Active-Directory-Auditing und Passwort-Management für mehr Compliance


Die Interhyp Gruppe ist eine der führenden Adressen für private Baufinanzierungen in Deutschland. Mit den Marken Interhyp, die sich direkt an den Endkunden richtet, und Prohyp, die sich an Einzelvermittler und institutionelle Partner wendet, hat das Unternehmen 2019 ein Baufinanzierungsvolumen von 24,5 Mrd. Euro erfolgreich bei seinen 500 Bankpartnern platziert. Für die Interhyp Gruppe arbeiten etwa 1.600 Menschen an über 100 Standorten bundesweit.

Die Ausgangslage – Lösungen für AD-Auditing und Passwort-Management gesucht

Als Finanzdienstleister muss die Interhyp Gruppe zum einen regulatorische Vorschriften wie den Sarbanes-Oxley-Act (SOX) oder Vorschriften aus der ISO-Zertifizierung erfüllen. Zum anderen gilt es, die konzerninternen Vorgaben der ING-Group umzusetzen. Sicherheit und Compliance haben – zum Schutz der Daten ihrer Kunden und deren Vertrauen in die Interhyp – die oberste Priorität bei Interhyp.

In systematischer Vorgehensweise begann das Unternehmen das Compliance-Regelwerk nach Vorgabe der ING zu implementieren. Dazu wurde zunächst der Scope definiert. Dessen Kernaussage: Alles, was produktiv betrieben wird muss auch überwacht werden. Um diese Anforderungen zu erfüllen, benötigte die IT-Abteilung von Interhyp geeignete Lösungen.

Aktuell arbeiten über 200 Mitarbeiterinnen und Mitarbeiter in der IT und Software-Entwicklung bei Interhyp. Die Hälfte davon kümmert sich um den IT-Betrieb. Fabian Heyke, System Engineer IT-Operations bei der Interhyp Gruppe, betreut im IT-Operations-Team die Microsoft Infrastruktur und ist darüber hinaus als „IT-Custodian“ Ansprechpartner für die ManageEngine-Produkte ADAudit Plus und Password Manager Pro, welche die Interhyp zur Umsetzung des Compliance-Regelwerks nutzt.

Die Lösung – ADAudit Plus und Password Manager Pro

Mit ADAudit Plus, einer Auditing-Lösung für das Active Directory (AD), überwacht Interhyp die komplette Windows-Umgebung: 40 Domain-Controller, 200 Member-Server, 15 DMZ- und zwei File-Server. Die Software auditiert alle An- und Abmeldungen, fehlgeschlagene Anmeldungen von Benutzern oder Administratoren, Passwortänderungen sowie die Verwendung nicht personalisierter Accounts. Da das Monitoring auch Änderungen an Gruppen und Group-Policy-Richtlinien (GPO) umfasst, lässt sich für das IT-Team jederzeit nachvollziehen, wer wann welche Gruppe erstellt, geändert oder gelöscht hat.

Außerdem überwacht Heyke mit der Software Änderungen an den Servern, etwa gestartete Prozesse, Policy Changes, Security-Events usw. Das File Server Monitoring zeigt ihm dabei genau, wer welche Änderung von wo und wann an Dateien vorgenommen hat. Die Daten fließen per Syslog in eine Lösung für das Security Information and Event Management (SIEM). Abweichungen oder Anomalien lösen umgehend einen Alarm aus und ermöglichen damit der IT-Abteilung, sofort einzugreifen und Angriffe zu vereiteln.

Darüber hinaus setzt Interhyp Password Manager Pro von ManageEngine ein. Die Software für das Passwort-Management privilegierter Konten verwaltet alle Passwörter für kritische Systeme und Applikationen in einem zentralen und sicheren Repository.

Auch beim Passwort-Management gelten konzernweite Regeln: Passwörter müssen auditierbar sein, es muss nachvollziehbar sein, wer sich wann und aus welchem Grund wo eingeloggt hat und welches Passwort benutzt wurde. „Gerade bei hoch privilegierten Accounts ist ein passwortgeschütztes Excel nicht das Mittel der Wahl; auch kein unverwalteter Passworttresor etc.“, erklärt Heyke.

Kundennutzen:

  • Compliance-Anforderungen lassen sich einfach umsetzen
  • Einsatz von Standard-Software
  • Ständige Weiterentwicklung der Lösungen
  • Zeitnahe Reaktion auf Support-Anfragen bei Hersteller und Distributor
„Bis auf Updates einzuspielen, benötigt ADAudit Plus keinen weiteren Pflegeaufwand, wenn die Konfiguration bei der Inbetriebnahme passt. Die Software läuft einfach zuverlässig, es gab noch keine Probleme damit.“ Fabian Heyke, System Engineer IT-Operations, Interhyp Gruppe

Das Ergebnis – automatisches Auditing und sichere Passwörter

Seit der Einführung von ADAudit Plus werden alle AD-Änderungen bei Interhyp zuverlässig und automatisch überwacht und auditiert. „Bis auf Updates einzuspielen benötigt ADAudit Plus keinen weiteren Pflegeaufwand, wenn die Konfiguration bei der Inbetriebnahme passt. Die Software läuft einfach zuverlässig, es gab noch keine Probleme damit“, ergänzt der IT-Spezialist.

Auch Password Manager Pro hat sich bei Interhyp bewährt: Das Produkt wurde zunächst nur von der IT eingesetzt. „Die Anbindung an das Active Directory macht das Handling sehr komfortabel“, betont Heyke. Mitarbeiter einer bestimmten Gruppe bekommen automatisch entsprechenden Zugriff; beim Verlassen der Gruppe wird dieser automatisch entzogen – hohe Passwortsicherheit mit wenig Aufwand. „Ein tolles Features ist auch die Browser-Erweiterung, um sich automatisch auf Webseiten einzuloggen“, betont der IT-Spezialist.

Durch einen ganzheitlichen Ansatz nutzen auch andere Abteilungen von Interhyp das Tool, um kritische Passwörter zu verwalten.

Fazit – regulatorische Vorgaben erfüllt

Die beiden ManageEngine-Lösungen unterstützen Fabian Heyke zuverlässig dabei, die regulativen Vorgaben der Interhyp Gruppe in den Bereichen AD-Auditing und Passwort-Management umzusetzen. Ein weiterer Pluspunkt stellt für den System Engineer die Zusammenarbeit mit dem Hersteller dar. Verbesserungsvorschläge ließen sich einfach und unkompliziert über Feature Requests einreichen. „Es ist schön zu sehen, dass das Kundenfeedback wahr genommen wird und so manches wurde auch schon umgesetzt“, zeigt sich Heyke zufrieden. Und die von ManageEngine-Distributor MicroNova durchgeführten Seminare seien für ihn ebenfalls immer wieder hilfreich.

Interhyp Gruppe - Fakten

Branche: Finanzdienstleistungen / Baufinanzierung
Mitarbeiter: ca. 1.600 bundesweit
Umsatz: 234,2 Millionen € (2019)
Hauptsitz: München
Gründung: 1999

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   +49 8139 9300-13
   Support kontaktieren