Weitere Infos unter: PDF & Details

oder direkt zur Buchung

Berechtigungsmanagement im Fokus der Aufsicht

  • Aktuelle MaRisk- / BAIT-Vorgaben zur Identitäts- / Rechtevergabe und Rezertifizierung
  • Zentrale Prüfungsschwerpunkte und häufig identifizierte Schwachstellen in der Praxis
  • Funktionsbezogene und kompetenzgerechte Berechtigungsvergabe
  • Schaffung eines einheitlichen Risikobewusstseins im Berechtigungsmanagement – Besonderheiten bei privilegierten Nutzern!
  • IT-unterstützte Vergabe, Überprüfung, Rezertifizierung und Dokumentation von Identitäten und Benutzerrechten

Aktuelle Prüfungen der Aufsicht haben zu (teilweise) schwerwiegenden Feststellungen im Bereich des Berechtigungsmanagements (u. a. Rechtevergabe, Rezertifizierung) geführt. IT-Risiken, Cyber-Angriffe und Lücken in der Informationssicherheit, die auf ein nicht aufsichtskonformes Berechtigungsmanagement zurückzuführen sind, führen zunehmend häufiger zu Ausfällen kritischer Geschäftsprozesse bei Banken und Unternehmen. Die BAIT haben die zentrale Bedeutung des Rechtemanagements daher noch einmal klar herausgestellt. Die neuen DORA-Vorgaben erhöhen die Anforderungen an die digitale Resilienz.

Der Zugriff auf sensible Bankdaten und -prozesse soll nur durch die Personen erfolgen, die diesen Zugriff auch wirklich benötigen ("Need-to-know"-Prinzip). Aber wie kann der Rechtevergabe-Prozess institutsspezifisch definiert bzw. dokumentiert werden? In der Praxis stimmen eingerichtete Rechte oftmals nicht mit dem Rechtevergabekonzept und der IT-Strategie überein. Die Aufsicht fordert daher explizit eine risikoorientierte regelmäßige Überprüfung kritischer IT-Berechtigungen.

Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten, die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden. Aufgrund der damit verbundenen weitreichenden Eingriffsmöglichkeiten hat das Institut insbesondere für die Aktivitäten mit privilegierten (besonders kritischen) Benutzer- und Zutrittsrechten angemessene Prozesse zur Protokollierung und Überwachung einzurichten.

Referenten

Dr. Thomas Klühspies
Prüfungsleiter Bankgeschäftliche IT-Prüfungen
Deutsche Bundesbank
München
Stephan Wirth
Datenschutzbeauftragter, Informationssicherheitsbeauftragter
NRW.BANK
Düsseldorf
Roland Hein
Inhaber und Geschäftsführer
bit Informatik GmbH
Trier

Gebühren

Teilnahmegebühren

EUR 780,- (je zzgl. gesetzl. USt). Die Teilnahmegebühr beinhaltet die Teilnahme am Online-Seminar sowie die Dokumentation als PDF-Datei.