Prävention gegen unbefugte Datenzugriffe


Mangelnde Rezertifizierungsprozesse beim Berechtigungsmanagement öffnen dem betrieblichen Datenmissbrauch in vielen Finanzinstitutionen Tür und Tor
Um den BaFin-Anforderungen nachzukommen, muss ein effektives Berechtigungsmanagement implementiert sein, dass aus drei Säulen besteht: die Prozessabbildung, die Erstellung von Prinzipien und Regeln sowie die Administratorüberwachung


(18.03.11) - Die Anforderungen an die IT-Sicherheit sind in der Finanzindustrie in den letzten Jahren deutlich gestiegen. Laut der "2010 Financial Services Global Security Study" von Deloitte teilen sich demnach nahezu alle Organisationen der Finanzbranche momentan eines: Die Sorge um die "innere Bedrohung". Nicht ganz unberechtigt, findet der Infrastrukturanbieter Novell, da mangelnde Rezertifizierungsprozesse beim Berechtigungsmanagement dem betrieblichen Datenmissbrauch in vielen Finanzinstitutionen Tür und Tor öffneten.

Christoph Stoica, Director Identity & Security Management bei Novell Central Europe, sagt:

"Viele Banken haben Angst, dass Mitarbeiter sensible Daten entwenden und der Öffentlichkeit zugänglich machen. Demensprechend investieren sie verstärkt in Verschlüsselungs- und Endpoint Security-Technologien. Wichtig hierbei ist jedoch, dass interne Sicherheitsmaßnahmen sich nicht nur auf die vorhandene Infrastruktur beziehen, sondern auch eine Überprüfung der internen Vergabeprozesse von Berechtigungen umfassen. Oftmals führen nämlich vor allem die veralteten Berechtigungszuweisungen dazu, dass Mitarbeiter Zugriff auf Daten erhalten, die ihnen aufgrund ihrer aktuellen Position eigentlich gar nicht zugänglich sein dürften.

Der korrekte Umgang mit Berechtigungen ist nicht nur eine Prävention gegen unbefugte Datenzugriffe, sondern seit 2009 auch gesetzlich verankert. So müssen Unternehmen laut der Mindestanforderungen an das Risikomanagement von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Prozesse für eine angemessene IT-Berechtigungsvergabe einrichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Die Eignung der IT-Systeme und der zugehörigen Prozesse sei zudem regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

Um den BaFin-Anforderungen nachzukommen, muss ein effektives Berechtigungsmanagement implementiert sein, dass aus drei Säulen besteht: die Prozessabbildung, die Erstellung von Prinzipien und Regeln sowie die Administratorüberwachung. Vor allem die Abbildung von Schlüsselprozessen – wie beispielsweise die Rezertifizierung, also die regelmäßige Überprüfung der Berechtigungen durch Vorgesetzte – bereitet vielen Banken jedoch Probleme. Entweder, weil der Arbeitsaufwand hierzu hoch erscheint. Oder, und das ist meistens der Fall, weil vielen Vorgesetzten nicht bewusst ist, dass einmal freigeschaltete Berechtigungen für einen Mitarbeiter solange gelten, bis diese gezielt entzogen werden.

Helfen können IT-Lösungen für das Berechtigungsmanagement, die die automatische Bereitstellung und Entziehung von Zugriffsrechten ermöglichen. Idealerweise können sie in Echtzeit intelligente Prozesse für die Berechtigungszuweisung gemäß definierter Richtlinien auslösen, sobald ein Benutzer neu eingestellt wird, in eine andere Abteilung wechselt oder aus dem Unternehmen ausscheidet. Jedes Ereignis – selbst zeitlich befristete Änderungen im Rahmen von Urlaubsvertretungen – sorgt dann für eine umgehende und präzise Anpassung der Zugriffsprivilegien eines Benutzers.

Endpoint-Security-Lösungen sind ohne Zweifel geeignete Instrumente, um interne Gefahren des Datenmissbrauchs zu verringern. Solange Finanzinstitute jedoch ihr internes Berechtigungsmanagement nicht im Auge behalten, nützen ihnen auch Software-Aufrüstungen nichts. Dann nämlich suchen sie den Feind lediglich in den falschen Reihen."
(Novell: ra)

Novell: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Bedrohungslage ganzheitlich verstehen

    Mit dem Kabinettsbeschluss vom 30. Juli 2025 hat die Bundesregierung einen überfälligen Schritt getan. Die Umsetzung der europäischen NIS-2-Richtlinie kommt damit in die nächste Phase - verspätet, aber mit deutlich geschärften Konturen. Der Regierungsentwurf schafft erstmals einen verbindlichen Rahmen für Cybersicherheit in weiten Teilen der Wirtschaft und verankert Mindeststandards, die weit über den bisherigen KRITIS-Kreis hinausreichen.

  • KI-Assistent ein potenzieller Angriffspunkt

    Der Schwerpunkt des neuen freiwilligen Verhaltenskodexes der Europäischen Union für künstliche Intelligenz liegt verständlicherweise auf der verantwortungsvollen Entwicklung künstlicher Intelligenz. Doch indirekt wirft er auch die Frage nach einem weiteren wichtigen Pfeiler der gewissenhaften Einführung auf: der Sicherheit bei der Nutzung von KI.

  • Umsetzung der E-Rechnungspflicht

    Das Bundesfinanzministerium (BMF) veröffentlichte kürzlich ein neues Entwurfsschreiben zur elektronischen Rechnungsstellung. Darin korrigiert das BMF Fehler des Einführungsschreibens vom Oktober 2024 und nimmt Ergänzungen vor. Für Unternehmen gilt es nun zu verstehen, ob sich aus dem Entwurfsschreiben vom 28. Juni 2025 neue oder geänderte Anforderungen für das interne Rechnungswesen ergeben. Dies ist insbesondere für mittelständische Unternehmen kein leichtes Unterfangen.

  • Globale Regulierung Künstlicher Intelligenz

    Vor einem Jahr, am 1. August 2024, ist der europäische AI Act in Kraft getreten - ein historischer Meilenstein für die globale Regulierung Künstlicher Intelligenz. Europa hat damit umfassende Maßstäbe gesetzt. Doch in Deutschland fehlt der Digitalwirtschaft weiterhin die notwendige Orientierung. Der eco - Verband der Internetwirtschaft e.?V. sieht in der Regulierung neue Chancen für den digitalen europäischen Binnenmarkt, warnt aber zugleich vor Versäumnissen: Unternehmen fehlt es an konkreten Standards, an Rechtssicherheit - und an einer verlässlichen politischen Perspektive. Das Risiko: Deutschland droht, den Anschluss an die nächste Welle der KI-Innovation zu verlieren.

  • VdK prüft Musterklagen seiner Mitglieder

    VdK-Präsidentin Verena Bentele sieht im Haushaltsentwurf 2026 von Bundesfinanzminister Lars Klingbeil keine nachhaltige Lösung für die Sozialversicherungen: "Der Haushaltsentwurf 2026 von Finanzminister Klingbeil verschärft die chronische Unterfinanzierung der gesetzlichen Pflegeversicherung. Statt im kommenden Haushaltsjahr lediglich ein zinsfreies Darlehen in Höhe von zwei Milliarden Euro bereitzustellen und großzügige Bundeszuschüsse auszuschließen, fordere ich die Bundesregierung auf, erst einmal ihre Schulden bei den Pflegekassen zu begleichen. Wir prüfen derzeit Musterklagen von VdK-Mitgliedern, da sich die Bundesregierung konsequent weigert, ihre Verpflichtungen gegenüber den Pflegekassen zu erfüllen."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen