IAM – Fluch oder Segen
Umsetzung regulatorisch erweiterter Anforderungen im Eigeninteresse der Banken
Verschärfung der BAIT bei IAM zwingt zum Handeln
Am 16. August 2021 hat die BaFin die neue Fassung ihrer Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht, welche noch am selben Tag in Kraft getreten sind.
Der Schwerpunkt der Neuheiten liegt hierbei nunmehr weniger auf grundlegenden Änderungen als vielmehr auf der Erweiterung und Anpassung diverser Anforderungen. Dieses gilt auch für das zentrale Themenfeld des Identity & Access Managements (IAM).
Die BAIT beschreibt detaillierte Anforderungen an IT-Berechtigungskonzepte, Genehmigungs- und Kontrollprozesse, Rezertifizierung der Berechtigungen sowie Nachvollziehbarkeit und Dokumentation sämtlicher Einrichtungs‑, Änderungs- und Deaktivierungsprozesse. Unter IAM fallen damit alle Funktionen und Arbeitsschritte im Zusammenhang mit der Administration von Identitäten und der Verwaltung von Zugriffsrechten sowie die damit verbundene Nachweisführung.
Von besonderer Bedeutung ist die vorgenommene Ergänzung des Abschnitts 6.1. Mit ihm wurde zusätzlich in die BAIT aufgenommen, dass jegliche Zugriffs‑, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes standardisierten Prozessen und Kontrollen unterliegen sollen, was konkret alle Berechtigungen von Betriebssystem- über Datenbank- bis Anwendungsebene betrifft, und zwar auch für technische Zugänge bzw. Nutzer.
Akuter Handlungsbedarf in der deutschen Finanzszene
Für Deutschlands Banken gilt mit Inkraftsetzung der neuen BAIT der Vorsatz „zeitnah agieren und nicht erst, wenn die Aufsicht an die Tür klopft“. Dies sollte nicht im Lichte eines Zugzwangs gesehen werden, sondern im ureigenen Interesse der Institute. Der Stand der technischen Entwicklung sowie der Digitalisierung erhöht das Risiko betrügerischer Systemzugriffe in erheblichem Maße. In der Vorbeugung und Bekämpfung betrügerischer Möglichkeiten sind koordinierende Maßnahmen erforderlich, die man mit Bordmitteln und einer „dezentralen teilmanuellen Lösung“ von Zugriffs- und Berechtigungskontrollen nicht mehr beherrschen kann.
Der aus diesen regulatorischen Anforderungen resultierende Investitionsbedarf sowie die Beanspruchung unternehmensinterner Ressourcen gehen in vielen Fällen über „das Machbare“ weit hinaus. Auch vor dem Hintergrund bereits erfolgter oder anstehender Verlagerungen von Anwendungen in eine Cloud-Lösung gilt es, effizient vorzugehen und effektive Ergebnisse zu erzeugen.
Im Kontext der weltweit zu begrüßenden positiven, aber auch bedrohlich negativen Effekte der fortschreitenden Digitalisierung, handelt es sich hier um eine notwendige, gerade aber auch für die mit hochsensiblen Daten operierende Finanzdienstleistungsbranche maximal sinnhafte Investition in die Zukunft.
Die sich in Summe ergebenden Vorteile überwiegen den vermeintlichen Aufwand und bringen sogar insgesamt mittelfristig Kostenvorteile, da wesentliche Prozesse automatisiert wiederverwendbar sind und die manuelle Administration in den Hintergrund rückt.
Was ist zu tun
Gemäß öffentlich zugänglichem Zahlenmaterial waren bis Ende 2020 etwa 60 % der Finanzinstitute intensiver mit dem Thema befasst, davon verfügte die Hälfte der Institute bereits über eingeführte IAM-Systeme. Hier ist, bezogen auf die gesamte Community, also noch ein deutlicher Weg zu beschreiten.
Wieder einmal handelt es sich um ein Thema an der Schnittstelle zwischen Fachlichkeit und IT, wobei IAM-Projekte keine primären IT-Vorhaben sind, sondern die Fachlichkeit mit klaren Vorgaben für User-Profile und Rollenbeschreibungen vorlegt.
Parallel dazu erfolgt der Abschluss der Systemauswahl. Eine Vielzahl der Anbieter von IAM-Systemen waren in der Vergangenheit US-amerikanisch geprägt. Inzwischen haben sich aber in den letzten fünf bis zehn Jahren im deutschsprachigen Raum eine Reihe von Lösungsanbietern etabliert.
Insgesamt bietet sich die Chance zum „Aufräumen“ durch Löschung von überholten Zugängen (Mitarbeiter sind gar nicht mehr im Haus oder haben die Positionen und damit Aufgabenzuständigkeiten gewechselt) und Schaffung einer klaren und sicheren Struktur mit sich selbst steuernden Mechanismen.
Vorgehensmodell
Von Vorteil ist die Einschaltung einer erfahrenen und unabhängigen Instanz in die Auswahlprozesse und vorbereitenden Aktivitäten, um die Umsetzungsphase eines IAM-Projekts möglichst kompakt zu gestalten. Immer wieder hat sich gezeigt, dass die Komplexität eines solchen Vorhabens deutlich unterschätzt wird. Sowohl den gesetzlichen als auch den eigenen Anforderungen des Hauses ist in ausreichendem Maße Rechnung zu tragen. Insgesamt geht es darum, innovativ in die Zukunft zu investieren (State of the Art), aber gleichzeitig den Bogen nicht zu überspannen und mit Blick auf Cost-Value-Faktoren eine angemessene Lösung mit verträglicher Projektlaufzeit zu implementieren, welche auch für kleinere und mittelgroße Häuser geeignet ist (maximale Nutzung vorhandener, aber vor allem erforderlicher Funktionalitäten).
Das folgende Schaubild illustriert die wesentlichen Eckpfeiler eines voll integrierten IAM-Lösungsansatzes:

Im Projektablauf geht es u. a. um das Aufsetzen einer IAM-Strategie, die Durchführung von Vorarbeiten wie Bestandsanalyse, Bestandsbereinigung sowie die Konzeption und Überarbeitung des Rollenmodells (IT vs. Business) unter Beachtung geforderter Funktionstrennungen. Weitere Handlungsfelder betreffen die technische Anforderungsaufnahme (z. B. Integrität in die Umsysteme, User Experience, Workflows), die Prozessgestaltung, die Erstellung und Auswertung von RFI/RFP, die Systementscheidung sowie die Konzeption der Systemanbindungen (z. B. HR). Nach Installation und Umsetzung der technischen Konzepte in der Entwicklungsumgebung, einer ausreichenden technisch/fachlichen Test- und Abnahmephase (Nutzung agiler Projektmethodik) sowie der zeitgerechten Durchführung von Anwenderschulungen kann „die neue IAM-Welt“ in Produktion an den Start gehen.
Je nach geleisteter Vorarbeit und Komplexität der Unternehmens- und Anwendungsstruktur kann das Projektvorhaben einen Zeitraum von sechs bis 18 Monaten in Anspruch nehmen. bankon begleitet Sie als neutraler Partner bei der Systemauswahl, Vorbereitung und Umsetzung Ihres IAM-Projekts.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de