Die zunehmenden regulatorischen Anforderungen der Finanzaufsicht stellen die Institute beim Berechtigungsmanagement vor wachsende Herausforderungen, wird doch im Schwerpunkt unter anderem die Angemessenheit der Prozesse zur Vergabe von IT-Berechtigungen (§25a KWG, MaRisk BA AT 7.2 und BAIT 6. Identitäts- und Rechtemanagement) gefordert und zugleich die Umsetzung streng geprüft. Damit nicht genug: Im Zuge des Berechtigungsmanagements sind die Institute sind außerdem verpflichtet, einmal vergebene Berechtigungen regelmäßig und nachvollziehbar zu überprüfen und jederzeit Auskunft erteilen zu können, wer über welche Berechtigungen zum Zugriff auf die IT-Anwendungen verfügt und wie die Vergabe und der Entzug im Lifecycle von Berechtigungen und Rollen erfolgt.
Minimale Rechtvergabe
Vielerorts haben Institute in den letzten Jahren erfolgreich angemessene IT-gestützte Vergabeprozesse von IT-Zugangsrechten implementiert. Wohlgemerkt mit der Betonung auf „vielerorts“. Denn längst sind nicht in allen Instituten die notwendigen Rahmenbedingungen für ein Berechtigungsmanagement im Sinne AT 7.2, AT 4.3 MaRisk und BAIT 6.1./ 6.2. gegeben. Wir erinnern uns: Auf Seiten der Institute ist sicherzustellen, dass jeder Mitarbeiter eines Hauses nur über die Rechte verfügt, die er für seine Tätigkeit auch tatsächlich braucht (Need-to-know-Prinzip, minimale Rechtevergabe). Darüber hinaus müssen im Zuge des Berechtigungsmanagements vergebene Rechte dokumentiert, die Eignung der IT-Systeme und der dazugehörigen Prozesse geprüft werden.
Ein Murmeltier namens Re-Zertifizierung
Ist es geschafft, den Anforderungen an das Risikomanagement mit Blick auf die Vergabe von IT-Zugangsrechten zu genügen, wartet schon die nächste Aufgabe auf das Berechtigungsmanagement: die Re-Zertifizierung (vgl. BAIT 6.5.). Einmal vergebene Berechtigungen müssen regelmäßig überprüft, dokumentierte Rechtevergaben mit dem Ist-Zustand in Zielsystemen abgeglichen werden. Die Dimensionen eines solch monströsen Unterfangens werden deutlich, wenn man sich ein Haus mit etwa 1.000 Mitarbeitern vorstellt. Hat dieses Haus rund 100 Anwendungen im Einsatz, kann man wie folgt hochrechnen: Bei durchschnittlich sieben verschiedenen Berechtigungsarten pro Anwendung kommt man auf 700 Rechte, die an die 1.000 Mitarbeiter vergeben werden. Pro Jahr ergibt dies schnell bis zu 50.000 Berechtigungen, die die im Rahmen des Berechtigungsmanagements zur Re-Zertifizierung anstehen. Wer käme da nicht ins Schwitzen?
Allein im Rechte- und Rollendschungel des Berechtigungsmanagements
Die Masse an Berechtigungen ist nicht die einzige Hürde für das Berechtigungsmanagement. Konkrete Handlungsanweisungen gibt es für den Re-Zertifizierungsprozess nicht. Banken sind daher auf sich gestellt, den Prozess zu systematisieren (Wer prüft eigentlich was und wann?) und Parameter für die Überprüfung festzulegen. Daneben müssen auch die Risiken im Zusammenhang mit den vergebenen Berechtigungen klassifiziert werden. Hier unterscheidet man in der sogenannten ABC-Analyse zwischen weniger riskanten und sehr riskanten Anwendungen, letztere sollten etwa zwei Mal jährlich auf den Prüfstand kommen.
Letztlich liegt die Herausforderung für das Berechtigungsmanagement darin, eine bereichsübergreifende Prüfung von Berechtigungen vorzunehmen. Hilfe kommt von Seite der IT: Moderne Softwarelösungen können sowohl Anwendungen als auch Berechtigungen ohne Systembrüche verwalten und im Re-Zertifizierungsprozess automatisiert reagieren. Zudem ist so eine durchgängige Dokumentation sichergestellt – nicht unerheblich im Falle einer Überprüfung.
Wie sorgen Sie für Transparenz im Dschungel des Berechtigungsmanagements?
Berechtigungsmanagement in Banken – immer auf dem aktuellen Stand
Bildquelle: Shutterstock