Prävention gegen unbefugte Datenzugriffe


Mangelnde Rezertifizierungsprozesse beim Berechtigungsmanagement öffnen dem betrieblichen Datenmissbrauch in vielen Finanzinstitutionen Tür und Tor
Um den BaFin-Anforderungen nachzukommen, muss ein effektives Berechtigungsmanagement implementiert sein, dass aus drei Säulen besteht: die Prozessabbildung, die Erstellung von Prinzipien und Regeln sowie die Administratorüberwachung


(18.03.11) - Die Anforderungen an die IT-Sicherheit sind in der Finanzindustrie in den letzten Jahren deutlich gestiegen. Laut der "2010 Financial Services Global Security Study" von Deloitte teilen sich demnach nahezu alle Organisationen der Finanzbranche momentan eines: Die Sorge um die "innere Bedrohung". Nicht ganz unberechtigt, findet der Infrastrukturanbieter Novell, da mangelnde Rezertifizierungsprozesse beim Berechtigungsmanagement dem betrieblichen Datenmissbrauch in vielen Finanzinstitutionen Tür und Tor öffneten.

Christoph Stoica, Director Identity & Security Management bei Novell Central Europe, sagt:

"Viele Banken haben Angst, dass Mitarbeiter sensible Daten entwenden und der Öffentlichkeit zugänglich machen. Demensprechend investieren sie verstärkt in Verschlüsselungs- und Endpoint Security-Technologien. Wichtig hierbei ist jedoch, dass interne Sicherheitsmaßnahmen sich nicht nur auf die vorhandene Infrastruktur beziehen, sondern auch eine Überprüfung der internen Vergabeprozesse von Berechtigungen umfassen. Oftmals führen nämlich vor allem die veralteten Berechtigungszuweisungen dazu, dass Mitarbeiter Zugriff auf Daten erhalten, die ihnen aufgrund ihrer aktuellen Position eigentlich gar nicht zugänglich sein dürften.

Der korrekte Umgang mit Berechtigungen ist nicht nur eine Prävention gegen unbefugte Datenzugriffe, sondern seit 2009 auch gesetzlich verankert. So müssen Unternehmen laut der Mindestanforderungen an das Risikomanagement von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Prozesse für eine angemessene IT-Berechtigungsvergabe einrichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Die Eignung der IT-Systeme und der zugehörigen Prozesse sei zudem regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

Um den BaFin-Anforderungen nachzukommen, muss ein effektives Berechtigungsmanagement implementiert sein, dass aus drei Säulen besteht: die Prozessabbildung, die Erstellung von Prinzipien und Regeln sowie die Administratorüberwachung. Vor allem die Abbildung von Schlüsselprozessen – wie beispielsweise die Rezertifizierung, also die regelmäßige Überprüfung der Berechtigungen durch Vorgesetzte – bereitet vielen Banken jedoch Probleme. Entweder, weil der Arbeitsaufwand hierzu hoch erscheint. Oder, und das ist meistens der Fall, weil vielen Vorgesetzten nicht bewusst ist, dass einmal freigeschaltete Berechtigungen für einen Mitarbeiter solange gelten, bis diese gezielt entzogen werden.

Helfen können IT-Lösungen für das Berechtigungsmanagement, die die automatische Bereitstellung und Entziehung von Zugriffsrechten ermöglichen. Idealerweise können sie in Echtzeit intelligente Prozesse für die Berechtigungszuweisung gemäß definierter Richtlinien auslösen, sobald ein Benutzer neu eingestellt wird, in eine andere Abteilung wechselt oder aus dem Unternehmen ausscheidet. Jedes Ereignis – selbst zeitlich befristete Änderungen im Rahmen von Urlaubsvertretungen – sorgt dann für eine umgehende und präzise Anpassung der Zugriffsprivilegien eines Benutzers.

Endpoint-Security-Lösungen sind ohne Zweifel geeignete Instrumente, um interne Gefahren des Datenmissbrauchs zu verringern. Solange Finanzinstitute jedoch ihr internes Berechtigungsmanagement nicht im Auge behalten, nützen ihnen auch Software-Aufrüstungen nichts. Dann nämlich suchen sie den Feind lediglich in den falschen Reihen."
(Novell: ra)

Novell: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Berichtspflichten dürfen kein Selbstzweck sein

    Die Europäische Kommission hat ihre Omnibus-Initiative zur Vereinfachung der ESG-Regulierung vorgestellt. Die Deutsche Kreditwirtschaft (DK) hat bereits im Vorfeld Vorschläge gemacht, wie das Regelwerk effizienter und steuerungsrelevanter werden kann.

  • Vereinfachung von Nachhaltigkeitsvorschriften

    Die EU-Kommission legte ihr erstes sogenanntes Omnibus-Paket zur Vereinfachung von Nachhaltigkeitsvorschriften vor, um Regulierungen und Bürokratie abzubauen. Zugleich sollen mit dem Clean Industrial Deal (CID) wichtige industriepolitische Weichen gestellt werden.

  • FIDA-Einführung belastet Finanzsektor erheblich

    Die Deutsche Kreditwirtschaft (DK) fordert eine umfassende und sorgfältige Überprüfung des Vorschlags der Europäischen Kommission zur Financial Data Access Regulation (FiDA). Die Debatte um das neue Arbeitsprogramm der Europäischen Kommission bis hin zu einer Rücknahme des FiDA-Vorschlags verdeutlicht den erheblichen Klärungsbedarf in zentralen Fragen.

  • EU-Regulierung von Online-Marktplätzen

    Zur Mitteilung der EU-Kommission zu den aktuellen Herausforderungen im Bereich von E-Commerce-Plattformen erklärt Dr. Bernhard Rohleder, Bitkom-Hauptgeschäftsführer: "Die EU-Kommission schlägt mit ihrer Mitteilung den richtigen Weg ein. Wer online einkauft, muss sich auf die Sicherheit der angebotenen Produkte verlassen können. Dafür braucht es allerdings keine weiteren Regeln, sondern stärkere Importkontrollen und die Aufhebung der Zollfreigrenze von 150 Euro. Denn wenn außereuropäische Händler unter Ausnutzung dieser Grenze illegale Produkte einführen, gefährdet das nicht nur die Verbraucherinnen und Verbraucher, sondern auch europäische Anbieter."

  • Künstliche Intelligenz: Was für Unternehmen gilt

    Seit Sonntag, 2. Februar 2025 sind weitere Regelungen der europäischen KI-Verordnung (AI Act) in Kraft. Dabei handelt es sich zum einen um Verbote von bestimmten KI-Praktiken wie Social-Scoring-Systemen, manipulative KI-Techniken oder Emotionserkennung am Arbeitsplatz. Zum anderen greifen Vorgaben für KI-Kompetenzanforderungen von Beschäftigten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen