Ausgangslage
Die stetig wachsenden IT- und Systemlandschaften stellen die Unternehmen unter anderem auch im Bereich des Identity- und Accessmanagements (IAM) vor enorme Herausforderungen. Zur Erfüllung der aufsichtsrechtlichen Anforderungen aus den BAIT sind entsprechende Maßstäbe im Unternehmen zu verankern. Dabei spielen die Interaktionen zwischen den einzelnen Fachbereichen, das Zusammenwirken und die Zulieferungen der einzelnen Anwendungen eine große Rolle. Berechtigungskonzepte sind abzustimmen und müssen als Gesamtheit den Anforderungen der BAIT entsprechen. Nur durch ein vollständiges und transparentes Berechtigungskonzept ist sichergestellt, dass lediglich befugte Personen und Programme die korrekten Rechte für einen entsprechenden Zugriff erhalten. Es gilt, die personalisierten und nicht personalisierten Zugriffe nach dem Minimalprinzip (Need-to-know) zu konzipieren und unter Berücksichtigung der Funktionstrennung (Segregation of Duties, SoD) vollständig und transparent abzubilden.
Unser Weg zur Lösung
Eine Möglichkeit für die Vergabe von Zugriffen und somit die Zuweisung von Rechten ist das rollenbasierte Berechtigungskonzept, über welches eine konsistente, einheitliche und transparente Vergabe gesteuert werden kann. Die User werden über bestellbare oder zugewiesene Rollen berechtigt. Diesem Muster folgen dann auch zum Beispiel die Prozesse der Rezertifizierung bis zum rechtzeitigen Entzug von Berechtigungen beim Offboarding von Mitarbeitenden. Dies zeigt, dass ein sorgfältig gestaltetes Berechtigungskonzept in der Folge einen deutlich reduzierten zeitlichen und administrativen Aufwand mit sich bringt und außerdem als Gesamtkonstrukt die Einhaltung der aufsichtsrechtlichen Anforderungen gewährleistet.
Neben den Anforderungen aus den BAIT und MaRisk dürfen auch die Anforderungen aus der DSGVO bei der Erstellung von Berechtigungskonzepten nicht vernachlässigt werden. Für viele IT-Systeme bedeutet dies einen hohen logistischen Aufwand bei der Strukturierung einzelner Objekte und Anwendungen sowie eine hohe interdisziplinäre Zusammenarbeit zwischen Systemverantwortlichen und der zentralen IAM-Stelle.
Es ist essenziell, dass die Verantwortlichen das Berechtigungskonzept strukturell umfassend und übergreifend erstellen und nicht zu Lasten der Qualität zu sehr vereinfachen. Ein vermeintlich geringer Aufwand bei der Ersterstellung rächt sich in der Regel bei den Folgeprozessen und bringt ein Vielfaches an Aufwand in die Gesamtorganisation.
Fazit
Ein gut durchdachtes integriertes Konzept fördert die Akzeptanz im Unternehmen und ist die Grundvoraussetzung, dass das Procedere möglichst einfach erlebt, verstanden und in der Praxis sicher umgesetzt wird.
Möchten Sie mehr über unsere Identity- und Accessmanagement-Ansätze sowie die strukturierte Erstellung von Berechtigungskonzepten erfahren, kontaktieren Sie gerne einen unserer Experten.
