Die Anforderungen der BaFin
Von G+H Netzwerk-Design.de
MaRisk-Anforderungen als Herausforderung: Finanzinstitute müssen Datensicherheit
gewährleisten, sonst drohen aufsichtsrechtliche Konsequenzen.
Die Welt der Banken und Finanzmärkte ist ein hochsensibler Bereich und steht im Fokus der Aufmerksamkeit
nach der Krise stärker als zuvor. Unternehmen dürfen sich keine Nachlässigkeiten im
Umgang mit Daten und Datensicherheit erlauben. Als Aufsichtsbehörde legt u. a. die Bundesanstalt
für Finanzdienstleistungsaufsicht (BaFin) Mindestanforderungen an das Risikomanagement (MaRisk)
fest. In großen Instituten achten in der Regel Risikocontroller oder Mitarbeiter aus den Bereichen der
Informationssicherheit auf die Einhaltung der gesetzlichen Bestimmungen, in kleineren Banken fehlen
dafür oft die Ressourcen. Doch für alle gilt: Die Vernachlässigung von MaRisk-Anforderungen kann
aufsichtsrechtliche Konsequenzen nach sich ziehen. Finanzinstitute sind dann gefordert, Risikorückstellungen
zu bilden, die den Gewinn schmälern und zu Imageverlusten führen.
Welche Anforderungen haben Finanzinstitute zu erfüllen?
Die Zahl der Aufl agen und Bestimmungen für Finanzinstitute ist enorm, anspruchsvoll und sie reichen
vom Bundesdatenschutzgesetz bis zu den MaRisk-Anforderungen der BaFin. Darunter fallen u. a. die
für den Finanzbereich so wichtigen Überprüfungen der Zugriffsberechtigungen auf IT-Systeme. Laut
MaRisk (Modul AT 4.3.1) müssen diese Berechtigungen regelmäßig überprüft werden. Ebenso wichtig
ist der Prozess zur Vergabe von IT-Berechtigungen. Gemäß MaRisk (Modul AT 7.2) muss sichergestellt
werden, dass jeder Mitarbeiter nur über die Rechte verfügt, über die er nach seiner Tätigkeit und
Funktion im Unternehmen verfügen darf. Im Arbeitsalltag ist die Überprüfung und strikte Einhaltung
dieser Anforderungen allerdings eine Herausforderung. Daher wünschen sich viele Banken und Institute,
die von der BaFin geprüft werden, effektive Werkzeuge, die sie bei der Erfüllung der MaRisk-
Anforderungen unterstützen.
Zugriffsberechtigungen und Sicherheitslücken durch Überberechtigungen
Neben der kontinuierlichen Überprüfung von Zugriffsberechtigungen und IT-Berechtigungen stehen
Finanzunternehmen regelmäßig vor der Aufgabe, mögliche Sicherheitslücken zu schließen und bestehende
Sicherheitskonzepte zu kontrollieren. Solche Sicherheitslücken können z. B. durch Überberechtigungen
entstehen also etwa durch das Vergessen von Berechtigungsrücknahmen für einen Mitarbeiter,
der das Unternehmen verlassen oder die Abteilung gewechselt hat. Oder es gibt Auszubildende,
die im Rahmen ihrer ausbildungsgemäßen Reise durch unterschiedliche Abteilungen plötzlich mehr
Zugriffsberechtigungen als der Abteilungsleiter besitzen und genau diese, im Arbeitsalltag oft nicht so
wichtig genommenen Kleinigkeiten können zu einem großen Sicherheitsrisiko werden.
MaRisk: Rezertifi zierung soll in der Fachabteilung liegen
All diese unterschiedlichsten Anforderungen und Regeln steuern und kontrollieren meist mit hohem
Aufwand die IT-Abteilungen. Doch macht es nicht mehr Sinn, die Rezertifi zierung, also die Überprüfung
der Berechtigungen, in die jeweilige Fachabteilung zu legen? Schließlich weiß der jeweilige Abteilungsleiter
genau, welcher seiner Mitarbeiter welche Rechte besitzen darf und warum und er kontrolliert
deswegen fachlich fundiert. Die IT hingegen ist naturgemäß nicht in die Abläufe der einzelnen
Abteilungen involviert, erfüllt ausschließlich die Umsetzung der ihr vorgegebenen Regeln.
Software-gestützte Hilfe für Finanzunternehmen
Unternehmen der Finanzbranche ob global agierend oder national tätig müssen intern bei der Einhaltung
und Erfüllung der gesetzlichen Anforderungen Enormes leisten. Oft werden aufwendige manuelle
Berechtigungsanalysen gefahren, die am Tag der Erstellung schon wieder veraltet sind. Fehlende
Transparenz über Berechtigungen und Nichteinhaltung von Berechtigungskonzepten sind die Folge.
Hilfe bei der Umsetzung der Anforderungen aus den MaRisk bieten moderne Softwareentwicklungen.
Sie unterstützen professionell und entlasten sowohl die IT als auch die Fachabteilungen.
Software für einen Global Player aus der Finanzbranche
Die Software daccord aus dem Hause G + H Netzwerk-Design wurde ursprünglich für die anspruchsvollen
Anforderungen eines global agierenden Unternehmens aus der Finanzbranche entwickelt. Der
Kunde benötigte u. a. eine Übersicht über alle Zugriffsberechtigungen in seinen unterschiedlichen
Unternehmenssystemen, wollte die IT entlasten und die Verantwortung zur Überprüfung der Berechtigungen
wie MaRisk fordert in die jeweiligen Fachbereiche verlagern. daccord läuft dort seit 3 Jahren
erfolgreich und wurde an die internen Regelungen, Compliance-Richtlinien und entsprechenden
gesetzlichen Anforderungen des Kunden individuell angepasst. Mittlerweile sind rund 300 Systeme
verschiedener Hersteller angeschlossen.
daccord eine Lösung für die Finanzbranche
Die Entscheidung für eine Softwarelösung könnte also gerade für Finanzunternehmen bei der Erfüllung
wichtiger MaRisk-Anforderungen unterstützen. So übernimmt daccord z. B. das sogenannte
continuous Auditing, d. h., die Software überprüft alle Gesetze und Regeln, die zuvor nach den
individuellen Anforderungen des Unternehmens und den Anforderungen von MaRisk bzw. anderer
gesetzlicher Aufl agen als Schablone in das System eingespielt wurden.
Solche entscheidenden Regeln und Gesetze sind zum Beispiel die Trennung von Kreditoren- und
Debitorenbereich kein Mitarbeiter im Kreditorenbereich darf aus Gründen der Funktionstrennungen
Zugriff auf den Debitorenbereich haben oder die Chinese Wall, die die Zugriffsberechtigungen von
Investmentbankern strikt von denen des Emissionsgeschäfts trennt.
Bei BaFin-Überprüfungen: lückenlose Reports auf Knopfdruck
daccord vergleicht in dem vom Unternehmen vorgegebenen Rhythmus (täglich, wöchentlich, zweiwöchentlich,
monatlich
), ob z. B. aktuelle Berechtigungen von Mitarbeitern mit den unternehmensseitig
gewünschten Berechtigungen (Soll-Ist- Vergleich) übereinstimmen. In einem Report gehen die Ergebnisse
dieses Abgleiches an die jeweils zuständigen Rechte-Verantwortlichen aus der Fachabteilung
zur Rezertifi zierung. Dieses regelmäßige und kontinuierliche Überprüfen ermöglicht dem Finanzinstitut
den Vorweis einer lückenlosen Historie, z. B. bei einer Prüfung durch die BaFin. daccord stellt auf
Knopfdruck sowohl den aktuellen Stand als auch die Entwicklung der vergangenen Monate bereit.
Alles ist so auf einen Blick einsehbar und belegbar ob für den Abteilungsleiter, den Geschäftsführer
oder den Wirtschaftsprüfer.
Sicherheitslücken erkennen und schließen
Weiter verknüpft daccord als intelligente Software die unterschiedlichen Benutzeraccounts in den Systemen
mit den natürlichen Personen im Unternehmen. Beim Abgleich fi ndet daccord so auch verwaiste
Accounts, also Accounts von Kollegen im Ruhestand, in Elternzeit oder von Kollegen, die das
Unternehmen bereits verlassen haben. Oft sind diese Accounts noch lange nach dem Ausscheiden
der Mitarbeiter freigeschaltet. Dies kostet zum einen Geld, z. B. für Lizenzen, Support oder Wartung,
und zum anderen geht von verwaisten Accounts, gerade beim Wechsel eines Mitarbeiters zu einem
Konkurrenzinstitut, ein echtes Sicherheitsrisiko aus.
Praxisnah, MaRisk-konform, zeitsparend und effizient
Praxisnahe Unterstützung im Arbeitsalltag tut Not. Eine Softwarelösung wie daccord zeigt potenzielle
Gefahren nicht nur auf, sondern informiert aktiv und trägt so zur Schließung solcher Sicherheitslücken
bei. Die Entscheidung, sich bei der Umsetzung wichtiger MaRisk-Anforderungen durch eine Softwarelösung
unterstützen zu lassen, entlastet Unternehmen im Banken- und Finanzbereich also enorm.
Sie erfüllen so im Risikocontrolling- und Compliance-Bereich viele der neuesten MaRisk-Anforderungen
und wissen ihre datensensiblen Bereiche sicher, effi zient und zeitsparend verwaltet.
Über die G+H Netzwerk-Design
Die G+H Netzwerk-Design ist ein führendes, bundesweit agierendes Software und Consulting Unternehmen mit Sitz in
Offenbach am Main. Das Unternehmen beschäftigt sich mit IT-Lösungen von exklusiven Partnern und eigens entwickelten
Softwareprodukten. Die Lösungen liegen in in den folgenden Bereichen: Infrastructure, Web, Identity & Access Management,
Product Development und Support.
Das Ziel der G+H ist es, Kunden durch die Implementierung bedarfsgerechter IT-Lösungen sowohl Kosten- als auch Wettbewerbsvorteile
zu verschaffen. Mit unserer Software daccord können Kunden eine unternehmensweite Übersicht Ihrer
komplexen Rechtestrukturen erhalten und somit große Sicherheitslücken aufdecken.
Mehr Informationen erhalten Sie auf www.netzwerk-design.de bzw. www.daccord.de
Kommentare
12.06.2013
12. Jun 2013
Meldung teilen
Bewerten Sie diesen Artikel
Hinweis
Für den Inhalt der Pressemitteilung ist der Einsteller, Ertan Subatli, verantwortlich.
Pressemitteilungstext: 991 Wörter, 9002 Zeichen. Artikel reklamieren
Pressemitteilungstext: 991 Wörter, 9002 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.
Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!
Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!