IAM für Banken: Warum brauche ich das?

 

Identity and Access Management (IAM) ist ein Thema, das immer mehr an Relevanz gewinnt – auch wir haben bereits zahlreiche Artikel zu dem Thema geschrieben. Insbesondere für Banken ist dies ein äußerst vielversprechendes Thema. Dafür gibt es viele Gründe, auf die ich in diesem Artikel detailliert eingehen werde – jedoch kann man vorwegnehmen, dass Banken sehr sensible Daten speichern, weswegen eine entsprechende Identitäts- und Zugriffsverwaltung unerlässlich ist. Auch eine Funktionstrennung ist ungemein wichtig – hier kann eine IAM-Lösung ebenfalls unterstützen. Das ist jedoch besonders für kleine Banken recht schwierig umzusetzen. Lasst mich jedoch zunächst die Bedeutung von IAM für Banken generell erörtern. 

 

Verbesserte Sicherheit durch Funktionstrennung 

Stellt euch einmal folgendes Szenario vor: Einige hochrangige Mitarbeitende verschiedener Banken wollen mit Hilfe von illegalen Mitteln einen wichtigen Zinssatz zu ihren Gunsten beeinflussen. Sie treffen geheime Absprachen und einigen sich darauf, gezielt falsche Zinssätze für ihre Interbanken-Geschäfte zu melden. Solange sie niemand kontrolliert, sollte das doch funktionieren, richtig? 

Nun, durch Funktionstrennung hätte dies verhindert werden können: Stellt euch nun einmal vor, es würden sowohl Pflichturlaube als auch Arbeitsplatzwechsel durchgesetzt werden. Das bedeutet, dass Mitarbeitende, insbesondere viel arbeitende Manager, mehrmals im Jahr den ihnen zustehenden Urlaub nehmen müssen. Während sie dies tun, kommt der Arbeitsplatzwechsel ins Spiel: Denn während dieser Zeit erhält ein Manager aus einem anderen Bereich durch ein IAM-System Zugriff auf den Bereich des/der Kollegen/Kollegin, um diese/n zu vertreten. Solche Absprachen wie die obige würden so einfach aufgedeckt werden. Und falls ihr euch fragt, woher dieses interessante Beispiel stammt – die Beeinflussung eines solchen Zinssatzes wurde tatsächlich im Jahr 2011 als Libor-Skandal bekannt. 

Wie wir in diesem Beispiel gesehen haben, ist eine Aufgabe, welche ein Identity and Access Management-System übernehmen kann, die funktionale Trennung von Tätigkeiten in IT-Systemen, auch Segregation of Duties (SoD) genannt. So können Fehler wie der obige und die daraus entstehenden Schäden vermieden werden.  

Zur Vermeidung solcher Fehler sind unternehmensweite Vorgaben und Prozesse äußerst hilfreich: Ein gut implementiertes IAM-System stattet gewisse Mitarbeiter nur mit den Berechtigungen aus, welche sie für die Ausübung ihrer Tätigkeit auch wirklich benötigen. Dieser Vorgang hängt stark mit dem Need-to-Know-Prinzip zusammen, das besagt, dass nur die Berechtigungen vergeben werden sollten, welche zwingend zur Erfüllung der eigenen Aufgabe erforderlich sind. 

In Banken kann man sich dafür folgende Fragen stellen: Wer darf Kredite freigeben, wer hat Zugriff auf welche Systeme und wer hat Zugriff auf welche Konten? Auch Themen wie Krankheitsvertretungen, Rechtevergabe, Risikomanagement und besondere Genehmigungen für bestimmte Konten sind hier relevant. Aber auch die Nutzererfahrung und Compliance-Richtlinien dürfen hier nicht vergessen werden. 

 

Verbesserte Erfahrung für Nutzer 

Wie ein IAM-System die Erfahrung für Endnutzer maßgeblich verbessern kann, haben wir bereits in diesem Artikel behandelt. IT-Administratoren können beispielsweise für interne Mitarbeiter eine eindeutige digitale Identität einrichten, wodurch die manuelle Verwaltung all dieser Konten entfällt. So können Mitarbeiter schneller in den Arbeitsalltag integriert und arbeitsfähig gemacht werden. Auch für Bankkunden kann ein IAM-System hilfreich sein, wenn dieses mit einer Single SignOn-Implementierung verbunden wird: So können sich Kunden einfacher einloggen, möglicherweise auch mit sogenannten Social Logins, zum Beispiel mit verimi oder yes. 

 

Verbesserte Einhaltung von Compliance-Richtlinien 

Wie auch andere Unternehmen unterliegen Banken gewissen regulatorischen Richtlinien, die sie zwingendermaßen erfüllen müssen. Die grundlegenden Bestandteile der Compliance sind durch die MaComp (Mindestanforderungen an die Compliance-Funktion) geregelt. Wie genau diese Richtlinien umgesetzt werden, liegt bei dem entsprechenden Kreditinstitut basierend auf einem Risikoprofil mit einer Analyse von Kunden, Produkten und Geschäftsfeldern.  

Sicherlich kann auch hier eine IAM-Lösung einen Teil abdecken, indem von ihr zum Beispiel bestimmte Rollen und Zugriffe verwaltet werden. So kann nicht nur sichergestellt werden, dass man nur Zugriff auf die für einen selbst relevanten Inhalte und Prozesse hat, sondern auch, dass die oben beschriebene Funktionstrennung durchgesetzt werden kann. Zudem kann durch ein solches System auch eine stärkere Authentifizierung der Nutzer angewandt werden. 

 

iam compliance
Dies sind vier der wichtigsten Aspekte von Compliance für Identity and Access Management.

Doch was ist mit den kleinen Banken? 

Auch Kleinbanken plagen die gleichen Probleme wie große Banken, zu denen unter anderem Fraud Prevention und Risk Assessment gehören – jedoch fehlen ihnen meist die Ressourcen solcher großen Banken. Ab 1000 Mitarbeitenden beschafft man sich ein dediziertes IAM-System – Banken mit nur 200 Mitarbeitenden brauchen das auch, obwohl man damit kein Geld verdient. Dennoch müssen solche Regularien auch von kleineren Banken eingehalten werden – um dies adäquat umsetzen zu können sind hier vorgefertigte Lösungen notwendig. Dafür müssen Industriestandards geschaffen werden, damit die Regularien, zu denen auch Compliance-Richtlinien gehören, bei angemessener Geld- und Zeiteinsparung eingehalten werden können. 

 

Welche Dienste kann ich hier nutzen? 

Es gibt einige IAM-Anbieter, welche speziell auf die Anforderungen von Banken zugeschnittene Features haben. Auf dem europäischen Markt ist die Software Omada im Bankenumfeld äußerst beliebt, da es perfekt auf die Identity Governance-Prozesse von Banken zugeschnitten ist. Zudem werden hier Standardprozesse vorgegeben, damit diese Anforderungen einfacher umgesetzt werden können. Und das Beste daran ist, dass wir sehr eng mit Omada zusammenarbeiten und euch somit bestens beraten können. 

 

Solltet ihr weitergehendes Interesse an dieser Thematik haben und euch einen Berater wünschen, würden wir uns freuen mit euch zusammenarbeiten zu dürfen – wir freuen uns, euch kennenzulernen! 

 

Author

Dennis Martin

Related Articles

On Premise vs. Cloud – oder doch ein hybrides Modell?