Neue BAIT-Vorgaben zur (Neu-)Vergabe und Kontrolle von Berechtigungen

  • Neue BAIT-Vorgaben im Bereich Identitäts- und Rechtemanagement
  • Rezertifizierung und Rechtevergabe als häufige Feststellungsquelle bei (Aufsichts-)Prüfungen
  • Neue Pflichten und erweiterte Aufgaben für die IT-Organisation, ISB und DSB
  • Erweiterte Anforderungen an Prozesse, Genehmigungsverfahren und Dokumentation bei (Neu-)Vergabe und Rechtewechsel
  • Besonderheiten im Umgang mit privilegierten Nutzern / Admins
  • Praxis- & Umsetzungs-Tipps

Die neuen BAIT erweitern die regulatorischen Anforderungen an das Identitäts- und Rechtemanagement (bisher Benutzerberechtigungsmanagement) und fordern explizit eine risikoorientierte regelmäßige Überprüfung der (kritischen) IT-Berechtigungen. Es muss zwingend sichergestellt werden, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt und auch bei Arbeitsplatzwechseln Interessenkonflikte vermieden werden (AT 4.3.1 MaRisk) sowie angemessene technisch-organisatorische Ausstattung (AT 7.2 MaRisk) als Grundvoraussetzungen für ein funktionierendes und aufsichtskonformes Identitäts- und Rechtemanagement vorhanden ist.

Zugriffsrechte und Zugangsrechte sollen nach dem Prinzip der minimalen Rechtevergabe nur denjenigen Personen erteilt werden, die diese auch tatsächlich benötigen ("Need-to-know"-Prinzip). Der Rechtevergabe-Prozess ist daher klar zu definieren und zu dokumentieren um eine prüfungssichere Rechtevergabe im Einklang mit den geltende Berechtigungskonzepten und der IT-Strategie sicherzustellen.

Im Seminar erhalten Sie konkrete und direkt anwendbare bzw. umsetzbare Praxistipps.

Referenten

Stephan Wirth
Datenschutzbeauftragter, Informationssicherheitsbeauftragter
NRW.BANK
Düsseldorf