Merz: Marktführendes IAM als das richtige Rezept für eine optimale Kundenbetreuung

Friedrich Merz gründete Merz im Jahr 1908 in Frankfurt am Main. Im Mittelpunkt aller Aktivitäten von Merz stehen seit jeher Erfindungen und Innovationen: Das Unternehmen bietet heute eine breite Palette von Produkten – von Dermalfillern über Erkältungsbäder bis hin zu Therapeutika für neurologische Bewegungsstörungen.

Heute ist Merz ein globales Unternehmen mit mehr als 4.000 Mitarbeitern und Präsenz in 28 Ländern. Die drei Geschäftsbereiche von Merz sind: Merz Aesthetics, Merz Therapeutics und Merz LifeCare. Alle drei helfen ihren Kunden, „besser zu leben, sich besser zu fühlen und besser auszusehen“.

Das Unternehmen, das sich nach wie vor in Familienbesitz befindet, führt seinen langfristigen Erfolg auf seine anhaltende Innovationsbereitschaft und seine konsequente Kundenorientierung zurück. „Was die Technologie betrifft, sind wir stets auf der Suche nach Optimierungspotenzialen. Am wichtigsten ist uns aber, dass wir unseren Kunden den bestmöglichen Service und ein Höchstmaß an Sicherheit bieten“, betont Nima Attarzadeh, Senior Manager of Identity & Digital Services bei Merz.

Lückenloser Schutz für sensible Kundendaten
Um die Customer Experience kontinuierlich zu verbessern und kritische medizinische Daten optimal zu schützen, definierte Merz 2017 eine ehrgeizige Digitalisierungsstrategie. Die Services von Merz verteilten sich zu dieser Zeit nach einer Reihe internationaler Akquisitionen auf mehrere Plattformen. Es galt also, die IT-Dienste zu harmonisieren und zu optimieren. „Wir hatten mehrere Instanzen, mehrere Plattformen und mehrere Sign-ons“, berichtet Nima Attarzadeh. „Das war intern schwierig zu managen, und die Customer Experience bei Merz war nicht immer einheitlich.“

Die fehlende Zentralisierung bedeutete für das IT-Team von Merz einen erheblichen Mehraufwand, da Kundenidentitäten an verschiedenen Standorten administriert werden mussten. Die Kunden von Merz konnten sich jedoch darauf verlassen, dass ihre Daten optimal geschützt waren, da das IT-Team mit Okta die Umsetzung eines Zero Trust-Modells vorantrieb.

Die Zero-Trust-Strategie von Merz basiert auf einem starken Identity- & Access-Management
Auf der Suche nach einer Lösung, die das hochwertige Service-Angebot durch eine zeitgemäße, bedienfreundliche und sichere Infrastruktur unterstützt, wandte sich Merz an Okta. Merz entschied sich, als Grundlage der Zero-Trust-Strategie ein starkes Identity- und Access-Management zu integrieren. Die Partnerschaft mit Okta ermöglichte es Merz, Daten und Anmeldeinformationen der Kunden zuverlässig zu schützen und den Mitarbeitern gleichzeitig die Möglichkeit zu geben, die Zugriffe auf alle Anwendungen mit zentralisierter Access Control und robusten Policies besser zu steuern. Merz hat das Identity- und Access-Management in den Fokus gerückt, um die Wachstumsstrategien der drei Geschäftsbereiche Merz Aesthetics, Merz Therapeutics und Merz LifeCare voranzutreiben. „Unsere drei Unternehmensbereiche werden sich künftig womöglich ganz unterschiedlich weiterentwickeln – aber es wird immer einige Schlüsselfaktoren geben, die für alle drei gelten: Vertrauen, Innovation, Datensicherheit und eine hochwertige User Experience“, erklärt Nima Attarzadeh. „Aus technologischer Sicht sind Identitäten unser wertvollstes Asset. Sie definieren, wie wir mit unseren Kunden interagieren. Wir mussten also sicherstellen, dass stets die richtigen Identities den richtigen Zugang zu den richtigen Werkzeugen erhalten.“

Merz verglich eine Reihe möglicher Optionen und entschied sich schließlich für Okta als Partner für die digitale Transformation, da das Unternehmen mit bewährten Security-Lösungen, wettbewerbsfähigen Preisen und einer starken globalen Präsenz zu punkten wusste. Dies ergab für das Team ein überzeugendes Gesamtpaket, das mit der langfristigen Strategie von Merz kongruent war. Merz entschied sich beim Aufbau seines Kundenportals für eine breite Palette von Okta-Produkten, und stellte so die Weichen für eine hochwertige und intuitive Customer Experience, ohne Kompromisse bei der Sicherheit eingehen zu müssen. Um dieses Ziel zu erreichen, integrierte das Team von Merz Universal Directory, Single Sign-On (SSO), Adaptive Multi-Factor Authentication (MFA), Lifecycle Management und API Access Management.

„Mit unseren ursprünglich vorhandenen Lösungen hätten die Kunden unter Umständen mehrere Konten anlegen müssen, um sich bei mehreren Plattformen anzumelden“, sagt Nima Attarzadeh. „Jetzt können Kunden über ein einziges Portal mit Single Sign-On auf alle unsere Dienste zugreifen. Da sich Passwörter über ein Self-Service-Portal zurücksetzen lassen, sind Kunden beim Zugriff auf benötigte Informationen nicht mehr auf den IT-Support angewiesen. Und mit der weltweit eingeführten Multi-Faktor-Authentifizierung profitieren Sie von mehr Komfort und höherer Sicherheit. ”

Kunden von Merz können nun via Single Sign-on auf alle Dienste zugreifen
Nach der erfolgreichen Implementierung des Kundenportals legte Merz das Augenmerk auf die Mitarbeitenden und integrierte eine Reihe von Workforce-Identity-Produkten, beginnend mit Universal Directory und SSO. Diese Lösungen erlauben es Mitarbeitenden, Kundinnen und Partnern, auf eine Vielzahl zentraler und strategischer Dienste zuzugreifen. Die dafür erforderlichen Identitäten werden von Merz zentral verwaltet.

Da SSO das Zurücksetzen von Passwörtern per Self-Service gestattet, konnte die Zahl der IT-Support-Tickets nachhaltig reduziert werden. Anwender laufen damit nicht mehr Gefahr, von wichtigen Diensten ausgesperrt zu werden, und können weitaus produktiver arbeiten. Gleichzeitig wird der IT-Service-Desk entlastet – und kann sich auf andere Aufgaben konzentrieren. „Mit Okta als Single Source of Truth für User Identities haben wir jederzeit einen umfassenden Überblick darüber, wer sich wo anmeldet. So vereinen wir zeitgemäße Sicherheit mit einer hochwertigen Customer Experience“, so Nima Attarzadeh.

Über das Okta Integration Network sind über 200 Apps angebunden
Um die Abläufe weiter zu optimieren, integrierte Merz mehr als 200 Anwendungen über das Okta Integration Network und automatisierte mit Lifecycle Management eine Reihe von Identity-zentrierten Prozessen – darunter das Provisioning und das Deprovisioning von Anwendungen für Benutzer, die neu zum Unternehmen stoßen oder es verlassen. Die Integration hilft Merz auch dabei, die Deployment-Prozesse zu beschleunigen und mit schlüsselfertigen Integrationen von Okta die Kosten für die Pflege der Konnektoren zu reduzieren. Über diese Kostensenkungen hinaus machte sich Merz mit Universal Directory von den Active Directory Federation Services (ADFS) unabhängig. So konnten die Hardware- und Wartungskosten erheblich reduziert werden.

Mit dem Okta Integration Network, API Access Management und Lifecycle Management ist es für die Mitarbeitenden von Merz einfacher denn je, über ein zentrales Dashboard auf ihre wichtigsten Tools wie Salesforce und Microsoft 365 zuzugreifen – und das unabhängig vom Gerät.

„Okta führt für uns eine Reihe großartiger Features in einer durchgängigen Oberfläche zusammen”, erklärt Nima Attarzadeh. „Die Lösung bietet den Anwendern eine einheitliche Login-Experience, verbessert die Sicherheit und dient uns als zentrale Schnittstelle für die Verwaltung unserer Identitäten in der Cloud.“

Zero-Trust als Schlüssel zur GxP-Compliance

Um Kunden-Service auf höchstem Niveau zu bieten, erwartet Merz das Gleiche von seinen Partnern. Mit der Entscheidung für das Customer-Success-und-Support-Paket sicherte sich das Unternehmen Zugang zum High-End-Support von Okta – inklusive eines engagierten Customer Service Managers, der sich regelmäßig mit Nima Attarzadeh und seinem Team trifft. Das Service-Paket hilft Merz dabei, die Lösungen von Okta erfolgreich in seine neue Identity-Infrastruktur zu integrieren, und stellt darüber hinaus sicher, dass Merz in Sachen Okta jederzeit auf dem neuesten Stand ist und neue Entwicklungen zeitnah implementieren kann.

Mit tatkräftiger Unterstützung des Security- und Compliance-Teams von Okta und eines engagierten Customer Success Managers nahm Merz anschließend ein weiteres ehrgeiziges Ziel ins Visier: die Einhaltung der Good Practice (GxP)-Richtlinien der US Food and Drug Administration. Wann immer Merz mit Patientendaten oder produktrelevanten Daten arbeitet, muss sichergestellt sein, dass alle involvierten Dienste zuverlässig qualifiziert und validiert wurden. Die GxP-Validierung für Okta SSO hat Merz bereits erfolgreich abgeschlossen. Damit kann das Unternehmen auch GxP-relevante Systeme in Okta einbinden – denn die Validierung dokumentiert, dass die Services weltweit den hohen Sicherheits- und Qualitätsstandards der Branche entsprechen.

Den Großteil des Jahres 2020 arbeitete Merz eng mit dem Okta-Team zusammen, um ein geeignetes technologisches Framework und die Dokumentation zur Einhaltung der GxP-Vorgaben zu entwickeln. Diese aufwändige Aufgabe ist nun abgeschlossen.

Okta stellt die Einhaltung der G&P-Vorgaben sicher

„Die GxP-Validierung für Pharmazeutika ist sehr anspruchsvoll“, erklärt Nima Attarzadeh. „Okta hat uns entscheidend dabei geholfen, die technischen Anforderungen zu verstehen und den passenden technologischen Rahmen für die lückenlose Einhaltung der Bestimmungen zu schaffen. Tatsächlich war die GxP-Validierung nicht nur für Merz, sondern auch für Okta Neuland, wo man das erworbene Wissen nun an weitere Kunden weitergeben kann. Das war eines der Highlights unserer Partnerschaft.“

Mit der Zusammenarbeit mit Okta erhält Merz überdies Zugang zur breiten Community der Okta-Kunden. „Manchmal ist es wirklich aufschlussreich, ganz ohne geschäftliche Verbindung mit gleichgesinnten Anwendern zu sprechen. So bekommt man einen guten Eindruck davon, wie andere die Okta-Tools einsetzen“, erläutert Nima Attarzadeh.

Nach Abschluss der GxP-Validierung arbeitete Merz weiter an der Verbesserung seiner Plattform. Das Unternehmen hat eine Reihe von Workflows implementiert, die zur Sicherheit und Automatisierung beitragen. Im nächsten Schritt will Merz die Advanced Features des Lifecycle Managements nutzen, um die Arbeitsabläufe der Mitarbeiter weitgehend zu automatisieren und so die Effizienz, Transparenz und Konsistenz der Prozesse zu verbessern. Die Kunden von Merz können sich darauf verlassen, dass ihre Daten optimal geschützt sind, da das IT-Team mit Okta die Umsetzung eines Zero Trust-Modells vorantrieb.

„Ich bin überzeugt, dass Identities unser wichtigster strategischer Asset sind“, erklärt Nima Attarzadeh. „Okta ist ein wichtiger Partner – sowohl für den Schutz unserer Identity-Plattform als auch für den Aufbau neuer Kundenprogramme auf dieser Plattform. Ich bin mit der Partnerschaft und der Zusammenarbeit sehr zufrieden.“ Florian Strempel, Group Head IT Security bei Merz, stimmt zu: „Zusammen mit Okta haben wir für jede Herausforderung schnell eine Lösung gefunden.“