Banken Newsletter

Donnerstag,

Identity & Access Management (IAM) in der Praxis

Durch die Betreuung und Nutzung unterschiedlicher IT-Systeme innerhalb einer Großbank ist es notwendig, sich der Konzeption von Rollen und Zugriffsberechtigungen sowie deren nationalen und internationalen Anforderungen zu widmen.

 

Jeder Benutzer benötigt in unterschiedlichen Systemen einen eigenen Zugang mit speziell auf ihn angepassten Rechten. Aber nicht nur die Einstellung dieser Rechte, sondern auch die Änderung, Löschung, Wartung und Überwachung von User-Rollen ist operationell und regulatorisch notwendig. Unter dem Begriff "Identity and Access Management" (IAM) werden diese unterschiedlichen Aufgaben zusammengefasst.

 


Aus einem laufenden Projekt heraus möchten wir die zahlreichen regulatorischen Anforderungen der BaFin, die im Rahmen der BAIT (Bankaufsichtsrechtliche Anforderungen an die IT) im Jahre 2017 noch einmal verschärft wurden, beispielhaft darstellen. Wesentlich in diesem Zusammenhang sind:

 

  • Die Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten:
    • Ein User sollte nicht mehr Zugangsberechtigungen erhalten, als er eigentlich für die Ausführung seiner Tätigkeit benötigt. (Need-to-know-Prinzip)
    • Sicherstellung der Definition und Implementierung von Rechten auf Rollenbasis in Verknüpfung mit Jobbeschreibungen sowie deren regelmäßige Überprüfung.
  • Berechtigungen dürfen nicht im Widerspruch stehen; die ständige Beachtung der Funktionstrennung muss gewährleistet sein:
    • Interessenkonflikte vermeiden, Abstimmung von Aufgaben, unterschiedlichen Kompetenzen, Verantwortlichkeiten, Kommunikation und Kontrollen durchführen.
  • Überprüfung von Berechtigungen
    • Die Überprüfung von Berechtigungen und Kompetenzen, auch Rezertifizierung genannt, muss alle drei Jahre erfolgen. Steht das System im Zusammenhang mit Zahlungsverkehrskonten und wesentlichen IT-Berechtigungen, ist mindestens eine jährliche Überprüfung notwendig. Bei besonders kritischen, wie zum Beispiel Administratorenrechten, ist sogar eine halbjährliche Überprüfung verpflichtend.
      • Diese Überprüfungen sind nachvollziehbar und auswertbar zu dokumentieren.
  • Administratorenrechte sollten nicht an unberechtigte Mitarbeiter vergeben werden:
    • Die Verwendung dieser Rechte muss nachweisbar sein.
    • Zweifelsfreie Zuordnung zu einer handelnden Person, Ausnahme nur durch Genehmigung und Dokumentation geduldet
    • Zuweisung von technischen Accounts an natürliche Personen
  • Die Anforderungen zur Passwortkomplexität müssen in den Systemen integriert sein, zum Beispiel:
    • Groß – und Kleinschreibung, Ziffern & Sonderzeichen, mind. 8 Stellen etc.

 

Dem IAM kommt unter dem Gesichtspunkt der IT-Security eine immer weiter zunehmende Bedeutung zu, da eine ineffiziente und unzureichende Umsetzung in direkter Verbindung mit der Produktivität und der Sicherheit des Unternehmens steht. Des Weiteren ergeben sich rund um die Aktivitäten und Prozesse des IAMs Einsparungspotenziale, die genutzt werden können. Dies zeigt sich ebenfalls dadurch, dass eine starke Abhängigkeit zu allen Abteilungen der Bank von der Personalabteilung über alle Fachbereiche bis letztendlich hin zur IT-Abteilung besteht.

 

FINCON unterstützt Kunden aktuell bei der erfolgreichen Umsetzung und Integrierung von IAM. Durch unseren Kompetenzbereich "Application Services" steht breit gefächertes Wissen in der Implementierung, Migration und Anwendung von Applikationen zur Verfügung, das durch weitere Experten der FINCON fachlich in bestimmten Teilbereichen ergänzt wird.

 

Beschäftigen Sie sich auch aktuell mit dem Thema Identity and Access Management und stoßen die oben genannten Punkte auf Ihr Interesse? Sprechen Sie uns gerne an und wir erörtern zusammen, wie FINCON Sie adäquat in unterschiedlichen Themen, nicht nur zum IAM, unterstützen kann.

 

 

Ihre Ansprechpartner zu diesem Thema sind Marina Nekhay und Tim Fröhlke.

 

Marina Nekhay ist Senior Consultant im Geschäftsbereich Managementberatung. Sie bringt über 8 Jahre Projekterfahrung im internationalen Bankenumfeld in verschiedenen Rollen mit.

 

Tim Fröhlke ist Consultant im FINCON-Geschäftsbereich Banken und verfügt über 10 Jahre Berufserfahrung im operativen Banking, davon über zwei Jahre in IT-Projekten.

 

 

 

 

 

Lassen Sie uns jetzt reden.

Sie haben direkt Fragen? Dann füllen Sie einfach unser Kontaktformular aus.
Mit "*" gekennzeichnete Angaben sind Pflichtangaben.

Rufen Sie uns an

 

Rufen Sie uns an

 

Tel: +49 40 650565-0

Hamburg

Dorotheenstraße 64

22301 Hamburg

 

Tel: +49 40 650565-0

Fax: +49 40 650565-25

 

Berlin

Am Borsigturm 29

13507 Berlin

 

Tel: +49 30 2532150-0

Fax: +49 30 2532150-25

Bremen

Otto-Lilienthal-Str. 29

28199 Bremen

 

Tel: +49 421 80072-0

 

Dresden

Löbtauer Str. 52

01159 Dresden

Frankfurt / Main

Friedrich-Ebert-Anlage 36
60325 Frankfurt/Main

 

Tel: +49 69 9511664-88
Fax: +49 69 9511664-25

Hannover

Boulevard der EU 7

30539 Hannover

 

Köln

Sachsenring 69
50677 Köln

 

Tel: +49 221 937097-0
Fax: +49 221 937097-20

Münster

[Whyit] Campus
Wienburgstraße 207

48159 Münster