VAIT erfolgreich umsetzen: Best Practices für Ihr IAM

Eines steht fest: Der digitale Wandel bringt eine deutlich zunehmende Automatisierung und Digitalisierung der Geschäftsprozesse mit sich. IT-Governance und Informationssicherheit gewinnen in diesem Kontext immer mehr an Bedeutung.

Die Bundesanstalt für Finanzdienstleistungen hat dieser Entwicklung Rechnung getragen und im Juli 2018 ihre Anforderungen an die Versicherungswirtschaft verschärft: Die versicherungsaufsichtlichen Anforderungen an die IT (VAIT) enthalten über 60 konkrete Einzelanforderungen an die IT, gebündelt in acht Themenfelder.  Ziel der BaFin ist es, durch die VAIT das IT-Risikobewusstsein deutscher Versicherungsunternehmen zu schärfen und Abhängigkeiten zwischen den einzelnen Themenfeldern aufzuzeigen.

Konkrete Anforderungen an das Identity and Access Management (IAM)

Das Benutzerberechtigungsmanagement stellt in diesem Zusammenhang eines der zentralen Themenfelder dar. Es umfasst alle Verfahren zur Einrichtung, Änderung und Entfernung von Berechtigungen im Sinne des Minimal- und Funktionstrennungsprinzips.

Führt man sich die Zahl der IT-Anwendungen in Versicherungsunternehmen vor Augen, so wird schnell deutlich, warum ein feingranulares Identity und Access Management hier so unerlässlich ist: Selbst externe Geschäftspartner wie Makler nutzen im Schnitt mehr als zehn verschiedene Applikationen – interne Sachbearbeiter nicht selten mehr als 20!

Die VAIT konkretisiert die Anforderungen der BaFin an das Benutzerberechtigungs-management in den folgenden Punkten:

• Umfassende IT-Berechtigungskonzepte als Basis für die Berechtigungsvergabe, ausgerichtet am Schutzbedarf des jeweiligen IT-Systems
• Genehmigungs- und Kontrollprozesse unter Einbeziehung der jeweils fachlich verantwortlichen Stelle
• Regelmäßige Rezertifizierung der vergebenen IT-Berechtigungen zur Überprüfung ihrer Notwendigkeit
• Nachvollziehbarkeit und Dokumentation sämtlicher Prozesse der Einrichtung, Änderung, Deaktivierung und Löschung von IT-Berechtigungen

Eine erfolgreiche Implementierung der Anforderungen der VAIT hilft, Genehmigungs- und Kontrollprozesse effizient umzusetzen und ein unternehmensweites Geschäftsrollenmodell zu etablieren.

VAIT im IAM systematisch umsetzen

Anhand einer systematischen Vorgehensweise lässt sich die VAIT im Identity & Access Management effizient umsetzen:

1. Analyse der Ist-Situation und Identifikation von Gaps zu den Anforderungen der VAIT
2. Priorisierung der Gaps anhand der Risiken der jeweiligen IT-Systeme
3. Gezielte, risikobasierte Schließung der Lücken

Dabei empfiehlt sich eine strukturierte Vorgehensweise entsprechend der Priorität der einzelnen Themenfelder, anstatt alle Themenfelder gleichzeitig anzugehen. Bereits bestehende Prozesse, Konzepte und Dokumentationen können als Grundlage genutzt und entsprechend den Anforderungen der VAIT angepasst werden. Vorlagen, Tools und Datenbanken helfen, die Umsetzung zu automatisieren und die damit verbundenen Aufwände deutlich zu reduzieren.

In der Praxis hat sich die Etablierung einer unternehmensweit einheitlichen Governance der Prozesse, Kompetenzen, Aufgaben, Verantwortlichkeiten, Kontrollen und Kommunikationswege sowie eines zentralen Verfahrens zum Management der

Identitäten und Berechtigungen inklusive der erforderlichen Genehmigungs- und Kontrollschritte bewährt.

Best Practices für das IAM

Nachfolgend geben wir Ihnen einige konkrete Tipps an die Hand, wie Sie ein Identity & Access Management im Sinne der VAIT umsetzen können. Dabei betrachten wir alle fünf Ebenen des Benutzerberechtigungs-Managements:

Vergabegrundsätze und -verfahren

• Definieren und dokumentieren Sie ein zentrales Verfahren zur Einrichtung, Änderung, Deaktivierung und Löschung von Benutzern – und zwar nachvollziehbar, auswertbar und manipulationssicher. Sollten Sie mehrere solcher Verfahren parallel im Einsatz haben, so konsolidieren Sie diese zu einem zentral geltenden Verfahren.
• Stellen Sie sicher, dass die Vergabe und Änderung von Berechtigungen eindeutig nach dem Mehraugenprinzip und unter Zustimmung der jeweils fachlich verantwortlichen Stelle geregelt ist und jede Umgehung dieser autorisierten Stelle unterbunden wird.
• Sorgen Sie dafür, dass die Prinzipien der minimalen Berechtigungsvergabe sowie der Funktionstrennung strikt und für die BaFin nachvollziehbar eingehalten werden.

Berechtigungskonzepte

• Die Dokumentation der Verfahren zur Einrichtung, Änderung, Deaktivierung und Löschung sowie Überprüfung  von Usern und Berechtigungen sollte nicht nur vollständig und nachvollziehbar sein, sondern auch unternehmensweit einen einheitlichen Umfang und ausreichenden Detaillierungsgrad aufweisen.
• Ermitteln Sie für jede Anwendung den Schutzbedarf auf Basis der Datenkritikalität. Dieser bildet die Grundlage für die Ableitung der entsprechenden Benutzer- und Berechtigungskonzepte.

Technische User, Funktionalaccounts und privilegierte Benutzerkonten

• Die VAIT fordert eine zweifelsfreie Zuordnung auch technischer User und nichtpersonalisierter Berechtigungen zu den jeweils handelnden natürlichen Personen. Im Falle von Abweichungen sind die sich ergebenden Risiken zu genehmigen und zu dokumentieren. Häufig entstehen hier in der Praxis Schwierigkeiten, weil bereits bestehende technische User durch das zentrale User-Management nicht vollständig erfasst werden können und zudem Administrator-Userkonten oft generisch eingesetzt werden.
• Funktionalaccounts mit weitreichenden Berechtigungen dürfen laut VAIT nur durch einen kleinen Mitarbeiterkreis genutzt werden. Nur so kann gewährleistet werden,  dass nachvollziehbar bleibt, wer den Account für welche Aktivitäten genutzt hat.

Rezertifizierung

• Stellen Sie sicher, dass die Benutzer und Berechtigungen regelmäßig im Hinblick darauf überprüft werden, ob die User noch aktiv sind und die Berechtigungen dem jeweiligen Mitarbeiterprofil entsprechen. Hier empfehlen wir eine systemgestützte Rezertifizierung und umfassende (nicht nur stichprobenartige) Kontrolle der Zusammensetzung der Berechtigungen.
• Beachten Sie die von der BaFin vorgegebenen Fristen für die Rezertifizierung:
  • Besonders kritische Berechtigungen (z. B. Administratoren, privilegierte Benutzerkonten): mindestens alle 6 Monate
  • Wesentliche Berechtigungen (z. B. rechnungslegungsrelevante Systeme): mindestens jährlich
  • Alle anderen Berechtigungen: alle 3 Jahre
• Binden Sie bei der Überprüfung bei jedem Nutzer für alle genutzten Anwendungen und Berechtigungen die zuständigen Kontrollinstanzen ein und halten Sie die Daten zentral, nachvollziehbar und auswertbar vor, auch wenn der damit verbundene Aufwand in der Praxis nicht zu vernachlässigen ist.

Protokollierung und begleitende technisch-organisatorische Maßnahmen

• Die Berechtigungen für Anwendungen mit hohem Schutzbedarf und privilegierte Benutzerkonten (z. B. Administrator-, Notfallzugänge) sind durch eine zentrale Stelle aufzuzeichnen, die unabhängig von der Organisationseinheit des betreffenden Benutzers ist. Dadurch kann eine Überprüfung des zweckgerechten Einsatzes der Berechtigungen gewährleistet werden.
• Etablieren Sie angemessene Authentifizierungs- und Autorisierungsverfahren wie Passwortlichtlinien und Datenverschlüsselung für die Regelungen der Berechtigungskonzepte. Protokollieren Sie die Anwendung der Verfahren manipulationssicher und sensibilisieren Sie Ihre Mitarbeiter für deren Einhaltung.

Die Einhaltung der VAIT wird in der Praxis durch Auditoren und Wirtschaftsprüfungsgesellschaften geprüft, die durch die BaFin beauftragt werden.

Aus Sicht der Versicherer empfiehlt es sich, einen externen Berater hinzuzuziehen, der die Prüfung begleitet, die Ergebnisse dokumentiert und die notwendigen nächsten Schritte ableitet.

Ein IAM entsprechend den Vorschriften der VAIT mag auf den ersten Blick als Kostentreiber erscheinen. Gerade durch die klaren Vorgaben und Strukturierungen ermöglicht es jedoch Prozessautomatisierungen und damit langfristig deutliche Aufwandsreduktionen und Kosteneinsparungen. Gleichzeitig werden die durch das Zusammenspiel von IT-Systemen und Menschen entstehenden Risiken minimiert.