Berechtigungsmanagement im Fokus der neuen BAIT

Erweiterte BAIT-Anforderungen an den (Neu-)Vergabeprozess • Umgang mit privilegierten Nutzern • Genehmigungsverfahren und Dokumentation • Praxis- & Prüfungs-Tipps

Die neuen BAIT stellen die zentrale Bedeutung des Benutzerberechtigungsmanagements noch einmal klar heraus. Der Zugriff auf sensible Bankdaten und -prozesse soll nur den Personen gewährt werden, die diesen auch wirklich in Anspruch nehmen müssen ("Need-to-know"-Prinzip). Wie ist der Rechtevergabe-Prozess zu definieren bzw. zu dokumentieren? Eingerichtete Rechte stimmen oftmals nicht mit dem Rechtevergabekonzept und der IT-Strategie überein. Durch die neuen MaRisk und neuen BAIT wird explizit eine risikoorientierte regelmäßige Überprüfung kritischer IT-Berechtigungen gefordert. Die aktuellen regulatorischen Vorgaben sowie häufig identifizierte Schwachstellen bei (Aufsichts-)Prüfungen stehen daher im Mittelpunkt der Veranstaltung. Das Seminar adressiert

Fach- und Führungskräfte aus den Bereichen IT, Organisation, Compliance und (IT-)Revision

Inhaltsverzeichnis:

Seminardokumentation

10.05.2021 150,00 €
Prospekt herunterladen Seite drucken

Seminarthemen und Agenda

10:00 - 11:15 Uhr

Aktuelle regulatorische Vorgaben zur Steuerung von Benutzerberechtigungen  Zentrale Prüfungsschwerpunkte

  • Anforderungen an das Rollenmodell und die Genehmigungs- und Kontrollprozesse - Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer
  • Überwachung privilegierter User, insb. Systemadmins - Anforderungen an Logging, Protokollierung und Protokollauswertung
  • Soll/Soll und Soll/Ist-Abgleiche - Häufige Schwachstellen aufgrund mangelnder Schutzbedarfsanalyse
  • Prüfung der Notwendigkeit und Zulässigkeit beantragter Rechte - Organisatorische und technische Sicherstellung der minimalen Rechtevergabe
  • Rezertifizierung unter Beteiligung der Fachbereiche - Wer trägt die Verantwortung für den Prozess?
  • 4-Augen-Prinzip und Funktionstrennung - Laufende Überwachung des Vergabeprozesses (z. B. Alarmmeldungen) und anlassbezogene Aktualisierung des Berechtigungsmanagementkonzeptes
11:15 - 11:30 Uhr

IT-unterstützte Vergabe, Überprüfung, Rezertifizierung und Dokumentation von Benutzerrechten (Praxisbericht)

  • Unterstüzung durch einen externen DL - Phasen und Erfolgsfaktoren in der Zusammenarbeit
  • Handlungsempfehlungen für die Zusammenarbeit mit externen IT-Dienstleistern
11:45 - 13:00 Uhr

Funktionsbezogene Berechtigungsvergabe • Der Weg ist das Ziel: Schaffung eines einheitlichen Funktionsverständnisses Best-Practice

  • Sicherstellung der Vergabe von Berechtigungen an Benutzer nach dem Prinzip der minimalen Rechtevergabe – Klare Unterscheidung in personalisierte, nichtpersonalisierte und technische Benutzer und die Funktionstrennung im Rechtekonzept (BAIT Konsultation 13/20 Tz. 6.2 und 6.3)
  • Zentralisierte Lösungen insbes. für Kernbankensysteme und wesentliche Teile des Informationsverbunds unerlässlich, vor allem bei größeren Instituten
  • Genehmigungs- und Kontrollprozesse – Sicherstellung, dass die fachlichen Vorgaben eingehalten werden – Häufige Schwachstelle: Ungenügende Kontrolle der Umsetzung in den IT-Systemen und fehlende Einbindung der fachlich verantwortlichen Unternehmensbereiche (BAIT Konsultation 13/20 Tz. 6.4)
  • Analyse der Ausgangslage - Vermeidung der Anträge auf "Zuruf" – Schaffung einer Unternehmensweiten Sicht der Funktionen 
  • Überprüfung eingeräumter Berechtigungen: Vermeidung von Risiken durch regelmäßige Rezertifizierungen.

Konditionen und Organisatorisches

Im Teilnahmeentgelt ist die Seminardokumentation als PDF enthalten. Bei der Anmeldung gewähren wir ab dem zweiten Teilnehmer aus demselben Haus bei zeitgleicher Anmeldung einen Preisnachlass von 20%.

Sie erhalten nach Eingang der Anmeldung Ihre Anmeldebestätigung/Rechnung. Den Zugangslink nebst Code erhalten Sie am Vortag des Seminars. Dieser ermöglicht Ihnen die Teilnahme am Seminar. Ihre Teilnahmebestätigung finden Sie unter MeinFCH. Bitte überweisen Sie den Rechnungsbetrag innerhalb von 30 Tagen nach Zugang der Rechnung. Eine Stornierung Ihrer Anmeldung ist nicht möglich. Eine kostenfreie Vertretung durch Ersatzteilnehmer beim gebuchten Termin dagegen schon. Der Name des Ersatzteilnehmers muss dem Veranstalter jedoch spätestens vor Seminarbeginn mitgeteilt werden. Wir weisen darauf hin, dass eine „Teilnahme“ von anderen als den gebuchten Teilnehmern ansonsten nicht gestattet ist und Schadensersatzansprüche des Veranstalters auslösen. Bei Absage durch den Veranstalter wird das volle Seminarentgelt erstattet. Darüber hinaus bestehen keine Ansprüche. Änderungen des Programms aus dringendem Anlass behält sich der Veranstalter vor.

Tagungsort

ONLINE-Veranstaltung mit ZOOM
die Zugangsdaten erhalten Sie per E-Mail in Nutzung über Plattform Zoom
Telefon: +49 6221-998980
Fax: +49 6221-9989899

Ihre Dozenten

Dr. Thomas Klühspies
Bank Examiner Regional Banking and Financial Supervision
Deutsche Bundesbank


Stephan Wirth
Datenschutzbeauftragter IT-Strategie/-Sicherheit/Datenschutz
NRW.BANK


Niels von der Hude
Product Management
Beta Systems Software AG


Spezialistenzertifikat

Bilden Sie sich zum Spezialisten in Ihrer Fachrichtung fort und erhalten Sie dafür ein Hochschulzertifikat. Weisen Sie so auch gegenüber der Aufsicht, dem Arbeitgeber und den Kunden Ihre Sachkund...

Mehr erfahren
Werden Sie Sponsor!

Sie sind etablierter bzw. zertifizierter Lösungsanbieter im Finanzsektor? Dann reihen Sie sich ein in die Liste unserer namhaften Kooperationspartner. Werden auch Sie Sponsor und präsentieren Ihre Produkte und Ihr Unternehmen auf unseren Seminaren einer qualifizierten, institutsübergreifenden und klar fokussierten Zielgruppe.

Mit freundlicher Unterstützung von

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.