SAP-Berechtigungen in Banken: Empfehlungen und praktische Umsetzungshinweise

Die Umsetzung regulatorischer Anforderungen in Banken mithilfe von SAP-Berechtigungen

Anforderungen an das Benutzerberechtigungsmanagement in Banken sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Bankaufsichtlichen Anforderungen an die IT (BAIT)
klar geregelt. Die Umsetzung stellt die Finanzbranchen vor große Herausforderungen.

Lesen Sie im folgenden Beitrag, wie die regulatorischen Anforderungen mithilfe von SAP-Berechtigungen in Banken praktisch umgesetzt werden können und worauf Sie beim Benutzerberechtigungsmanagement in Banken besonders achten sollten.

SAP-Berechtigungen auf aktuellem Niveau

Worum es sich bei Benutzerberechtigungen handelt, ist von der BaFin klar definiert: Ein Benutzerberechtigungsmanagement muss sicherstellen, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Das Benutzerberechtigungsmanagement ist ein wesentliches Instrument, um die Mindestanforderungen für das Risikomanagement (MaRisk) zu erfüllen.

ERP-Systeme für die Finanzindustrie enthalten bereits Softwarelösungen für das Berechtigungsmanagement. Dabei sollten Identity-Access-Management-Systeme in der Lage sein, sowohl Berechtigungen für Cloud-Systeme als auch für Anwendungen auf eigenen Servern zu steuern. Sie müssen leicht verständlich sein, intuitiv benutzbar und sich vor allem hinsichtlich der regulatorischen Anforderungen immer auf dem neuesten Stand befinden.

SAP-Berechtigungen in Banken liefern umfangreiche Tools, die den regulatorischen Vorschriften der BaFin und anderen Vorgaben entsprechen. Eine SAP-Berechtigung in Banken ist eine Ermächtigung, eine bestimmte Aktion im SAP-System durchzuführen. Jede Berechtigung bezieht sich auf ein Berechtigungsobjekt und definiert einen Wert oder mehrere Werte für jedes Berechtigungsfeld, das im Berechtigungsobjekt enthalten ist. SAP-Berechtigungen in Banken werden in Profilen zusammengefasst, die im Stammsatz des Benutzers eingetragen werden.

Ausgewogenes Verhältnis zwischen Standardisierung und Flexibilität

Die umfangreichen Leistungen, die SAP-Berechtigungen in Banken für die Vergabe, den Entzug oder die Änderungen von Berechtigungen bieten, ersetzen aber nicht das aktive Handeln der Mitarbeiter und Verantwortlichen. Es muss ein ausgewogenes Verhältnis zwischen standardisierten Abläufen und flexiblen Möglichkeiten bestehen. Darüber hinaus kann die SAP-Berechtigung nur funktionieren, wenn Inhalte, Daten und Ermächtigungen ständig kontrolliert und aktualisiert werden.

Eine Gesamtkonzeption bezüglich der SAP-Berechtigung sollte gemeinsam von der Geschäftsführung, der Bank-IT und gegebenenfalls von externen Beratungsunternehmen erarbeitet werden. Die Umsetzung des SAP-Berechtigungsmanagements erfordert die Etablierung von ganzheitlichen Prozessen und Verfahren zur Dokumentation. Auch müssen entsprechende Mitarbeiterressourcen bereitgestellt werden. Wichtig bei der Erarbeitung eines Sollkonzeptes sind die Kenntnis und die Berücksichtigung aller regulatorischen Anforderungen an die Finanzwirtschaft, also nicht nur die BaFin-Vorgaben, sondern auch die Datenschutzgrundverordnung der EU (DSGVO) und andere rechtliche Verordnungen. Das Sollkonzept sollte über die SAP-Berechtigung implementiert und ständig entsprechend der aktuellen Gegebenheiten überprüft werden.

SAP-Berechtigungen in Banken: Empfehlungen und praktische Umsetzungshinweise
SAP-Berechtigungen © Who is Danny / Shutterstock.com

Umsetzung des Sparsamkeitsgrundsatzes erfordert Kontrolle

Die Auswahl der Vergabe von Berechtigungen muss nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Die Entscheidung, wer mit welchen Daten über welchen Zeitraum an welchen Projekten arbeiten darf, ist eine äußerst sensible Entscheidung, die sehr sorgfältig vorgenommen werden muss. Vor allem gilt zu beachten: Es ist keine Entscheidung für die Ewigkeit. SAP-Berechtigungen können immer wieder neu vergeben, müssen aber genauso immer wieder entzogen werden, wenn Projekte abgeschlossen sind oder der Mitarbeiter, dem Zugriffsrechte gewährt wurden, neue Aufgaben erhält und evtl. in Interessenskonflikte gerät.

Wichtig ist es hierbei, eindeutige Verfahrensweisen sowie Zuständigkeiten bei Personalveränderungen oder Berechtigungsveränderungen zu etablieren. Hierbei sollte berücksichtigt werden, dass jede Neuanlage, Änderung oder Löschung von SAP-Berechtigungen Auswirkungen auf das gesamte Anwendersystem hat.

Um der Umgehung der Vorgaben der Berechtigungsprozesse vorzubeugen, empfiehlt die BaFin folgende technisch-organisatorische Maßnahmen:

  • Auswahl angemessener Authentifizierungsverfahren
  • Implementierung einer Richtlinie zur Wahl sicherer Passwörter
  • Einrichtung automatischer passwortgesicherter Bildschirmschoner
  • Verschlüsselung von Daten
  • manipulationssichere Implementierung der Protokollierung
  • Maßnahmen zur Sensibilisierung der Mitarbeiter

Insbesondere der letzte Punkt trägt in entscheidendem Maße zur erfolgreichen Umsetzung der SAP-Berechtigungen in Banken bei.

Regulatorische Anforderungen an Banken – ein Überblick aktueller Vorgaben der Bankenregulierung

Regulatorische Anforderungen innerhalb der Finanzbranche

Wohl keine andere Branche unterliegt so hohen regulatorischen Anforderungen wie die Finanzbranche. Das ist verständlich, schließlich können schon wenige Institute globale Krisen verursachen – wie in der Vergangenheit schon mehrfach erlebt. Allerdings ist es nicht ganz einfach, im regulatorischen Umfeld den Überblick zu behalten.
Finden Sie in diesem Beitrag eine Zusammenstellung der wichtigsten regulatorischen Anforderungen an Banken- und Finanzinstitute in Europa.

Basel III als Eckpfeiler der Bankenregulierung

Der wichtigste Eckpfeiler der Bankenregulierung ist Basel III. In diesem Regelwerk sind aktuell die Vorschriften des Basler Ausschusses der Bank für Internationalen Zahlungsausgleich (BIZ) zur Regulierung von Banken zusammengefasst. Basel III löst die Vorgänger Basel I und Basel II ab. Kernelement von Basel III ist die Stärkung von Qualität und Quantität des Eigenkapitals der Banken.
Mit Basel III sollen vor allem die aufsichtsrechtlichen Vorschriften, die aufsichtsrechtliche Aufsicht und das Risikomanagement verbessert werden. Die Regelungen zu Basel III wurden 2010 erstmals veröffentlicht. In der EU sind sie in Form einer neuen Eigenkapitalrichtlinie 2014 in Kraft getreten.

Die nationale Umsetzung der europäischen Basel III-Regeln in Deutschland erfolgte 2013 vor allem

  • durch Änderungen des Kreditwesengesetzes (KWG) und
  • durch das CRD IV-Umsetzungsgesetz.

Außerhalb des Kreditwesengesetzes wurden unter anderem

  • die Solvabilitätsverordnung,
  • die Großkredit- und Millionenkreditverordnung,
  • die Liquiditätsverordnung und
  • die Institutsvergütungsverordnung angepasst.
© Billion Photos / Shutterstock.com

In dem Rundschreiben 09/2017 der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wurde auf der Grundlage des Kreditwesengesetzes (KWG) ein flexibler und praxisnaher Rahmen für die Ausgestaltung des Risikomanagements der Institute vorgegeben. Es präzisierte ferner die Anforderungen an das Risikomanagement auf Gruppenebene.

Bankenpaket schließt Reformmarathon ab

Im April dieses Jahres verabschiedete das Europäische Parlament das Bankenpaket, das Vorgaben von Basel III auf europäischer Ebene umsetzt. Damit hat der Reformmarathon erst einmal einen Abschluss gefunden; die Stabilität des Finanzsektors in Europa habe sich seit Beginn des Reformprozesses zur Bankenregulierung verbessert, urteilen Experten.
Aus den Neuregelungen gehen unter anderem Änderungen

  • der Capital Requirements Directive (CRD),
  • der Capital Requirements Regulation (CRR),
  • der Bank Recovery and Resolution Directive (BRRD) und
  • der Single Resolution Mechanism Regulation (SRMR) hervor.

Strenge regulatorische Anforderungen auch für Banken-IT

Neben der besseren Ausstattung der Finanzbranche mit Eigenkapital zielen bei der Bankenregulierung zahlreiche Vorgaben, allen voran die Richtlinien für Berichterstattung und Rechnungslegung, auf die Vereinheitlichung der Gesetzgebung in der Europäischen Union ab. So stellt beispielsweise der 2016 von der Europäischen Zentralbank eingeführte AnaCredit (Analytical Credit Datasets) hohe regulatorische Anforderungen bezüglich der Berichterstattung über einzelne Kreditnehmer und Kredite.
Datensicherheit, Cybersecurity, Data Governance, Drittanbieter und Datenschutz bei Finanzinstituten stehen unter ständiger Kontrolle.

Ein besonderer Schwerpunkt der Bankenregulierung liegt auf dem Digitalisierungsprozess. Im “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT 10/2017” (BAIT) gibt die BaFin den Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement – vor.

Digitalisierung ist neben dem Brexit 2019 auch der Schwerpunkt der Aufsichtsbehörden. So testen die Deutsche Bundesbank und die BaFin in diesem Jahr gemeinsam in mehreren Serien die Ertragslage und Widerstandsfähigkeit kleiner und mittelgroßer Banken (sogenannte Less Significant Institutions – LSIs) und prüfen in allen Banken und Finanzinstituten die IT-Systeme und die dazugehörigen IT-Prozesse.

Fazit

Bankenregulierung ist kein abgeschlossener Prozess. Rechtliche Regelungen zu verabschieden ist eine Sache, ihre Einhaltung zu kontrollieren eine andere. Wer die regulatorischen Anforderungen aber sorgfältig umsetzt, ist nicht nur für anstehende Tests gut gerüstet, sondern profitiert auch davon, wenn alle IT-Prozesse im Hause, Rechnungslegung, Datenmanagement oder das Controlling reibungslos funktionieren.

Anforderungen an das Berechtigungsmanagement in Banken

Berechtigungsmanagement im Bankwesen

Sicherheitslücken im IT-Bereich von Banken und anderen Finanzinstituten können großen Schaden anrichten. Ein wichtiges Instrument, um Cyberkriminalität vorzubeugen und Pannen beim Datenmanagement zu vermeiden, aber auch den speziellen rechtlichen Anforderungen an den Datenschutz im Finanzbereich gerecht zu werden, bildet das Berechtigungsmanagement in Banken. Darunter versteht man die Erlaubnis für Personen, zu einer bestimmten Zeit auf Bankdaten, ein System oder eine Anwendung zuzugreifen, diese zu bearbeiten, zu verwalten und weiterzuleiten.
Lesen Sie im folgenden Beitrag, warum dem Berechtigungsmanagement im Bankwesen eine große Bedeutung zukommt, welche rechtlichen Anforderungen beachtet werden müssen, wie ein funktionierendes Berechtigungsmanagement zu mehr Sicherheit und Transparenz führt und – last but not least – wie die Zuständigkeiten in der Bank verteilt werden sollten, um stets den Überblick über alle Datenprozesse zu behalten.

Starke Regulierung im Berechtigungsmanagement

Banken, Versicherungen und andere Finanzinstitute unterliegen als Betreiber sogenannter kritischer Infrastrukturen (KRITIS) einer besonderen Berichts- und Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Bankenaufsicht BaFin gibt in ihrem “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT” (BAIT) den Rahmen für die technisch-organisatorische Ausstattung der Institute vor – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Das Berechtigungsmanagement muss die Mindestanforderungen an das Risikomanagement erfüllen (MaRisk).
In Absatz II.5. der BAIT werden dafür spezielle Regeln formuliert. So ist ein Berechtigungskonzept schriftlich festzulegen und regelmäßig zu aktualisieren. Bei der Erarbeitung des Konzepts sind die Fachbereiche einzubeziehen. Tragende Säulen des Berechtigungskonzeptes beziehungsweise der Berechtigungsvergabe sind das Need-to-know-Prinzip, eine ordnungsgemäße Funktionstrennung und der richtige Umgang mit kritischen Berechtigungen.
Das Need-to-know-Prinzip besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Bei der Funktionstrennung muss darauf geachtet werden, dass es nicht zu Interessenkonflikten kommt. Kritische Berechtigungen müssen definiert und dürfen nur restriktiv an Benutzer vergeben werden.

Instrument für mehr Effizienz, Transparenz und Sicherheit im Datenmanagement

Aber Berechtigungsmanagement darf nicht nur als Pflicht betrachtet werden, um gesetzliche Bestimmungen einzuhalten. Automatisierte Lösungen und standardisierte Vorgaben sind wirksame Instrumente, um die Effizienz, Transparenz und Sicherheit im Datenmanagement zu erhöhen. Je weniger manuelle Aktivitäten erforderlich sind, um so weniger Fehler und Sicherheitsprobleme treten auf. Außerdem entlastet ein einmal eingesetztes und funktionierendes automatisiertes Berechtigungsmanagement die IT im Unternehmen.
Die Schaffung eines umfassenden Konzeptes zu der Frage, welchen Bereichen oder Personen welche Berechtigungen eingeräumt werden, vereinfacht Prozesse und bringt somit eine hohe Zeitersparnis. Wird die Rechteverwaltung entsprechend den Anforderungen dokumentiert, können Anfragen zu Berechtigungen zügig beantworten werden und Zuarbeiten zu Reports, beispielsweise für Datenschutzbeauftragte, ohne großen Aufwand erfolgen.
Im Falle eines Problems müssen nicht erst umfangreiche Untersuchungen angestellt werden. Sicherheitslücken lassen sich schnell aufdecken, wenn die Berechtigungen entsprechend dokumentiert sind.
Insofern macht es auch für kleinere Finanzinstitutionen, die nicht den strengen Vorgaben der BaFin oder des BiS unterliegen, Sinn, ein automatisiertes Berechtigungsmanagement zu betreiben.

Konzept und Struktur als Fahrplan

Wie in jedem anderen Managementbereich auch, ist ein gutes Konzept das A und O eines erfolgreichen Berechtigungsmanagements. Der Prozess der Rechtevergabe sollte von Anfang an im Zusammenhang mit der Schutzbedarfsanalyse gedacht werden.
Es geht darum, Daten zu schützen und Sicherheitslücken zu schließen. Eine Dokumentation der Konzeption ist nicht nur rechtlich vorgeschrieben – sie ist auch notwendig, um das recht komplexe System von Anfang an richtig aufzubauen. Das Berechtigungskonzept muss je Applikation schriftlich festgelegt und zudem regelmäßig aktualisiert werden. Insbesondere sollte schon bei der Ausarbeitung der Konzeption beachtet werden, dass die entsprechenden Berechtigungsstrukturen der Praxis standhalten müssen.

Überlegen Sie genau:

  • Entsprechen die eingeräumten Berechtigungen den organisatorischen und fachlichen Vorgaben des Instituts?
  • Werden alle rechtlichen und regulatorischen Anforderungen beachtet?
  • Welche Bankdaten sind besonders sensibel und bedürfen eines speziellen Schutzes?
  • Welche Bereiche der Bank, z.B. Buchhaltung, brauchen Zugriff auf welche Art von Daten?
  • An welchen Schnittstellen treffen Daten mit verschiedenen Schutzgraden aufeinander?
  • Welche Daten sind ausgelagert oder auf einer Cloud deponiert?
  • Haben Dritte Zugang zu sensiblen Daten?
  • Auf welchen Servern werden welche Daten verwaltet?
  • Welche Software wird in welchen Bereichen zur Datenverwaltung benutzt?
  • Welche Software eignet sich am besten zum Aufbau beziehungsweise zur Weiterentwicklung des Berechtigungsmanagements?
  • Garantiert die Konzeption zur Vergabe von Rechten tatsächlich einen besseren Schutz der Bankdaten?
© Wright Studio/ shutterstock.com
© Wright Studio/ shutterstock.com

Verantwortlichkeiten für das Berechtigungsmanagement

Die Implementierung und Verwaltung des Berechtigungsmanagements kann nur in Zusammenarbeit verschiedener Bankbereiche erfolgen. Sowohl die Bank-IT als auch der Datenschutzbeauftragte und die Fachbereiche sind gefordert, gemeinsam ein Berechtigungskonzept und eine Berechtigungsstruktur aufzubauen. Während die Sensibilität von Daten wohl am ehesten vom Datenschutzbeauftragten beurteilt werden kann, sind die Fachabteilung am aussagekräftigsten, wenn es um die Notwendigkeit des Zugriffs auf bestimmte Daten geht. Die Bank-IT muss ein automatisiertes System entwickeln, das die Sicherheit der Daten gewährt und zu mehr Effizienz der Arbeitsprozesse führt.
Wichtig dabei ist eine Trennung der Funktionen, Aufgaben und Abläufe.
Insbesondere müssen bei der Verwaltung des Berechtigungsmanagements Verantwortlichkeiten für die einzelnen Aufgaben klar definiert werden.

Zugriffsberechtigungen und Rücknahmen

Die Bankenaufsicht fordert, dass beim Berechtigungskonzept der Sparsamkeitsgrundsatz “Need-to-know-Prinzip” anzuwenden ist. Es besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. In der Praxis heißt das: So wenig Leute wie möglich sollen Zugang zu sensiblen Bankdaten haben.
Nicht selten werden Zugriffsgenehmigungen zwar restriktiv vergeben – mit der Zeit aber ändert sich für die berechtigten Mitarbeiter der Arbeitsbereich, ohne dass ihnen die Berechtigung entzogen wurde. Hier lohnt es sich, Prozesse zu implementieren, die eine regelmäßige Kontrolle gewährleisten und daraus resultierend entsprechend Handlungen aktivieren. Die BaFin fordert explizit, dass regelmäßig geprüft werden muss, ob eingeräumte Berechtigungen weiter notwendig sind. Eine regelmäßige Überprüfung der vergebenen Benutzerrechte – automatisch und manuell – ist unerlässlich.
Bei der Vergabe von Rechten zum Umgang mit sensiblen Daten an Mitarbeiter sind zahlreiche Faktoren zu berücksichtigen. Nicht nur die Fachabteilungen, zum Beispiel die Buchhaltung oder die Bank-IT, sollten darüber entscheiden, welcher Mitarbeiter welchen Zugriff braucht – auch die Personalabteilungen sollten hier ein Wörtchen mitreden können.
Denken Sie auch daran, welche Verantwortung den Mitarbeitern übertragen wird, die mit sensiblen Daten arbeiten. Vermeiden Sie unbedingt Interessenkonflikte. Einer Person sollten nicht verschiedene sicherheitskritische Aufgaben übertragen werden. Ein Mitarbeiter kann beispielsweise nicht gleichzeitig die Administration der Berechtigungsvergabe leiten und gleichzeitig für die Sicherheitsprüfungen verantwortlich sein.

Fazit

Ein automatisiertes, durchdachtes und praktikables Berechtigungsmanagement hilft Ihnen, den ständig wachsenden gesetzlichen Anforderungen an den Datenschutz speziell im Bankenwesen gerecht zu werden. Es schützt Sie und Ihre Kunden vor Sicherheitslücken. Mögen Aufwand und Kosten der Installation vielleicht hoch sein – der Nutzen für Ihr Finanzinstitut ist höher.

staperior staperior staperior