IAMIdentity & Access Management: Nicht nur wichtig, sondern immer wichtiger

Durch die Betreuung und Nutzung vieler unterschiedlicher IT-Systeme innerhalb der Kredit- und Versicherungswirtschaft war das IAM immer eine wichtige Disziplin. In der jüngsten Vergangenheit ist zunehmend festzustellen, dass...

...die professionelle Aufstellung der Konzeption von Rollen und Zugriffsberechtigungen vor dem Hintergrund nationaler und internationaler Anforderungen sich verändert und neue Ansprüche an das IAM entstehen. Dabei nehmen unsere Kunden zunehmend wahr, dass die Kompetenz der Prüfer im Sinne der aufsichtsrechtlichen Prüfung nicht nur deutlich zugenommen hat, sondern die Prüfungspläne dieser Institutionen (siehe z.B. Verbandsrevisionen) das Thema stark im Fokus haben.

Was steckt im Kern in der Aufgabenstellung IAM? Wir möchten einen ersten groben Einblick geben: Jeder User benötigt in unterschiedlichen Systemen einen eigenen Zugang mit speziell auf ihn angepassten Rechten. Aber nicht nur die Einstellung dieser Rechte, sondern auch die Änderung, Löschung, Wartung und Überwachung von User-Rollen ist operationell und regulatorisch notwendig. Unter dem Begriff "Identity and Access Management" (IAM) werden diese unterschiedlichen Aufgaben zusammengefasst.

Wesentliche regulatorische Anforderungen sind in diesem Zusammenhang:

Die Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten:

  • Ein User sollte nicht mehr Zugangsberechtigungen erhalten, als er eigentlich für die Ausführung seiner Tätigkeit benötigt. (Need-to-know-Prinzip und Least-Privilege-Prinzip).
  • Sicherstellung der Definition und Implementierung von Rechten auf Rollenbasis in Verknüpfung mit Stellenbeschreibungen sowie deren regelmäßige Überprüfung.

Berechtigungen dürfen nicht im Widerspruch stehen; die ständige Beachtung der Funktionstrennung muss gewährleistet sein. Es gilt:

  • Interessenkonflikte zu vermeiden,
  • Abstimmung von Aufgaben zu ermöglichen
  • unterschiedliche Kompetenzen zu ermöglichen
  • Verantwortlichkeiten eindeutig abzubilden
  • Kommunikation und Kontrollen müssen durchführbar sein

Die Überprüfung von Berechtigungen und Kompetenzen, auch Rezertifizierung genannt, muss alle drei Jahre erfolgen. Steht das System im Zusammenhang mit Zahlungsverkehrskonten und wesentlichen IT-Berechtigungen, ist mindestens eine jährliche Überprüfung notwendig. Bei besonders kritischen/privilegierten Berechtigungen, wie zum Beispiel Administratorenrechten, ist sogar eine halbjährliche Überprüfung verpflichtend. Diese Überprüfungen sind nachvollziehbar und auswertbar zu dokumentieren. Die Rezertifizierung ist aktuell bei unseren Kunden eines der Hauptschlagwörter und Treiber, um in Projekten mit uns den Ist-Zustand zu optimieren.

Administratorenrechte sollten nicht an unberechtigte Mitarbeiter*innen vergeben werden:

  • Die Verwendung dieser Rechte muss nachweisbar sein.
  • Zweifelsfreie Zuordnung zu einer handelnden Person, Ausnahme nur durch Genehmigung und Dokumentation geduldet.
  • Zuweisung von technischen Accounts an natürliche Personen.

Dem IAM kommt unter dem Gesichtspunkt der IT-Security eine immer weiter zunehmende Bedeutung zu, da eine ineffiziente und unzureichende Umsetzung in direkter Verbindung mit der Produktivität und der Sicherheit des Unternehmens steht. Des Weiteren ergeben sich rund um die Aktivitäten und Prozesse des IAMs Einsparungspotenziale, die durch mögliche Automatisierung genutzt werden können. Dies zeigt sich ebenfalls dadurch, dass eine starke Abhängigkeit zu allen Abteilungen der Institution von der Personalabteilung über alle Fachbereiche bis hin zur IT-Abteilung besteht.

Stabilität ist das Gebot der Stunde. Unsere IAM-Spezialist*innen sorgen dafür.


Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

Alle akzeptieren

Speichern

Details

Essenziell

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.

Statistik

Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.