Mehr Qualität durch den Einsatz von Tools im IT-Testmanagement

Tools im IT-Testmanagement

Die regulatorischen Anforderungen der Bankenaufsicht an Finanzinstitute erfordern regelmäßige Tests der Bank-IT. Wichtig ist hierbei, dass diese Tests nachvollziehbar und revisionssicher dokumentiert werden. Um dies zu erreichen, ist der Einsatz von integrierten IT-Testmanagement-Tools obligatorisch. Lesen Sie im folgenden Beitrag, worin die Vorteile der Nutzung eines Tools im IT-Testmanagement bestehen und worauf Sie beim Einsatz achten sollten.

Automatisiertes Testen – Von der Fehleranalyse bis zum Berechtigungsmanagement

Banken arbeiten mit einer Vielzahl von Anwendungen – mit Standardsoftware ebenso wie mit selbst entwickelten Programmen. Um sicherzustellen, dass alles, was im IT-Bereich der Bank passiert, mit den geltenden Gesetzen und regulatorischen Anforderungen der Bankenaufsicht übereinstimmt und Daten, insbesondere personenbezogene Daten, entsprechend genutzt, verarbeitet und geschützt werden, müssen die Anwendungen permanent getestet werden. Tests sind auch erforderlich, wenn neue Software eingeführt wird, wenn neue Gesetze und Vorgaben für Banken verabschiedet oder Änderungen im Berechtigungsmanagement vorgenommen werden. Durch die Vielzahl der zu testenden Applikationen, aber auch, um Fehler auszuschließen, ist eine Automatisierung des IT-Testmanagements unbedingt erforderlich.

Dabei kommen Analyse- und Berichtstools zum Einsatz, die in die Workflows der Tests eingebaut werden. Planung und Kontrolle der Tests erfolgen in allen Phasen direkt aus dem Tool heraus. Tools im Testmanagement schaffen eine Laborumgebung zur Fehlerbehebung mit agilen Methoden. Sie finden und beheben nicht nur Fehler, sondern analysieren sie auch. Sie entdecken Datenlecks, checken, ob alle Felder in der Eingabemaske vorhanden sind und machen auf abgelaufene Lizenzen aufmerksam. Und sie überprüfen, ob tatsächlich nur die Personen Zugriff auf Daten haben, die auch über die entsprechenden Berechtigungen verfügen.

Während sich spezielle Testmanagement-Software auf das Management von Testfällen und weiteren Aufgaben aus dem Bereich des Testmanagements und des Softwaretests konzentriert, überwacht HP Application Lifecycle Management den gesamten Lebenszyklus einer Software inklusive der Testphasen.

Mehr Qualität durch den Einsatz von Tools im IT-Testmanagement — IT-Testmanagement © Rawpixel.com / Shutterstock

Vorteile der Nutzung von Tools im IT-Testmanagement

Die wichtigste Aufgabe von Tools im IT-Testmanagement besteht darin, Fehler zu erkennen, zu beheben, die Fehler zu analysieren und die Testphase in allen Phasen zu dokumentieren. Der Einsatz eines Tools bringt dabei folgende Vorteile:

Die Tests können in Echtzeit verfolgt werden.
Das Management der Bank kann zu jeder Zeit über den aktuellen Stand der Tests informiert werden. Die Dokumentation und Berichterstattung erfolgt fortlaufend und detailliert.
Es werden automatisch Übersichten erstellt, welche Applikationen mit welchem Ergebnis bereits getestet wurden und welche Applikationen noch zu testen sind.
Es erfolgt eine detaillierte Fehleranalyse.
Das Tool macht auf Fehler aufmerksam, die nicht behoben werden können. In diesem Fall empfiehlt es sich, den Entwickler der Software um Unterstützung zu bitten.
In den Testprozess werden neben den Testern und Entwicklern automatisch die Personen einbezogen, die mit den entsprechenden Anwendungen arbeiten, also Produktmanager, Projektmanager und User.
Das Tool achtet darauf, dass keine realen sensiblen Daten, insbesondere personenbezogene Daten, in das IT-Testmanagement einbezogen werden.

Erfolgt das IT-Testmanagement ohne den Einsatz eines entsprechenden Tools, nehmen die Tests sehr viel mehr Zeit in Anspruch. Auch die manuell zusammengestellten Berichte, die die Tests dokumentieren, besitzen nicht die Qualität und den Umfang wie die Dokumentationen, die unter Verwendung eines Test-Tools erstellt werden.

MaRisk-Compliance für Kredit- und Finanzdienstleistungs-Institute

Der Stellenwert der Compliance im Unternehmen

Rechtliche Regeln und Vorgaben sind nur sinnvoll, wenn sie auch richtig implementiert, beachtet, kontrolliert und eingehalten werden. In zahlreichen Gesetzen und rechtlichen Regelungen ist festgelegt, welcher Stellenwert Compliance in Unternehmen zukommen muss. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert in ihrem Rundschreiben zu den Mindestanforderungen an das Risikomanagement (MaRisk) vom September 2017 von den Finanzinstituten explizit die Einrichtung einer Compliance-Funktion. MaRisk-Compliance kommt eine Schlüsselfunktion zu, um Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken.
Lesen Sie im folgenden Beitrag, welche Bedeutung MaRisk-Compliance hat und wie die Funktion richtig ausgefüllt werden kann.

Aufgaben der MaRisk-Compliance

Die Tatsache, dass jedes Institut über eine Compliance-Funktion verfügen muss und der Compliance-Beauftragte der Geschäftsführung direkt unterstellt ist, zeigt die Bedeutung, die der MaRisk-Compliance zur Stabilität der Finanzmärkte insgesamt beigemessen wird. Ihre grundlegende Aufgabe ist es, auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regulierungen und Vorgaben hinzuwirken und entsprechende Kontrollen durchzuführen. MaRisk-Compliance hat eine überaus wichtige Funktion sowohl innerhalb des Instituts als auch gegenüber Aufsichtsbehörden.
Die BaFin erläutert in acht Punkten die Aufgaben und Pflichten der MaRisk-Compliance. So muss zum Beispiel jedes Institut über eine Compliance-Funktion verfügen und einen Compliance-Beauftragten ernennen, der mit entsprechenden Befugnissen ausgestattet ist. Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Gibt es einen Wechsel beim Compliance-Beauftragten, muss die Aufsichtsbehörde informiert werden. Systemrelevante Institute haben eine eigenständige Organisationseinheit zu bilden.

Zusammenarbeit mit Fachbereichen, Rechtsabteilungen und IT-Spezialisten

Bei der Identifizierung der rechtlichen Regelungen und Vorgaben, die das Finanzinstitut betreffen, ist die MaRisk-Compliance auf die Unterstützung des gesamten Teams angewiesen.
Verschiedene Regeln tangieren jede Abteilung eines Finanzinstituts in einer anderen Weise. Insofern muss die MaRisk-Compliance darüber im Bilde sein, welcher Handlungsbedarf aus Compliance-Sicht in welchem Bereich der Bank oder der Versicherung besteht.
In der Banken-IT müssen die rechtlichen Anforderungen der Gesetzgeber und Aufsichtsbehörden umgesetzt werden. Wie dies konkret zu geschehen hat, beispielsweise beim Datenmanagement, gibt die BaFin vor. Auch die Datenschutzgrundverordnung der EU (DSGVO) stellt an die IT der Finanzbranche hohe Anforderungen.
Insofern erfordert eine wirksame MaRisk-Compliance eine enge Zusammenarbeit sowohl mit den jeweiligen Fachbereichen und den Rechtsabteilungen der Institute als auch mit der Banken-IT. Bei Bedarf, beispielsweise bei Neuregelungen oder veränderter Rechtsprechung, sollten Projektteams gebildet werden, um die Implementierung und Umsetzung zu begleiten.

MaRisk-Compliance für Kredit- und Finanzdienstleistungs-Institute — MaRisk Compliance © Photon photo / Shutterstock.com

Klare Zuständigkeiten erforderlich

Die BaFin stellt klar, dass die Implementierung von wirksamen Verfahren zur Einhaltung wesentlicher gesetzlicher Regelungen und Vorgaben in der Verantwortung der jeweils betroffenen Fachbereiche liegt und nicht automatisch bei der Compliance-Funktion. Diese wiederum hat darauf zu achten, dass die betroffenen Fachbereiche ihrer Verantwortung auch tatsächlich nachkommen. So gesehen hat die Compliance-Funktion auch einen koordinierenden Charakter. Wichtig ist, dass die Zuständigkeiten zwischen den Fachabteilungen Bank IT und der MaRisk-Compliance geklärt sind. Die Letztverantwortung für die Einhaltung rechtlicher Regelungen und Vorgaben im Institut trägt die Geschäftsführung.

MaRisk-Compliance braucht Ausstattung mit Kompetenzen

Bei den Aufgaben, die der MaRisk-Compliance zukommen, stellt sich natürlich die Frage, inwieweit die Compliance-Beauftragten Kontroll- oder Weisungsrechte gegenüber den Fachabteilungen haben. In einem Protokoll zur Sitzung des BaFin-Fachgremiums MaRisk zur Compliance-Funktion wird darauf hingewiesen, dass die Aufsichtsbehörde von der Compliance-Funktion Überwachungshandlungen erwartet. Auch hält die BaFin es für erforderlich, dass die Compliance-Funktion Kontrollhandlungen zumindest durchführen können muss und ihr entsprechende Kontrollrechte eingeräumt werden. Die konkrete Ausgestaltung der Kontrollhandlungen und auch Umfang und Inhalte der Weisungsberechtigung der MaRisk-Compliance gegenüber den Fachabteilungen werden von BaFin-Seite nicht vorgegeben, sondern liegen in der Eigenverantwortung der Institute. Allerdings wird die Ausstattung mit entsprechenden Kompetenzen erwartet, um wirksam arbeiten zu können.

Nicht zuletzt ist die Frage, wie die MaRisk-Compliance organisatorisch angebunden ist, wichtig für ihre erfolgreiche Tätigkeit. Die direkte Anbindung an die Geschäftsführung kann nur dann erfolgreich funktionieren, wenn sie nicht nur auf dem Papier steht, sondern auch gelebt wird.
Insgesamt haben die Finanzinstitute großen Gestaltungsspielraum bei der Ausgestaltung der MaRisk-Compliance. Letztlich kommt es darauf an, dass die Mindestanforderungen an das Risikomanagement erfüllt werden.

Bank-IT: So gelingt ein rechtskonformes und angemessenes Testmanagement

Die besondere Bedeutung des Testmanagements in der Finanzwirtschaft

Wer eine neue Software einsetzt, die Sicherheit von Daten checkt, Datensätze integriert oder neue Produkte und Dienstleistungen anbietet, testet sein IT-System, bevor die Kunden einbezogen werden. Testmanagement ist ein normaler Bestandteil der IT-Arbeit in jedem Unternehmen. In der Finanzwirtschaft allerdings kommt dem Testmanagement eine besondere Bedeutung zu.
Lesen Sie im folgenden Beitrag, worin die wichtigsten Erfolgsfaktoren für ein gelungenes und angemessenes Testmanagement im Bankenbereich bestehen.

Anforderungen an das Testmanagement kennen

Wie genau das Testmanagement in einer Bank erfolgen sollte, hat die Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin, in ihren „Bankaufsichtliche Anforderungen an die IT (BAIT)” festgelegt und im vergangenen Jahr allen Finanzinstituten des Landes in einem Rundschreiben zur Kenntnis gegeben. Es kommt nun darauf an, aus diesen allgemeinen Vorgaben an die Banken-IT allgemein und an das Testmanagement speziell einen Fahrplan für das Testmanagement zu entwickeln, der auf Ihre Bedürfnisse abgestimmt ist und den regulatorischen Vorgaben entspricht.

Klare Ziele für das Testmanagement definieren

Erfolgreiches Testmanagement setzt sich aus vielen Faktoren zusammen. Bevor ein Test beginnt, muss die Testumgebung, also die technisch-organisatorische Infrastruktur, die zum Testen von Software benutzt wird, geprüft werden. Es muss sichergestellt sein, dass die Daten eine ausreichende Qualität besitzen, um verwertbare Ergebnisse im Test zu erzielen. Auch muss entschieden werden, wie viele Testzyklen laufen sollen.
Der erste wichtige Erfolgsfaktor für gelungene Tests in der Bank-IT sind klare Ziele. Jeder Test muss eine genau definierte Zielsetzung haben. Schauen Sie nicht nur auf den Test, sondern auch darauf, was am Ende des Projektes stehen soll. Begreifen Sie das Testen als einen End-to-End-Prozess. Das gelingt am besten, wenn Testmanagement, Testanalyse, Defect-Management sowie die Tests selbst in einer Hand liegen.
Vermeiden Sie es, Ihre Ziele während des Prozesses zu ändern.

Testmanagement in der Bank-IT - das sind die Erfolgsfaktoren — © Sergey Nivens / Shutterstock.com

Konzeptionen auf fachübergreifender Kompetenz erarbeiten

Ebenso wichtig wie die Festlegung der Ziele des Testmanagements ist die Erarbeitung einer Konzeption, die auf fachübergreifender Kompetenz basiert. Definieren Sie konkrete Anforderungen. Wer sich mit den Fachthemen gut auskennt, also beispielsweise die Anforderung der Accounting-Abteilung nachvollziehen kann, ist in der Lage, den IT-lern genau zu erklären, welche Tabellen angepasst werden müssen und wo Schnittstellen anzubinden sind. Formulieren Sie in der Konzeption für jede Anforderung auch die Beschreibung des Testszenarios. Bereits in der Konzeption müssen die Fragen des Berechtigungsmanagements festgelegt werden.

Viele Konstellationen und geballter Sachverstand

Nach der Aufarbeitung der Daten auf Basis der Konzeption beginnt der eigentliche Test. Beim Testen geht es um das operative Management, das heißt um die konkrete Ausführung von Prozessen. Der Schwerpunkt liegt hierbei auf dem Einbeziehen von Schnittstellen. Die IT-Abteilung der Bank muss Tabellen anpassen, Datenflüsse über Schnittstellen zusammenführen und bestandsführende Systeme, beispielsweise aus den Bereichen Wertpapiere, Derivate, Darlehen, Girokonten oder Hauptbuchkonten, anschließen, wobei der Fokus immer auf der Einbindung von Schnittstellen liegt.
Dabei gilt es, möglichst viele Testkonstellationen zu prüfen. Auch hier ist es sinnvoll, dass geballter Sachverstand aus dem Accounting-Bereich und der IT-Abteilung schon in den ersten Testphasen eingebracht wird. So können Fehler schnell erkannt und von der IT behoben werden.

Fazit

Der Begriff „Testmanagement” impliziert bereits, worauf es dabei ankommt: auf das Management eines Prozesses. Tests im Finanzbereich gelingen am ehesten, wenn Fach-Know-how auf beiden Seiten vorhanden ist, wenn der Tester sowohl die Bank- und Finanzprodukte kennt als auch über entsprechende IT-Kenntnisse verfügt. „Wissen, was der andere weiß” heißt das Erfolgsrezept für ein gutes Testmanagement in der Bank-IT. Das Geheimnis liegt in der Balance zwischen Fachwissen und IT-Verständnis. Für die einzelnen Aufgaben, die bei den Tests dann abgearbeitet werden müssen, bietet sich die Erstellung von Checklisten an.

SAP-Schnittstellen – die digitalen Weichen im Datennetz

SAP-Schnittstellen: kritische Infrastrukturen innerhalb des Informationsverbundes

SAP-Schnittstellen sind ein wichtiger Teil der Banken-IT. Sie stehen unter besonderer Beobachtung der Bankenaufsicht. Im Bereich des Risikoinformationsmanagements wird gefordert, dass ein Institut stets über einen aktuellen Überblick über die Bestandteile des festgelegten Informationsverbunds sowie deren Abhängigkeiten und Schnittstellen verfügen muss. Schnittstellen gelten als Teil der kritischen Infrastrukturen innerhalb des Informationsverbundes. Werden IT-Dienstleistungen ausgelagert und über ein Netz bereitgestellt, zum Beispiel Rechenleistung, Speicherplatz, Plattformen oder Software, erfolgt dies über definierte technische Schnittstellen sowie Protokolle.

In der Buchhaltung von Finanzinstituten sorgen SAP-Schnittstellen dafür, dass die Rechnungslegung stets in voller Übereinstimmung mit den aktuellen Standards erfolgt – egal ob das Reporting nach dem Handelsgesetzbuch (HGB) oder dem International Financial Reporting Standards (IFRS) erfolgt.
Lesen Sie im folgenden Beitrag, welche Funktionen SAP-Schnittstellen haben, welche Vorteile sie bieten und welche Bedeutung ihnen im Berechtigungsmanagement der Banken-IT zukommt.

SAP-Schnittstellen erhöhen Qualität der Banken-IT

Schnittstellen sind Transferpunkte, die notwendig sind, um verschiedene Funktionsbereiche, Sparten, Projekte, Personen oder Unternehmen in einen Arbeitsprozess einzubeziehen. Sie sind die digitalen Weichen im Datennetz. Eine SAP-Schnittstelle verbindet verschiedene Bereiche eines SAP-Systems miteinander oder dient als Verbindungspunkt für fremde Komponenten, die in ein SAP-System eingebunden werden sollen, wenn ein System nicht auf der SAP-Technologie basiert. Hat eine Bank beispielsweise eine andere Bank übernommen, die nicht mit SAP-Software-Systemen arbeitet, müssten ohne entsprechende SAP-Schnittstellen sämtliche Daten aufwendig, nicht selten sogar manuell, in das SAP-System übertragen werden. Das erfordert Zeit und ist teuer.

Über eine SAP-Schnittstelle wird der Austausch von Systemen zwischen verschiedenen Prozessen und Komponenten problemlos möglich. Die Aufgabe einer SAP-Schnittstelle besteht darin, die Kommunikation zwischen dem SAP-System und Daten eines anderen Systems zu managen, also Daten aufzunehmen und sie so aufzubereiten, dass das SAP-System sie versteht. Die Besonderheit der SAP-Schnittstelle liegt dabei in ihrer Fähigkeit, die Daten und Prozesse zu standardisieren. Sie überträgt und integriert fremde Systeme nicht nur, sondern unterzieht sie gleichzeitig einer umfassenden Qualitätsprüfung.

Fehlerhafte Datensätze werden identifiziert und aussortiert. Dabei weisen die SAP-Schnittstellen die fehlerhaften Datensätze beispielsweise nicht einfach zurück, sondern liefern gleichzeitig die Information, wie sie aufbereitet sein müssen, um in die standardisierten SAP-Systeme zu passen. So ist bei jedem Datentransfer ein Qualitätscheck inbegriffen. Systeme, die nicht mit rechtlichen Vorgaben übereinstimmen, beispielsweise der Datenschutzgrundverordnung der EU oder den Buchhaltungsstandards des Handelsgesetzbuchs (HGB) oder des International Financial Reporting Standards (IFRS), werden erkannt und finden keinen Eingang in das SAP-System. Das erhöht die Qualität der gesamten Banken-IT und bringt entsprechend Nutzen für die Geschäftstätigkeit des Finanzinstituts.

SAP bietet vielerlei Möglichkeiten, solche Schnittstellen zu externen Systemen einzurichten – Standard-Schnittstellen, aber auch ganz individuelle Lösungen.

Zukunft des SAP-Schnittstellenmanagements

Mit der zunehmenden Komplexität der Bankengeschäfte mit immer mehr Produkten, Anwendungen und immer kürzeren Zeithorizonten werden auch die SAP-Systeme zunehmend komplexer. Das Online-Banking verlangt heute nach stets neuen Entwicklungen. Tausende FinTech-Unternehmen oder die eigenen IT-Abteilungen der Banken entwickeln Anwendungen, die in das seit vielen Jahren gewachsene System der Banken integriert werden müssen – nicht nur, um den Kunden neue Angebote unterbreiten zu können, sondern vor allem, um die Effizienz im Hause zu steigern und langfristig mehr Gewinne zu generieren.

Was sich momentan auf dem Markt an digitalen Anwendungen tummelt, ist alles andere als ein einheitliches System: Programmiersprachen, Dateiformate, Betriebssysteme – alles unterscheidet sich voneinander. Um die komplexe IT-Landschaft nutzen zu können, werden zunehmend intelligente Schnittstellen gebraucht, die mehr können, als nur Systeme miteinander zu verbinden. Nur mit einem “Mehr” an Standardisierung, Qualität und Sicherheit von Schnittstellen können Banken-IT-Systeme den gewachsenen Anforderungen gerecht werden.

IT-Sicherheit beim Schnittstellenmanagement

Bei dieser steigenden Komplexität kommt es vor allem darauf an, die Sicherheit der Systeme und der Schnittstellen zu gewährleisten und so zu gestalten, dass sie den Anforderungen der Bankenregulierung gerecht werden und internationalen Sicherheits- und Complianceregeln entsprechen. Schnittstellen stellen in der Tat einen äußerst sensiblen Bereich im IT-System von Banken und Finanzinstituten dar. Denn werden die Weichen einmal falsch gestellt, können Datenflüsse fehlgeleitet werden und damit erheblichen Schaden anrichten.

Zweifellos haben standardisierte Technologien wie SAP-Schnittstellen bessere Voraussetzungen zur Implementierung entsprechender Sicherheitstools als individuell entwickelte Schnittstellen. Insofern: Beachten Sie gerade bei SAP-Schnittstellen das von der Bankenaufsicht geforderte Sparsamkeitsprinzip, dass nur Personen Berechtigungen erhalten, die dies zur Erfüllung einer konkreten Aufgabe benötigen. Die ständige Überwachung der IT-Prozesse und die Dokumentation von Berechtigungen zum Umgang mit Daten gehört zu den Grundvoraussetzungen der IT-Sicherheit von Banken und Versicherungen. Die Komponenten und Bereiche des Informationsverbundes der kritischen Infrastruktur, zu der die Schnittstellen gehören, sollten in der Berichterstattung zusätzlich gekennzeichnet werden.

Fazit

SAP-Schnittstellen gewinnen in der Banken-IT zunehmend an Bedeutung. Sie sind die Voraussetzung, um innovative Anwendungen für moderne Bankgeschäfte nutzen zu können und regulatorischen Vorgaben durch die Bankenaufsicht gerecht zu werden. SAP-Schnittstelle sind nicht “nur” Übertragungsstellen für Systeme und Daten – sie unterziehen Systeme bei jeder Transaktion gleichzeitig einer umfassenden Qualitätsprüfung. So werden auch Sicherheit und Compliance in der Banken-IT gewährleistet.
Die Zukunft der Schnittstellen in der Banken-IT liegt in der weiteren Entwicklung von Standardisierung, Qualität und Sicherheit. Insofern sollten SAP-Schnittstellen nicht nur als ein Teil des Netzwerkes der Bank betrachtet, sondern als eigenständige Komponente im IT-System geplant, entwickelt, dokumentiert und ständig überwacht werden.

Anforderungen an das Berechtigungsmanagement in Banken

Berechtigungsmanagement im Bankwesen

Sicherheitslücken im IT-Bereich von Banken und anderen Finanzinstituten können großen Schaden anrichten. Ein wichtiges Instrument, um Cyberkriminalität vorzubeugen und Pannen beim Datenmanagement zu vermeiden, aber auch den speziellen rechtlichen Anforderungen an den Datenschutz im Finanzbereich gerecht zu werden, bildet das Berechtigungsmanagement in Banken. Darunter versteht man die Erlaubnis für Personen, zu einer bestimmten Zeit auf Bankdaten, ein System oder eine Anwendung zuzugreifen, diese zu bearbeiten, zu verwalten und weiterzuleiten.
Lesen Sie im folgenden Beitrag, warum dem Berechtigungsmanagement im Bankwesen eine große Bedeutung zukommt, welche rechtlichen Anforderungen beachtet werden müssen, wie ein funktionierendes Berechtigungsmanagement zu mehr Sicherheit und Transparenz führt und – last but not least – wie die Zuständigkeiten in der Bank verteilt werden sollten, um stets den Überblick über alle Datenprozesse zu behalten.

Starke Regulierung im Berechtigungsmanagement

Banken, Versicherungen und andere Finanzinstitute unterliegen als Betreiber sogenannter kritischer Infrastrukturen (KRITIS) einer besonderen Berichts- und Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Bankenaufsicht BaFin gibt in ihrem “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT” (BAIT) den Rahmen für die technisch-organisatorische Ausstattung der Institute vor – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Das Berechtigungsmanagement muss die Mindestanforderungen an das Risikomanagement erfüllen (MaRisk).
In Absatz II.5. der BAIT werden dafür spezielle Regeln formuliert. So ist ein Berechtigungskonzept schriftlich festzulegen und regelmäßig zu aktualisieren. Bei der Erarbeitung des Konzepts sind die Fachbereiche einzubeziehen. Tragende Säulen des Berechtigungskonzeptes beziehungsweise der Berechtigungsvergabe sind das Need-to-know-Prinzip, eine ordnungsgemäße Funktionstrennung und der richtige Umgang mit kritischen Berechtigungen.
Das Need-to-know-Prinzip besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Bei der Funktionstrennung muss darauf geachtet werden, dass es nicht zu Interessenkonflikten kommt. Kritische Berechtigungen müssen definiert und dürfen nur restriktiv an Benutzer vergeben werden.

Instrument für mehr Effizienz, Transparenz und Sicherheit im Datenmanagement

Aber Berechtigungsmanagement darf nicht nur als Pflicht betrachtet werden, um gesetzliche Bestimmungen einzuhalten. Automatisierte Lösungen und standardisierte Vorgaben sind wirksame Instrumente, um die Effizienz, Transparenz und Sicherheit im Datenmanagement zu erhöhen. Je weniger manuelle Aktivitäten erforderlich sind, um so weniger Fehler und Sicherheitsprobleme treten auf. Außerdem entlastet ein einmal eingesetztes und funktionierendes automatisiertes Berechtigungsmanagement die IT im Unternehmen.
Die Schaffung eines umfassenden Konzeptes zu der Frage, welchen Bereichen oder Personen welche Berechtigungen eingeräumt werden, vereinfacht Prozesse und bringt somit eine hohe Zeitersparnis. Wird die Rechteverwaltung entsprechend den Anforderungen dokumentiert, können Anfragen zu Berechtigungen zügig beantworten werden und Zuarbeiten zu Reports, beispielsweise für Datenschutzbeauftragte, ohne großen Aufwand erfolgen.
Im Falle eines Problems müssen nicht erst umfangreiche Untersuchungen angestellt werden. Sicherheitslücken lassen sich schnell aufdecken, wenn die Berechtigungen entsprechend dokumentiert sind.
Insofern macht es auch für kleinere Finanzinstitutionen, die nicht den strengen Vorgaben der BaFin oder des BiS unterliegen, Sinn, ein automatisiertes Berechtigungsmanagement zu betreiben.

Konzept und Struktur als Fahrplan

Wie in jedem anderen Managementbereich auch, ist ein gutes Konzept das A und O eines erfolgreichen Berechtigungsmanagements. Der Prozess der Rechtevergabe sollte von Anfang an im Zusammenhang mit der Schutzbedarfsanalyse gedacht werden.
Es geht darum, Daten zu schützen und Sicherheitslücken zu schließen. Eine Dokumentation der Konzeption ist nicht nur rechtlich vorgeschrieben – sie ist auch notwendig, um das recht komplexe System von Anfang an richtig aufzubauen. Das Berechtigungskonzept muss je Applikation schriftlich festgelegt und zudem regelmäßig aktualisiert werden. Insbesondere sollte schon bei der Ausarbeitung der Konzeption beachtet werden, dass die entsprechenden Berechtigungsstrukturen der Praxis standhalten müssen.

Überlegen Sie genau:

Entsprechen die eingeräumten Berechtigungen den organisatorischen und fachlichen Vorgaben des Instituts?
Werden alle rechtlichen und regulatorischen Anforderungen beachtet?
Welche Bankdaten sind besonders sensibel und bedürfen eines speziellen Schutzes?
Welche Bereiche der Bank, z.B. Buchhaltung, brauchen Zugriff auf welche Art von Daten?
An welchen Schnittstellen treffen Daten mit verschiedenen Schutzgraden aufeinander?
Welche Daten sind ausgelagert oder auf einer Cloud deponiert?
Haben Dritte Zugang zu sensiblen Daten?
Auf welchen Servern werden welche Daten verwaltet?
Welche Software wird in welchen Bereichen zur Datenverwaltung benutzt?
Welche Software eignet sich am besten zum Aufbau beziehungsweise zur Weiterentwicklung des Berechtigungsmanagements?
Garantiert die Konzeption zur Vergabe von Rechten tatsächlich einen besseren Schutz der Bankdaten?

Verantwortlichkeiten für das Berechtigungsmanagement

Die Implementierung und Verwaltung des Berechtigungsmanagements kann nur in Zusammenarbeit verschiedener Bankbereiche erfolgen. Sowohl die Bank-IT als auch der Datenschutzbeauftragte und die Fachbereiche sind gefordert, gemeinsam ein Berechtigungskonzept und eine Berechtigungsstruktur aufzubauen. Während die Sensibilität von Daten wohl am ehesten vom Datenschutzbeauftragten beurteilt werden kann, sind die Fachabteilung am aussagekräftigsten, wenn es um die Notwendigkeit des Zugriffs auf bestimmte Daten geht. Die Bank-IT muss ein automatisiertes System entwickeln, das die Sicherheit der Daten gewährt und zu mehr Effizienz der Arbeitsprozesse führt.
Wichtig dabei ist eine Trennung der Funktionen, Aufgaben und Abläufe.
Insbesondere müssen bei der Verwaltung des Berechtigungsmanagements Verantwortlichkeiten für die einzelnen Aufgaben klar definiert werden.

Zugriffsberechtigungen und Rücknahmen

Die Bankenaufsicht fordert, dass beim Berechtigungskonzept der Sparsamkeitsgrundsatz “Need-to-know-Prinzip” anzuwenden ist. Es besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. In der Praxis heißt das: So wenig Leute wie möglich sollen Zugang zu sensiblen Bankdaten haben.
Nicht selten werden Zugriffsgenehmigungen zwar restriktiv vergeben – mit der Zeit aber ändert sich für die berechtigten Mitarbeiter der Arbeitsbereich, ohne dass ihnen die Berechtigung entzogen wurde. Hier lohnt es sich, Prozesse zu implementieren, die eine regelmäßige Kontrolle gewährleisten und daraus resultierend entsprechend Handlungen aktivieren. Die BaFin fordert explizit, dass regelmäßig geprüft werden muss, ob eingeräumte Berechtigungen weiter notwendig sind. Eine regelmäßige Überprüfung der vergebenen Benutzerrechte – automatisch und manuell – ist unerlässlich.
Bei der Vergabe von Rechten zum Umgang mit sensiblen Daten an Mitarbeiter sind zahlreiche Faktoren zu berücksichtigen. Nicht nur die Fachabteilungen, zum Beispiel die Buchhaltung oder die Bank-IT, sollten darüber entscheiden, welcher Mitarbeiter welchen Zugriff braucht – auch die Personalabteilungen sollten hier ein Wörtchen mitreden können.
Denken Sie auch daran, welche Verantwortung den Mitarbeitern übertragen wird, die mit sensiblen Daten arbeiten. Vermeiden Sie unbedingt Interessenkonflikte. Einer Person sollten nicht verschiedene sicherheitskritische Aufgaben übertragen werden. Ein Mitarbeiter kann beispielsweise nicht gleichzeitig die Administration der Berechtigungsvergabe leiten und gleichzeitig für die Sicherheitsprüfungen verantwortlich sein.

Fazit

Ein automatisiertes, durchdachtes und praktikables Berechtigungsmanagement hilft Ihnen, den ständig wachsenden gesetzlichen Anforderungen an den Datenschutz speziell im Bankenwesen gerecht zu werden. Es schützt Sie und Ihre Kunden vor Sicherheitslücken. Mögen Aufwand und Kosten der Installation vielleicht hoch sein – der Nutzen für Ihr Finanzinstitut ist höher.