Über Administratorenaccounts und -passwörter kann man in der Regel problemlos auf unternehmenskritische Datenbestände zugreifen. Zahlreiche Compliancerichtlinien fordern deshalb, diese Nutzerkennungen genau zu überwachen. Auch die MaRisk mache hier Vorgaben, erklärt IT- Sicherheitsexperte Cyber-Ark.
Useraccounts von Administratoren und sogenannten Superusern verfügen über weitreichende Rechte. Sie stellen deshalb für jedes Unternehmen ein hohes Sicherheitsrisiko dar. Werden hier keine adäquaten Maßnahmen für ein effizientes Passwortmanagement getroffen, verstößt dies gegen verschiedene gesetzliche und aufsichtsrechtliche Bestimmungen.
In diesen Complianceregelungen werde nämlich Nachweis darüber gefordert, so Cyber-Ark, wer Zugriff auf privilegierte Benutzerkonten habe, welche Veränderungen vorgenommen und ob die Passwörter ordnungsgemäß geschützt und geändert würden.
Auch in den Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin fänden sich entsprechende Regelungen: Deren Einhaltung werde im Rahmen der Jahresabschlussprüfung geprüft und sei gegenwärtig auch häufig Gegenstand von Sonderprüfungen nach § 44 Abs. 1 KWG.
Im Hinblick auf die technisch-organisatorische Ausstattung von Finanzinstituten werde in den MaRisk etwa konstatiert, dass "bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen (ist), insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt".
Die MaRisk wurden zuletzt Ende 2010 überarbeitet. Die Änderungen müssen von den Instituten bis zum Ende dieses Jahres in vollem Umfang umgesetzt werden. Eine entscheidende Erweiterung betreffe den Bereich "Zugriffsrechte", lässt der Anbieter verlauten.
Hierzu heiße es: "Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden."
Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Gerade in diesem Bereich sehen wir in der Finanzdienstleistungsbranche noch einen erheblichen Handlungsbedarf. Vielfach gibt es nämlich noch Superadmins mit uneingeschränkten privilegierten Rechten, das heißt, es erfolgt weder eine strikte 'Separation of Duties' noch eine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen.
msw