Das “leidige” Thema Berechtigungsmanagement wird in der konsultierten BAIT-Fassung (Oktober 2020) deutlich aufgewertet. Hierbei sind klare Verschärfungen festzustellen, die in der Praxis bei vielen Instituten zu Mehraufwand führen werden. Insbesondere wenn das Rechtemanagement in einer Organisation bisher nur als lästige Pflicht im Sinne einer “minimale Aufwand, um keine Feststellungen durch die Prüfer zu bekommen”-Politik betrieben wurde, stehen in den folgenden Jahren erhebliche Aufwände für ein modernes und umfassenderes Identitäts- und Rechtemanagement bevor.
Das Kapitel 6 Identitäts- und Rechtemanagement der konsultierten BAIT-Fassung sieht auf den ersten Blick ähnlich zum bisherigen Kapitel 5 Benutzerberechtigungsmanagement der aktuellen BAIT-Fassung (September 2018) aus, hat aber einigen Zündstoff dazubekommen. Dies beginnt schon beim Titel, der klar darauf hinweist, dass die oftmals sehr enge Definition von Benutzerberechtigungen als reine IT-Zugriffsverwaltung nicht mehr ausreicht, um die regulatorischen Anforderungen der BaFin abzubilden.
Schon in der Tz. 6.1. ist eine fundamentale Ergänzung zum bisherigen Anforderungskatalog hinzugekommen. So stellt die BaFin klar, dass jegliche Zugriffs-, Zugangs- und Zutrittsrechte durch die Institute in einem geregelten, kontrollierten Prozess zu verwalten sind (Tz. 6.1.). Dies betrifft nicht nur die von vielen Instituten im Rahmen des Identity- & Accessmanagements bereits betrachteten fachlichen Anwendungsberechtigungen oder -rollen, sondern konkret alle Berechtigungen von Betriebssystem- über Datenbank- bis Anwendungsebene, und zwar auch für technische Zugänge/Nutzer (Tz. 6.2.). Unsere Erfahrungen dazu aus zwei konkreten Projekten im laufenden Jahr hat klar gezeigt, dass gerade die Abbildung und vor allem Kontrolle aller Betriebssystemrechte eine solide und performante IAM-Architektur voraussetzt.
Die komplexe Berechtigungsstruktur bis hin zu Zugriffsregeln auf Zellenebene, die moderne Datenbankmanagementsysteme anbieten, erfordert große Sorgfalt und Planung bei der Modellierung der Berechtigungsverwaltung. Es ist daher davon auszugehen, dass für eine erfolgreiche Umsetzung für den nächsten Prüfzyklus zeitnah mit der Projektierung zu beginnen ist.
Der Regulator verdeutlicht weiterhin, dass sich ein Identitäts- und Rechtemanagement über den gesamten Lebenszyklus von Zutritts- / Zugriffsrechten erstreckt und eben auch in der Lage sein muss, unverzügliche Berechtigungsentzüge abzubilden. In den Erläuterungen von Tz. 6.4. wird hier als Beispiel die fristlose Kündigung von Mitarbeitern genannt. Die Umsetzung einer solchen ‘Notfallsperre‘ erfordert im Normalfall getestete und möglichst automatisierte Prozesse, deren Einführung somit nicht länger verschoben werden kann.
Eine weitere Klarstellung im Rahmen der konsultierten Fassung der BAIT betrifft das Thema privilegierte Berechtigungen. Die Ergänzungen in Tz. 6.7. zeigen klar auf, dass die Erfüllungen der Anforderungen an den Umgang mit privilegierten Zutritts- und Zugriffsrechten in der Praxis nur mit einem modernen Privilege & Accessmanagement (PAM) Lösung abzubilden sind. Insbesondere die umfangreichen Dokumentationspflichten werden durch die aktuelle Generation der PAM-Lösungen am Markt erheblich effizienter bzw. überhaupt abbildbar.
Zusammengefasst stellt das überarbeitete Kapitel 6 Identitäts- und Rechtemanagement Institute ohne umfassendes IAM und PAM Programm vor große Herausforderungen. Gleichzeitig schafft die Verdeutlichung des Regulators aber auch die Chance, die dafür nötigen Ressourcen im Rahmen der begrenzten Möglichkeiten der Institute auf dieses wichtige Thema zu lenken.
Wichtige Fragestellungen die sich für die Institute ergeben:
- Sind alle Benutzer & Berechtigungen auf Betriebssystemebene durch ein Rechtemanagement verwaltet?
- Sind alle Benutzer & Berechtigungen auf Datenbankebene durch ein Rechtemanagement verwaltet?
- Sind alle Benutzer & Berechtigungen auf Anwendungsebene durch ein Rechtemanagement verwaltet?
- Ist jeder Benutzerzugang einer verantwortlichen Person zugeordnet?
- Existieren für alle technischen Nutzer eindeutige Verantwortlichkeiten?
- Werden alle privilegierten Zutritte und Zugriffe protokolliert und überwacht?
- Ist ein unverzüglicher Entzug von Zutritts- / Zugriffsrechten möglich?
Wie ADVISORI Ihnen hilft
Unsere bisherigen Projekterfolge in dem Bereich zeigen dabei deutlich, dass Investitionen in ein automatisches Identitäts- und Rechtemanagement zu erheblichen Effizienzgewinnen bei der Unternehmens-IT und größerer Projektvelocity führen. In der Praxis stehen daher leistbare Aufwände der IT-Organisation für IAM und PAM oft einem großen Ertrag für das Gesamtunternehmen gegenüber. Aus diesem Grund ist es zu begrüßen, dass die BaFin hier den IT-Organisationen die regulatorische Begründung für notwendige Aufwände liefert. Mit unseren erfahrenen Experten können wir Ihnen helfen, dass diese Aufwände zu Investitionen mit einem nachhaltigen Mehrwert für das Institut werden.
Über den Autor
Oliver Knapp ist seit mehr als 15 Jahren aktiv in der Gestaltung und Weiterentwicklung von Cyber- und Informationssicherheit. Als Teamleiter des Teams Data-Centric Security entwickelt er gemeinsam mit seinen Kollegen bei ADVISORI innovative Lösungen für den Schutz von Unternehmensdaten und für sichere Digitalisierung. In seinen Projekten unterstützt er unsere Kunden dabei, ihre Informationssicherheit technisch und organisatorisch entscheidend voranzubringen.
Erfahren Sie mehr zur Konsultion der BAIT in unserer Artikelserie.