Berechtigungsmanagement: Mehr Sicherheit im Zahlungsverkehr
8MAN
Die Finanzwirtschaft fällt in den Bereich Betreiber kritischer Infrastrukturen (KRITIS) mit Berichts- und Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Für sie gelten besondere gesetzliche Vorgaben für den Umgang mit sensiblen Daten, die nach verschiedenen Schutzlevels klassifiziert sind und für die spezifische Zugriffsklassen gelten. Berechtigungslösungen und das dazu gehörende Berechtigungsmanagement sollen in der Lage sein, Transparenz und Kontrolle über komplexe, schwer überschaubare Systeme im Active Directory und auf Fileservern herzustellen.
von Stephan Brack, CEO 8MAN
Defizite zeigt die Finanzwirtschaft in einer komplexen IT-Infrastruktur ohne Überblick über die Kritikalität von IT-Prozessen zur Erbringung ihrer Kernleistung. Eine erfolgreiche Digitalisierung durch sich ändernde Kundenanforderungen (z. B. E-Banking) erfordert den Ausbau einer IT, die vor innerem Missbrauch beim Umgang mit Daten, aber auch vor Cyber-Kriminalität in höchstem Maße sicher ist.In der Finanzwirtschaft gelten hohe Compliance-Vorgaben und Rechtsregeln im Umgang mit vertraulichen Unternehmensdaten. Darüber hinaus müssen die Sorgfalts- und Leistungsnachweise durch einschlägige Sicherheitsstandards erfüllt werden. Aus diesem Grund ist ein klar nachvollziehbares, einfach zu bedienendes Managementsystem für die Administration von Zugriffsrechten unerlässlich.
Stolpersteine beim Berechtigungsmanagement
Die Berechtigungsverwaltung mit konventionellen Bordmitteln kann vor allem für größere Organisationen massive Stolpersteine mit sich bringen. Bereits bei der Berechtigungsvergabe an Mitarbeiter müssen viele Faktoren bedacht werden, die sich je nach Situation schnell wieder ändern und negative Konsequenzen mit sich ziehen können. Welche Mitarbeiter benötigen Direktberechtigungen, besitzt ein Mitarbeiter Überberechtigungen, die man ihm vielleicht nicht anvertrauen sollte oder die einfach nicht in seinen Arbeitsbereich fallen? Aber auch, wenn ein Mitarbeiter das Unternehmen verlässt, können sich gravierende Sicherheitslücken im Berechtigungsmanagement ergeben. Ein versäumter Nutzerrechteentzug, wenn ein Mitarbeiter das Unternehmen verlässt, ist genauso unerwünscht wie inaktive Nutzerprofile. Dies ist vor allem ärgerlich, wenn keine Rezertifizierungsmöglichkeit für Berechtigungen gegeben ist.
Auch fehlende Möglichkeiten zur Protokollierung und Dokumentation der Prozesse können zu einer unzulänglichen Überwachung und übersehenen Aufgaben bei der Regulierung von Berechtigungen führen, die das Risiko für unerlaubte Zugriffe auf Daten und Ressourcen erhöhen.
Um diesen Anforderungen gerecht zu werden, wird ein zentrales und prozessorientiertes Werkzeug benötigt, das die jeweilige Rechtelage nachvollziehbar und übersichtlich darstellen kann und bei der konsequenten Analyse und Überwachung der Zugriffsrechte nützlich ist. Ist das Finanzunternehmen an vielen verschiedenen Standorten tätig, sollte die Kontrolle der Berechtigungen auch der jeweiligen Personalverantwortung zugeordnet sein, da sie zu allererst darüber informiert, wenn einer neuer Mitarbeiter kommt oder ein Mitarbeiter das Unternehmen verlässt.
Minimalprinzip
Ein funktionierendes Berechtigungsmanagement erfordert auch die Beteiligung und die Verantwortung der Fachabteilungen. Der Gesetzgeber fordert eine regelmäßige Überprüfung, also eine Nachbetrachtung vergebener Benutzerrechte, so dass das in der Organisation umgesetzte „Minimalprinzip“ nachgewiesen werden kann.
Das Minimalprinzip schreibt vor, dass Mitarbeiter nur die IT-Rechte erhalten, die für ihren Aufgabenbereich unbedingt notwendig sind (Funktionstrennung/Segregation of Duty).”
Eine besondere Herausforderung liegt in der Regel darin, dass es zur Beurteilung der Angemessenheit dieser Benutzerrechte sowohl die IT als auch die Fachabteilung benötigt, wobei die Fachabteilung die Funktionstrennung auf der Basis von Geschäftsaktivitäten analysiert. Automatisierte Rezertifizierungen von Benutzerrechten auf Basis von Geschäftsaktivitäten unterstützen daher die Überprüfung der Rechtevergabe nach dem Minimalprinzip. Auch ist die regelmäßige Überprüfung bestehender Rechte als spezifische Zusatzfunktion für den Bedarf in der Finanzbranche notwendig, um eine der PCI-DSS-Anforderungen zu erfüllen. Der erhöhte Anspruch an den Datenschutz von Banken spielt zusätzlich eine wichtige Rolle bei der Suche nach einer sicheren Lösung. Besonders hilfreich ist es, dabei auf eine Software zu setzen, die auf einem automatisierten Berechtigungsmanagement basiert.
Stephan Brack ist Firmengründer und seit 2009 Geschäftsführer von 8MAN. Vor der Unternehmensgründung verantwortete Brack unter anderem über 13 Jahre das Produktmanagement innerhalb des Telekommunikationskonzerns Alcatel-Lucent in diversen Führungspositionen. Ein automatisiertes Werkzeug wirkt sich auch positiv für die jeweiligen Dateneigentümer aus, die unkompliziert eingebunden werden können und deren individuelles Rechtemanagement in einem Bestell- und Genehmigungsworkflow ebenso unkompliziert bedienbar ist.
Ist ein neues Berechtigungskonzept erforderlich, zieht das möglicherweise erst einmal eine Filemigration nach sich. Mit der Definition klarer Berechtigungsstrukturen aber vereinfachen sich die Prozesse für die IT-Verantwortlichen mit einem zentralen Access-Rights-Manager innerhalb der IT-Infrastruktur, sodass sie jederzeit die IT-grundschutzkonforme Rechteverwaltung dokumentieren, Berechtigungsanfragen zügig beantworten und detaillierte Reporte zur Prüfung an den Datenschutzbeauftragten oder Auditor weiterleiten können.
Nach diesen Anfangsschritten ist bereits die notwendige Transparenz über die Berechtigungsadministration samt Nachweiskontrolle zum Schutz vor möglichem Missbrauch gegeben. Für Player aus der Finanzwirtschaft trägt eine solche automatisierte Berechtigungssoftware damit nicht nur zunehmenden gesetzlichen Anforderungen an Datenschutz im Zahlungsverkehr Rechnung, sondern auch ihren eigenen Kunden und bietet die Grundlage für einen zuverlässig funktionierenden Zahlungsverkehr.
Das BSI weist in seinen Gefährdungskatalogen unter Punkt G 2.191 explizit daraufhin, dass bestehende Rollen- und Berechtigungskonzepte regelmäßig überprüft werden müssen.”
Unternehmen, die mit einer automatisierten Software arbeiten, die darüber hinaus auch noch sehr übersichtlich über alle Berechtigungsstrukturen informiert, stellen sicher, dass sie Überblick über die bestehenden Zugriffsrechte haben und die Rechte der einzelnen Mitarbeiter auf das Notwendigste beschränken. Damit halten sie sich sowohl an Datenschutzstandards, als auch an die Vorgaben des BSI-IT-Grundschutzkatalogs.
Überblick: Was bringt ein automatisiertes Berechtigungsmanagement für Banken?
Automatisierte Berechtigungsmanagementlösungen bringen Banken natürlich eine extrem hohe Zeitersparnis und letztlich mehr Sicherheit durch die standardisierte Berechtigungsvergabe nach dem Need-to-Know-Prinzip (Rechte nur wenn nötig für die Bewältigung der Aufgaben).
Ebenso wird ein regelkonformer und nachvollziehbarer Berechtigungsprozess hergestellt. Das ist vor allem dann sehr praktikabel, sollte doch einmal ein Sicherheitsvorfall eintreten bzw. Beweise gesichert werden müssen: Manager und Revisoren sind schneller auskunftsfähig und beschleunigen den Aufklärungsprozess.
Vor allem aber bringen automatisierte Berechtigungsmanagement-Systeme langfristig eine enorme Entlastung der IT und erhöhen die Effizienz und Agilität in den einzelnen Arbeitsprozessen.”
Fazit
Durch die Einbeziehung des automatisierten Berechtigungskonzepts in das eigene System können Banken, aber auch andere Finanzunternehmen nicht nur die zunehmenden gesetzlichen Anforderungen an Datenschutz im Zahlungsverkehr schneller und effizienter erfüllen, sondern auch ihren eigenen Kunden eine hochmoderne und sichere Zahlungsplattform ermöglichen. Langfristig werden sich Aufwände minimieren und korrektive Maßnahmen zum Schließen von Sicherheitslücken einfacher umsetzbar sein.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/79402
Schreiben Sie einen Kommentar