Grüße aus dem Berechtigungsdschungel: Re-Zertifizierungsmanagement für Banken

Grüße aus dem Berechtigungsdschungel: Re-Zertifizierungsmanagement für Banken

Ob MaRisk BA, FATCA oder AEOI – deutsche Finanzinstitute sind leidgeprüft und die Flut an neuen und strikteren Vorgaben steigt stetig weiter. So auch mit Blick auf das Thema Berechtigungen.

Die zunehmenden regulatorischen Anforderungen der Finanzaufsicht stellen die Institute vor wachsende Herausforderungen, wird doch im Schwerpunkt unter anderem die Angemessenheit der Prozesse zur Vergabe von IT-Berechtigungen (§25a KWG, MaRisk BA AT 7.2) gefordert und zugleich die Umsetzung streng geprüft. Damit nicht genug: Die Institute sind außerdem verpflichtet, einmal vergebene Berechtigungen regelmäßig und nachvollziehbar zu überprüfen und jederzeit Auskunft erteilen zu können, wer über welche Berechtigungen zum Zugriff auf die IT-Anwendungen verfügt und wie die Vergabe und der Entzug im Lifecycle von Berechtigungen und Rollen erfolgt.

Minimale Rechtvergabe

Vielerorts haben Institute in den letzten Jahren erfolgreich angemessene IT-gestützte Vergabeprozesse von IT-Zugangsrechten implementiert. Wohl gemerkt mit der Betonung auf „vielerorts“. Denn längst sind nicht in allen Instituten die notwendigen Rahmenbedingungen im Sinne AT 7.2 und AT 4.3 MaRisk BA gegeben. Wir erinnern uns: Auf Seiten der Institute ist sicherzustellen, dass jeder Mitarbeiter eines Hauses nur über die Rechte verfügt, die er für seine Tätigkeit auch tatsächlich braucht (Need-to-know-Prinzip, minimale Rechtevergabe). Darüber hinaus müssen vergebene Rechte dokumentiert, die Eignung der IT-Systeme und der dazugehörigen Prozesse geprüft werden.

Ein Murmeltier namens Re-Zertifizierung

Ist es geschafft, den Anforderungen an das Risikomanagement mit Blick auf die Vergabe von IT-Zugangsrechten zu genügen, wartet schon die nächste Aufgabe: die Re-Zertifizierung. Einmal vergebene Berechtigungen müssen regelmäßig überprüft, dokumentierte Rechtevergaben mit dem Ist-Zustand in Zielsystemen abgeglichen werden. Die Dimensionen eines solch monströsen Unterfangens werden deutlich, wenn man sich ein Haus mit etwa 1.000 Mitarbeitern vorstellt. Hat dieses Haus rund 100 Anwendungen im Einsatz, kann man wie folgt hochrechnen: Bei durchschnittlich sieben verschiedenen Berechtigungsarten pro Anwendung kommt man auf 700 Rechte, die an die 1.000 Mitarbeiter vergeben werden. Pro Jahr ergibt dies schnell bis zu 50.000 Berechtigungen, die zur Re-Zertifizierung anstehen. Wer käme da nicht ins Schwitzen?

Allein im Rechte- und Rollendschungel

Die Masse an Berechtigungen ist nicht die einzige Hürde. Konkrete Handlungsanweisungen gibt es für den Re-Zertifizierungsprozess nicht. Banken sind daher auf sich gestellt, den Prozess zu systematisieren (Wer prüft eigentlich was und wann?) und Parameter für die Überprüfung festzulegen. Daneben müssen auch die Risiken im Zusammenhang mit den vergebenen Berechtigungen klassifiziert werden. Hier unterscheidet man in der sogenannten ABC-Analyse zwischen weniger riskanten und sehr riskanten Anwendungen, letztere sollten etwa zwei Mal jährlich auf den Prüfstand kommen. Letztlich liegt die Herausforderung für die Häuser aber auch darin, eine bereichsübergreifende Prüfung von Berechtigungen vorzunehmen. Hilfe kommt von Seite der IT: Moderne Softwarelösungen können sowohl Anwendungen als auch Berechtigungen ohne Systembrüche verwalten und im Re-Zertifizierungsprozess automatisiert reagieren. Zudem ist so eine durchgängige Dokumentation sichergestellt – nicht unerheblich im Falle einer Überprüfung.

Wie sorgen Sie für Transparenz im Berechtigungsdschungel?

 

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.