Benutzerberechtigungen – IT-Aufsicht
Benutzerberechtigungen – IT-Aufsicht
Die neuen MaRisk führen auch zu strengen Vorgaben für das laufende Berechtigungsmanagement. Die wesentlichen Regelungen für das Benutzerberechtigungsmanagement ergeben sich aus den Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, BTO Tz. 9 der MaRisk sowie den BAIT.
Benutzerberechtigungen – IT-Aufsicht – die wichtigsten Anforderungen auf einen Blick
- Anforderungen an die Prozesse der IT-Berechtigungsvergabe
- Zugriffsrechte
- Überprüfung von Berechtigungen und Kompetenzen – Rezertifizierung
- MaRisk in BTO 2.2 Anforderungen an die Prozesse im Handelsgeschäft
- Benutzerberechtigungsmanagement – Regelungen der BAIT
- Need-to-know-Prinzip
Einen aktuellen Umsetzungsfahrplan erhalten Sie mit unserem Seminar Compliance update.
Anforderungen an die Prozesse der IT-Berechtigungsvergabe – Benutzerberechtigungen – IT-Aufsicht
In AT 7.2 Technisch-organisatorische Ausstattung werden die Anforderungen an eine angemessene IT-Berechtigungsvergabe geregelt. Hierzu heißt es in den MaRisk:
Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.
Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich.
Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.
Zugriffsrechte – Benutzerberechtigungen – IT-Aufsicht
Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden.
Ergänzend regeln die MaRisk folgendes:
2 Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen.
Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen.
Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.
Überprüfung von Berechtigungen und Kompetenzen – Rezertifizierung – Benutzerberechtigungen – IT-Aufsicht
Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten und wesentliche IT-Berechtigungen sind mindestens jährlich zu überprüfen, alle anderen mindestens alle drei Jahre.
Besonders kritische IT-Berechtigungen, wie sie beispielsweise Administratoren aufweisen, sind mindestens halbjährlich zu überprüfen.
In den BTO Anforderungen an die Aufbau- und Ablauforganisation wird in Tz 9 folgende Vorgabe geregelt:
9 Bei IT-gestützter Bearbeitung ist die Funktionstrennung durch entsprechende Verfahren und Schutzmaßnahmen sicherzustellen.
Spezielle Anforderungen an Zeichnungsberechtigungen bei Handelsgeschäften – Benutzerberechtigungen – IT-Aufsicht
Weitere Regelungen ergeben sich aus den MaRisk in BTO 2.2 Anforderungen an die Prozesse im Handelsgeschäft.
BTO 2.2.1 Handel:
9 Organisatorisch dem Handelsbereich zugeordnete Mitarbeiter dürfen nur gemeinsam mit Mitarbeitern eines handelsunabhängigen Bereichs über Zeichnungsberechtigungen für Zahlungsverkehrskonten verfügen.
Benutzerberechtigungsmanagement – Regelungen der BAIT
Die MaRisk-Vorgaben werden in den BAIT in Kapitel 5 Benutzerberechtigungsmanagement weiter konkretisiert:
Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.
Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen.
Need-to-know-Prinzip – Benutzerberechtigungen – IT-Aufsicht
Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest. Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.
Hierzu geben die BAIT folgende Erläuterungen:
- Eine mögliche Nutzungsbedingung ist die Befristung der eingeräumten Berechtigungen.
- Berechtigungen können sowohl für personalisierte, für nicht personalisierte als auch für technische Benutzer vorliegen.
- Nicht personalisierte Berechtigungen müssen jederzeit zweifelsfrei einer handelnden Person (möglichst automatisiert) zuzuordnen sein. Abweichungen in begründeten Ausnahmefällen und die hieraus resultierenden Risiken sind zu genehmigen und zu dokumentieren.
- Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben des Berechtigungskonzepts eingehalten werden. Dabei ist die fachlich verantwortliche Stelle angemessen einzubinden, so dass sie ihrer fachlichen Verantwortung nachkommen kann.
Die BAIT geben zum Prozess Berechtigungsmanagement folgende Erläuterungen:
Die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen umfassen jeweils die Umsetzung des Berechtigungsantrags im Zielsystem.
Compliance & Geldwäschebeauftragter – Benutzerberechtigungen – IT-Aufsicht
Unsere Praxisseminare Geldwäsche und Fraud – Basisseminar, Geldwäsche und Fraud – Aufbauseminar, Geldwäsche & Fraud – Update und Geldwäsche & Fraud – Forum verschaffen Ihnen einen umfassenden Überblick zu den aktuellen gesetzlichen Neuerungen und unterstützen Sie dabei, Geldwäsche- und Betrugsstrukturen zu erkennen, zu bewerten und rechtzeitig zu verhindern. In den Compliance-Seminaren wie Compliance, Compliance für Vertriebsbeauftragte, Neue Compliance-Funktion gemäß MaRisk oder auch Compliance im Fokus der Bankenaufsicht werden Ihnen die Ausgestaltung der Schnittstellen zwischen Compliance, Datenschutz, IT, Zentrale Stelle und Interner Revision näher gebracht. Auch die Mindestanforderungen zum Aufbau eines Gesamt-IKS werden hier beispielsweise näher erläutert.
Zudem haben Sie die Chance, nach Teilnahme der Seminare die Zertifizierungslehrgänge zum Compliance Officer, zum AML & Fraud Officer oder zum Geldwäsche-Beauftragter zu absolvieren.
Neues Datenschutzgesetz DS-GVO – Benutzerberechtigungen – IT-Aufsicht
Wesentliche Neuerungen der Europäischen Datenschutzgrundverordnung (DS-GVO) sind folgende 10 Punkte. Künftig gelten das Marktortprinzip, sog. räumlicher Anwendungsbereich, neue Grundsätze der Datenverarbeitung, ein Verzeichnis aller Datenverarbeitungstätigkeiten, die Erweiterung der Informationspflichten, das Recht auf Vergessenwerden“, Schutz personenbezogener Daten von Kindern, Datenschutzfolgenabschätzung, das Prinzip des „One-Stop-Shop“, die verschärften Meldepflicht von „Datenpannen“ sowie deutlich verschärfte Sanktionen und Bußgelder. Mit unserer Seminarreihe Datenschutz im Unternehmen erhalten Sie alle Neuerungen kompakt aufbereitet.