Die BAIT zeigen den Handlungsbedarf im Zusammenhang mit der Einhaltung und Umsetzung aufsichtsrechtlicher Vorgaben beim Berechtigungsmanagement auf.
Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK
Berechtigungsmanagement als Teil der Unternehmens-Compliance
Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist erforderlich zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Genau hier sieht die Aufsicht einen zum Teil erheblichen, Handlungsbedarf und hat die Vorgaben der MaRisk durch die Regelungen der BAIT konkretisiert.
Grundlagen zur Gewährung von Berechtigungen
Berechtigungskonzepte müssen konsistent zum Schutzbedarf der betroffenen Informationen aufgesetzt werden. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-To-Know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Hierzu ist eine Zuordnung einzelner Berechtigungen zu betrieblichen Funktionen hilfreich. Eine technische Umsetzung der Funktionstrennung ist dabei anzustreben.
Umfang des Berechtigungsmanagements
Im Rahmen des Berechtigungsmanagements sind sämtliche Arten von Berechtigungen zu berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer. Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben und deren Nutzung zu kontrollieren.
Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie.
Regelmäßige Rezertifizierungen
Eingeräumte Berechtigungen für Anwender sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Die Überwachung der Rezertifizierungsprozesse und -ergebnisse erfolgt durch unabhängige Funktionen im Unternehmen (z. B. den Informationssicherheitsbeauftragten).
PRAXISTIPPS
- Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen.
- Beachten Sie das Need-To-Know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher.
- Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung.
- Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements.
SEMINARTIPPS
IT-Compliance, 04.06.2019, Frankfurt/M.
6. Fachtagung IT-Revision, 05.-06.06.2019, Frankfurt/M.
FCH Fit & Proper VORSTAND: Risikomanagement, 06.05.2019, Berlin.
IT-Risikomanagement aktuell, 08.05.2019, Frankfurt/Offenbach.
Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019, Wiesbaden.
Beitragsnummer: 1349