IKT Spezial: Identity & Access Management

Vergabeprozesse und Rezertifizierung als häufige Feststellungs-Quelle

• Aktuelle regulatorische Vorgaben zur Identitäts- / Rechtevergabe und Rezertifizierung
• Häufig identifizierte Schwachstellen in der Praxis
• Funktionsbezogene Vergabe von Benutzerberechtigungen nach den Prinzipien der Rechtevergabe (Need-to-know, Least-Privilege, Segretation-of-Duties)
• Sichere Vorgehensweise bei der Vergabe, Überprüfung, Rezertifizierung und Dokumentation von Identitäten und Rechten

Aktuelle Aufsichts-Prüfungen haben zu (teilweise) schwerwiegenden Feststellungen im Bereich des Berechtigungsmanagements (u. a. Rechtevergabe, Rezertifizierung) geführt. Lücken in der Informationssicherheit, die auf ein nicht aufsichtskonformes Berechtigungsmanagement zurückzuführen sind, führen zunehmend häufiger zu Ausfällen kritischer Geschäftsprozesse bei Banken und Dienstleistern. Die Aufsicht hat die zentrale Bedeutung des Rechtemanagements daher noch einmal klar herausgestellt. Die neuen DORA-Vorgaben verschärfen zudem die Anforderungen an die digitale Resilienz.

Der Zugriff auf sensible Bankdaten und -prozesse soll nur durch die Personen erfolgen, die diesen Zugriff auch wirklich benötigen (»Need-to-know«- Prinzip). Aber wie kann der Rechtevergabe- Prozess institutsspezifisch definiert bzw. dokumentiert werden? In der Praxis stimmen eingerichtete Rechte oftmals nicht mit dem Rechtevergabekonzept und der IT-Strategie überein.

Das Institut hat daher nach Maßgabe der Soll-Anforderungen und des Schutzbedarfs entsprechende Prozesse zur Protokollierung und Überwachung einzurichten. Aufgrund der damit verbundenen weitreichenden Eingriffsmöglichkeiten hat das Institut insbesondere für die Aktivitäten mit privilegierten (besonders kritischen) Benutzer- und Zutrittsrechten angemessene Prozesse zur Protokollierung und Überwachung einzurichten.