Rezertifizierungslösung zur Erfüllung von Governance- und MaRisk-Anforderungen

Als zentraler IT-Dienstleister der Sparkassen-Finanzgruppe bietet die Finanz Informatik den kompletten IT-Service – von Anwendungsentwicklung über Infrastruktur- und Rechenzentrumsbetrieb bis hin zu Beratung, Schulung und Support. Dabei wird sie vom Tochterunternehmen Finanz Informatik Technologie Service (FI-TS) unterstützt, dem größten IT-Dienstleister für Landesbanken. Ihre 1.000 Beschäftigten arbeiten täglich in den IT-Systemen der Finanzinstitute, der Finanz Informatik sowie in eigenen Systemen – ein hochsensibler Bereich, in dem klar geregelt sein muss, wer welche Rechte zur Administration der jeweiligen Software hat. Die von FI-TS betreuten Finanzinstitute unterliegen den entsprechenden aufsichtsrechtlichen Anforderungen, insbesondere den Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk, der BaFin (BA), deren Erfüllung auch regelmäßig behördlich überprüft wird. Die Finanzinstitute sind verpflichtet, diese Regularien an ihre Subunternehmer weiterzugeben, sodass FI-TS alle Leistungen, auch den Zugriff auf Software, aufsichtsrechtlich konform zu erbringen hat.

Für das interne Berechtigungsmanagement kommt seit mehreren Jahren eine spezielle Identity-Access-Governance (IAG)-Software zum Einsatz. „Die Zugriffsberechtigungen sind jedoch nicht in Stein gemeißelt“, weiß Christian Rothlauf: „Sie müssen im Zuge strenger werdender Governance-Vorgaben vielmehr regelmäßig überprüft werden.“ Aus diesem Grund findet eine sogenannte Rezertifizierung statt. Sie stellt sicher, dass jeder Nutzer der IT-Systeme in diesen zu jedem Zeitpunkt nur genau die Berechtigungen hat, welche zur Durchführung seiner Aufgaben notwendig sind, wobei das Sparsamkeitsprinzip (Need-to-know) angewendet wird. Dabei prüfen die Führungskräfte für jeden der ihnen zugeordneten Beschäftigten, welche Berechtigungen er behalten kann und welche zu entziehen sind. Ebenso werden Rollen, in denen mehrere Rechte gebündelt sind, rezertifiziert. Es muss also geprüft werden, ob jede Rolle zu jedem Zeitpunkt auch die richtigen Rechte enthält.  

Mit ihrer neuen Rezertifizierungssoftware kann FI-TS die beschriebenen Anforderungen erfüllen. Sie ermöglicht unter anderem auch eine Rezertifizierung von Exklusivrollen, wie sie das IAG-System von FI-TS kennt. Solche Rollen werden zur Steuerung von Attributen bei Beschäftigten genutzt. Es lassen sich außerdem auch solche User rezertifizieren, die keinerlei Accounts haben.

Für die temporäre Aktivierung von Rechten verwendet FI-TS das sogenannte HPU-Verfahren (hochprivilegierte User). Dabei wird eine bestimmte Berechtigungsrolle normal beantragt, mit der jedoch zunächst keine Rechte verbunden sind. Über einen separaten Workflow kann man diese Rechte dann aktivieren und der User erhält eine sogenannte Zwillingsrolle. Auch diese spezielle Rechtekonstellation vermag die neue Rezertifizierungslösung abzubilden. Architektonisch als Web-Applikation konzipiert, arbeitet es mit einem universell einsetzbaren Datenmodell. Dieses bildet die Entitäten eines normalen IAG-Systems ab.

Die Daten aus der IAG-Lösung (Garancy IAM der Beta Systems Software AG), in der alle Rollen und User, Verantwortlichen und Organisationsstrukturen enthalten sind, können somit einfach in die Rezertifizierungslösung übertragen werden. Nächtlich werden sie exportiert und lassen sich an der Schnittstelle nochmals anpassen, aggregieren oder filtern. So wird das Konstrukt mit Zwillingsrollen und HPU-Rechten elegant abgebildet. Auch Systeme von FI-TS, die nicht mit der IAG-Software kommunizieren, liefern Daten sämtlicher Accounts und Berechtigungen an die Zertifizierungslösung. Diese verknüpft sie mit der IAG-Lösung und findet damit die zuständige Führungskraft. Die integrative Verbindung zwischen den einzelnen Systemen hat TIMETOACT für FI-TS geschaffen.

Schon bei der ersten Rezertifizierung zeigte sich, wie die MaRisk-Anforderung der Vollständigkeit bei FI-TS gelöst wird: Im neuen System sieht die Führungskraft immer nur einen bestimmten Ausschnitt, kann für die dort angezeigten Objekte eine Entscheidung treffen und muss dann weiterklicken. So ist sichergestellt, dass für wirklich jeden Beschäftigten und seine Rechte und Rollen aktiv eine Entscheidung getroffen wird. Dank der Flexibilität des Herstellers Nexis Controle gelang es dem Team von TIMETOACT, aktuelle Anforderungen des Kunden sehr schnell umzusetzen und neue Features binnen weniger Wochen im Standard einsatzfähig zu machen. Projektleiter Christian Höfs: „Die Software erfordert quasi keine Programmierung, sondern kommt mit reiner Konfiguration in der Oberfläche und dem Zusammenklicken von Einstellungen aus. Darüber lässt sich granular steuern, was rezertifiziert und angezeigt werden soll.“