Regulatorik definiert die automatisierte Rechtevergabe

In Banken und Versicherern regeln Policy, Governance und Aufsicht klar, wie solche Rechte vergeben werden - etwa durch das Need-to-know-Prinzip und die Funktionstrennung. Dies setzt eine klare Definition der Rechte beziehungsweise zugehörige Rollenmodelle voraus. Zudem ist nicht jeder Mitarbeiter ein privilegierter User im Sinne eines Privileged Access Managements (PAM): So benötigen nur wenige Angestellte zum Beispiel Admin- oder Super-User-Rechte. Und Mitarbeiter im Fachbereich brauchen andere Zugriffsrechte als beispielsweise Dienstleister. Eine enge Zusammenarbeit mit den unternehmenseigenen Kontrollorganen zur Erarbeitung entsprechender Vorgaben in konzernweiten Richtlinien ist ein entscheidender Baustein zum Erfolg.

Zudem sollte die Abstufung der Rollen nicht zu filigran sein, sondern in festen Kategorien erfolgen. Existieren beispielsweise in einem Unternehmen mit 10.000 Mitarbeitern mehr als 60.000 Rollen, sorgt dies für eine vermeidbare Komplexität bei der Verwaltung der Rechte und wirkt sich negativ auf die Akzeptanz der Mitarbeiter aus. Schließlich müssen diese die entsprechenden Rollen beantragen, genehmigen und rezertifizieren. Die Kunst besteht darin, eine möglichst niedrige, dafür aber verständlich beschriebene Anzahl an Rollen zu erstellen, die dennoch den regulatorischen Vorgaben entsprechen. Dies bedeutet zum Beispiel, privilegierte Rechte möglichst in eigene Rollen zu bündeln, damit abteilungsweite Standardrollen - sogenannte Business-Rollen - möglichst automatisiert über ein Regelwerk verteilt werden können.

Die Grundlagen für die Umsetzung eines Rollenmodells liefert das Berechtigungskonzept. Bei dessen Entwicklung können die Verantwortlichen auf Unterstützung durch verschiedene - teils KI-basierte - Analyseverfahren wie beispielsweise Role Mining zurückgreifen. Dafür werden die vorhandenen Rollen genau unter die Lupe genommen: Ihre Rechte, Nutzer und die zeitliche Anwendung werden in einem mehrstufigen Analyse-Verfahren ermittelt. Dabei wird auch die Organisationsstruktur der jeweiligen Bank oder des Versicherers einbezogen. Basierend auf diesen Daten und Erkenntnissen bietet das Tool Vorschläge zur sinnvollen Rechtevergabe und deren Risiken an. Im Falle eines vertretbaren Risikos wird dann die regelbasierte Vergabe vorgeschlagen.

Die bereits erwähnte Zusammenarbeit zwischen IT und Fachabteilungen ist nicht nur für eine sinnvolle und logische Rechtevergabe, sondern auch für eine regelmäßige Überprüfung derselben wichtig. Benötigt der Mitarbeiter noch sämtliche Rechte, die ihm ursprünglich gewährt wurden? Haben Mitarbeiter die Abteilung gewechselt, sodass ihnen Rechte entzogen werden müssen? Wurden innerhalb eines Unternehmens Umstrukturierungen vorgenommen, sodass Anpassungen an den Rechten nötig sind? All diese Informationen liegen meist in den Fachabteilungen und müssen an die IT weitergegeben werden, damit eine einheitliche Datengrundlage entsteht.

Übergeordnetes System für besseren Überblick

Viele Institute stehen in diesem Zusammenhang weiterhin vor der Herausforderung, kein übergeordnetes System zur Rechtevergabe zu nutzen. Für die eigentliche Arbeitsentlastung sorgt einerseits die Automatisierung in Form der Provisionierung, mit der der Berechtigungsantrag in den Zielsystemen umgesetzt wird, andererseits die Reconciliation, die die korrekte Umsetzung kontrolliert. Ohne übergeordnetes System kann die Arbeitsentlastung jedoch nicht vollständig greifen. Folglich fehlt den IT- sowie den Fachabteilungen der Überblick sowohl über den Status aller Rechte als auch damit einhergehend über die finanziellen und nicht-finanziellen Risiken.

Banken und Versicherer können dieser Herausforderung begegnen, indem sie die Rechtevergabe von Anfang an stringent umsetzen: mit einem führenden System, an das alle Applikationen sowie IT-Systeme angeschlossen sind. So entsteht eine homogene IT-Landschaft mit vorangestellter IAM-Lösung. Diese umfasst auch die Anbindung an ein SecuritySecurity Operations Center (SOC) oder Cloud-Angebote, von Infrastructure as a Service (IaaS) bis hin zu Software as a Service (SaaS) unterschiedlicher Anbieter wie AWS, Microsoft Azure und Google Cloud. Alles zu Security auf CIO.de

Besonders wichtig dabei: Die ausschließliche Verwaltung und Kontrolle der Zugriffsrechte innerhalb der CloudCloud reicht nicht aus. Ein umfassender Schutz kann erst dann greifen, wenn das IAM ganzheitlich über alle vorhandenen Systeme und Rechenzentren hinweg eingesetzt wird. Dafür benötigen Unternehmen unter anderem auch ein Portal und Schnittstellen des Cloud-Anbieters. Nur wer sich diesen Anforderungen stellt, wird mit einem System belohnt, das optimale Sicherheit schafft und ausbaufähig ist. Das gilt besonders für die Verwaltung von Kundenzugriffen auf unternehmenseigene Services und Cloud-Anwendungen (Customer IAM). (wh) Alles zu Cloud Computing auf CIO.de