Berechtigungen finden sich überall in der IT-Welt. Banken, Versicherungen, Pharmaindustrie – im Grunde verwalten alle größeren Unternehmen sensible Datenbestände, auf die nur zuständige Mitarbeiter*innen mit entsprechender Verschwiegenheitserklärung zugreifen dürfen. Besondere Bedeutung haben kritische Daten insbesondere dann, „wenn’s ums Geld geht“.
Warum also nicht von den Erfahrungen einer Branche profitieren, die sich schon seit Langem intensiv mit dem Berechtigungsmanagement auseinandersetzt? Genau das machen wir beim nächsten dictaJet-Thementalk und sehen uns dieses Thema am Beispiel der Bankenbranche an.
Berechtigungsmanagement in Banken
In der daten- und IT-getriebenen Bankenwelt ist eine zwei- bis dreistellige Anzahl von IT-Anwendungen keine Seltenheit. Mit diesen Anwendungen arbeitet eine drei- bis vierstellige Personengruppe (interne und externe Fachkräfte, Prüfer*innen und technische Benutzer*innen). Jede dieser Personen darf nur die Berechtigungen haben, die zur Erfüllung ihrer Aufgaben nötig sind. Das ist insbesondere von der Bankenaufsicht explizit gefordert. Es reicht jedoch nicht, diese Berechtigungen einmal zuzuweisen. Stattdessen sind sie regelmäßig zu re-zertifizieren – je kritischer die Anwendung, desto häufiger.
All dies ist schnell eingefordert, bedeutet in der Praxis aber regelmäßig einige Hürden und spürbaren Verwaltungsaufwand.
Herausforderungen bei der Umsetzung
Banken werden regelmäßig in Bezug auf die Einhaltung dieser und weiterer Regeln geprüft, und immer wieder finden sich in den Prüfberichten Formulierungen wie die folgenden:
- Die Bank verwendet keine hinreichend konkreten Anträge oder Formulare zur Beantragung, Änderung und Löschung von Rollen und Berechtigungen.
- Die beantragten, zu ändernden oder zu löschenden Rollen oder Berechtigungen sind – sowohl auf Ebene der IT-Anwendungen als auch auf Ebene des Active Directories – nicht genau genug spezifiziert.
- Die Funktionstrennung wird bisher nur in den Anwendungen umgesetzt, jedoch nicht anwendungsübergreifend.
- Es existieren keine Vorgaben, die festlegen, was unter administrativen und kritischen Berechtigungen zu verstehen ist und welche Auswirkungen diese auf den IT-Betrieb haben.
Bei Vorhandensein solcher Mängel ist keine angemessene Informationssicherheit gewährleistet. In den sogenannten „44er-Prüfungen“ der Bankenaufsicht BaFin sind immer weder entsprechende Feststellungen zu finden, nicht selten sogar im Schweregrad „F4“ – als schwerwiegender Mangel, der die Wirksamkeit der entsprechenden Maßnahmen erheblich beeinträchtigt oder vollständig eliminiert.
Lösungsansätze im Thementalk
Im nächsten dictaJet-Thementalk erläutert unser Partner Jochen Schneider von der QUPIT GmbH, wie sich diese Herausforderungen bewältigen lassen:
- „Prüferfeste“ interne Regelungen in Form einer schriftlich fixierten Ordnung, die auch im realen Betrieb einzuhalten ist!
- Rollenbasierte Berechtigungsvergabe durch Bündelung von (anwendungsübergreifenden) Berechtigungen zu Fachrollen mit Rollenverantwortlichen
- Einsatz geeigneter Tools für die Governance (IAG – Identity Access Governance) und deren technische Umsetzung in allen relevanten IT-Anwendungen (IAM – Identity Access Management)
Die Teilnehmenden hören zunächst im Kurzvortrag praxiserprobte Details zu den genannten Lösungsansätzen und können in der anschließenden Diskussionsrunde individuelle Fragestellungen einbringen.
Die Vorgehensweisen und Lösungen lassen sich auch auf andere Branchen und Unternehmen übertragen, sodass nicht nur Bankangehörige von diesem Thementalk profitieren werden.
Aufnahme
Unser Referent
Jochen Schneider, Diplom Wirtschaftsinformatik
Jochen Schneider ist seit 1995 als Berater und IT-Spezialist tätig, die überwiegende Zeit davon in der eigenen Beratungsfirma. Als diplomierter Wirtschaftsinformatiker der TU Darmstadt beherrscht er den Spagat zwischen Fachbereich und IT-Abteilung und kann in Projekten zwischen diesen beiden Polen vermitteln. „Teilprojektleitung Softwaretest“ im Jahr-2000-Projekt einer großen deutschen Bank war sein erstes Projekt mit Testschwerpunkt. Seitdem ist Jochen Schneider überwiegend zum Thema Softwaretesten tätig. Schwerpunkte seiner Beratung sind bis heute die Themenfelder Testmanagement, Projektmanagement und IT-Prozesse. Zu seinen Kunden zählen etliche Finanzdienstleister aus dem deutschsprachigen Raum.
Schon seit 2006 ist Jochen Schneider Dozent für Certified-Tester-Kurse und mehrere Hundert Teilnehmer haben bei einem seiner Certified-Tester-Kurse von seinen Erfahrungen profitieren können.
Weitere Informationen
Falls Sie mehr zum Thema Berechtigungsmanagement erfahren möchten, treten Sie gerne mit Herrn Schneider in Kontakt: Berechtigungsmanagement