The Gym Group: Wie starke Security die Weichen für reibungslose Workflows stellt – und eine komfortable User-Experience garantiert

100 %

neuer Mitglieder werden automatisch in Directories angelegt

90 %

Reduzierung potenzieller MFA-Challenges

800.000

Kunden wurden zuverlässig von einem proprietären System auf Single Sign-On mit der Customer Identity Cloud migriert

  • Sicherheit ohne Kompromisse für Mitglieder und Mitarbeitende
  • Identity als gelöste Herausforderung
  • Optimierung des Identity- und Lifecycle-Managements
  • Unterstützung bei der Dokumentation der Governance
  • Die ISO 27001-Akkreditierung im Blick
Sicherheit ohne Kompromisse für Mitglieder und Mitarbeitende

Mit 800.000 Mitgliedern, mehr als 200 Gyms und einer wachsenden Workforce ist der Schutz der Daten für The Gym Group von größter Bedeutung. Als es galt, die Mitglieder, die Mitarbeitenden und die Stakeholder zu schützen, machte sich The Gym Group auf die Suche nach einem Technologie-Anbieter mit klarem Fokus auf das Identity- und Access-Management.

Identity als gelöste Herausforderung

Um einen effizienten Betrieb sicherzustellen, muss The Gym Group den richtigen Mitarbeitern den richtigen Zugang zu allen Daten geben, die sie brauchen, um zu verstehen, wer ihre Mitglieder sind und wie sie die Gyms nutzen.Dafür benötigte The Gym Group eine Umgebung, die sowohl mit Blick auf die Daten als auch mit Blick auf den Betrieb höchsten Security-Ansprüchen gerecht wird. Das Unternehmen wandte sich an Okta, um seine Mitarbeitenden und seine Kunden optimal zu schützen.

Optimierung des Identity- und Lifecycle-Managements

Der Einsatz von Adaptive Multi-Factor Authentication und Single Sign-On ermöglichte es The Gym Group, sämtliche Anwendungen in einer Lösung zusammenzuführen. Dies war zuvor nicht möglich. Im Zusammenspiel mit Workday kann das Unternehmen seine Mitarbeitenden schnell und einfach verschiedenen Standorten zuweisen, zu Gruppen und Plattformen hinzufügen oder sie aus diesen entfernen. Dies lässt den IT-, HR-, Operations- und kaufmännischen Teams mehr Zeit für andere Aufgaben.

Unterstützung bei der Dokumentation der Governance

Als börsennotiertes Unternehmen muss The Gym Group für Stakeholder regelmäßig Reports zur Business-Entwicklung bereitstellen. Die Okta Identity Platform erleichtert den Zugriff auf die dafür erforderlichen granularen Daten – und hilft dem Unternehmen, seine Governance-, Compliance- und regulatorischen Verpflichtungen zu erfüllen.

Die ISO 27001-Akkreditierung im Blick

Die Customer Identity Cloud von Okta ermöglicht es The Gym Group, eine hochwertige Customer-Experience bereitzustellen und sensible Daten zuverlässig zu schützen. Das Unternehmen denkt darüber nach, die ISO 27001-Zertifizierung anzugehen. Man geht davon aus, dass die CIC-Lösungen diesen Prozess beschleunigen werden, weil sie dem Standard bereits entsprechen.

„Okta Verify ist ein fantastisches MFA-Tool.Sie können es genau so konfigurieren, wie es am besten zu den jeweiligen Benutzern und Profilen passt. Und es ist ein mächtiges Werkzeug, das ein Höchstmaß an Sicherheit bietet, ohne die User-Experience für die Mitarbeitenden zu beeinträchtigen. Das ist viel wert.“

Jasper McIntosh, Chief Information Officer, The Gym Group

Wer sich sportlich betätigt, verringert das Risiko eines frühen Todes um bis zu 30 %. Kein Wunder also, dass die Fitness-Branche boomt und allein in Großbritannien 2021 € 3,5 Mrd. umsetzte. The Gym Group fand 2008 eine attraktive Marktlücke: Fitness-Clubs, in denen Menschen sicher, flexibel und zu fairen Preisen trainieren konnten. Mit ihrem Erfolgsrezept, das auf modernstes Equipment, Personal Trainer und ein breites Kursangebot setzt, wuchs die Gruppe auf heute 200 Standorte im ganzen Land. Das Business-Modell – 24/​7-Verfügbarkeit, keine Vertragsbindung und günstige Preise – kommt eben an.

Jasper McIntosh, Chief Information Officer bei The Gym Group, betont, dass das starke Wachstum des Unternehmens nicht zuletzt dem robusten Technologiefundament zu verdanken ist. „Seit dem ersten Tag hat sich jeder Kunde, der zu The Gym Group gekommen ist, über eine Online-Plattform angemeldet – entweder unsere Webseite oder die App. Unsere Mitglieder betreten das Gym mit einem QR-Code oder einem PIN-Pad, und die App prägt nachhaltig die Live-Experience im Gym.“

Deshalb achtet The Gym Group nicht nur darauf, dass sich die Mitglieder in den Räumlichkeiten zu jeder Tages- und Nachtzeit sicher fühlen – sondern auch darauf, die Daten der Benutzer online zuverlässig zu schützen. „Wir setzen bei Security und Datenschutz auf einen strengen und konsistenten Ansatz“, so Jasper McIntosh.„Letzten Endes vermarkten wir ja Online-Abonnements, und managen damit Unmengen persönlicher Daten sehr vieler Menschen.“

The Gym Group wollte sich aber auf das konzentrieren, was man dort am besten kann: Den 800.000 Mitgliedern zu helfen, fit zu bleiben.Als es galt, die Mitglieder und Business-Interessen zu schützen, machte sich The Gym Group also auf die Suche nach einem Technologie-Anbieter, der seinen Fokus ganz auf das Identity- und Access-Management für Kunden und Workforce legt. Also entschied man, mit Okta und Auth0 zu sprechen.

Identität als Herausforderung

„Wir kennen unsere Mitglieder und wissen, wie sie unsere Gyms nutzen. Das macht uns zum besten Anbieter. Das können wir aber nur, wenn wir den richtigen Mitarbeitern den richtigen Zugang zu den richtigen Daten geben. Um das zu leisten, benötigen wir eine sichere Umgebung – sowohl mit Blick auf die Daten als auch mit Blick auf den Betrieb. Aber wir beschäftigen Hunderte von Mitarbeitenden. Nicht alle sind Technik-affin, und viele wechseln regelmäßig von Gym zu Gym. Die Identitäten werden da schnell zur Herausforderung“, so Jasper McIntosh. „Daher mussten wir eine dedizierte Identity-Ebene einziehen, die es unseren Mitarbeitenden ermöglicht, ihre Arbeit effizient zu erledigen – und die uns dabei hilft, unsere wertvollen Daten und Systeme mit minimalem Aufwand und maximaler Sicherheit zu nutzen.

Verschärft wurde diese komplexe Aufgabe, als The Gym Group 2015 an die Börse ging – und die Technologie über alle Geschäftsbereiche hinweg neu aufsetzte. Heute verwendet das Unternehmen eine Vielzahl von Enterprise-Software-Suiten – darunter Microsoft Office 365 und Workday – sowie interne Lösungen für Health & Safety, Gym-Services, Mitgliederverwaltung und Marketing.

Vor der Einführung von Okta bedeutete jeder neue Kollege (oder jeder der relativ häufigen Gym-Wechsel eines Mitarbeitenden) eine Wartezeit zwischen 3 und 5 Tagen, bis der Zugang zu allen Anwendungen bereitstand – mit erheblichem Fehlerpotenzial. Dies lag unter anderem daran, dass jeder Benutzer, der in der HR-Lösung Workday angelegt oder aktualisiert wurde, anschließend von einem Drittanbieter manuell in die Verzeichnisse eingegeben werden musste. Okta hat diesen Prozess automatisiert, sodass Mitarbeitende heute vom ersten Tag an in den User-Directories angelegt sind. Niemand muss mehr auf die Bereitstellung der Zugriffsrechte warten, und Statusänderungen sind sofort in den Systemen vermerkt – ganz ohne Einbindung von Dritten.

Seit der Einführung von Okta ist The Gym Group von 500 auf 600 Mitarbeitende gewachsen. Okta hat die Erstellung der neuen Benutzer in den Verzeichnissen vollständig automatisiert, indem alle erforderlichen Daten direkt von der Personalabteilung übernommen werden. Das spart der IT pro Jahr 25 Stunden für manuelle Dateneingaben.

Sobald ein neuer Benutzer in den Directories angelegt wird, benötigt er Zugang zu Standard- oder Birthright-Anwendungen wie Office 365, Workday, Box, FreshService, PowerBI und Egencia. Früher erfolgte auch dies manuell und dauerte 15 Minuten pro Anwendung. Mit Okta wurde der Prozess automatisiert. Ohne Okta hätte The Gym Group allein in diesem Jahr 450 Stunden darauf verwendet, neue Benutzer in Birthright-Apps einzurichten. Dies entspricht manuellen IT-Kosten von £ 17.000 pro Jahr. Mit Okta Day 1 lassen sich bis zu 6 Birthright-Apps zu 100 % automatisch bereitstellen, was Zeit und Kosten spart.

Durch die Automatisierung des Access Managements über alle Plattformen hinweg konnte The Gym Group das On- und Offboarding von Mitarbeitenden nachhaltig beschleunigen und sicherstellen, dass stets nur autorisierte Mitarbeitende Zugang zu einer Plattform haben. „Als die Gruppe expandierte und damit begann, überall im Land neue Gyms zu eröffnen, wurde es auch üblich, dass unsere Manager von Region zu Region wechseln. Das bedeutet, dass sich mitunter schnell ändert, auf welche Daten an welchen Standorten ein Manager zugreifen können muss“, ergänzt Jasper McIntosh. The Gym Group verfügt jetzt über mehr als 10 Schlüsselanwendungen, die in die Workforce Identity Cloud ​-Platform von Okta integriert sind, darunter Workday, Salesforce und Office 365. Die Mitarbeitenden nutzen Single Sign-On (SSO) von Okta, um sich schnell und sicher bei allen Apps anzumelden.

Adaptive Multi-Faktor Authentisierung als Game-Changer

Darüber hinaus integrierte The Gym Group Anfang 2022 die Adaptive Multi-Faktor-Authentisierung (MFA) von Okta – und erleichterte damit spürbar den Alltag der geografisch verteilten Teams, die regelmäßig zwischen den Standorten wechseln.

„Adaptive MFA ist für uns ein großer Pluspunkt. Wir können damit alle Anwendungen anbinden, die wir bis jetzt nicht integrieren konnten, und sparen zudem viel Zeit. Durch die Kombination von Adaptive MFA und Workday lassen sich Mitarbeitende einfach und schnell verschiedenen Standorten zuweisen und je nach Bedarf zu Gruppen und Plattformen hinzufügen und daraus entfernen. Wir können sogar ihre zuständigen Vorgesetzten ändern“, sagt Jasper McIntosh.

Die Verifizierung der Anmeldung an den einzelnen Systemen erfolgt über Okta Verify – eine Lösung, die über einen zweistufigen Verifizierungsprozess mit Push-Benachrichtigungen, einem temporären 6-stelligen Code oder biometrischen Merkmalen einen sicheren Zugriff auf die Apps sicherstellt. „Okta Verify ist ein fantastisches MFA-Tool“, erklärt Jasper McIntosh. „Sie können es genau so konfigurieren, wie es am besten zu den jeweiligen Benutzern und Profilen passt. Und es ist ein mächtiges Werkzeug, das ein Höchstmaß an Sicherheit bietet, ohne die User-Experience für die Mitarbeitenden zu beeinträchtigen. Das ist viel wert.Sie bekommen einfach eine SMS auf ihr Smartphone oder ihre Smartwatch, oder nutzen die Okta Verify App.“

Prior to Okta, The Gym Group only had 1 of its core apps enabled for MFA. If they had continued with this approach, each core app when accessed each day would have generated an MFA challenge for its users. As Okta has consolidated 10 app authentications a day down to 1 with Okta, it has avoided 9 MFA prompts by just doing it once, creating a 90% reduction in potential MFA challenges worth 16,875 hours of time this year or £513K of general staff hourly productivity.  

The Gym Group has also recently upgraded its Customer Identity and Access Management with the Customer Identity Cloud solution. “We seamlessly migrated over 800,000 gym members over from our proprietary system to Customer Identity Cloud, giving them a Single Sign-On for all our consumer-facing apps. We haven’t made full use of everything it offers yet, but we will be doing so over the next few months,” says Jasper. 

Okta und Auth0 unterstützen bei der Governance-Dokumentation

The Gym Group is now a listed company, so it has to ensure it meets compliance obligations. The company has found this easier now it is using a variety of Customer Identity Cloud solutions. Jasper says: “Thanks to Okta and Customer Identity Cloud, we now have a much more granular understanding of what’s happening across the business and it’s so much easier for us to audit our security to meet our compliance and regulatory obligations.” 

In the future, The Gym Group is considering becoming ISO 27001 accredited and as Okta’s solutions already comply with this security standard, Jasper is confident that it will speed up this process. “Being able to demonstrate that we use the Okta identity platform for our information security management satisfies all of our stakeholders and helps us to pass regulatory specifications,” he says. “It ticks so many boxes for us, I sleep better knowing that we have a top quality, Identity and Access Management platform in place.”