Aus einem laufenden Projekt heraus möchten wir die zahlreichen regulatorischen Anforderungen der BaFin, die im Rahmen der BAIT (Bankaufsichtsrechtliche Anforderungen an die IT) im Jahre 2017 noch einmal verschärft wurden, beispielhaft darstellen. Wesentlich in diesem Zusammenhang sind:
- Die Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten:
- Ein User sollte nicht mehr Zugangsberechtigungen erhalten, als er eigentlich für die Ausführung seiner Tätigkeit benötigt. (Need-to-know-Prinzip)
- Sicherstellung der Definition und Implementierung von Rechten auf Rollenbasis in Verknüpfung mit Jobbeschreibungen sowie deren regelmäßige Überprüfung.
- Berechtigungen dürfen nicht im Widerspruch stehen; die ständige Beachtung der Funktionstrennung muss gewährleistet sein:
- Interessenkonflikte vermeiden, Abstimmung von Aufgaben, unterschiedlichen Kompetenzen, Verantwortlichkeiten, Kommunikation und Kontrollen durchführen.
- Überprüfung von Berechtigungen
- Die Überprüfung von Berechtigungen und Kompetenzen, auch Rezertifizierung genannt, muss alle drei Jahre erfolgen. Steht das System im Zusammenhang mit Zahlungsverkehrskonten und wesentlichen IT-Berechtigungen, ist mindestens eine jährliche Überprüfung notwendig. Bei besonders kritischen, wie zum Beispiel Administratorenrechten, ist sogar eine halbjährliche Überprüfung verpflichtend.
- Diese Überprüfungen sind nachvollziehbar und auswertbar zu dokumentieren.
- Die Überprüfung von Berechtigungen und Kompetenzen, auch Rezertifizierung genannt, muss alle drei Jahre erfolgen. Steht das System im Zusammenhang mit Zahlungsverkehrskonten und wesentlichen IT-Berechtigungen, ist mindestens eine jährliche Überprüfung notwendig. Bei besonders kritischen, wie zum Beispiel Administratorenrechten, ist sogar eine halbjährliche Überprüfung verpflichtend.
- Administratorenrechte sollten nicht an unberechtigte Mitarbeiter vergeben werden:
- Die Verwendung dieser Rechte muss nachweisbar sein.
- Zweifelsfreie Zuordnung zu einer handelnden Person, Ausnahme nur durch Genehmigung und Dokumentation geduldet
- Zuweisung von technischen Accounts an natürliche Personen
- Die Anforderungen zur Passwortkomplexität müssen in den Systemen integriert sein, zum Beispiel:
- Groß – und Kleinschreibung, Ziffern & Sonderzeichen, mind. 8 Stellen etc.
Dem IAM kommt unter dem Gesichtspunkt der IT-Security eine immer weiter zunehmende Bedeutung zu, da eine ineffiziente und unzureichende Umsetzung in direkter Verbindung mit der Produktivität und der Sicherheit des Unternehmens steht. Des Weiteren ergeben sich rund um die Aktivitäten und Prozesse des IAMs Einsparungspotenziale, die genutzt werden können. Dies zeigt sich ebenfalls dadurch, dass eine starke Abhängigkeit zu allen Abteilungen der Bank von der Personalabteilung über alle Fachbereiche bis letztendlich hin zur IT-Abteilung besteht.
FINCON unterstützt Kunden aktuell bei der erfolgreichen Umsetzung und Integrierung von IAM. Durch unseren Kompetenzbereich "Application Services" steht breit gefächertes Wissen in der Implementierung, Migration und Anwendung von Applikationen zur Verfügung, das durch weitere Experten der FINCON fachlich in bestimmten Teilbereichen ergänzt wird.
Beschäftigen Sie sich auch aktuell mit dem Thema Identity and Access Management und stoßen die oben genannten Punkte auf Ihr Interesse? Sprechen Sie uns gerne an und wir erörtern zusammen, wie FINCON Sie adäquat in unterschiedlichen Themen, nicht nur zum IAM, unterstützen kann.
Ihre Ansprechpartner zu diesem Thema sind Marina Nekhay und Tim Fröhlke.
Marina Nekhay ist Senior Consultant im Geschäftsbereich Managementberatung. Sie bringt über 8 Jahre Projekterfahrung im internationalen Bankenumfeld in verschiedenen Rollen mit.
Tim Fröhlke ist Consultant im FINCON-Geschäftsbereich Banken und verfügt über 10 Jahre Berufserfahrung im operativen Banking, davon über zwei Jahre in IT-Projekten.