Schlagwort: Berechtigungsmanagement

SAP-Berechtigungen in Banken: Empfehlungen und praktische Umsetzungshinweise

Die Umsetzung regulatorischer Anforderungen in Banken mithilfe von SAP-Berechtigungen

Anforderungen an das Benutzerberechtigungsmanagement in Banken sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Bankaufsichtlichen Anforderungen an die IT (BAIT)
klar geregelt. Die Umsetzung stellt die Finanzbranchen vor große Herausforderungen.

Lesen Sie im folgenden Beitrag, wie die regulatorischen Anforderungen mithilfe von SAP-Berechtigungen in Banken praktisch umgesetzt werden können und worauf Sie beim Benutzerberechtigungsmanagement in Banken besonders achten sollten.

SAP-Berechtigungen auf aktuellem Niveau

Worum es sich bei Benutzerberechtigungen handelt, ist von der BaFin klar definiert: Ein Benutzerberechtigungsmanagement muss sicherstellen, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Das Benutzerberechtigungsmanagement ist ein wesentliches Instrument, um die Mindestanforderungen für das Risikomanagement (MaRisk) zu erfüllen.

ERP-Systeme für die Finanzindustrie enthalten bereits Softwarelösungen für das Berechtigungsmanagement. Dabei sollten Identity-Access-Management-Systeme in der Lage sein, sowohl Berechtigungen für Cloud-Systeme als auch für Anwendungen auf eigenen Servern zu steuern. Sie müssen leicht verständlich sein, intuitiv benutzbar und sich vor allem hinsichtlich der regulatorischen Anforderungen immer auf dem neuesten Stand befinden.

SAP-Berechtigungen in Banken liefern umfangreiche Tools, die den regulatorischen Vorschriften der BaFin und anderen Vorgaben entsprechen. Eine SAP-Berechtigung in Banken ist eine Ermächtigung, eine bestimmte Aktion im SAP-System durchzuführen. Jede Berechtigung bezieht sich auf ein Berechtigungsobjekt und definiert einen Wert oder mehrere Werte für jedes Berechtigungsfeld, das im Berechtigungsobjekt enthalten ist. SAP-Berechtigungen in Banken werden in Profilen zusammengefasst, die im Stammsatz des Benutzers eingetragen werden.

Ausgewogenes Verhältnis zwischen Standardisierung und Flexibilität

Die umfangreichen Leistungen, die SAP-Berechtigungen in Banken für die Vergabe, den Entzug oder die Änderungen von Berechtigungen bieten, ersetzen aber nicht das aktive Handeln der Mitarbeiter und Verantwortlichen. Es muss ein ausgewogenes Verhältnis zwischen standardisierten Abläufen und flexiblen Möglichkeiten bestehen. Darüber hinaus kann die SAP-Berechtigung nur funktionieren, wenn Inhalte, Daten und Ermächtigungen ständig kontrolliert und aktualisiert werden.

Eine Gesamtkonzeption bezüglich der SAP-Berechtigung sollte gemeinsam von der Geschäftsführung, der Bank-IT und gegebenenfalls von externen Beratungsunternehmen erarbeitet werden. Die Umsetzung des SAP-Berechtigungsmanagements erfordert die Etablierung von ganzheitlichen Prozessen und Verfahren zur Dokumentation. Auch müssen entsprechende Mitarbeiterressourcen bereitgestellt werden. Wichtig bei der Erarbeitung eines Sollkonzeptes sind die Kenntnis und die Berücksichtigung aller regulatorischen Anforderungen an die Finanzwirtschaft, also nicht nur die BaFin-Vorgaben, sondern auch die Datenschutzgrundverordnung der EU (DSGVO) und andere rechtliche Verordnungen. Das Sollkonzept sollte über die SAP-Berechtigung implementiert und ständig entsprechend der aktuellen Gegebenheiten überprüft werden.

SAP-Berechtigungen © Who is Danny / Shutterstock.com

Umsetzung des Sparsamkeitsgrundsatzes erfordert Kontrolle

Die Auswahl der Vergabe von Berechtigungen muss nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Die Entscheidung, wer mit welchen Daten über welchen Zeitraum an welchen Projekten arbeiten darf, ist eine äußerst sensible Entscheidung, die sehr sorgfältig vorgenommen werden muss. Vor allem gilt zu beachten: Es ist keine Entscheidung für die Ewigkeit. SAP-Berechtigungen können immer wieder neu vergeben, müssen aber genauso immer wieder entzogen werden, wenn Projekte abgeschlossen sind oder der Mitarbeiter, dem Zugriffsrechte gewährt wurden, neue Aufgaben erhält und evtl. in Interessenskonflikte gerät.

Wichtig ist es hierbei, eindeutige Verfahrensweisen sowie Zuständigkeiten bei Personalveränderungen oder Berechtigungsveränderungen zu etablieren. Hierbei sollte berücksichtigt werden, dass jede Neuanlage, Änderung oder Löschung von SAP-Berechtigungen Auswirkungen auf das gesamte Anwendersystem hat.

Um der Umgehung der Vorgaben der Berechtigungsprozesse vorzubeugen, empfiehlt die BaFin folgende technisch-organisatorische Maßnahmen:

  • Auswahl angemessener Authentifizierungsverfahren
  • Implementierung einer Richtlinie zur Wahl sicherer Passwörter
  • Einrichtung automatischer passwortgesicherter Bildschirmschoner
  • Verschlüsselung von Daten
  • manipulationssichere Implementierung der Protokollierung
  • Maßnahmen zur Sensibilisierung der Mitarbeiter

Insbesondere der letzte Punkt trägt in entscheidendem Maße zur erfolgreichen Umsetzung der SAP-Berechtigungen in Banken bei.

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

zu weiteren Blogbeiträgen
zu unseren Projektberichten

Anforderungen an das Berechtigungsmanagement in Banken

Berechtigungsmanagement im Bankwesen

Sicherheitslücken im IT-Bereich von Banken und anderen Finanzinstituten können großen Schaden anrichten. Ein wichtiges Instrument, um Cyberkriminalität vorzubeugen und Pannen beim Datenmanagement zu vermeiden, aber auch den speziellen rechtlichen Anforderungen an den Datenschutz im Finanzbereich gerecht zu werden, bildet das Berechtigungsmanagement in Banken. Darunter versteht man die Erlaubnis für Personen, zu einer bestimmten Zeit auf Bankdaten, ein System oder eine Anwendung zuzugreifen, diese zu bearbeiten, zu verwalten und weiterzuleiten.
Lesen Sie im folgenden Beitrag, warum dem Berechtigungsmanagement im Bankwesen eine große Bedeutung zukommt, welche rechtlichen Anforderungen beachtet werden müssen, wie ein funktionierendes Berechtigungsmanagement zu mehr Sicherheit und Transparenz führt und – last but not least – wie die Zuständigkeiten in der Bank verteilt werden sollten, um stets den Überblick über alle Datenprozesse zu behalten.

Starke Regulierung im Berechtigungsmanagement

Banken, Versicherungen und andere Finanzinstitute unterliegen als Betreiber sogenannter kritischer Infrastrukturen (KRITIS) einer besonderen Berichts- und Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Bankenaufsicht BaFin gibt in ihrem “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT” (BAIT) den Rahmen für die technisch-organisatorische Ausstattung der Institute vor – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Das Berechtigungsmanagement muss die Mindestanforderungen an das Risikomanagement erfüllen (MaRisk).
In Absatz II.5. der BAIT werden dafür spezielle Regeln formuliert. So ist ein Berechtigungskonzept schriftlich festzulegen und regelmäßig zu aktualisieren. Bei der Erarbeitung des Konzepts sind die Fachbereiche einzubeziehen. Tragende Säulen des Berechtigungskonzeptes beziehungsweise der Berechtigungsvergabe sind das Need-to-know-Prinzip, eine ordnungsgemäße Funktionstrennung und der richtige Umgang mit kritischen Berechtigungen.
Das Need-to-know-Prinzip besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Bei der Funktionstrennung muss darauf geachtet werden, dass es nicht zu Interessenkonflikten kommt. Kritische Berechtigungen müssen definiert und dürfen nur restriktiv an Benutzer vergeben werden.

Instrument für mehr Effizienz, Transparenz und Sicherheit im Datenmanagement

Aber Berechtigungsmanagement darf nicht nur als Pflicht betrachtet werden, um gesetzliche Bestimmungen einzuhalten. Automatisierte Lösungen und standardisierte Vorgaben sind wirksame Instrumente, um die Effizienz, Transparenz und Sicherheit im Datenmanagement zu erhöhen. Je weniger manuelle Aktivitäten erforderlich sind, um so weniger Fehler und Sicherheitsprobleme treten auf. Außerdem entlastet ein einmal eingesetztes und funktionierendes automatisiertes Berechtigungsmanagement die IT im Unternehmen.
Die Schaffung eines umfassenden Konzeptes zu der Frage, welchen Bereichen oder Personen welche Berechtigungen eingeräumt werden, vereinfacht Prozesse und bringt somit eine hohe Zeitersparnis. Wird die Rechteverwaltung entsprechend den Anforderungen dokumentiert, können Anfragen zu Berechtigungen zügig beantworten werden und Zuarbeiten zu Reports, beispielsweise für Datenschutzbeauftragte, ohne großen Aufwand erfolgen.
Im Falle eines Problems müssen nicht erst umfangreiche Untersuchungen angestellt werden. Sicherheitslücken lassen sich schnell aufdecken, wenn die Berechtigungen entsprechend dokumentiert sind.
Insofern macht es auch für kleinere Finanzinstitutionen, die nicht den strengen Vorgaben der BaFin oder des BiS unterliegen, Sinn, ein automatisiertes Berechtigungsmanagement zu betreiben.

Konzept und Struktur als Fahrplan

Wie in jedem anderen Managementbereich auch, ist ein gutes Konzept das A und O eines erfolgreichen Berechtigungsmanagements. Der Prozess der Rechtevergabe sollte von Anfang an im Zusammenhang mit der Schutzbedarfsanalyse gedacht werden.
Es geht darum, Daten zu schützen und Sicherheitslücken zu schließen. Eine Dokumentation der Konzeption ist nicht nur rechtlich vorgeschrieben – sie ist auch notwendig, um das recht komplexe System von Anfang an richtig aufzubauen. Das Berechtigungskonzept muss je Applikation schriftlich festgelegt und zudem regelmäßig aktualisiert werden. Insbesondere sollte schon bei der Ausarbeitung der Konzeption beachtet werden, dass die entsprechenden Berechtigungsstrukturen der Praxis standhalten müssen.

Überlegen Sie genau:

  • Entsprechen die eingeräumten Berechtigungen den organisatorischen und fachlichen Vorgaben des Instituts?
  • Werden alle rechtlichen und regulatorischen Anforderungen beachtet?
  • Welche Bankdaten sind besonders sensibel und bedürfen eines speziellen Schutzes?
  • Welche Bereiche der Bank, z.B. Buchhaltung, brauchen Zugriff auf welche Art von Daten?
  • An welchen Schnittstellen treffen Daten mit verschiedenen Schutzgraden aufeinander?
  • Welche Daten sind ausgelagert oder auf einer Cloud deponiert?
  • Haben Dritte Zugang zu sensiblen Daten?
  • Auf welchen Servern werden welche Daten verwaltet?
  • Welche Software wird in welchen Bereichen zur Datenverwaltung benutzt?
  • Welche Software eignet sich am besten zum Aufbau beziehungsweise zur Weiterentwicklung des Berechtigungsmanagements?
  • Garantiert die Konzeption zur Vergabe von Rechten tatsächlich einen besseren Schutz der Bankdaten?
© Wright Studio/ shutterstock.com

Verantwortlichkeiten für das Berechtigungsmanagement

Die Implementierung und Verwaltung des Berechtigungsmanagements kann nur in Zusammenarbeit verschiedener Bankbereiche erfolgen. Sowohl die Bank-IT als auch der Datenschutzbeauftragte und die Fachbereiche sind gefordert, gemeinsam ein Berechtigungskonzept und eine Berechtigungsstruktur aufzubauen. Während die Sensibilität von Daten wohl am ehesten vom Datenschutzbeauftragten beurteilt werden kann, sind die Fachabteilung am aussagekräftigsten, wenn es um die Notwendigkeit des Zugriffs auf bestimmte Daten geht. Die Bank-IT muss ein automatisiertes System entwickeln, das die Sicherheit der Daten gewährt und zu mehr Effizienz der Arbeitsprozesse führt.
Wichtig dabei ist eine Trennung der Funktionen, Aufgaben und Abläufe.
Insbesondere müssen bei der Verwaltung des Berechtigungsmanagements Verantwortlichkeiten für die einzelnen Aufgaben klar definiert werden.

Zugriffsberechtigungen und Rücknahmen

Die Bankenaufsicht fordert, dass beim Berechtigungskonzept der Sparsamkeitsgrundsatz “Need-to-know-Prinzip” anzuwenden ist. Es besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. In der Praxis heißt das: So wenig Leute wie möglich sollen Zugang zu sensiblen Bankdaten haben.
Nicht selten werden Zugriffsgenehmigungen zwar restriktiv vergeben – mit der Zeit aber ändert sich für die berechtigten Mitarbeiter der Arbeitsbereich, ohne dass ihnen die Berechtigung entzogen wurde. Hier lohnt es sich, Prozesse zu implementieren, die eine regelmäßige Kontrolle gewährleisten und daraus resultierend entsprechend Handlungen aktivieren. Die BaFin fordert explizit, dass regelmäßig geprüft werden muss, ob eingeräumte Berechtigungen weiter notwendig sind. Eine regelmäßige Überprüfung der vergebenen Benutzerrechte – automatisch und manuell – ist unerlässlich.
Bei der Vergabe von Rechten zum Umgang mit sensiblen Daten an Mitarbeiter sind zahlreiche Faktoren zu berücksichtigen. Nicht nur die Fachabteilungen, zum Beispiel die Buchhaltung oder die Bank-IT, sollten darüber entscheiden, welcher Mitarbeiter welchen Zugriff braucht – auch die Personalabteilungen sollten hier ein Wörtchen mitreden können.
Denken Sie auch daran, welche Verantwortung den Mitarbeitern übertragen wird, die mit sensiblen Daten arbeiten. Vermeiden Sie unbedingt Interessenkonflikte. Einer Person sollten nicht verschiedene sicherheitskritische Aufgaben übertragen werden. Ein Mitarbeiter kann beispielsweise nicht gleichzeitig die Administration der Berechtigungsvergabe leiten und gleichzeitig für die Sicherheitsprüfungen verantwortlich sein.

Fazit

Ein automatisiertes, durchdachtes und praktikables Berechtigungsmanagement hilft Ihnen, den ständig wachsenden gesetzlichen Anforderungen an den Datenschutz speziell im Bankenwesen gerecht zu werden. Es schützt Sie und Ihre Kunden vor Sicherheitslücken. Mögen Aufwand und Kosten der Installation vielleicht hoch sein – der Nutzen für Ihr Finanzinstitut ist höher.

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

zu weiteren Blogbeiträgen
zu unseren Projektberichten
staperior staperior staperior