Deutsche Wertpapier Service Bank AG

Ausführliche Referenz

Geld muss arbeiten, damit es sich vermehren kann. Eine Überzeugung, die viele Anhänger hat. In der Folge werden täglich Millionen von Finanzbewegungen vorgenommen. Ein wesentlicher Teil der deutschen Transaktionen von Wertpapieren läuft über die Deutsche WertpapierService Bank AG, kurz dwpbank, mit ihren sieben deutschen Standorten. Hervor - gegangen ist das Unternehmen 2003 aus einer Fusion zwischen der genossenschaftlichen bws bank und der WPS Bank, einem Dienstleister der Sparkassen. Heute betreut der un - abhängige Wertpapierabwickler als Insourcer Mandanten aus allen drei Sektoren der deutschen Kreditwirtschaft und zählt mittlerweile rund 250 Bankinstitute zu seinen Kunden.

Bei Wertpapieren ist höchste Sicherheit geboten. Jeder Kunde muss sich darauf verlassen können, dass Finanztransaktionen ausschließlich von Berechtigten ausgelöst werden. In der Vergangenheit wurden die individuellen Berechtigungsmerkmale der Bankmitarbeiter über das auf dem Host verwendete Berechtigungssystem RACF gepflegt. Das Erfassen und Anpassen war allerdings ein zeitraubender Prozess mit der latenten Möglichkeit sich einschleichender Fehler. „Die gründliche Analyse der Prozessabläufe resultierte in der Forderung nach einer gänzlich neuen Lösung, nämlich der Zentralisierung des gesamten Identitäts - managements“, fasst Dipl.-Ing. Dipl.-Math. Ralf Hoops, Projektleiter in der dwpbank, sein Untersuchungsergebnis zusammen. Damit fiel der Startschuss für eine umfangreiche IT-Umstellung.

Hoch gesteckte Ziele
über dem gesamten Projekt stand die Anforderung der Hochverfügbarkeit. Zeitspannen im Bereich von mehreren Tagen für Berechtigungsänderungen waren für die Verantwortlichen nicht mehr tolerabel. Im Detail enthielt der aufgestellte Forderungskatalog deshalb un - umstößliche Vorgaben an die neue Lösung. Dazu gehörte als erstes der Wunsch nach einer zentralen hierarchischen Administration der Berechtigungen aller Mandanten für alle Systeme und Anwendungen per Single Sign-On.

Daneben war die vollständige Integration der bereits eingesetzten Systeme sowie einer Vielzahl von Anwendungen, die mit verschiedenen Verfahren zur Überprüfung der Berechti gungen arbeiten, gefordert.

Der weitere Anspruch, dass jede Berechtigungsinformation gleichzeitig zentral und dezentral zur Verfügung steht, wurde auch im Hinblick auf einen möglichen Ausfall des Hosts aufge - stellt. Die Planung sah vor, die Wertpapieraufträge in einem solchen Fall zu puffern und später an die entsprechenden Adressaten weiterzuleiten. Maßgabe war selbstredend eine Konsistenz der Datenbestände zu jedem Zeitpunkt.

Ergänzt wurde die Forderungsliste damit, dass die Synchronisation nicht nur im Benutzer - dialog über die grafische Bedienungsoberfläche, sondern auch über technische Prozesse mit dem System möglich ist.

Fundament der nun gewählten Lösung ist das Sun Java Enterprise System mit den Komponenten Directory Server, Identity Manager und Application Server unter dem Betriebssystem Solaris 10. Diese durchgängige Lösung für Infrastruktur bildet bei der dwpbank die Grundlage für die gesamte Steuerung und Speicherung von Zugangs- und Berechtigungsprozessen auf den unterschiedlichen Systemplattformen.

Koexistenz von alter und neuer Welt
Zunächst wurde ein LDAP Meta-Directory auf den offenen Systemen, die aus Sun Fire Servern bestehen, eingerichtet. über den anschließend entsprechend konfektionierten Adapter des Identity Manager erfolgt die direkte Weiterleitung der Berechtigungsinformationen an das RACF, das Berechtigungssystem auf dem Host. Für das Auslesen der mit einem DES3-Algorithmus verschlüsselten Passwörter im RACF gab es allerdings bis zu dem Zeitpunkt keine passende Lösung auf dem Markt. Um die Host-Daten durch LDAP und den Identity Manager nutzbar zu machen, haben die dwpbank und Sun im nächsten Schritt eine spezielle Lösung entwickelt, die weltweit wohl einmalig ist. Sie ermöglicht den Austausch und Abgleich der Identitätsdaten in beide Richtungen.

Eine weitere Besonderheit ist die zwischen den Anwendungen und der Berechtigungsinfrastruktur eingefügte Schicht mit einer Security-API, auf der geprüft wird, welches Backend für den jeweiligen Prozess gerade maßgeblich ist und die Prüfung auf Basis der speziellen Struktur der Daten stattfindet. Eingeplant wurde auch, dass neu eingerichtete oder geänderte Authentifizierungen eine systemübergreifende Latenz von höchstens 30 Minuten haben. Autorisierungsänderungen für Systeme, die das Identity Management System direkt als Backend benutzen, sind sogar umgehend wirksam.

Flexibilität im täglichen Einsatz
„Uns gefällt die Flexibilität des Sun Identity Manager, denn die Software setzt auf die vorhandene Infrastruktur auf. Falls nicht bereits vorhanden, sind zusätzlich nur ein J2EE-fähiger Applikationsserver, das LDAP Directory und eine hochverfügbare Datenbank wie Oracle RAC notwendig“, lobt Hoops die Einfachheit der gesamten Systemarchitektur.

Da die Mandanten der dwpbank sehr unterschiedliche Arbeitsweisen und Systeme anwen den, ist es ein großer Vorteil, Modifikationen von Berechtigungen nicht nur im Dialog vornehmen zu können. Der Sun Identity Manager ist in der Lage, Modifikationen außer über die grafische Benutzeroberfläche auch dateigesteuert entgegenzunehmen. Für die Mandanten hat dies den Nutzen, keinerlei Veränderungen an ihren eigenen Berechtigungssystemen vornehmen zu müssen.

Hohe Wirtschaftlichkeit inklusive
Aufgrund des schnellen Wachstums der dwpbank sind Systemanpassungen an der Tagesordnung. Einen entsprechend großen Raum nimmt das Entwickeln und Testen ein. Erhebliche Kosten spart die Bank durch den Einsatz von Solaris 10 im Entwicklungsbereich, wo beispielsweise auf einem Server kurzerhand sieben separate Zonen eingerichtet werden. Nach außen stehen dann sieben unterschiedliche Rechner mit jeweils eigenen Instanzen von Identity Manager, Directory und Datenbank zur Verfügung. „Für mich ist Solaris 10 die einzige Lösung, derart effizient entwickeln zu können“, betont der Diplom-Ingenieur den Vorsprung durch die Virtualisierung, der auch mit der Amortisationszeit von etwa einem Jahr höchst zufrieden ist.

Große Zeiteinsparungen sieht Hoops auch für den Fall von Revisionen: „Auf Knopfdruck können wir im neuen System erkennen, welche Rechte ein bestimmter Mitarbeiter zu einem bestimmten Zeitpunkt hatte. Dadurch erhalten wir ein Höchstmaß an Transparenz.“

Das Ergebnis ist ein äußerst flexibles hochverfügbares Zugangs- und Berechtigungssystem in gemischten Systemen unter verschiedenen Betriebssystemen. Nachdem sich das neue System auf allen Ebenen bewährt hat, sieht sich die dwpbank der Auslastung durch weitere Mandanten bestens vorbereitet. Das bei sehr guter Performance für bis zu 200.000 Benutzer ausgelegte System ist skalierbar undlässt sich jederzeit schnell erweitern.