Weitere Infos unter: PDF & Details

oder direkt zur Buchung

BAIT Spezial: Identity- & Access-Management (IAM)

Konkretisierte BAIT-Anforderungen an das Identitäts- und Rechtemanagement – Vergabeprozess und Rezertifizierung als häufige Schwachstelle –Besonderheiten bei privilegierten Nutzern & Admins

  • Aktuelle regulatorische Vorgaben zur Identitäts-/Rechtevergabe und Rezertifizierung
  • Häufig identifizierte Schwachstellen im Berechtigungsmanagements in der Praxis
  • Funktionsbezogene Vergabe von Benutzerberechtigungen nach den Prinzipien der Rechtevergabe (Need-to-know, Need-to-have, Segretation-of-Duties)
  • Sichere Vorgehensweise bei der Überprüfung, Rezertifizierung und Dokumentation von Identitäten und Rechten
  • IT-unterstützte Vergabe, Überprüfung, Rezertifizierung und Dokumentation von Identitäten und Benutzerrechten

Aktuelle Prüfungen der Aufsicht haben zu (teilweise) schwerwiegenden Feststellungen im Bereich des Berechtigungsmanagements/ IAM (u.a. Rechtevergabe, Rezertifizierung) geführt. IT-Risiken, Cyber- Angriffe und Lücken in der Informationssicherheit, die auf ein nicht aufsichtskonformes Berechtigungsmanagement zurückzuführen sind, führen zunehmend häufiger zu Ausfällen kritischer Geschäftsprozesse bei Banken und Unternehmen. Die neuen BAIT haben die zentrale Bedeutung des Rechtemanagements daher noch einmal klar herausgestellt. Der Zugriff auf sensible Bankdaten und -prozesse soll nur durch die Personen erfolgen, die diesen Zugriff auch wirklich benötigen ("Need-to-know"- Prinzip). Aber wie kann der Rechtevergabe- Prozess institutsspezifisch definiert bzw. dokumentiert werden? In der Praxis stimmen eingerichtete Rechte oftmals nicht mit Berechtigungskonzepten und dem genehmigten Soll überein. Die Aufsicht fordert daher explizit eine risikoorientierte regelmäßige Überprüfung kritischer IT-Berechtigungen.

Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten, die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden. Aufgrund der damit verbundenen weitreichenden Eingriffsmöglichkeiten hat das Institut insbesondere für die Aktivitäten mit privilegierten (besonders kritischen) Benutzer- und Zutrittsrechten angemessene Prozesse zur Protokollierung und Überwachung einzurichten.

Referenten

Markus Duda
Geschäftsführer
ReDworks GmbH
Berlin

Gebühren

Teilnahmegebühren

EUR 290,- (je zzgl. gesetzl. USt). Die Teilnahmegebühr beinhaltet die Teilnahme am Online-Seminar sowie die Dokumentation als PDF-Datei.