24 11 BA053
Achtung, dies ist ein veralteter Termin. Alle verfügbaren Termine für dieses Seminar finden Sie hier.

Datum

Dienstag, 19.11.2024, 09:00 - 15:00 Uhr

Webinar

An einem beliebigen Rechner an einem Ort Ihrer Wahl

Über das Seminar

Aktuelle Prüfungen der Aufsicht haben zu (teilweise) schwerwiegenden Feststellungen im Bereich des Berechtigungsmanagements (u. a. Rechtevergabe, Rezertifizierung) geführt. IT-Risiken, Cyber-Angriffe und Lücken in der Informationssicherheit, die auf ein nicht aufsichtskonformes Berechtigungsmanagement zurückzuführen sind, führen zunehmend häufiger zu Ausfällen kritischer Geschäftsprozesse bei Banken und Unternehmen. Die BAIT haben die zentrale Bedeutung des Rechtemanagements daher noch einmal klar herausgestellt. Die neuen DORA-Vorgaben erhöhen die Anforderungen an die digitale Resilienz.

Der Zugriff auf sensible Bankdaten und -prozesse soll nur durch die Personen erfolgen, die diesen Zugriff auch wirklich benötigen ("Need-to-know"-Prinzip). Aber wie kann der Rechtevergabe-Prozess institutsspezifisch definiert bzw. dokumentiert werden? In der Praxis stimmen eingerichtete Rechte oftmals nicht mit dem Rechtevergabekonzept und der IT-Strategie überein. Die Aufsicht fordert daher explizit eine risikoorientierte regelmäßige Überprüfung kritischer IT-Berechtigungen.

Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten, die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden. Aufgrund der damit verbundenen weitreichenden Eingriffsmöglichkeiten hat das Institut insbesondere für die Aktivitäten mit privilegierten (besonders kritischen) Benutzer- und Zutrittsrechten angemessene Prozesse zur Protokollierung und Überwachung einzurichten.

Referenten

Dr. Thomas Klühspies
Prüfungsleiter Bankgeschäftliche IT-Prüfungen
Deutsche Bundesbank
München
Stephan Wirth
Datenschutzbeauftragter, Informationssicherheitsbeauftragter
NRW.BANK
Düsseldorf