Identity & Access Management (IAM) nach VAIT und BAIT: Umsetzung nach Best Practice Methodik

Um das Risikobewusstsein deutscher Finanz- und Versicherungsunternehmen sowie das Bewusstsein für Abhängigkeiten zwischen den einzelnen Themenbereichen zu schärfen, hat die Bundesanstalt für Finanzdienstleistungen (BaFin) die bestehenden Anforderungen, etwa aus der MaRisk oder dem Kreditwesengesetz, deutlich konkretisiert.  

Bereits im Februar 2017 veröffentlichte die BaFin die Bankaufsichtlichen Anforderungen an die IT (BAIT), welche die Handlungsfelder IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement und Berechtigungsmanagement für Finanzinstitute im Detail erläutern. 

Gefolgt wurde die BAIT im Juli 2018 von den versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Diese bündeln über 60 konkrete Einzelanforderungen an die IT von Versicherungsunternehmen in insgesamt acht Themenfelder.  

Eines der zentralen Themenfelder bildet in beiden Richtlinien das Identity & Access Management (IAM), sprich: das Benutzerberechtigungsmanagement. VAIT und BAIT beschreiben detaillierte Anforderungen an IT-Berechtigungskonzepte, Genehmigungs- und Kontrollprozesse, Rezertifizierung der Berechtigungen sowie Nachvollziehbarkeit und Dokumentation sämtlicher Einrichtungs-, Änderungs- und Deaktivierungsprozesse. Als Basis dienen dabei stets das Minimal- und Funktionstrennungsprinzip.   

Banken und Versicherungen deutschlandweit stehen somit unter Zugzwang, ihr IAM möglichst zügig an die Anforderungen der BaFin anzupassen.