Schutz vor Datenmissbrauch im Bankenumfeld.Im Bankenbereich wird grundsätzlich besonderer Wert auf Datensicherheit gelegt. Dennoch kam es auch in diesem Sektor zu Datenschutzproblemen, mit teils erheblichen finanziellen Schäden und Reputationsverlusten. Hier sei auf den Verkauf von Daten-CDs mit steuerlich relevanten Informationen von einem Bankangestellten einer ausländischen Bank an den deutschen Staat im Jahr 2009 hingewiesen. Der Beschuldigte gab an, die Daten seien
bei seinem Arbeitgeber frei verfügbar gewesen. Hier zeigt sich, dass der Umgang mit Daten dieser Art einer besonderen Sorgfalt bedarf, um Kunden und das eigene Unternehmen zu schützen.
Eine geeignete Maßnahme ist die Einschränkung der Zugriffsmöglichkeiten auf kundenbezogene oder interne Daten für einzelne Mitarbeiter. Das richtige Management von Zugriffsberechtigungen ist daher als ein wesentlicher Bestandteil zur Schaffung von Datensicherheit zu betrachten. Als Basis zur Umsetzung des „Need-to-know-/Need-to-do“-Prinzips hat sich in der Praxis die Nutzung eines sogenannten Rollenkonzepts bewährt. Während diese Methode seit vielen Jahren genutzt wird, ist die Umsetzung von Prozessen und Kontrollen zur Gewährleistung einer hohen Qualität eines rollenbasierten Zugriffsmanagements hingegen nicht immer vollumfänglich gewährleistet.
Rollenkonzept
Das Rollenkonzept unterscheidet sich von einer einfachen Zugriffssteuerung dadurch, dass unterschiedliche Rollen definiert werden, unter deren Dach sich Berechtigungen auf Informationen („Ressourcen“) bündeln lassen. So ist für Mitarbeiter mit gleichem Tätigkeitsfeld nur eine einmalige Definition und Vergabe der unterschiedlichen Zugriffsrechte notwendig.
So bündelt die Rolle einerseits die Zugriffsrechte und andererseits die Tätigkeitsprofile der Mitarbeiter („Identitäten“). Dabei kann ein Mitarbeiter auch mehrere Rollen innehaben. Rollen können ebenso weitere Rollen bündeln, so dass ein hierarchisches Rollenkonzept entsteht. Diese Praxis stellt an das Identitätsmanagement besondere Herausforderungen.
Anpassungen im Identitäts-management
▷„Wildwuchs“ und Informationsverluste: In längeren Zeiträumen können der Wissensverlust über aktive sowie inaktive Rollen oder die genaue Ausgestaltung der Zugriffsrechte einzelner Rollen sowie fehlende automatisierte Löschprozesse die Steuerung der Berechtigungen erschweren. Diesen zeitraumbezogenen Veränderungen kann mit der Implementierung von Review- und Kontrollprozessen begegnet werden, um eine adäquate Wartung und Weiterentwicklung der Rollen/-profile zu erreichen.
▷Zusätzliche Anforderungen durch Sourcingaktivitäten: Im Rahmen von Outsourcings wächst das Sicherheitsbedürfnis eines Unternehmens bezüglich der Kundendaten, so dass hieraus Handlungsdruck im Identitätsmanagement entsteht. Vor Auslagerung sollte daher vor allem bei Abteilungen mit über die Jahre gewachsenen Rollenprofilen eine umfassende Aufnahme der Istsituation erfolgen (Matrix: Leistungen–Rollen–Mitarbeiter).
Anhand dieser Analyse werden Maßnahmen abgeleitet zur Implementierung der erhöhten Sicherheitsanforderungen. So werden beispielsweise in Systemen mit einfach zu erstellenden Rollen diese anhand der Serviceverträge neu aufgebaut. In komplexen Altsystemen, in denen die Erstellung neuer Rollenprofile sehr aufwändig sein kann, ist häufig nur die Nutzung bereits vorhandener Rollen wirtschaftlich sinnvoll. Ausgehend von der Analyse müssen die Rollen gegebenenfalls lediglich um einzelne Berechtigungen bereinigt oder erweitert werden. So können Löschungen und aufwändige Neudefinitionen von Rollenprofilen vermieden werden.
▷Regulatorische Veränderungen: Auch regulatorische Anforderungen können dazu führen, dass umfangreiche Eingriffe in das Identitätsmanagement notwendig werden. So musste beispielsweise nach Einführung der SOx-Regularien die Zugriffssteuerung auf kritische Anwendungen bei einer Großbank angepasst werden.
Die Herausforderung lag in der heterogenen und dezentral angelegten Systemlandschaft der Bank: Es musste eine zentrale, auditkonforme Evidenzstelle zur Zugriffsüberwachung eingerichtet werden. Diese wurde durch die Einführung einer systemübergreifenden Rezertifizierungsapplikation unterstützt. So konnten die Rollenreviews an die jeweiligen Verantwortungsträger adressiert werden, um eine zeitnahe Bearbeitung in einem regelmäßigen Turnus zu gewährleisten.
Fazit
Organisatorische Veränderungen wirken sich häufig auf das Identitätsmanagement aus. Dies ist bei deren Planung entsprechend zu berücksichtigen. Aber auch die stetige Weiterentwicklung einer Organisation kann zu Anpassungsbedarf führen. Daher ist eine permanente Weiterentwicklung des Identitätsmanagements im Rahmen einer übergreifenden Governance notwendig.