Sofern Sie sich umfassend mit dem Thema "IT-Berechtigungsmanagement" auseinandersetzen möchten, weisen wir Sie gerne auf den Bearbeitungs- und Prüfungsleitfaden IT-Berechtigungsmanagement - Vergabe und Kontrolle von IT-Berechtigungen hin, welches im Dezember 2016 seitens der Finanz Colloquiums Heidelberg GmbH veröffentlicht wurde. An diesem Werk hat sich unser Geschäftsführer, Herr Roland Hein, als Autor beteiligt und einen informativen Beitrag mit dem Titel "Einführung einer zentralen Benutzerrechteverwaltung unter Berücksichtigung der MaRisk-Anforderungen" in diesem Buch veröffentlicht.

Die Anforderung, ein IT-Berechtigungsmanagement zu betreiben, bleibt in den (neuen) MaRisk im AT 7.2 Technisch-organisatorische Ausstattung explizit aufgeführt. In Tz. 2 heißt es: „(…) insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt (…)“. Aus aufsichtsrechtlicher Sicht bedeutet das, dass nur die Personen Zugriff auf sensible Bankdaten erhalten sollen, die diesen auch wirklich benötigen (Prinzip der minimalen Rechtevergabe – „need-to-know“) und dass die hierfür von der Bankenaufsicht erwartete Funktionstrennung sowohl organisatorisch als auch technisch gewährleistet werden muss.

Der Rechtevergabe-Prozess muss deswegen im Zusammenhang mit der Schutzbedarfsanalyse und im Zusammenwirken mehrerer, nicht immer IT-bezogener Organisationsfunktionen wie z. B. Orga/Personal definiert, prüfungssicher dokumentiert und vor allem im Alltag prozessual „gelebt“ werden. Mit der vorantreibenden Digitalisierung unterschiedlicher Prozesse in den Finanzinstituten und dem zunehmenden Schutzbedarf der Bankdaten steigen die Anforderungen an dieses Zusammenwirken, insbesondere an die Berechtigungssysteme und das Berechtigungsmanagement.

 Zunehmende (IT-Sonder-)Prüfungen und daraus resultierende Feststellungen zeigen jedoch, dass hier bei nicht wenigen Instituten immer noch (enormer) Handlungsbedarf besteht. Eingerichtete Rechte stimmen oftmals nicht mit dem Rechtekonzept überein, die Rezertifizierung erfolgt nur auf Rollenebenen und vernachlässigt die Analyse von Sonderrechten oder die regelmäßige und anlassbezogene Überprüfung kritischer IT-Berechtigungen findet unzureichend statt.

 Im Mittelpunkt dieses praxisbezogenen Leitfaden stehen daher:

• Aufsichtsrechtliche Aspekte zur Implementierung eines IT-Berechtigungsmanagements.
• Aktuelle gesetzliche und regulatorische Anforderungen für Kreditinstitute.
• Diverse Konzepte zur Rechtevergabe in Finanzinstituten.
• Vergabe, Entzug und Überprüfung von Kompetenzen.
• Software-gestützte Vergabe und Kontrolle von IT-Berechtigungen.

Autoren & Herausgeber:

• Dr. Jaime Uribe (Hrsg.), Geschäftsführer FCH Personal, Projektleiter Personal und IT / Mitarbeiter der FCH Personal, Finanz Colloquium Heidelberg GmbH
• Henning Riediger (Hrsg.), Prüfungsleiter Referat Bankgeschäftliche Prüfungen, Deutsche Bundesbank
• Mike Bona-Stecki (Hrsg.), IT-Revisor Interne Revision, Sparkasse Langen-Seligenstadt
• Andreas Kirsch, Management Consultant KIT-Audit, Security Assist GmbH
• Andreas Kötter, Leiter Unternehmenssicherheit, Volksbank Mittelhessen eG
• Roland Hein, Geschäftsführer, bit Informatik GmbH