»Zahlreiche Mitarbeiter mit ständig wechselnden Zuständigkeiten nutzen tagtäglich viele verschiedene Systeme. Ändern sich die Zuständigkeiten innerhalb der Belegschaft, müssen auch die Berechtigungen wieder neu zugeordnet werden, das heißt alte Berechtigungen werden entfernt und neue hinzugefügt.«

Jürgen Bähr, Geschäftsführer G+H Systems GmbH

Wer darf was? - Zugriffsrechte sicher verwalten

Seit dem 4. November 2014 stellt der einheitliche europäische Aufsichtsmechanismus bedeutende Großbanken der EU unter die direkte Aufsicht der Europäischen Zentralbank (EZB). Bereits am 1. Januar 2011 haben drei neue europäische Aufsichtsbehörden (European Supervisory Authorities) ihre Arbeit aufgenommen:

  • die Europäische Bankenaufsichtsbehörde (EBA),
  • die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersvorsorge (EIOPA) sowie
  • die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA).

Die Leitlinien der Europäischen Bankenaufsicht (EBA) haben direkten Einfluss auf die BaFin und die BAIT. So wurde die letzte Novelle der BAIT (16. August 2021) insbesondere vorgenommen, weil auf europäischer Ebene neue Richtlinien durch die EBA eingeführt wurden.

Die EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken sind sehr umfangreich. Ein IKT- und Sicherheitsrisiko liegt vor bei:

  • Verletzung der Vertraulichkeit
  • Verlust der Integrität von Systemen und Daten
  • unzureichender oder fehlender Verfügbarkeit von Systemen und Daten

So fordert die Richtlinie in Punkt 1.3.3 eine Klassifizierung und Risikobewertung. Geschäftsfunktionen, Prozesse und IT-Assets sollten einer Kritikalität unterzogen werden, wobei mindestens die Anforderungen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit berücksicht werden müssen.

Darüber hinaus wird ausdrücklich empfohlen, Maßnahmen zu ergreifen, um festgestellte Risiken zu minimieren. Auch eine Berichterstattung zu den gefundenen Risiken sowie den eingeleiteten Maßnahmen wird vorgeschrieben.

Leitlinie zur Informationssicherheit

Im Rahmen der Informationssicherheit spielt die sog. "logische Sicherheit" eine ganz entscheidende Rolle. Die Richtlinie besagt, dass Finanzinstitute "Verfahren zur logischen Zugangskontrolle festlegen, dokumentieren und einführen (Identitäts- und Zugriffsmanagement)" sollen. Neben der Einführung wird aber auch eine Überwachung und regelmäßige Kontrolle gefordert. In diesem Zusammenhang werden folgende Mindestanforderungen gestellt:

  • „Need to know“- und „Least Privilege“-Prinzipien sowie Funktionstrennung:
    Wenn es um Zugriffsrechte auf IT-Assets geht (auch bei einem Fernzugang), dann bitte immer nach dem Prinzip "Need to know". Jeder sollte also nur die Rechte erhalten, die er im Sinne des Least Privilege auch für seine Tätigkeit benötigt. Auf keinen Fall mehr. Ziel ist es hierbei, einen unberechtigten Zugriff zu verhindern, aber auch ein weiterer wesentlicher Grund kommt hier zum Tragen. Es könnten nämlich bei zu vielen Zugriffsrechten Kombinationen von Rechten entstehen, die ggf. eine Umgehung von Kontrollen verhindern (Funktionstrennung).
  • Eindeutige Zuordnung von Nutzern
    Hiermit ist gemeint, dass allgemeine oder gemeinsame Nutzerkonten möglichst eingeschränkt werden, damit man die Nutzer der IKT-Systeme auch eindeutig identifizieren kann.
  • Privilegierte Zugriffsrechte
    Privilegierte Zugriffsrechte sind Konten mit besonders hohen Systemzugangsrechten (z.B. Administratorrechte). Diese sollten möglichst begrenzt und natürlich besonders überwacht werden. Ein administrativer Zugriff sollte darüber hinaus nur Personen erlaubt werden, die entsprechend geschult sind und auch nur mit besonderen Authentifizierungs-Methoden.
  • Protokollierung von Nutzeraktivitäten
    Insbesondere die Aktivitäten von privilegierten Nutzern sollten laufend kontrolliert und überwacht werden, Zugriffsprotokolle sollten entsprechend der Anforderungen gespeichert werden und besonders gegen Löschung und Änderung geschützt werden.
  • Zugriffsmanagement
    Zugriffsrechte sollten rechtzeitig gewährt, aber auch rechtzeitig entzogen oder geändert werden, wenn sich das Beschäftigungsverhältnis ändert oder beendet wird.
  • Rezertifizierung des Zugriffs
    Eine regelmäßige Überprüfung der Zugriffsrechte wird klar empfohlen, um sicherzustellen, dass Rechte auch wirklich rechtzeitig entzogen werden, wenn sie nicht mehr benötigt werden.
  • Authentifizierungsmethoden
    Authentifizierungsmethoden (z.B. Zwei-Faktor-Authentisierung) sollten sich nach der Kritikalität der IKT-Systeme, der IKT-Informationen oder nach dem Zugriffprozess richten und angemessen sein.

Unsere Empfehlung: eine rollenbasierte Rezertifizierung

Wie auch aus der Leitlinie der Europäischen Bankenaufsicht (EBA) klar hervorgeht, ist eine kontinuierliche Kontrolle der Zugriffsberechtigungen das A und O. Regelmäßige Rezertifzierungen der Rechtekonstellationen sind also ganz entscheidend. Natürlich kann man hier jedes einzelne Recht überprüfen. Leichter, und sogar sicherer ist es aber, rollenbasiert zu rezertifzieren. Das heißt sie rezertifzieren nicht mehr das Recht an sich, sondern die Rolle. Hat sich bei dem Mitarbeiter die Rolle geändert, ändern Sie damit auch automatisch seine Rechtekonstellation. Ganz getreu dem Need to Know Prinzip und den Anforderungen der Funktionstrennung.

Sprechen Sie uns an!

Zurück

Kontakt

info@daccord.de
+49 (0) 69 85 00 02-0
Kontaktformular