Neue Anforderungen an Banken

Die Welt der Banken und Finanzmärkte ist ein hochsensibler Bereich und steht im Fokus der Aufmerksamkeit – nach der Krise stärker als zuvor. Als Aufsichtsbehörde legt unter anderem die Bundesanstalt für Finanzdienst-leistungsaufsicht (BaFin) Mindest-anforderungen an das Risiko-management (MaRisk) fest.

In großen Instituten achten in der Regel Risikocontroller oder Mitarbeiter aus den Bereichen der Informationssicherheit auf die Einhaltung der gesetzlichen Bestimmungen, in kleineren Banken fehlen dafür oft die Ressourcen.

Doch für alle gilt: Die Vernachlässigung von MaRisk-Anforderungen kann aufsichtsrechtliche Konsequenzen nach sich ziehen. Finanzinstitute sind dann gefordert, Risikorückstellungen zu bilden, die den Gewinn schmälern und zu Imageverlusten führen.

Welche Anforderungen haben Finanzinstitute zu erfüllen? Die Zahl der Auflagen und Bestimmungen für Finanzinstitute ist enorm, anspruchsvoll, und sie reichen vom Bundesdatenschutzgesetz bis zu den MaRisk-Anforderungen.

Darunter fallen unter anderem die für den Finanzbereich so wichtigen Überprüfungen der Zugriffsberechtigungen auf IT-Systeme. Laut MaRisk (Modul AT 4.3.1) müssen diese Berechtigungen regelmäßig überprüft werden. Ebenso wichtig ist der Prozess zur Vergabe von IT-Berechtigungen. Gemäß MaRisk (Modul AT 7.2) muss sichergestellt werden, dass jeder Mitarbeiter nur über die Rechte verfügt, über die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf.

Im Arbeitsalltag ist die Überprüfung und strikte Einhaltung dieser Anforderungen allerdings eine Herausforderung. Daher wünschen sich viele Banken und Institute, die von der BaFin geprüft werden, effektive Werkzeuge, die sie bei der Erfüllung der MaRisk-Anforderungen unterstützen.

Neben der kontinuierlichen Überprüfung von Zugriffsberechtigungen und IT-Berechtigungen stehen Finanzunternehmen regelmäßig vor der Aufgabe, mögliche Sicherheitslücken zu schließen und bestehende Sicherheitskonzepte zu kontrollieren. Solche Sicherheitslücken können zum Beispiel durch Überberechtigungen entstehen – also etwa durch das „Vergessen“ von Berechtigungsrücknahmen für einen Mitarbeiter, der das Unternehmen verlassen oder die Abteilung gewechselt hat. Oder es gibt Auszubildende, die im Rahmen ihrer ausbildungsgemäßen „Reise“ durch unterschiedliche Abteilungen plötzlich mehr Zugriffsberechtigungen als der Abteilungsleiter besitzen – und genau diese, im Arbeitsalltag oft nicht so wichtig genommenen „Kleinigkeiten“ können zu einem großen Sicherheitsrisiko werden.

All diese unterschiedlichsten Anforderungen und Regeln steuern und kontrollieren meist mit hohem Aufwand die IT-Abteilungen. Doch macht es nicht mehr Sinn, die Rezertifizierung, also die Überprüfung der Berechtigungen, in die jeweilige Fachabteilung zu legen? Schließlich weiß der jeweilige Abteilungsleiter genau, welcher seiner Mitarbeiter welche Rechte besitzen darf und warum – und er kontrolliert deswegen fachlich fundiert.

Die IT hingegen ist naturgemäß nicht in die Abläufe der einzelnen Abteilungen involviert, erfüllt ausschließlich die Umsetzung der ihr vorgegebenen Regeln.

Unternehmen der Finanzbranche – ob global agierend oder national tätig – müssen intern bei der Einhaltung und Erfüllung der gesetzlichen Anforderungen Enormes leisten. Oft werden aufwendige manuelle Berechtigungsanalysen gefahren, die am Tag der Erstellung schon wieder veraltet sind. Fehlende Transparenz über Berechtigungen und Nichteinhaltung von Berechtigungskonzepten sind die Folge.

Hilfe bei der Umsetzung der Anforderungen aus den MaRisk bieten moderne Softwareentwicklungen. Sie unterstützen professionell und entlasten sowohl die IT als auch die Fachabteilungen. Die Software Daccord aus dem Hause G + H Netzwerk-Design beispielsweise wurde ursprünglich für die anspruchsvollen Anforderungen eines global agierenden Unternehmens aus der Finanzbranche entwickelt. Der Kunde benötigte unter anderem eine Übersicht über alle Zugriffsberechtigungen in seinen unterschiedlichen Unternehmenssystemen, wollte die IT entlasten und die Verantwortung zur Überprüfung der Berechtigungen – wie MaRisk fordert – in die jeweiligen Fachbereiche verlagern.

Die Software läuft dort seit drei Jahren erfolgreich und wurde an die internen Regelungen, Compliance-Richtlinien und entsprechenden gesetzlichen Anforderungen des Kunden individuell angepasst. Mittlerweile sind rund 300 Systeme verschiedener Hersteller angeschlossen.

Die Software übernimmt zum Beispiel das „Continuous Auditing“, das heißt die Software überprüft alle „Gesetze“ und „Regeln“, die zuvor nach den individuellen Anforderungen des Unternehmens und den Anforderungen von MaRisk beziehungsweise anderer gesetzlicher Auflagen als Schablone in das System eingespielt wurden.

Solche entscheidenden Regeln und Gesetze sind zum Beispiel die Trennung von Kreditoren- und Debitorenbereich – kein Mitarbeiter im Kreditorenbereich darf aus Gründen der Funktionstrennungen Zugriff auf den Debitorenbereich haben – oder die „Chinese Wall“, die die Zugriffsberechtigungen von Investmentbankern strikt von denen des Emissionsgeschäfts trennt.

Außerdem vergleicht die Software in dem vom Unternehmen vorgegebenen Rhythmus (täglich, wöchentlich, zweiwöchentlich, monatlich …), ob zum Beispiel aktuelle Berechtigungen von Mitarbeitern mit den unternehmensseitig gewünschten Berechtigungen (Soll-Ist- Vergleich) übereinstimmen.

In einem Report gehen die Ergebnisse dieses Abgleiches an die jeweils zuständigen Rechte-Verantwortlichen aus der Fachabteilung zur Rezertifizierung. Dieses regelmäßige und kontinuierliche Überprüfen ermöglicht dem Finanzinstitut den Vorweis einer lückenlosen Historie, zum Beispiel bei einer Prüfung durch die BaFin. Die Software stellt auf Knopfdruck sowohl den aktuellen Stand als auch die Entwicklung der vergangenen Monate bereit. Alles ist so auf einen Blick einsehbar und belegbar – ob für den Abteilungsleiter, den Geschäftsführer oder den Wirtschaftsprüfer.

Weiter verknüpft Daccord als intelligente Software die unterschiedlichen Benutzeraccounts in den Systemen mit den natürlichen Personen im Unternehmen. Beim Abgleich findet sie so auch „verwaiste“ Accounts, also Accounts von Kollegen im Ruhestand, in Elternzeit oder von Kollegen, die das Unternehmen bereits verlassen haben. Oft sind diese Accounts noch lange nach dem Ausscheiden der Mitarbeiter freigeschaltet. Dies kostet zum einen Geld, zum Beispiel für Lizenzen, Support oder Wartung, und zum anderen geht von „verwaisten“ Accounts, gerade beim Wechsel eines Mitarbeiters zu einem Konkurrenzinstitut, ein echtes Sicherheitsrisiko aus.