Sicherheitslücken im IT-Bereich von Banken und anderen Finanzinstituten können großen Schaden anrichten. Ein wichtiges Instrument, um Cyberkriminalität vorzubeugen und Pannen beim Datenmanagement zu vermeiden, aber auch den speziellen rechtlichen Anforderungen an den Datenschutz im Finanzbereich gerecht zu werden, bildet das Berechtigungsmanagement in Banken. Darunter versteht man die Erlaubnis für Personen, zu einer bestimmten Zeit auf Bankdaten, ein System oder eine Anwendung zuzugreifen, diese zu bearbeiten, zu verwalten und weiterzuleiten.
Lesen Sie im folgenden Beitrag, warum dem Berechtigungsmanagement im Bankwesen eine große Bedeutung zukommt, welche rechtlichen Anforderungen beachtet werden müssen, wie ein funktionierendes Berechtigungsmanagement zu mehr Sicherheit und Transparenz führt und – last but not least – wie die Zuständigkeiten in der Bank verteilt werden sollten, um stets den Überblick über alle Datenprozesse zu behalten.

Starke Regulierung im Berechtigungsmanagement

Banken, Versicherungen und andere Finanzinstitute unterliegen als Betreiber sogenannter kritischer Infrastrukturen (KRITIS) einer besonderen Berichts- und Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Bankenaufsicht BaFin gibt in ihrem “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT” (BAIT) den Rahmen für die technisch-organisatorische Ausstattung der Institute vor – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Das Berechtigungsmanagement muss die Mindestanforderungen an das Risikomanagement erfüllen (MaRisk).
In Absatz II.5. der BAIT werden dafür spezielle Regeln formuliert. So ist ein Berechtigungskonzept schriftlich festzulegen und regelmäßig zu aktualisieren. Bei der Erarbeitung des Konzepts sind die Fachbereiche einzubeziehen. Tragende Säulen des Berechtigungskonzeptes beziehungsweise der Berechtigungsvergabe sind das Need-to-know-Prinzip, eine ordnungsgemäße Funktionstrennung und der richtige Umgang mit kritischen Berechtigungen.
Das Need-to-know-Prinzip besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Bei der Funktionstrennung muss darauf geachtet werden, dass es nicht zu Interessenkonflikten kommt. Kritische Berechtigungen müssen definiert und dürfen nur restriktiv an Benutzer vergeben werden.

Instrument für mehr Effizienz, Transparenz und Sicherheit im Datenmanagement

Aber Berechtigungsmanagement darf nicht nur als Pflicht betrachtet werden, um gesetzliche Bestimmungen einzuhalten. Automatisierte Lösungen und standardisierte Vorgaben sind wirksame Instrumente, um die Effizienz, Transparenz und Sicherheit im Datenmanagement zu erhöhen. Je weniger manuelle Aktivitäten erforderlich sind, um so weniger Fehler und Sicherheitsprobleme treten auf. Außerdem entlastet ein einmal eingesetztes und funktionierendes automatisiertes Berechtigungsmanagement die IT im Unternehmen.
Die Schaffung eines umfassenden Konzeptes zu der Frage, welchen Bereichen oder Personen welche Berechtigungen eingeräumt werden, vereinfacht Prozesse und bringt somit eine hohe Zeitersparnis. Wird die Rechteverwaltung entsprechend den Anforderungen dokumentiert, können Anfragen zu Berechtigungen zügig beantworten werden und Zuarbeiten zu Reports, beispielsweise für Datenschutzbeauftragte, ohne großen Aufwand erfolgen.
Im Falle eines Problems müssen nicht erst umfangreiche Untersuchungen angestellt werden. Sicherheitslücken lassen sich schnell aufdecken, wenn die Berechtigungen entsprechend dokumentiert sind.
Insofern macht es auch für kleinere Finanzinstitutionen, die nicht den strengen Vorgaben der BaFin oder des BiS unterliegen, Sinn, ein automatisiertes Berechtigungsmanagement zu betreiben.

Konzept und Struktur als Fahrplan

Wie in jedem anderen Managementbereich auch, ist ein gutes Konzept das A und O eines erfolgreichen Berechtigungsmanagements. Der Prozess der Rechtevergabe sollte von Anfang an im Zusammenhang mit der Schutzbedarfsanalyse gedacht werden.
Es geht darum, Daten zu schützen und Sicherheitslücken zu schließen. Eine Dokumentation der Konzeption ist nicht nur rechtlich vorgeschrieben – sie ist auch notwendig, um das recht komplexe System von Anfang an richtig aufzubauen. Das Berechtigungskonzept muss je Applikation schriftlich festgelegt und zudem regelmäßig aktualisiert werden. Insbesondere sollte schon bei der Ausarbeitung der Konzeption beachtet werden, dass die entsprechenden Berechtigungsstrukturen der Praxis standhalten müssen.

Überlegen Sie genau:

  • Entsprechen die eingeräumten Berechtigungen den organisatorischen und fachlichen Vorgaben des Instituts?
  • Werden alle rechtlichen und regulatorischen Anforderungen beachtet?
  • Welche Bankdaten sind besonders sensibel und bedürfen eines speziellen Schutzes?
  • Welche Bereiche der Bank, z.B. Buchhaltung, brauchen Zugriff auf welche Art von Daten?
  • An welchen Schnittstellen treffen Daten mit verschiedenen Schutzgraden aufeinander?
  • Welche Daten sind ausgelagert oder auf einer Cloud deponiert?
  • Haben Dritte Zugang zu sensiblen Daten?
  • Auf welchen Servern werden welche Daten verwaltet?
  • Welche Software wird in welchen Bereichen zur Datenverwaltung benutzt?
  • Welche Software eignet sich am besten zum Aufbau beziehungsweise zur Weiterentwicklung des Berechtigungsmanagements?
  • Garantiert die Konzeption zur Vergabe von Rechten tatsächlich einen besseren Schutz der Bankdaten?
© Wright Studio/ shutterstock.com

© Wright Studio/ shutterstock.com

Verantwortlichkeiten für das Berechtigungsmanagement

Die Implementierung und Verwaltung des Berechtigungsmanagements kann nur in Zusammenarbeit verschiedener Bankbereiche erfolgen. Sowohl die Bank-IT als auch der Datenschutzbeauftragte und die Fachbereiche sind gefordert, gemeinsam ein Berechtigungskonzept und eine Berechtigungsstruktur aufzubauen. Während die Sensibilität von Daten wohl am ehesten vom Datenschutzbeauftragten beurteilt werden kann, sind die Fachabteilung am aussagekräftigsten, wenn es um die Notwendigkeit des Zugriffs auf bestimmte Daten geht. Die Bank-IT muss ein automatisiertes System entwickeln, das die Sicherheit der Daten gewährt und zu mehr Effizienz der Arbeitsprozesse führt.
Wichtig dabei ist eine Trennung der Funktionen, Aufgaben und Abläufe.
Insbesondere müssen bei der Verwaltung des Berechtigungsmanagements Verantwortlichkeiten für die einzelnen Aufgaben klar definiert werden.

Zugriffsberechtigungen und Rücknahmen

Die Bankenaufsicht fordert, dass beim Berechtigungskonzept der Sparsamkeitsgrundsatz “Need-to-know-Prinzip” anzuwenden ist. Es besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. In der Praxis heißt das: So wenig Leute wie möglich sollen Zugang zu sensiblen Bankdaten haben.
Nicht selten werden Zugriffsgenehmigungen zwar restriktiv vergeben – mit der Zeit aber ändert sich für die berechtigten Mitarbeiter der Arbeitsbereich, ohne dass ihnen die Berechtigung entzogen wurde. Hier lohnt es sich, Prozesse zu implementieren, die eine regelmäßige Kontrolle gewährleisten und daraus resultierend entsprechend Handlungen aktivieren. Die BaFin fordert explizit, dass regelmäßig geprüft werden muss, ob eingeräumte Berechtigungen weiter notwendig sind. Eine regelmäßige Überprüfung der vergebenen Benutzerrechte – automatisch und manuell – ist unerlässlich.
Bei der Vergabe von Rechten zum Umgang mit sensiblen Daten an Mitarbeiter sind zahlreiche Faktoren zu berücksichtigen. Nicht nur die Fachabteilungen, zum Beispiel die Buchhaltung oder die Bank-IT, sollten darüber entscheiden, welcher Mitarbeiter welchen Zugriff braucht – auch die Personalabteilungen sollten hier ein Wörtchen mitreden können.
Denken Sie auch daran, welche Verantwortung den Mitarbeitern übertragen wird, die mit sensiblen Daten arbeiten. Vermeiden Sie unbedingt Interessenkonflikte. Einer Person sollten nicht verschiedene sicherheitskritische Aufgaben übertragen werden. Ein Mitarbeiter kann beispielsweise nicht gleichzeitig die Administration der Berechtigungsvergabe leiten und gleichzeitig für die Sicherheitsprüfungen verantwortlich sein.

Fazit

Ein automatisiertes, durchdachtes und praktikables Berechtigungsmanagement hilft Ihnen, den ständig wachsenden gesetzlichen Anforderungen an den Datenschutz speziell im Bankenwesen gerecht zu werden. Es schützt Sie und Ihre Kunden vor Sicherheitslücken. Mögen Aufwand und Kosten der Installation vielleicht hoch sein – der Nutzen für Ihr Finanzinstitut ist höher.