und zur Unterstützung einer revisionssicheren Authorization Governance unter strengen regulatorischen Anforderungen.
Über MAN Financial Services
MAN Financial Services unterstützt Kunden von MAN Truck & Bus mit lokalen und internationalen Finanzierungs-, Leasing- und Versicherungslösungen. Das Unternehmen ist Teil der Volkswagen Financial Services AG und agiert in einem regulierten Finanzdienstleistungsumfeld mit strengen Berechtigungs- und Audit-Anforderungen.
- Branche: Automotive Financial Services
- Muttergesellschaft: Volkswagen Financial Services AG
- Kernfokus: Finanzierungs-, Leasing- und Versicherungslösungen
- Governance-Kontext: Reguliertes Berechtigungsmanagement und Auditfähigkeit
Die Herausforderung
Als Finanzinstitut musste MAN Financial Services jederzeit nachweisen können, wer unternehmensweit über welche Zugriffsrechte verfügt. Häufiges Onboarding, Transfers und Offboarding machten ein schlankes, sicheres IAM unverzichtbar. Die Organisation benötigte eine Möglichkeit, das Minimum-Access-Prinzip durchzusetzen, SoD-Controls anzuwenden und eine revisionssichere Dokumentation aufrechtzuerhalten, ohne unnötige Komplexität einzuführen.
Vor dem Projekt wurde das IAM ohne technische Plattform betrieben. Das Ziel war nicht die Einführung einer schwerfälligen Suite, sondern einer flexiblen und skalierbaren Governance-Ebene, die bestehende Zugriffsprozesse automatisieren und die volle Compliance mit regulatorischen Anforderungen unterstützen konnte.
Das Ziel war es,
- Business-Rollen basierend auf dem Minimum-Access-Prinzip zu modellieren und zu überwachen
- Eingebettete SoD-Regeln in der gesamten Berechtigungslandschaft durchzusetzen
- Rezertifizierungs- und Rollenänderungsprozesse zu automatisieren
- IAM-Prozesse an bestehende operative Systeme anzubinden
- Die kontinuierliche Auditfähigkeit unter Finanzsektor-Regulierungen zu unterstützen
Der Ansatz
Nach einem erfolgreichen Proof of Concept führte MAN Financial Services NEXIS als flexible Governance-Ebene für die Modellierung von Business-Rollen und die Berechtigungskontrolle ein. Der Fokus lag auf Automatisierung, Vereinfachung und regulatorischer Ausrichtung statt auf einem großen IAM-Ablöseprojekt.
Business-Rollen in NEXIS ersetzten das Excel-basierte Rollenmanagement.
Regeln zur Funktionstrennung (SoD) wurden in das Rollenmodell integriert und kontinuierlich überwacht.
Halbjährliche Überprüfungszyklen wurden durch aufgabenspezifische Schnittstellen und klare visuelle Benutzerführung automatisiert.
Fachbereiche und IT arbeiteten über strukturierte Workflows ohne Medienbrüche zusammen.
SQL-, LDAP- und SAP-Quellen wurden über Standard-Konnektoren angebunden, und eine REST-API-Integration verknüpfte NEXIS mit der bestehenden Ticketing-Umgebung.
Die Ergebnisse
Mit der Einführung von NEXIS etablierte MAN Financial Services ein strukturiertes, automatisiertes Modell für die Authorization Governance, das die regulatorischen Erwartungen erfüllte und gleichzeitig den manuellen Aufwand reduzierte. Zugriffszuweisungen wurden durch Business-Rollen einfacher zu verwalten, SoD-Anforderungen wurden konsistent durchgesetzt und die Rezertifizierung wurde zu einem wiederholbaren Prozess statt zu einer manuellen Belastung.
- Strukturierte Business-Rollen
Compliance-konforme Rollenstrukturen unterstützten die sichere Zuweisung von Zugriffsrechten. - Eingebettete SoD-Durchsetzung
Compliance-Controls wurden direkt in die Authorization Governance integriert. - Automatisierte Joiner-Mover-Leaver-Prozesse
Zugriffsänderungen wurden schneller und mit weniger manuellen Eingriffen abgewickelt. - Audit-bestätigte Compliance
Interne und externe Audits bestätigten die Übereinstimmung mit den regulatorischen Anforderungen. - Anerkannter Projekterfolg
Das Projekt belegte unter mehr als 64 Einreichungen den dritten Platz in einem globalen IT-Wettbewerb des Volkswagen Konzerns.
„Innerhalb des VW-Konzerns haben wir mit diesem Projekt im Jahr 2020 an einem globalen IT-Projektwettbewerb teilgenommen. Die zur Teilnahme qualifizierten Projekte wurden von internen Experten nach Relevanz, Dauer, Umfang und letztendlich natürlich Erfolg bewertet. Trotz des regulatorischen Themas unseres Projekts inmitten von Projekten zur Optimierung und Steigerung der Kosteneffizienz hat unser klarer Ansatz uns den dritten Platz unter über 64 eingereichten Projekten eingebracht.“
Weitere Fallstudien
Automatisierte Rezertifizierung des Zugriffs bei Beiersdorf Shared Services – Ereignisgesteuerte Identity Governance mit NEXIS
Beiersdorf Shared Services implementierte NEXIS, um ereignisgesteuerte Zugriffsrezertifizierungen zu automatisieren und klare, auditfähige Identity Governance-Prozesse für den globalen IT-Betrieb zu...
Rollenbasierte Access Governance im großen Maßstab: Fallstudie W&W Gruppe
Die Wüstenrot & Württembergische Gruppe implementierte NEXIS, um ein strukturiertes Berechtigungsrollenmodell zu etablieren – wodurch die Governance-Komplexität reduziert und die...
