IAM – Fluch oder Segen

Umset­zung regu­la­to­risch erwei­ter­ter Anfor­de­run­gen im Eigen­in­ter­es­se der Banken

Ver­schär­fung der BAIT bei IAM zwingt zum Handeln

Am 16. August 2021 hat die BaFin die neue Fas­sung ihrer Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT (BAIT) ver­öf­fent­licht, wel­che noch am sel­ben Tag in Kraft getre­ten sind.

Der Schwer­punkt der Neu­hei­ten liegt hier­bei nun­mehr weni­ger auf grund­le­gen­den Ände­run­gen als viel­mehr auf der Erwei­te­rung und Anpas­sung diver­ser Anfor­de­run­gen. Die­ses gilt auch für das zen­tra­le The­men­feld des Iden­ti­ty & Access Manage­ments (IAM).

Die BAIT beschreibt detail­lier­te Anfor­de­run­gen an IT-Berech­ti­gungs­kon­zep­te, Geneh­mi­gungs- und Kon­troll­pro­zes­se, Rezer­ti­fi­zie­rung der Berech­ti­gun­gen sowie Nach­voll­zieh­bar­keit und Doku­men­ta­ti­on sämt­li­cher Einrichtungs‑, Ände­rungs- und Deak­ti­vie­rungs­pro­zes­se. Unter IAM fal­len damit alle Funk­tio­nen und Arbeits­schrit­te im Zusam­men­hang mit der Admi­nis­tra­ti­on von Iden­ti­tä­ten und der Ver­wal­tung von Zugriffs­rech­ten sowie die damit ver­bun­de­ne Nachweisführung.

Von beson­de­rer Bedeu­tung ist die vor­ge­nom­me­ne Ergän­zung des Abschnitts 6.1. Mit ihm wur­de zusätz­lich in die BAIT auf­ge­nom­men, dass jeg­li­che Zugriffs‑, Zugangs- und Zutritts­rech­te auf Bestand­tei­le bzw. zu Bestand­tei­len des Infor­ma­ti­ons­ver­bun­des stan­dar­di­sier­ten Pro­zes­sen und Kon­trol­len unter­lie­gen sol­len, was kon­kret alle Berech­ti­gun­gen von Betriebs­sys­tem- über Daten­bank- bis Anwen­dungs­ebe­ne betrifft, und zwar auch für tech­ni­sche Zugän­ge bzw. Nutzer.

Aku­ter Hand­lungs­be­darf in der deut­schen Finanzszene

Für Deutsch­lands Ban­ken gilt mit Inkraft­set­zung der neu­en BAIT der Vor­satz „zeit­nah agie­ren und nicht erst, wenn die Auf­sicht an die Tür klopft“. Dies soll­te nicht im Lich­te eines Zug­zwangs gese­hen wer­den, son­dern im urei­ge­nen Inter­es­se der Insti­tu­te. Der Stand der tech­ni­schen Ent­wick­lung sowie der Digi­ta­li­sie­rung erhöht das Risi­ko betrü­ge­ri­scher Sys­tem­zu­grif­fe in erheb­li­chem Maße. In der Vor­beu­gung und Bekämp­fung betrü­ge­ri­scher Mög­lich­kei­ten sind koor­di­nie­ren­de Maß­nah­men erfor­der­lich, die man mit Bord­mit­teln und einer „dezen­tra­len teil­ma­nu­el­len Lösung“ von Zugriffs- und Berech­ti­gungs­kon­trol­len nicht mehr beherr­schen kann.

Der aus die­sen regu­la­to­ri­schen Anfor­de­run­gen resul­tie­ren­de Inves­ti­ti­ons­be­darf sowie die Bean­spru­chung unter­neh­mens­in­ter­ner Res­sour­cen gehen in vie­len Fäl­len über „das Mach­ba­re“ weit hin­aus. Auch vor dem Hin­ter­grund bereits erfolg­ter oder anste­hen­der Ver­la­ge­run­gen von Anwen­dun­gen in eine Cloud-Lösung gilt es, effi­zi­ent vor­zu­ge­hen und effek­ti­ve Ergeb­nis­se zu erzeugen.

Im Kon­text der welt­weit zu begrü­ßen­den posi­ti­ven, aber auch bedroh­lich nega­ti­ven Effek­te der fort­schrei­ten­den Digi­ta­li­sie­rung, han­delt es sich hier um eine not­wen­di­ge, gera­de aber auch für die mit hoch­sen­si­blen Daten ope­rie­ren­de Finanz­dienst­leis­tungs­bran­che maxi­mal sinn­haf­te Inves­ti­ti­on in die Zukunft.

Die sich in Sum­me erge­ben­den Vor­tei­le über­wie­gen den ver­meint­li­chen Auf­wand und brin­gen sogar ins­ge­samt mit­tel­fris­tig Kos­ten­vor­tei­le, da wesent­li­che Pro­zes­se auto­ma­ti­siert wie­der­ver­wend­bar sind und die manu­el­le Admi­nis­tra­ti­on in den Hin­ter­grund rückt.

Was ist zu tun

Gemäß öffent­lich zugäng­li­chem Zah­len­ma­te­ri­al waren bis Ende 2020 etwa 60 % der Finanz­in­sti­tu­te inten­si­ver mit dem The­ma befasst, davon ver­füg­te die Hälf­te der Insti­tu­te bereits über ein­ge­führ­te IAM-Sys­te­me. Hier ist, bezo­gen auf die gesam­te Com­mu­ni­ty, also noch ein deut­li­cher Weg zu beschreiten.

Wie­der ein­mal han­delt es sich um ein The­ma an der Schnitt­stel­le zwi­schen Fach­lich­keit und IT, wobei IAM-Pro­jek­te kei­ne pri­mä­ren IT-Vor­ha­ben sind, son­dern die Fach­lich­keit mit kla­ren Vor­ga­ben für User-Pro­fi­le und Rol­len­be­schrei­bun­gen vorlegt.

Par­al­lel dazu erfolgt der Abschluss der Sys­tem­aus­wahl. Eine Viel­zahl der Anbie­ter von IAM-Sys­te­men waren in der Ver­gan­gen­heit US-ame­ri­ka­nisch geprägt. Inzwi­schen haben sich aber in den letz­ten fünf bis zehn Jah­ren im deutsch­spra­chi­gen Raum eine Rei­he von Lösungs­an­bie­tern etabliert.

Ins­ge­samt bie­tet sich die Chan­ce zum „Auf­räu­men“ durch Löschung von über­hol­ten Zugän­gen (Mit­ar­bei­ter sind gar nicht mehr im Haus oder haben die Posi­tio­nen und damit Auf­ga­ben­zu­stän­dig­kei­ten gewech­selt) und Schaf­fung einer kla­ren und siche­ren Struk­tur mit sich selbst steu­ern­den Mechanismen.

Vor­ge­hens­mo­dell

Von Vor­teil ist die Ein­schal­tung einer erfah­re­nen und unab­hän­gi­gen Instanz in die Aus­wahl­pro­zes­se und vor­be­rei­ten­den Akti­vi­tä­ten, um die Umset­zungs­pha­se eines IAM-Pro­jekts mög­lichst kom­pakt zu gestal­ten. Immer wie­der hat sich gezeigt, dass die Kom­ple­xi­tät eines sol­chen Vor­ha­bens deut­lich unter­schätzt wird. Sowohl den gesetz­li­chen als auch den eige­nen Anfor­de­run­gen des Hau­ses ist in aus­rei­chen­dem Maße Rech­nung zu tra­gen. Ins­ge­samt geht es dar­um, inno­va­tiv in die Zukunft zu inves­tie­ren (Sta­te of the Art), aber gleich­zei­tig den Bogen nicht zu über­span­nen und mit Blick auf Cost-Value-Fak­to­ren eine ange­mes­se­ne Lösung mit ver­träg­li­cher Pro­jekt­lauf­zeit zu imple­men­tie­ren, wel­che auch für klei­ne­re und mit­tel­gro­ße Häu­ser geeig­net ist (maxi­ma­le Nut­zung vor­han­de­ner, aber vor allem erfor­der­li­cher Funktionalitäten).

Das fol­gen­de Schau­bild illus­triert die wesent­li­chen Eck­pfei­ler eines voll inte­grier­ten IAM-Lösungsansatzes:

IAM - Schaubild Artikel MJH

Im Pro­jekt­ab­lauf geht es u. a. um das Auf­set­zen einer IAM-Stra­te­gie, die Durch­füh­rung von Vor­ar­bei­ten wie Bestands­ana­ly­se, Bestands­be­rei­ni­gung sowie die Kon­zep­ti­on und Über­ar­bei­tung des Rol­len­mo­dells (IT vs. Busi­ness) unter Beach­tung gefor­der­ter Funk­ti­ons­tren­nun­gen. Wei­te­re Hand­lungs­fel­der betref­fen die tech­ni­sche Anfor­de­rungs­auf­nah­me (z. B. Inte­gri­tät in die Umsys­te­me, User Expe­ri­ence, Work­flows), die Pro­zess­ge­stal­tung, die Erstel­lung und Aus­wer­tung von RFI/RFP, die Sys­tement­schei­dung sowie die Kon­zep­ti­on der Sys­tem­an­bin­dun­gen (z. B. HR). Nach Instal­la­ti­on und Umset­zung der tech­ni­schen Kon­zep­te in der Ent­wick­lungs­um­ge­bung, einer aus­rei­chen­den technisch/fachlichen Test- und Abnah­me­pha­se (Nut­zung agi­ler Pro­jekt­me­tho­dik) sowie der zeit­ge­rech­ten Durch­füh­rung von Anwen­der­schu­lun­gen kann „die neue IAM-Welt“ in Pro­duk­ti­on an den Start gehen.

Je nach geleis­te­ter Vor­ar­beit und Kom­ple­xi­tät der Unter­neh­mens- und Anwen­dungs­struk­tur kann das Pro­jekt­vor­ha­ben einen Zeit­raum von sechs bis 18 Mona­ten in Anspruch neh­men. ban­kon beglei­tet Sie als neu­tra­ler Part­ner bei der Sys­tem­aus­wahl, Vor­be­rei­tung und Umset­zung Ihres IAM-Projekts.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de