Sie sind hier: Home » Produkte » Identity Management

Compliance und IT-Rechte-Vergabe bei Banken


Methodischer Vier-Punkte-Ansatz zur Verwaltung von IT-Rechten und Einhaltung der Compliance
IT-Strukturen und Prozesse shenen in Wirklichkeit eher chaotisch als geordnet aus - Rechtestrukturen in Dateisystemen wuchern aufgrund fehlender Management-Tools

(25.08.09) - Banken wickeln ihre Geschäfte zu 90 Prozent IT-basiert ab. Daher ist für sie eine lückenlose IT-Security unabdingbar. Eingefordert wird dabei vor allem die Transparenz bei existierenden Berechtigungen und die Nachvollziehbarkeit bei den Prozessen der Berechtigungsvergabe. Die Münchner econet AG, Anbieterin von prozessorientierter Unternehmenssoftware für das Identity und Service Management, hat daher vier Tipps auf Basis ihrer Lösung "cMatrix" zusammengestellt. Damit optimieren Banken ihr Risiko Management und ihre Compliance-Erfüllung auf dem Gebiet der unternehmensweiten Berechtigungsverwaltung.

Ein zentraler Punkt fast aller Regulatorien und Gesetze impliziert die Frage: Wer darf was in den IT-Systemen? Sowohl die Transparenz bei den existierenden Berechtigungen als auch die Nachvollziehbarkeit bei den Prozessen der Berechtigungsvergabe muss gewährleistet werden. Theoretisch einfach praktisch schwierig: Banken sind fleißige Fusionierer und Umorganisierer und oft müssen fremde IT-Landschaften integriert und an bestehende Prozesse angepasst werden.

Darum sehen die IT-Strukturen und Prozesse in Wirklichkeit eher chaotisch als geordnet aus. Besonders bei den Rechtestrukturen in Dateisystemen, die aufgrund fehlender Management-Tools kaum beherrschbar wuchern. Da zudem der Beruf "Bankkaufmann" ein Ausbildungsberuf ist, ist es unabdingbar, beim Gang durch die einzelnen Abteilungen sichere Provisionierungs- und vor allem De-Provisionierungsprozesse zu haben, um IT-Berechtigungen regelkonform gewähren und entziehen zu können.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Um den bankenspezifischen Forderungen wie KonTraG gerecht zu werden, ist es außerdem wichtig, dass Berechtigungen über Genehmigungsverfahren mit "Vier-Augen-Prinzip" eingehalten vergeben werden, um jederzeit Auskunft darüber geben zu können, wer welche Rechte genehmigt hat. Doch wie können die geforderten Genehmigungs- und Kontrollverfahren in bestehenden, gewachsenen IT-Strukturen einfach und sicher etabliert werden?

Die econet AG hat hierfür einen methodischen Ansatz in vier Schritten entwickelt, der sowohl die Analyse bestehender Berechtigungen und möglicher Schwachstellen in Dateisystemen als auch die Prävention von Risiken durch ein Identitätsmanagement mit geregelter Rechtevergabe garantiert:

Schritt 1
Im ersten Schritt werden die Berechtigungen, die sich über Jahre in den gewachsenen Dateisystemen angesammelt haben, automatisiert ausgelesen Die Berechtigungsdaten können dann zu Revisions- und Risikomanagementzwecken zur Verfügung gestellt werden. Ein Beispiel hierfür ist ein SAS-70-Bericht im Rahmen der Bewertung von SOX-Compliance (SOX = Sarbanes-Oxley Act).

Auch im internen Security-Assessment identifiziert eine Reporting-Lösung wie "cMatrix Reporting" von econet mögliche Risiken. Dabei wird nicht nur der Risikograd der gefundenen Schwachstellen bewertet, sondern auch eine Einschätzung zum Aufwand ihrer Behebung in Form von Kennzahlen gegeben. So lässt sich praktisch auf Knopfdruck eine faktenbasierte Priorisierung für die meist sehr zeitintensiven "Sicherheitsreparaturen" aufstellen.

Schritt 2
Im zweiten Schritt muss eine einheitliche Struktur des Dateisystems geschaffen werden. Das heißt: Die wild gewachsenen Dateisystemstrukturen müssen so beschaffen sein, dass eine zentrale und weitgehend automatisierte Verwaltung der Berechtigungen darauf möglich wird. Abhilfe schaffen passende Fileservice (FS)-Konzepte, nach deren Vorgaben die herkömmliche Dateisystemverwaltung in ein sicher provisioniertes Dateisystem überführt werden kann, ohne die Konsistenz in den Geschäftsprozessen oder die Datensicherheit zu beeinträchtigen.

Schritt 3
Auf Basis eines einheitlichen Fileservice-Konzepts kann nun ein FS-Management toolgestützt eingeführt werden, das rechtliche Anforderungen in besonderer Weise berücksichtigt und erfüllt. Zum einen sind dies rechtskonform automatisierte Prozesse für die Rechtevergabe, die durchgängig sind und deren Umgehung nicht unentdeckt bleibt. Zum anderen geht es um Genehmigungsverfahren mit der Entscheidung in den Fachabteilungen. Dabei werden nur den wirklich autorisierten Anwendern Zugriffsrechte auf Informationen gewährt – also einheitliche, effiziente und den Compliance-Regeln entsprechende Prozesse nach dem Vier-Augen-Prinzip.

Schritt 4
Der letzte Schritt zum zentralen Management von Identitäten und Rechten ist der automatisierte Import der User-Daten in ein Identity Acess Management-System. Nach dem Definieren von organisatorischen Rollen können nun weitere Genehmigungs-Workflows implementiert werden. Ab jetzt können beispielsweise beim Weggang von Mitarbeitern deren Berechtigungen von zentraler Stelle aus zuverlässig gesperrt oder neue Mitarbeiter in den Systemen angelegt werden - automatisiert und mit exakt den Berechtigungen, die sie für ihre Arbeit benötigen

"Durch den Einsatz von 'cMatrix' werden die wichtigsten Prozesse bei der Vergabe von IT-Rechten in Banken sicherer und effizienter abgewickelt. Vor allem die unüberschaubaren De-Provisioningprozesse lassen sich nun von zentraler Stelle aus automatisiert durchführen", erläutert Thomas Reeb, Vorstand der econet AG. "Mit diesem Ansatz können Banken die geforderten Genehmigungs- und Kontrollverfahren in IT-Strukturen einfach und sicher integrieren." (econet: ra)

econet: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Identity Management

  • Kooperation für Security und Compliance

    Die Beta Systems Software AG und die Opus Software GmbH arbeiten zukünftig eng in den Bereichen Security bzw. Identity und Access Management sowie Compliance zusammen. Eine entsprechende Vereinbarung wurde jetzt unterzeichnet. Beide Unternehmen kombinieren ihre Produkte und Kompetenzen. Ziel der Kooperation ist es, ein neues und umfassenderes Software-Angebot rund um das Management von Benutzerrechten und die Erfüllung von Compliance-Anforderungen am Markt anzubieten.

  • Compliance und IT-Rechte-Vergabe bei Banken

    Banken wickeln ihre Geschäfte zu 90 Prozent IT-basiert ab. Daher ist für sie eine lückenlose IT-Security unabdingbar. Eingefordert wird dabei vor allem die Transparenz bei existierenden Berechtigungen und die Nachvollziehbarkeit bei den Prozessen der Berechtigungsvergabe. Die Münchner econet AG, Anbieterin von prozessorientierter Unternehmenssoftware für das Identity und Service Management, hat daher vier Tipps auf Basis ihrer Lösung "cMatrix" zusammengestellt. Damit optimieren Banken ihr Risiko Management und ihre Compliance-Erfüllung auf dem Gebiet der unternehmensweiten Berechtigungsverwaltung.

  • Management operationaler Rollen

    IBM kündigt eine neue Sicherheitssoftware an, mit der das Unternehmen den derzeit fragmentierten Markt für Identitäts- und Zugriffsmanagementprodukte anvisiert. Unternehmen können jetzt mit einer einzigen Lösung Benutzeridentitäten und deren Zugriffe auf Anwendungen, Informationen und Systeme verwalten, absichern und überwachen.

  • Zugriffsberechtigungen: Lückenlose Dokumentation

    Über der Hälfte unserer Unternehmen schwebt ein virtuelles Damoklesschwert an einem seidenen Faden: Der rasche Zugriff auf Informationen ist unverzichtbarer Bestandteil unserer Geschäftswelt - doch Strukturen verändern sich, Mitarbeiter und Funktionen wechseln und in den IT-Systemen melden sich permanent neue Anwender an und andere ab. Da entsteht schnell eine gefährliche Intransparenz. Die Folge sind signifikante Sicherheitsrisiken, die zu einer Bedrohung werden können.

  • Rechtevergabe in der Krankenhaus-IT

    Krankenhäuser und Unikliniken insbesondere, stehen vor der IT-Herausforderung dem zuständigen Klinikpersonal vorliegende Daten zugänglich zu machen und zeitgleich Rechtssicherheit zu gewährleisten. Dabei gilt es, den Sicherheitsspagat beim Schutz sowohl von Patienten- als auch von Forschungsdaten zu bewältigen.

  • Identity-Management und Compliance-Vorgaben

    Anlässlich der "European Identity Conference" stellte Völcker Informatik der Öffentlichkeit die neue Version ihrer Software "ActiveEntry (4.0)" vor. Diese bietet gegenüber der Vorgängerversion wesentlich mehr IT-Compliance-Funktionen und einen noch stärkeren modularen Aufbau. Dazu kommen ein vollständig überarbeitetes Standard-Webfrontend und die optionale Integration der Identity-Management-Produkte von Microsoft.

  • Überprüfung der Zugriffsrechte und Compliance

    Mit der Zeit verändern sich die Aufgaben von Mitarbeitern im Unternehmen. Damit nach einem Abteilungswechsel nicht mehr erforderliche Verzeichnisberechtigungen auch tatsächlich entzogen werden, erinnert "Tesis|Diva 4.2" der Tesis Sysware regelmäßig an die Überprüfung der Zugriffsrechte.

  • Transparenz und Sicherheit im Unternehmen

    Krisensichere Lösungen für mehr Transparenz und Sicherheit in Unternehmen will econet auf der diesjährigen CeBIT in Hannover zeigen.

  • Compliance-Richtlinien und IT-Transparenz

    Keine Angst vor Wirtschaftsprüfer und Co: Die Software "cMatrix Reporting und Transformation" von econet soll Unternehmen bei der Einhaltung der Compliance und der IT-Transparenz unterstützen. Durch das Auslesen von Informationen in gewachsenen Windows-Dateisystemen liefert die Lösung einen Überblick über alle Benutzer, Gruppen, Berechtigungen und Dateisystemstrukturen.

  • Compliance im Bereich Berechtigungsverwaltung

    IT-Sicherheit wird auch im kommenden Jahr ein äußerst wichtiges Thema bleiben – das steht schon jetzt fest. Mit Blick auf 2009 rät der Experte für serviceorientiertes Identitätsmanagement Unternehmen schon jetzt, ihre Versäumnisse 2008 zu hinterfragen. Themen wie Compliance, Rechteverwaltung und transparentes Reporting werden die IT-Verantwortlichen – so die Einschätzung von econet – auch im kommenden Jahr auf Trab halten.

Kooperation für Security und Compliance Management operationaler Rollen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen