12.10.2016: Berechtigungsmanagement in Banken muss ausgebaut werden.

Mitarbeiter und ihre IT-Berechtigungen

Durch die zunehmenden, gestrafften regulatorischen Anforderungen der Finanzaufsicht erhöht sich für die Kreditinstitute die Bedeutung eines angemessenen Informationssicherheitsmanagements. Aktuelle Prüfungen der EZB zeigen, dass notwendige Rahmenbedingungen bei den geprüften Instituten nicht erfüllt sind.

Die Prüfungsschwerpunkte liegen dabei auf dem Verfahren zur Steuerung von IT-Risiken im Sinne der Paragraphen §25a und §25b KWG in Verbindung mit der Einhaltung der MaRisk. Spezifische Prüfungsschwerpunkte sind die Zugriffsrechteverwaltung, das Informationssicherheits- und Informationsrisikomanagement. Insbesondere die Einhaltung der Vorgaben der Angemessenheit der Prozesse zur IT-Berechtigungsvergabe werden geprüft.

Die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von Informationen in IT-Systemen und IT-Prozessen ist durch die Einrichtung eines Berechtigungsmanagementsystems sicherzustellen. Ein beeinträchtigter oder manipulierter Datenbestand kann zu fehlerhaften Managemententscheidungen und damit zu finanziellen Nachteilen führen sowie die Reputation des Instituts beeinträchtigen, falls z.B. Daten unberechtigt veröffentlicht werden.

Desto wichtiger ist es Instrumente in diese Prozesse mit einzubinden, die Sie bei der Umsetzung Ihrer Berechtigungskonzepte, der Berechtigungsvergabe sowie bei der Rezertifizierung sämtlicher Berechtigungen unterstützen.

In diesem Zusammenhang wird auch die Einhaltung der Funktionstrennung überprüft. Hierbei wird strikt darauf geachtet, dass sich gegeneinander ausschließende Rechte (z.B. Trade ausführen und Trade abwickeln) vollständig erkannt und gemanaged werden. Ebenso gilt dies für eine klare Trennung von Benutzer-, Test- und Administrationsaufgaben.

Die Einhaltung und der Nachweis der Vollständigkeit der Funktionstrennung stellt die Institute regelmäßig vor eine Herausforderung. Dieses Problem kann z.B. durch die Nutzung der Funktionalen Taxonomie (FT) gelöst werden – eine auf FT basierende Analyse der Funktionstrennungskonflikte erfolgt entlang der Wertschöpfungsketten der Finanzinstitute und ist immun gegen Reorganisationen der Finanzinstitute, Applikations- oder Releasewechsel.

Weiterhin wird viel Wert auf eine medienbrucharme Informationsverarbeitung gelegt: So soll sichergestellt werden, dass die tatsächlich in den Anwendungen eingerichteten Rechte auch dem beantragten Stand entsprechen. Insofern empfiehlt die Aufsicht mit Nachdruck den Einsatz von geeigneten Identity Access Management Tools (IAM) zur Prozessunterstützung im Berechtigungsmanagement bis hin zur weitest gehenden automatischen
(De-)Provisionierung der Rechte in den Anwendungen.

Doch welche Anforderungen muss Ihr Kreditinstitut konkret erfüllen? Weder Gesetzgeber, noch Bundesbank oder Finanzaufsicht geben genaue Vorgaben.

Das impavidi Team unterstützt Sie bei der Prüfungsvorbereitung sowie der Prüfungsbegleitung und hilft Ihrem Unternehmen bei der Behebung der Feststellungen aus Ihren Prüfungsberichten sowie der Auswahl und Implementierung von geeigneten IAM-Tools.


 

Zurück