Rezertifizierung: Berechtigungsmanagement automatisieren!

Regulierung bringt neue Anforderungen für Banken

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Im Berechtigungsmanagement warten spätestens ab Januar 2025 neue regulatorische Anforderungen. Ein zentraler Aspekt wird die Rechterezertifizierung sein. Kreditinstitute können entsprechende Herausforderungen nur mit digitalen Lösungen meistern.

Berechtigungsmanagement ist wichtig für Banken

Im Berechtigungsmanagement stehen Banken vor neuen regulatorischen Anforderungen.

Partner des Bank Blogs

Deloitte ist Partner des Bank Blogs

Kreditinstitute stehen vor der Herausforderung, ein striktes Regelwerk einzuhalten, das den Schutz sensibler Daten und die Sicherheit ihrer Systeme gewährleistet. Gemäß den regulatorischen Richtlinien in BAIT (Bankaufsichtliche Anforderungen an die IT) und MaRisk (Mindestanforderungen an das Risikomanagement) müssen sie Zugriffs- und Zutrittsberechtigungen sorgfältig dokumentieren.

Ein zentraler Aspekt dieser Dokumentation ist die Rechterezertifizierung: ein Prozess, der sicherstellt, dass die vergebenen Berechtigungen mit aktuellen Praktiken und Pflichten übereinstimmen. Dafür braucht es digitale Lösungen.

Anforderungen an das Berechtigungsmanagement steigen

Regulatorische Richtlinien wie BAIT und MaRisk setzen Kreditinstitute unter Druck, Zugriffs- und Zutrittsberechtigungen für Software, EDV-Strukturen und Räumlichkeiten sorgfältig zu dokumentieren. Die Rezertifizierung, ein Prozess, der die Überprüfung der Übereinstimmung mit aktuellen Praktiken und dokumentierten Pflichten umfasst, ist dabei ein wesentliches Element. Konkret bedeutet dies, dass die Verantwortlichen die vergebenen Berechtigungen regelmäßig überprüfen und bestätigen müssen, um sicherzustellen, dass sie weiterhin gerechtfertigt sind. Dieser Prozess bietet eine wichtige Sicherheitsmaßnahme, um unbefugten Zugriff zu verhindern und die Integrität der Systeme zu wahren.

Die bevorstehende Verordnung DORA (Digital Operational Resilience Act) auf EU-Ebene wirft bereits ihre Schatten voraus: Hier drohen weitere regulatorische Anforderungen an Kreditinstitute. Es ist anzunehmen, dass diese Verordnung spätestens im Januar 2025 zusätzliche Anforderungen an das Zugriffs- und Zutrittsmanagement mit sich bringen wird. Folglich sind Banken und Sparkassen dazu angehalten, sich schnell mit dem Thema Rezertifizierung auseinanderzusetzen.

Dies erfordert nicht nur die Entwicklung klarer Konzepte, sondern auch eine effektive Umsetzung und regelmäßige Überprüfung, um den regulatorischen Anforderungen gerecht zu werden.

Rezertifizierung? Nur mit Software möglich!

Im Rahmen der Rezertifizierung spielen dabei die jeweiligen Schutzbedarfsklassen eine entscheidende Rolle, die den Zeitrahmen für den Überprüfungszyklus bestimmen – ein Zeitraum, der zwischen sechs Monaten und drei Jahren liegen kann. Mit menschlichem Aufwand sind diese Anforderungen nicht zu stemmen – hier braucht es digitale Lösungen, die den Prozess des Berechtigungsmanagements weitgehend automatisieren. Die passende Lösung zu finden, ist nicht einfach: Eine Software, die den Anspruch erhebt, die regulatorischen Auflagen maximal zu unterstützen, muss über eine Reihe entscheidender Fähigkeiten und Eigenschaften verfügen, wie beispielsweise:

  • Digitaler, automatisierter Soll-/Ist-Vergleich: Die Software sollte in der Lage sein, einen digitalen und automatisierten Abgleich zwischen dem Sollzustand (wie in den branchenüblichen Primärsystemen festgelegt) und dem Istzustand durchzuführen.
  • Revisionssichere, digitale Dokumentation: Eine revisionssichere Dokumentation des Soll- und Ist-Zustands sowie die Protokollierung von Anpassungen sind unerlässlich. Diese Dokumentation sollte Analysen ermöglichen, die sowohl mit den Verbandsrichtlinien als auch den Anforderungen der Kunden abgestimmt sind.
  • Einfache Anbindung weiterer Tools und Systeme: Die Software sollte die nahtlose Integration weiterer von der Bank eingesetzter Tools und Systeme ermöglichen, einschließlich vorgefertigter Konzepte für gängige Branchenanwendungen.
  • Überprüfung der Berechtigungen: Die Software sollte eine effiziente und schnelle Überprüfung der Zugriffs- und Zutrittsberechtigungen ermöglichen, einschließlich der Darstellung kritischer Berechtigungen mit hohem Risikopotenzial.
  • Digitaler, automatisierter Antrags- und Genehmigungsprozess: Ein digitaler und automatisierter Prozess zur Anpassung von Berechtigungen ist unerlässlich, um den Anforderungen gerecht zu werden.

Verfügt die Softwarelösung über mindestens diese Merkmale, kann sie Kreditinstituten dabei helfen, regulatorische Auflagen effizient zu erfüllen und die Sicherheit ihrer Systeme zu gewährleisten.

Berechtigungsmanagement: Tiefenanalyse macht den Unterschied

Eine Lösung, die den hohen Anforderungen gerecht wird, sind beispielsweise das FOCONIS-ZAK Funktionspaket „Rezertifizierung“ sowie die Software Deep Thought™. Die innovative Kooperationsanwendung setzt nun neue Maßstäbe in der Überwachung und Analyse von Zugriffs- und Zutrittsberechtigungen. Neben den branchenüblichen Standards bietet sie ein tiefgreifendes Know-how, das sich in umfassenden Tiefenanalysen widerspiegelt und zusätzliche relevante Überprüfungsbereiche einschließlich der „toxischen“ Analysen abdeckt. Diese Vorgehensweise ermöglicht es Banken, potenzielle Auffälligkeiten im Sinne des Internen Kontrollsystems (IKS) sowie kritische Sachverhalte risikoorientiert zu identifizieren und proaktiv entsprechende Gegenmaßnahmen zu ergreifen.

Ein Merkmal ist unter anderem die Einbindung der nach MaRisk BTO 1.1 vorgeschriebenen Funktionstrennung, die durch die Softwarelösung regelkonform abgebildet und konsequent überwacht werden kann. Die Tiefenanalyse ermöglicht dabei gezielte und hoch flexible Recherchen bis auf die untersten Berechtigungsebenen, um potenziell risikoreiche Konstellationen aufzudecken und durch anschließende Maßnahmen zu beheben.

Zu den Leistungen der Tiefenanalysen gehören unter anderem die Überprüfung kritischer Rechtezuordnungen, die Einhaltung von Funktionstrennungen innerhalb der Anwendungen sowie die Unterstützung bei der Überprüfung anwendungsübergreifender Funktionstrennungen.

Anforderungen an das Berechtigungsmanagement steigen

Die Anforderungen an das Berechtigungsmanagement für Kreditinstitute sind in einer zunehmend digitalisierten Welt enorm gestiegen. Die Einhaltung strenger Regelwerke, wie BAIT und MaRisk, ist entscheidend für den Schutz sensibler Daten und die Sicherheit der Systeme. Die Rechterezertifizierung spielt dabei eine zentrale Rolle.

Dabei sind digitale Lösungen unverzichtbar, um die dafür erforderlichen Prozesse effizient zu gestalten – wenn sie den genannten Anforderungen entsprechen. Die Integration digitaler Lösungen ermöglicht eine ganzheitliche Überwachung des Berechtigungsmanagements und trägt dazu bei, die Sicherheit der Systeme langfristig zu gewährleisten.

Über den Autor

Olaf Pulwey

Olaf Pulwey ist Vorstandsvorsitzender der FOCONIS AG, Hersteller des führenden Kontrollprozess-Systems FOCONIS-ZAK®. Er zeichnet dort für die Bereiche Vertrieb, Beratung, Marketing und Öffentlichkeitsarbeit verantwortlich. Der Wirtschaftsinformatiker unterstützt Unternehmen aus der Finanzwirtschaft bei der digitalisierten, automatisierten Umsetzung von Kontrollprozessen, um die Basis für intelligente Predictions im Rahmen der Kundenberatung mittels Machine Learning und Künstlicher Intelligenz zu schaffen.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren