Berechtigungsmanagement

Berechtigungsmanagement – Notwendiges Übel oder zentrale Funktion?

Seit einiger Zeit lässt sich beobachten, dass vermehrt Prüfungen und auch Moniten das Berechtigungsmanagement in Banken und bei Finanzdienstleistern adressieren. Typische Themenfelder treten dabei immer wieder auf und sind oft zu beobachten.

Aktuell: Thementalk zum Berechtigungsmanagement bei Banken

 

 

Wir stellen unseren Ansatz für das Berechtigungsmanagement bei Banken vor – beim Thementalk unseres Partners Dictajet QC. 

Nach einem kurzen Online-Vortrag wird es genügend Zeit für Fragen und eine Diskussion geben. Wenn Sie Interesse haben, melden Sie sich bitte an!

Links ist der Link, Termin ist der 21.03.2024 um 16:30.  Anmeldungen sind auch via LinkedIn möglich.

Administration der Zugriffe

  • Beim Mitarbeiter-Austrittsprozess oder beim Wechsel von Abteilungen werden die verbliebenen Berechtigungen nicht zeitnah aufgeräumt und die Mitarbeiterkonten nicht gesperrt. 
  • Eine Übersicht der aktuell vergebenen Berechtigungen kann nicht oder nur verzögert bereitgestellt werden. 
  • Bei Bestellprozessen ist unklar, welche konkreten Berechtigungen Gegenstand der Bestellungen sind oder sein sollen. 
  • Die Einhaltung von Funktionstrennungsgeboten kann nicht anwendungsübergreifend sichergestellt werden. 
  • Das Vier-Augen-Prinzip für die Freigabe von Bestellprozessen ist nicht durchgängig sichergestellt

Identifikation und Authentifizierung

  • Ein Überblick über die Zugriffe, die externen Fachkräften eingeräumt sind, kann nicht zeitnah beigebracht werden.
  • Technische Accounts sind nicht durchgängig handelnden Personen zuordenbar.

Überwachung

  • Historische oder Zeitraumbezogene Reports für die Auswertung von Berechtigungszuordnungen stehen nicht zur Verfügung
  • Rezertifizierungen werden nicht fristgerecht durchgeführt, eine eindeutige Identifikation von häufiger zu rezertifizierenden kritischen Berechtigungen wurde nicht getroffen

Ein effizientes Berechtigungsmanagement erfordert eine angemessene Governance im Unternehmen

  • Richtlinien und Arbeitsanweisungen müssen auf geeigneter Ebene Regelungen treffen, die im täglichen Betrieb auch eingehalten werden können
  • Berechtigungskonzepte dokumentieren die vorhandenen Berechtigungs-Möglichkeiten in den eingesetzten IT-Systemen.

Projektreferenz: QUPIT erstellt eine Richtlinie, die alle notwendigen Regelungen intern festlegt. Wichtige Eckpunkte in der Richtlinie sind die Definition des Need-to-Know-Prinzips sowie die Festlegung, wann eine Berechtigung „kritisch“ ist. Die Funktionstrennungs-Matrix wird anhand der verschiedenen Funktionsbereiche im Unternehmen definiert. Die Prozesse für Berechtigungsvergabe und –entzug sowie Kontrollprozesse werden beschrieben. Ein Template für Berechtigungskonzepte wird entworfen und für wichtige Anwendungssysteme verprobt.

Die Auswahl eines geeigneten Werkzeugs für die Unterstützung der Berechtigungsvergabe muss vielfältige Anforderungen berücksichtigen

  • Der Bereich „IAG“ – Identity Access Governance – muss in dem gewählten Werkzeug in einer Art und Weise konfiguriert werden können, dass die internen Prozesse aus der Berechtigungs- Governance angemessen umgesetzt sind
  • Der Bereich „IAM“ – Identity Access Management – muss in dem gewählten Werkzeug die konkrete Zuordnung von Berechtigungen zu Personen und Accounts abbilden – und idealerweise auch in den wichtigsten Systemen der IT-Landschaft direkt steuern können.

Projektreferenz: Mithilfe einer Ausschreibung wird eine Software für das Berechtigungsmanagement ausgewählt und beschafft. Ein Kriterienkatalog wird zusammengestellt, der die fachlich-inhaltlichen Anforderungen strukturiert beschreibt. Die Ausschreibungsunterlagen werden zusammengestellt. Geeignete Anbieter werden ausgewählt und zur Angebotsabgabe motiviert. Angebote, die Kernfunktionen nicht wie benötigt bereitstellen oder bei denen der laufende Betriebsaufwand zur Abbildung von Kernfunktionen übermäßig hoch wäre, werden aussortiert. Mit der verbleibenden Shortlist von Anbietern werden Präsentationen organisiert, an denen weitere Fragen zu den Einsatzszenarien geklärt werden. Die Entscheidung wird getroffen und das Projekt zur Einführung der gewählten Software vorbereitet.

qupit-qualitaetsprodukte-it-berechtigungsmanagement-anforderungen

Fachrollen als Bündel von einzelnen Berechtigungen bilden das Rückgrat eines effizienten Berechtigungs-Managements

  • Mit Hilfe von geeignet gebildeten Rollen können einzelne Berechtigungen so gebündelt werden, dass die Verwaltungsprozesse in Anzahl und Komplexität beherrschbar bleiben.

Projektreferenz: Für die gesamte Bank (Wholesale-Bank, Kredit- und Handelsseite) sollen neue Fachrollen erstellt werden. Dabei sind komplexe Rahmenbedingungen einzuhalten. Als Zielvorgabe gilt die Zahl von maximal 500 Fachrollen. Bisher werden die Berechtigungen mit über 3.000 verschiedenen Rollen verwaltet. Die vorhandenen Zuordnungen von Rollen und Berechtigungen zu Personen und Accounts werden erhoben und analysiert. Die bestehende Prozesslandkarte wird ausgewertet, um geeignete Funktionsbereiche zu identifizieren. Vorschläge für Fachrollen werden erarbeitet, die die vorhandenen Strukturen näherungsweise abbilden. Die Fachrollen werden mit den zukünftig inhaltlich zuständigen Personen in allen Fachbereichen abgestimmt. Die Inbetriebnahme der neuen Fachrollen wird geplant und vorbereitet. Nach dem Ausrollen der neuen Fachrollen verbliebene Berechtigungs-Zuweisungen „neben“ der neuen Struktur werden analysiert und aufgelöst. Die Zielvorgabe bzgl. der Anzahl von Fachrollen wird eingehalten und sogar unterschritten.

Projekte im Berechtigungsmanagement unterliegen besonderen Herausforderungen

  • Häufig sind vielfältige und einander z.T. widersprechende Zielvorgaben zu berücksichtigen.
    • Sicherheit: Niemand hat Zugriffsrechte, die für die Aufgabenerfüllung nicht benötigt werden.
    • Transparenz: Alle Beteiligten verstehen, was zu beantragen ist und wie die Prozesse dazu verlaufen
    • Effizienz: Berechtigungsanträge werden zeitnah und bedarfsgerecht bearbeitet

Projektreferenz: Das Berechtigungsmanagement der Bank ist im Hinblick auf die Einhaltung von MaRisk und BAIT komplett neu zu strukturieren. Die schriftlich fixierte Ordnung der Bank in Bezug auf das Berechtigungsmanagement wird neu verfasst. Ein schlankes Template für Berechtigungskonzepte gehört mit dazu. Fachrollen werden gebildet, um effiziente Prozesse für die Berechtigungsvergabe zu ermöglichen. Eine geeignete IAM-/ IAG-Software wird ausgewählt und eingeführt. QUPIT begleitet das gesamte Projekt in allen drei Handlungssträngen. Nach einer Projektlaufzeit von nur einem Jahr ist eine funktionierende Lösung implementiert und im produktiven Einsatz.

qupit-qualitaetsprodukte-it-berechtigungsmanagement-herausforderungen