Anforderungen an das Benutzerberechtigungsmanagement in Banken sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Bankaufsichtlichen Anforderungen an die IT (BAIT)
klar geregelt. Die Umsetzung stellt die Finanzbranchen vor große Herausforderungen.

Lesen Sie im folgenden Beitrag, wie die regulatorischen Anforderungen mithilfe von SAP-Berechtigungen in Banken praktisch umgesetzt werden können und worauf Sie beim Benutzerberechtigungsmanagement in Banken besonders achten sollten.

SAP-Berechtigungen auf aktuellem Niveau

Worum es sich bei Benutzerberechtigungen handelt, ist von der BaFin klar definiert: Ein Benutzerberechtigungsmanagement muss sicherstellen, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Das Benutzerberechtigungsmanagement ist ein wesentliches Instrument, um die Mindestanforderungen für das Risikomanagement (MaRisk) zu erfüllen.

ERP-Systeme für die Finanzindustrie enthalten bereits Softwarelösungen für das Berechtigungsmanagement. Dabei sollten Identity-Access-Management-Systeme in der Lage sein, sowohl Berechtigungen für Cloud-Systeme als auch für Anwendungen auf eigenen Servern zu steuern. Sie müssen leicht verständlich sein, intuitiv benutzbar und sich vor allem hinsichtlich der regulatorischen Anforderungen immer auf dem neuesten Stand befinden.

SAP-Berechtigungen in Banken liefern umfangreiche Tools, die den regulatorischen Vorschriften der BaFin und anderen Vorgaben entsprechen. Eine SAP-Berechtigung in Banken ist eine Ermächtigung, eine bestimmte Aktion im SAP-System durchzuführen. Jede Berechtigung bezieht sich auf ein Berechtigungsobjekt und definiert einen Wert oder mehrere Werte für jedes Berechtigungsfeld, das im Berechtigungsobjekt enthalten ist. SAP-Berechtigungen in Banken werden in Profilen zusammengefasst, die im Stammsatz des Benutzers eingetragen werden.

Ausgewogenes Verhältnis zwischen Standardisierung und Flexibilität

Die umfangreichen Leistungen, die SAP-Berechtigungen in Banken für die Vergabe, den Entzug oder die Änderungen von Berechtigungen bieten, ersetzen aber nicht das aktive Handeln der Mitarbeiter und Verantwortlichen. Es muss ein ausgewogenes Verhältnis zwischen standardisierten Abläufen und flexiblen Möglichkeiten bestehen. Darüber hinaus kann die SAP-Berechtigung nur funktionieren, wenn Inhalte, Daten und Ermächtigungen ständig kontrolliert und aktualisiert werden.

Eine Gesamtkonzeption bezüglich der SAP-Berechtigung sollte gemeinsam von der Geschäftsführung, der Bank-IT und gegebenenfalls von externen Beratungsunternehmen erarbeitet werden. Die Umsetzung des SAP-Berechtigungsmanagements erfordert die Etablierung von ganzheitlichen Prozessen und Verfahren zur Dokumentation. Auch müssen entsprechende Mitarbeiterressourcen bereitgestellt werden. Wichtig bei der Erarbeitung eines Sollkonzeptes sind die Kenntnis und die Berücksichtigung aller regulatorischen Anforderungen an die Finanzwirtschaft, also nicht nur die BaFin-Vorgaben, sondern auch die Datenschutzgrundverordnung der EU (DSGVO) und andere rechtliche Verordnungen. Das Sollkonzept sollte über die SAP-Berechtigung implementiert und ständig entsprechend der aktuellen Gegebenheiten überprüft werden.

SAP-Berechtigungen in Banken: Empfehlungen und praktische Umsetzungshinweise

SAP-Berechtigungen © Who is Danny / Shutterstock.com

Umsetzung des Sparsamkeitsgrundsatzes erfordert Kontrolle

Die Auswahl der Vergabe von Berechtigungen muss nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Die Entscheidung, wer mit welchen Daten über welchen Zeitraum an welchen Projekten arbeiten darf, ist eine äußerst sensible Entscheidung, die sehr sorgfältig vorgenommen werden muss. Vor allem gilt zu beachten: Es ist keine Entscheidung für die Ewigkeit. SAP-Berechtigungen können immer wieder neu vergeben, müssen aber genauso immer wieder entzogen werden, wenn Projekte abgeschlossen sind oder der Mitarbeiter, dem Zugriffsrechte gewährt wurden, neue Aufgaben erhält und evtl. in Interessenskonflikte gerät.

Wichtig ist es hierbei, eindeutige Verfahrensweisen sowie Zuständigkeiten bei Personalveränderungen oder Berechtigungsveränderungen zu etablieren. Hierbei sollte berücksichtigt werden, dass jede Neuanlage, Änderung oder Löschung von SAP-Berechtigungen Auswirkungen auf das gesamte Anwendersystem hat.

Um der Umgehung der Vorgaben der Berechtigungsprozesse vorzubeugen, empfiehlt die BaFin folgende technisch-organisatorische Maßnahmen:

  • Auswahl angemessener Authentifizierungsverfahren
  • Implementierung einer Richtlinie zur Wahl sicherer Passwörter
  • Einrichtung automatischer passwortgesicherter Bildschirmschoner
  • Verschlüsselung von Daten
  • manipulationssichere Implementierung der Protokollierung
  • Maßnahmen zur Sensibilisierung der Mitarbeiter

Insbesondere der letzte Punkt trägt in entscheidendem Maße zur erfolgreichen Umsetzung der SAP-Berechtigungen in Banken bei.