Identity and Access Management (IAM) ist ein Thema, das immer mehr an Relevanz gewinnt – auch wir haben bereits zahlreiche Artikel zu dem Thema geschrieben. Insbesondere für Banken ist dies ein äußerst vielversprechendes Thema. Dafür gibt es viele Gründe, auf die ich in diesem Artikel detailliert eingehen werde – jedoch kann man vorwegnehmen, dass Banken sehr sensible Daten speichern, weswegen eine entsprechende Identitäts- und Zugriffsverwaltung unerlässlich ist. Auch eine Funktionstrennung ist ungemein wichtig – hier kann eine IAM-Lösung ebenfalls unterstützen. Das ist jedoch besonders für kleine Banken recht schwierig umzusetzen. Lasst mich jedoch zunächst die Bedeutung von IAM für Banken generell erörtern.
Verbesserte Sicherheit durch Funktionstrennung
Stellt euch einmal folgendes Szenario vor: Einige hochrangige Mitarbeitende verschiedener Banken wollen mit Hilfe von illegalen Mitteln einen wichtigen Zinssatz zu ihren Gunsten beeinflussen. Sie treffen geheime Absprachen und einigen sich darauf, gezielt falsche Zinssätze für ihre Interbanken-Geschäfte zu melden. Solange sie niemand kontrolliert, sollte das doch funktionieren, richtig?
Nun, durch Funktionstrennung hätte dies verhindert werden können: Stellt euch nun einmal vor, es würden sowohl Pflichturlaube als auch Arbeitsplatzwechsel durchgesetzt werden. Das bedeutet, dass Mitarbeitende, insbesondere viel arbeitende Manager, mehrmals im Jahr den ihnen zustehenden Urlaub nehmen müssen. Während sie dies tun, kommt der Arbeitsplatzwechsel ins Spiel: Denn während dieser Zeit erhält ein Manager aus einem anderen Bereich durch ein IAM-System Zugriff auf den Bereich des/der Kollegen/Kollegin, um diese/n zu vertreten. Solche Absprachen wie die obige würden so einfach aufgedeckt werden. Und falls ihr euch fragt, woher dieses interessante Beispiel stammt – die Beeinflussung eines solchen Zinssatzes wurde tatsächlich im Jahr 2011 als Libor-Skandal bekannt.
Wie wir in diesem Beispiel gesehen haben, ist eine Aufgabe, welche ein Identity and Access Management-System übernehmen kann, die funktionale Trennung von Tätigkeiten in IT-Systemen, auch Segregation of Duties (SoD) genannt. So können Fehler wie der obige und die daraus entstehenden Schäden vermieden werden.
Zur Vermeidung solcher Fehler sind unternehmensweite Vorgaben und Prozesse äußerst hilfreich: Ein gut implementiertes IAM-System stattet gewisse Mitarbeiter nur mit den Berechtigungen aus, welche sie für die Ausübung ihrer Tätigkeit auch wirklich benötigen. Dieser Vorgang hängt stark mit dem Need-to-Know-Prinzip zusammen, das besagt, dass nur die Berechtigungen vergeben werden sollten, welche zwingend zur Erfüllung der eigenen Aufgabe erforderlich sind.
In Banken kann man sich dafür folgende Fragen stellen: Wer darf Kredite freigeben, wer hat Zugriff auf welche Systeme und wer hat Zugriff auf welche Konten? Auch Themen wie Krankheitsvertretungen, Rechtevergabe, Risikomanagement und besondere Genehmigungen für bestimmte Konten sind hier relevant. Aber auch die Nutzererfahrung und Compliance-Richtlinien dürfen hier nicht vergessen werden.