Identity Management – Prüfung durch Bankenaufsicht

Identity Management – Prüfung durch Bankenaufsicht

Die neuen MaRisk führen auch zu strengen Vorgaben für das laufende Berechtigungsmanagement. Die wesentlichen Regelungen für das Benutzerberechtigungsmanagement ergeben sich aus den Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, BTO Tz. 9 der MaRisk sowie den BAIT.

Identity Management – die wichtigsten Anforderungen auf einen Blick

  • Anforderungen an die Prozesse der IT-Berechtigungsvergabe
  • Zugriffsrechte
  • Überprüfung von Berechtigungen und Kompetenzen – Rezertifizierung
  • MaRisk in BTO 2.2 Anforderungen an die Prozesse im Handelsgeschäft
  • Benutzerberechtigungsmanagement – Regelungen der BAIT
  • Need-to-know-Prinzip

 

Identity Management - Prüfung durch Bankenaufsicht

 

Anforderungen an die Prozesse der IT-Berechtigungsvergabe – Identity Management – Prüfung durch Bankenaufsicht

In AT 7.2 Technisch-organisatorische Ausstattung werden die Anforderungen an eine angemessene IT-Berechtigungsvergabe geregelt. Hierzu heißt es in den MaRisk:

Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.

Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich.

Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

 

Zugriffsrechte – Identity Management – Prüfung durch Bankenaufsicht

Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden.

 

Ergänzend regeln die MaRisk folgendes:

2 Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen.

Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen.

Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.

 

Überprüfung von Berechtigungen und Kompetenzen – Rezertifizierung – Identity Management – Prüfung durch Bankenaufsicht

Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten und wesentliche IT-Berechtigungen sind mindestens jährlich zu überprüfen, alle anderen mindestens alle drei Jahre.

Besonders kritische IT-Berechtigungen, wie sie beispielsweise Administratoren aufweisen, sind mindestens halbjährlich zu überprüfen.

 

In den BTO Anforderungen an die Aufbau- und Ablauforganisation wird in Tz 9 folgende Vorgabe geregelt:

9 Bei IT-gestützter Bearbeitung ist die Funktionstrennung durch entsprechende Verfahren und Schutzmaßnahmen sicherzustellen.

 

Spezielle Anforderungen an Zeichnungsberechtigungen bei Handelsgeschäften – Identity Management – Prüfung durch Bankenaufsicht

Weitere Regelungen ergeben sich aus den MaRisk in BTO 2.2 Anforderungen an die Prozesse im Handelsgeschäft.

BTO 2.2.1 Handel:

9 Organisatorisch dem Handelsbereich zugeordnete Mitarbeiter dürfen nur gemeinsam mit Mitarbeitern eines handelsunabhängigen Bereichs über Zeichnungsberechtigungen für Zahlungsverkehrskonten verfügen.

 

Benutzerberechtigungsmanagement – Regelungen der BAIT

Die MaRisk-Vorgaben werden in den BAIT  in Kapitel 5 Benutzerberechtigungsmanagement  weiter konkretisiert:

Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.

Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen.

 

Need-to-know-Prinzip – Identity Management – Prüfung durch Bankenaufsicht

Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest. Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.

 

Hierzu geben die BAIT folgende Erläuterungen:

  • Eine mögliche Nutzungsbedingung ist die Befristung der eingeräumten Berechtigungen.
  • Berechtigungen können sowohl für personalisierte, für nicht personalisierte als auch für technische Benutzer vorliegen.
  • Nicht personalisierte Berechtigungen müssen jederzeit zweifelsfrei einer handelnden Person (möglichst automatisiert) zuzuordnen sein. Abweichungen in begründeten Ausnahmefällen und die hieraus resultierenden Risiken sind zu genehmigen und zu dokumentieren.
  • Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben des Berechtigungskonzepts eingehalten werden. Dabei ist die fachlich verantwortliche Stelle angemessen einzubinden, so dass sie ihrer fachlichen Verantwortung nachkommen kann.

 

Die BAIT geben zum Prozess Berechtigungsmanagement folgende Erläuterungen:

Die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen umfassen jeweils die Umsetzung des Berechtigungsantrags im Zielsystem.

 

Compliance & Geldwäschebeauftragter –  Identity Management – Prüfung durch Bankenaufsicht

Unsere Praxisseminare Geldwäsche und Fraud – BasisseminarGeldwäsche und Fraud – AufbauseminarGeldwäsche & Fraud – Update und Geldwäsche & Fraud – Forum verschaffen Ihnen einen umfassenden Überblick zu den aktuellen gesetzlichen Neuerungen und unterstützen Sie dabei, Geldwäsche- und Betrugsstrukturen zu erkennen, zu bewerten und rechtzeitig zu verhindern. In den Compliance-Seminaren wie ComplianceCompliance für VertriebsbeauftragteNeue Compliance-Funktion gemäß MaRisk oder auch Compliance im Fokus der Bankenaufsicht werden Ihnen die Ausgestaltung der Schnittstellen zwischen Compliance, Datenschutz, IT, Zentrale Stelle und Interner Revision näher gebracht. Auch die Mindestanforderungen zum Aufbau eines Gesamt-IKS werden hier beispielsweise näher erläutert.

Zudem haben Sie die Chance, nach Teilnahme der Seminare die Zertifizierungslehrgänge zum Compliance Officer, zum AML & Fraud Officer oder zum Geldwäsche-Beauftragter zu absolvieren.

 

Neues Datenschutzgesetz DS-GVO – Identity Management – Prüfung durch Bankenaufsicht

Wesentliche Neuerungen der Europäischen Datenschutzgrundverordnung (DS-GVO) sind folgende 10 Punkte. Künftig gelten das Marktortprinzip, sog. räumlicher Anwendungsbereich, neue Grundsätze der Datenverarbeitung, ein Verzeichnis aller Datenverarbeitungstätigkeiten, die Erweiterung der Informationspflichten, das Recht auf Vergessenwerden“, Schutz personenbezogener Daten von Kindern, Datenschutzfolgenabschätzung, das Prinzip des „One-Stop-Shop“, die verschärften Meldepflicht von „Datenpannen“ sowie deutlich verschärfte Sanktionen und Bußgelder. Mit unserer Seminarreihe Datenschutz im Unternehmen erhalten Sie alle Neuerungen kompakt aufbereitet.

Identity Management - Prüfung durch Bankenaufsicht