Titel
Dialog schliessen

Bitte warten
Daten werden geladen...

Bona-Stecki/Riediger/Uribe (Hrsg.)      

Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement

Vergabe und Kontrolle von IT-Berechtigungen

Stand: 01.11.2016
Erscheinungstermin: 15.12.2016
Umfang: ca. 240 Seiten
Preis: € 89,-
ISBN: 978-3-95725-033-9


Die Anforderung, ein IT-Berechtigungsmanagement zu betreiben, bleibt in den (neuen) MaRisk im AT 7.2 Technisch-organisatorische Ausstattung explizit aufgeführt. In Tz. 2 heißt es: „(…) insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt (…)“. Aus aufsichtsrechtlicher Sicht bedeutet das, dass nur die Personen Zugriff auf sensible Bankdaten erhalten sollen, die diesen auch wirklich benötigen (Prinzip der minimalen Rechtevergabe – „need-to-know“) und dass die hierfür von der Bankenaufsicht erwartete Funktionstrennung sowohl organisatorisch als auch technisch gewährleistet werden muss.

Der Rechtevergabe-Prozess muss deswegen im Zusammenhang mit der Schutzbedarfsanalyse und im Zusammenwirken mehrerer, nicht immer IT-bezogener Organisationsfunktionen wie z. B. Orga/Personal, definiert, prüfungssicher dokumentiert und vor allem im Alltag prozessual „gelebt“ werden. Mit der fortschreitenden Digitalisierung unterschiedlicher Prozesse in den Finanzinstituten und dem zunehmenden Schutzbedarf der Bankdaten steigen die Anforderungen an dieses Zusammenwirken, insbesondere an die Berechtigungssysteme und das Berechtigungsmanagement.

Zunehmende (IT-Sonder-)Prüfungen und daraus resultierende Feststellungen zeigen jedoch, dass hier bei nicht wenigen Instituten immer noch (enormer) Handlungsbedarf besteht. Eingerichtete Rechte stimmen oftmals nicht mit dem Rechtekonzept überein, die Rezertifizierung erfolgt nur auf Rollenebenen und vernachlässigt die Analyse von Sonderrechten oder die regelmäßige und anlassbezogene Überprüfung kritischer IT-Berechtigungen findet unzureichend statt.

Im Mittelpunkt dieses praxisbezogenen Leitfadens stehen daher:

• Aufsichtsrechtliche Aspekte zur Implementierung eines IT-Berechtigungsmanagements
• Aktuelle gesetzliche und regulatorische Anforderungen für Kreditinstitute
• Diverse Konzepte zur Rechtevergabe in Finanzinstituten
• Vergabe, Entzug und Überprüfung von Kompetenzen
• Software-gestützte Vergabe und Kontrolle von IT-Berechtigungen

Zurück