Dienstag, 4. Mai 2021

Berechtigungsmanagement im Fokus der neuen BAIT

Die BAIT zeigen Handlungsbedarf bei den betrieblichen Prozessen zum Identitäts- und Rechtemanagement auf.

Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK 

 

Berechtigungsmanagement als Teil der Unternehmens-Compliance 

Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist dabei ein wesentlicher Erfolgsfaktor zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Dabei sollten jegliche Zugriffs- und Zugangsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes standardisierten Prozessen und Kontrollen unterliegen.

 

Grundlagen zur Gewährung von Berechtigungen

Berechtigungskonzepte müssen konsistent zum Schutzbedarf der betroffenen Informationen aufgesetzt werden. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-to-know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Hierzu ist eine Zuordnung einzelner Berechtigungen zu betrieblichen Funktionen hilfreich. Eine technische Umsetzung der Funktionstrennung ist dabei anzustreben.

 

Umfang des Berechtigungsmanagements

Im Rahmen des Berechtigungsmanagements sind sämtliche Arten von Berechtigungen zu berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer. Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben. Sofern aus fachlicher Sicht umsetzbar, sind eingeräumte Berechtigungen zeitlich zu befristen.

 

Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Deaktivierung, und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie.

 

Regelmäßige Rezertifizierungen

Eingeräumte Berechtigungen für Anwender sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Um einer missbräuchlichen Nutzung von Berechtigungen vorzubeugen, sind nicht mehr benötigte Rechte unverzüglich zu entziehen

 

Protokollierung und Überwachung 

Um sicherzustellen, dass die eingeräumten Berechtigungen ausschließlich wie betrieblich vorgesehen genutzt werden, sind angemessene Prozesse zur Protokollierung und Überwachung einzurichten. Dies gilt insbesondere für privilegierte Berechtigungen, die aufgrund ihres Rechteumfangs ein erhöhtes Risikopotential darstellen. 

 

Die übergeordnete Verantwortung für die Prozesse zur Protokollierung und Überwachung von Berechtigungen wird von einer unabhängigen Stelle im Unternehmen wahrgenommen (z. B. dem Informationssicherheitsbeauftragten).

 

PRAXISTIPPS

  • Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen.
  • Beachten Sie das Need-to-know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher. 
  • Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung.
  • Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements.
  • Die Einhaltung der betrieblichen Vorgaben zum Berechtigungsmanagement sind zu überwachen.

Beitragsnummer: 18188

Produkte zum Thema:

Produkticon
Berechtigungsmanagement im Fokus der neuen BAIT

299,00 € exkl. 19 %

10.05.2021

Produkticon
Schutzbedarfsanalyse Spezial: Kredit-Prozesse und Kredit-Daten

299,00 € exkl. 19 %

07.06.2021

Beiträge zum Thema:

Beitragsicon
Etablierung einer unabhängigen Validierungsfunktion gemäß BCBS 239

Erwartungen des europäischen Regulators mit Augenmaß begegnen.

03.05.2021

Beitragsicon
Anforderung und Umsetzung der BAIT

Die bisherigen Regelungen der MaRisk wurden mit den BAIT konkretisiert.

14.01.2021

Beitragsicon
Auslagerung in die Cloud – Eine Herausforderung, die sich lohnt!

Cloud-Auslagerungen sind mit Herausforderungen verbunden, die sich aber lohnen!

06.05.2021

Beitragsicon
Anforderungen an ein angemessenes Berechtigungsmanagement

Die BAIT zeigen den Handlungsbedarf im Zusammenhang mit der Einhaltung und Umsetzung aufsichtsrechtlicher Vorgaben beim Berechtigungsmanagement auf.Stephan

16.04.2019


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.